事前定義ロールの説明

インフラストラクチャ オペレーター(IO)、プラットフォーム管理者(PA)、アプリケーション オペレーター(AO)などのオーディエンス グループはロールではありません。これらのユーザー グループは、特定の権限にマッピングされ、個々のユーザーに割り当てられたユーザーロールのコレクションです。詳細については、ドキュメントの対象読者をご覧ください。

このページの各セクションには、チームメンバーに割り当てることができる事前定義ロールが一覧表示されています。

インフラストラクチャ オペレーターのロール

IO には、ルート管理者クラスタと組織のライフサイクルを管理する権限があります。チームメンバーに割り当てることができる事前定義ロールは次のとおりです。

  • AuditLoggingTarget Creator: ルート管理クラスタに AuditLoggingTarget カスタム リソースを作成します。
  • AuditLoggingTarget 編集者: ルート管理クラスタで AuditLoggingTarget カスタム リソースを編集します。
  • AuditLoggingTarget 閲覧者: ルート管理クラスタの AuditLoggingTarget カスタム リソースを表示します。
  • AuditLoggingTarget IO 作成者: プロジェクト Namespace に AuditLoggingTarget カスタム リソースを作成します。
  • AuditLoggingTarget IO 編集者: プロジェクト Namespace の AuditLoggingTarget カスタム リソースを編集します。
  • AuditLoggingTarget IO 閲覧者: プロジェクト Namespace の AuditLoggingTarget カスタム リソースを表示します。
  • 監査ログ バックアップ復元作成者: バックアップ転送ジョブ構成を作成し、監査ログを復元します。
  • 監査ログ バックアップ復元エディタ: バックアップ転送ジョブの構成を編集し、監査ログを復元します。
  • 監査ログ インフラストラクチャ バケット閲覧者: インフラストラクチャ監査ログのバックアップ バケットを表示します。
  • AIS 管理者: GKE Identity Service(AIS)の Pod と Deployment に対する読み取り / 書き込みアクセス権があります。
  • AIS デバッガ: 軽減策のために AIS リソースに対する読み取り / 書き込みアクセス権があります。
  • AIS モニター: iam-system Namespace の AIS リソースに対する読み取りアクセス権があります。
  • 任意のアーティファクト クラスタ閲覧者: インフラストラクチャ クラスタのコントロール プレーンまたは管理プレーンのオブジェクト ストレージ バケットに対する読み取りアクセス権があります。
  • 任意のアーティファクト ディストリビュータ: インフラストラクチャ クラスタのコントロール プレーンまたは管理プレーン内のモデル アーティファクトに対する読み取り / 書き込みアクセス権があります。
  • ATAT 管理者: ATAT ポートフォリオ関連のリソースを管理する権限を付与します。
  • AuthzPDP デバッガ: 緩和とデバッグのために、認可ポリシーの決定ポイント(PDP)リソースに対する読み取り / 書き込みアクセス権があります。
  • Backup Admin: 組織管理クラスタのバックアップ プランや復元プランなどのバックアップ リソースを管理します。
  • Billing Invoice Creator: ルート管理者クラスタで請求書を手動で作成します。
  • Cert Manager System Cluster Debugger: cert-manager 関連のリソースを管理します。
  • Dashboard Creator: ルート管理者クラスタに Dashboard カスタム リソースを作成します。
  • ダッシュボード エディタ: ルート管理クラスタで Dashboard カスタム リソースを編集します。
  • ダッシュボード閲覧者: ルート管理者クラスタの Dashboard カスタム リソースを表示します。
  • Dashboard IO Creator: プロジェクト Namespace に Dashboard カスタム リソースを作成します。
  • Dashboard IO Editor: プロジェクト Namespace の Dashboard カスタム リソースを編集します。
  • Dashboard IO Viewer: プロジェクト Namespace の Dashboard カスタム リソースを表示します。
  • DBS Debugger: Database Services に対する読み取り / 書き込みアクセス権があります。
  • DNS 管理者: DNS ファイルを更新します。
  • DNS デバッガ: すべての DNS リソースに対する読み取り / 書き込み権限があります。
  • DNS モニター: すべての DNS リソースに対する読み取り権限があります。
  • DNS Suffix Viewer: DNS サフィックスの ConfigMap を表示します。
  • DR 管理者: すべての障害復旧タスクを実行する権限を持ちます。
  • DR 復元管理者: 障害復旧の復元を実行します。
  • DR システム管理者: コントロール プレーンでバックアップを設定するために、dr-system 名前空間のリソースを管理します。
  • 緊急 SSH 認証情報管理者: 緊急アクセス権限を持ち、ルート管理クラスタの SSH ノードを使用します。
  • EZ Debugger: API バージョン rbac.authorization.k8s.io/v1 をデバッグするために、EasySaaS リソースへのアクセス権を付与します。
  • FluentBit 作成者: ルート管理クラスタに FluentBit カスタム リソースを作成します。
  • FluentBit エディタ: ルート管理クラスタで FluentBit カスタム リソースを編集します。
  • FluentBit 閲覧者: ルート管理クラスタの FluentBit カスタム リソースを表示します。
  • FluentBit IO 作成者: プロジェクト Namespace に FluentBit カスタム リソースを作成します。
  • FluentBit IO エディタ: プロジェクトの Namespace で FluentBit カスタム リソースを編集します。
  • FluentBit IO Viewer: プロジェクト Namespace の FluentBit カスタム リソースを表示します。
  • Gatekeeper 管理者: デプロイを再起動してシークレットにパッチを適用する権限があります。
  • Gemini アーティファクト ディストリビューター: gemini-model-artifact-registry リソースのオブジェクト ストレージ バケットに対する読み取り / 書き込みアクセス権があります。
  • Gemini Artifacts クラスタ閲覧者: クラスタ Namespace のオブジェクト ストレージ バケットに対する読み取りアクセス権があります。
  • Grafana Debugger: obs-system Namespace の Grafana リソースに対する管理者アクセス権を付与します。
  • Grafana 閲覧者: ルート管理者クラスタのシステム Namespace の Grafana インスタンスにアクセスする権限を付与します。
  • Harbor インスタンス認証情報ローテータ: プロジェクト内のシークレットを管理する権限があります。
  • Harbor インスタンス デバッガ: 基盤となる Harbor サービスとワークロードにアクセスして、インフラストラクチャ クラスタ管理プレーンの問題をデバッグできます。
  • Harbor インスタンス デバッガ: 基盤となる Harbor サービスとワークロードにアクセスして、インフラストラクチャ クラスタのコントロール プレーンの問題をデバッグします。
  • Harbor インスタンス デバッガ プロジェクト ロール: 基盤となる Harbor サービスとワークロードにアクセスして、プロジェクト名前空間の問題をデバッグできます。
  • Harbor インスタンス オペレータ: 基盤となる Harbor サービスとワークロードにアクセスして、問題をデバッグできます。
  • ハードウェア管理者: スイッチ、ラック、サーバーなどのハードウェア リソースに対する完全アクセス権を持ちます。
  • HSM 管理者: ルート管理者クラスタのハードウェア セキュリティ モジュール(HSM)リソースに対する読み取り / 書き込み権限があります。このロールは、HSM 関連の問題のトラブルシューティングを行い、HSM を含むシークレットの手動ローテーションと手動バックアップ手順を実行できます。
  • HSM システム シークレット モニター: hsm-system Namespace のシークレットを表示するための読み取り専用アクセス権があります。
  • HSM システム シークレット ローテータ: hsm-system Namespace のシークレットに対する読み取り、更新、編集のアクセス権があります。
  • HDWR 管理者: ハードウェア関連のリソースに対する完全アクセス権を持ちます。
  • HWDR 閲覧者: ハードウェア関連リソースに対する読み取り専用アクセス権があります。
  • Kiali 管理者: Istio サービス メッシュをデバッグするために Kiali ダッシュボードにアクセスする権限を付与します。
  • KMS 管理者: 組織管理者クラスタ内の KMS 鍵、インポート、エクスポート、ローテーション ジョブを読み取ります。このロールでは、KMS のデプロイと Pod の管理、ログの表示も可能です。
  • KMS システム デバッガ: KMS デプロイ、Pod、ログに対する読み取り / 書き込みアクセス権があります。
  • KUB IPAM Debugger: CIDRClaim カスタム リソースに対する読み取りと書き込みのアクセス権があります。
  • KUB Monitor: KUB のすべてのリソースに対する読み取り専用権限があります。
  • LogCollector Creator: ルート管理クラスタに LogCollector カスタム リソースを作成します。
  • LogCollector 編集者: ルート管理クラスタで LogCollector カスタム リソースを編集します。
  • LogCollector 閲覧者: ルート管理クラスタの LogCollector カスタム リソースを表示します。
  • LogCollector IO Creator: プロジェクトの Namespace に LogCollector カスタム リソースを作成します。
  • LogCollector IO 編集者: プロジェクト Namespace の LogCollector カスタム リソースを編集します。
  • LogCollector IO 閲覧者: プロジェクト Namespace の LogCollector カスタム リソースを表示します。
  • LoggingRule 作成者: ルート管理クラスタに LoggingRule カスタム リソースを作成します。
  • LoggingRule 編集者: ルート管理クラスタで LoggingRule カスタム リソースを編集します。
  • LoggingRule 閲覧者: ルート管理クラスタの LoggingRule カスタム リソースを表示します。
  • LoggingRule IO 作成者: プロジェクト Namespace に LoggingRule カスタム リソースを作成します。
  • LoggingRule IO エディタ: プロジェクト Namespace の LoggingRule カスタム リソースを編集します。
  • LoggingRule IO 閲覧者: プロジェクト Namespace の LoggingRule カスタム リソースを表示します。
  • LoggingTarget IO 作成者: プロジェクト Namespace に LoggingTarget カスタム リソースを作成します。
  • LoggingTarget IO 編集者: プロジェクト Namespace の LoggingTarget カスタム リソースを編集します。
  • LoggingTarget IO 閲覧者: プロジェクト Namespace の LoggingTarget カスタム リソースを表示します。
  • ログクエリ API のクエリ実行者: ログをクエリするためにログクエリ API にアクセスします。
  • MonitoringRule 作成者: ルート管理クラスタに MonitoringRule カスタム リソースを作成します。
  • MonitoringRule エディタ: ルート管理クラスタで MonitoringRule カスタム リソースを編集します。
  • MonitoringRule 閲覧者: ルート管理クラスタで MonitoringRule カスタム リソースを表示します。
  • MonitoringRule IO 作成者: プロジェクト Namespace に MonitoringRule カスタム リソースを作成します。
  • MonitoringRule IO 編集者: プロジェクト Namespace の MonitoringRule カスタム リソースを編集します。
  • MonitoringRule IO Viewer: プロジェクト Namespace の MonitoringRule カスタム リソースを表示します。
  • MonitoringTarget Creator: ルート管理クラスタに MonitoringTarget カスタム リソースを作成します。
  • MonitoringTarget エディタ: ルート管理クラスタで MonitoringTarget カスタム リソースを編集します。
  • MonitoringTarget 閲覧者: ルート管理クラスタの MonitoringTarget カスタム リソースを表示します。
  • MonitoringTarget IO 作成者: プロジェクト Namespace に MonitoringTarget カスタム リソースを作成します。
  • MonitoringTarget IO 編集者: プロジェクト Namespace の MonitoringTarget カスタム リソースを編集します。
  • MonitoringTarget IO 閲覧者: プロジェクト Namespace の MonitoringTarget カスタム リソースを表示します。
  • MZ Bootstrap Anchor Reader: 次のカスタム リソース(ZoneServiceConfigMapDNSRegistration)に対するゾーン読み取り権限があります。
  • MZ Bootstrap Joining Editor: KeyPair カスタム リソースを編集する権限があります。
  • MZ Bootstrap Viewer: グローバル API の mz-system namespaceTokenRequest カスタム リソースに対する読み取り権限があります。
  • MZ Configsync 管理者: ゾーンルート管理クラスタで、マルチゾーン Configsync 関連の管理者権限を持ちます。
  • MZ Configsync global Admin: グローバル API でマルチゾーン Configsync 関連の管理者権限を持っています。
  • MZ Etcd 管理者: etcd マルチゾーン ブートストラップ プロセスに関連するリソースの編集権限があります。
  • MZ Etcd サブコンポーネント クリーナー: etcd Subcomponent リソースの編集権限があります。
  • MZ Etcd Viewer: etcd ブートストラップと運用リソースに関連するさまざまなリソースに対する読み取り権限があります。
  • MZ Global API Portforward: グローバル API Pod のポート転送権限があります。
  • MZ Global Etcd Admin: グローバル API シークレット、etcd クラスタ、etcd ゾーン リソースに対する編集権限があります。
  • MZ Global Etcd 閲覧者: グローバル API シークレット、etcd クラスタ、etcd ゾーン リソースに対する読み取り権限があります。
  • MZ Kube API リソース モニター: マルチゾーンのブートストラップ プロセスと運用プロセスに関連する Pod、デプロイ、サブコンポーネントの読み取り権限があります。
  • MZ Monitor: 両方の管理クラスタのコントロール プレーン リソースに対する読み取り権限があります。
  • MZ リソース グループ管理者: Pod、デプロイ、シークレット、証明書リソースの編集権限があります。
  • ObservabilityPipeline 作成者: ルート管理クラスタに ObservabilityPipeline カスタム リソースを作成します。
  • ObservabilityPipeline エディタ: ルート管理クラスタで ObservabilityPipeline カスタム リソースを編集します。
  • ObservabilityPipeline 閲覧者: ルート管理クラスタで ObservabilityPipeline カスタム リソースを表示します。
  • ObservabilityPipeline IO 作成者: プロジェクト Namespace に ObservabilityPipeline カスタム リソースを作成します。
  • ObservabilityPipeline IO 編集者: プロジェクト Namespace の ObservabilityPipeline カスタム リソースを編集します。
  • ObservabilityPipeline IO 閲覧者: プロジェクトの Namespace で ObservabilityPipeline カスタム リソースを表示します。
  • オブザーバビリティ管理者: obs-system Namespace 内のオブジェクトに対する読み取り / 書き込みアクセス権があります。
  • オブザーバビリティ管理者デバッガ: obs-system Namespace のオブザーバビリティ リソースに対するクラスタ固有の管理者アクセス権があります。このロールは、管理クラスタ内のアクセスをきめ細かく制御します。
  • オブザーバビリティ デバッガ: obs-system Namespace のオブザーバビリティ リソースに対する完全アクセス権があります。
  • オブザーバビリティ システム デバッガ: obs-system Namespace のオブザーバビリティ リソースに対する組織全体の管理者アクセス権があります。このロールは、オブザーバビリティ管理者のアクセス権の一元管理を許可します。
  • オブザーバビリティ閲覧者: obs-system Namespace 内のオブジェクトを表示するための読み取り専用アクセス権があります。
  • OCLCM Debugger: OCLCM オブジェクトのデバッグに対する読み取りおよび書き込みアクセス権があります。
  • OCLCM 閲覧者: OCLCM オブジェクトを表示するための読み取り専用アクセス権があります。
  • 組織管理者: 組織の作成と削除を行い、組織のライフサイクルを管理します。
  • 組織の課金管理者: 組織の管理者クラスタの課金リソースに対する完全アクセス権があります。
  • 組織の請求管理者システム クラスタ: システム クラスタ内の請求オペレーションを管理するための管理者権限があります。
  • 組織の請求先アカウント閲覧者: 組織の課金リソースに対する読み取り専用アクセス権を持ちます。
  • 組織システム アーティファクト管理管理者: システム Namespace のすべての Harbor プロジェクトのリソースに対する管理者権限があります。
  • PERF 管理者モニター: PERF バケット、サービス アカウント、シークレットに対する読み取り権限があります。
  • PERF 管理リソースのメンテナンス担当者: すべての仮想マシン(VM)、VM ディスク、VM 外部アクセス、VM リクエスト、バケット、プロジェクト サービス アカウント、AEAD 鍵、署名鍵、PERF サービス アカウントに対する読み取り / 書き込みアクセス権があります。
  • PERF Debugger: プロジェクト Namespace のジョブに対する読み取り / 書き込みアクセス権があります。
  • PERF システム モニター: プロジェクト Namespace 内のすべての Pod、PERF ConfigMap、Cron ジョブに対する読み取り専用アクセス権を持ちます。
  • PERF システム リソースのメンテナー: プロジェクト Namespace 内のすべてのサービスに対する読み取り / 書き込みアクセス権があります。
  • PNET デバッガ: すべての PNET リソースに対する読み取り / 書き込み権限を持ちます。
  • PNET モニター: すべての PNET リソースに対する読み取り専用権限があります。
  • ポリシー管理者: 組織のポリシー テンプレートを管理し、制約へのフルアクセス権を持ちます。
  • Project Cortex Alertmanager Editor: プロジェクト Namespace の Cortex Alertmanager インスタンスを編集します。
  • Project Cortex Alertmanager Viewer: プロジェクト Namespace の Cortex Alertmanager インスタンスを表示します。
  • Project Cortex Prometheus Viewer: プロジェクト Namespace で Cortex Prometheus インスタンスを表示します。
  • プロジェクトの Grafana 閲覧者: プロジェクトの Namespace で Grafana インスタンスを表示します。
  • リモート ロガー管理者: remote-logger リソースに対する完全アクセス権を持ちます。
  • リモート ロガー閲覧者: remote-logger リソースに対する読み取り専用アクセス権があります。
  • ルート Cortex Alertmanager 編集者: ルート管理者クラスタの Cortex Alertmanager インスタンスを編集する権限を付与します。
  • ルート Cortex Alertmanager 閲覧者: ルート管理者クラスタの Cortex Alertmanager インスタンスにアクセスする権限を付与します。
  • ルート Cortex Prometheus 閲覧者: ルート管理クラスタの Cortex Prometheus インスタンスにアクセスする権限を付与します。
  • ルート セッション管理者: ルート管理者クラスタで取り消しオペレーションを実行するアクセス権を付与します。
  • セキュリティ管理者: ルート管理クラスタ内の権限とポリシーを作成、更新、削除します。このロールには、組織とプロジェクトのリソースへのアクセス権がありません。
  • セキュリティ閲覧者: セキュリティ管理者がアクセスできるすべてのリソースに対する読み取り専用アクセス権を持ちます。
  • Service Now 管理者(組織管理者クラスタ): ServiceNow アプリケーションの管理に必要な組織管理者クラスタ内のネットワーキング コンポーネントに対する読み取り / 書き込み権限があります。
  • Service Now 管理者(ユーザー クラスタ): ServiceNow アプリケーションの管理に必要なシステム クラスタ内のシステム コンポーネントに対する読み取り / 書き込みアクセス権があります。
  • SERV 管理者デバッガ: SERV リソースとデプロイを変更する権限を持ち、デバッグに必要な非 SERV リソースに対する読み取り専用権限を付与します。
  • SERV 管理者モニター: SERV リソースとデプロイを変更する権限があります。
  • SERV 管理者の Secret のモニタリング: サーバーの Secret には固定名がないため、gpc-system Namespace の Secret を表示する権限があります。
  • SERV 管理 Secret モニター: サーバー Secret に固定名がないため、gpc-system Namespace の Secret を表示する IO。
  • SIEM エクスポート インフラストラクチャ作成者: 組織管理者クラスタとルート管理者クラスタで SIEMInfraForwarder カスタム リソースを作成して読み取ります。
  • SIEM Export Infra Editor: 組織管理者クラスタとルート管理者クラスタの SIEMInfraForwarder カスタム リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • SIEM Export Infra Viewer: 組織管理者クラスタとルート管理者クラスタの SIEMInfraForwarder カスタム リソースに対する読み取り専用アクセス権があります。
  • システム アーティファクト管理シークレット管理者: シークレット リソースに対する管理者アクセス権を持ち、レジストリ ミラー構成を管理します。
  • システム Artifact Registry Harbor 管理者: Harbor プロジェクトに対する管理者権限があります。
  • System Artifact Registry Harbor Read: Harbor プロジェクトに対する読み取り専用アクセス権を持ちます。
  • システム Artifact Registry Harbor ReadWrite: Harbor プロジェクトに対する読み取り / 書き込みアクセス権があります。
  • システム Artifact Registry デバッガ: すべての Harbor リソースに対する読み取り / 書き込みアクセス権があります。
  • システム Artifact Registry モニター: ルート管理クラスタの Harbor リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • システム クラスタ管理者: システム クラスタ内のすべての権限とポリシーに対する読み取り / 書き込みアクセス権を持ちます。このロールは組織レベルでアクセスできます。
  • System Cluster DNS Debugger: システム クラスタ内の任意の権限に対する作成と読み取りのアクセス権があります。
  • システム クラスタ Vertex AI デバッガ: Vertex AI プラットフォームへのフルアクセス権があります。
  • システム クラスタ閲覧者: システム クラスタ内のすべての権限とポリシーに対する読み取り / 書き込みアクセス権を持ちます。
  • システム プロジェクトの VirtualMachine 管理者: システム プロジェクトの VM を管理する権限があります。
  • Tenable Nessus 管理者: 組織とルート管理者クラスタのネットワーキング コンポーネントに対する読み取り / 書き込みアクセス権を持ち、Tenable.sc アプリケーションと Nessus アプリケーションを管理します。
  • Transfer Appliance Request Admin: プラットフォーム管理者(PA)が作成した Transfer Appliance リクエストを管理します。転送アプライアンスを使用すると、大容量ストレージ サーバーを使用して、大量のデータを Distributed Cloud に迅速かつ安全に転送できます。
  • UNET CLI 組織管理者モニター: 組織管理者クラスタで gdcloud system network コマンドを実行するための UNET リソースに対する作成権限と読み取り権限があります。
  • UNET CLI Root Admin Monitor: UNET リソースに対する作成権限と読み取り権限を持ち、ルート管理者クラスタで gdcloud system network コマンドを実行します。
  • UNET CLI システム モニター: UNET リソースに対する作成権限と読み取り権限を持ち、システム クラスタで gdcloud system network コマンドを実行します。
  • UNET CLI ユーザー モニター: ユーザー クラスタで gdcloud system network コマンドを実行する UNET リソースに対する権限があります。
  • アップグレード管理者: クラスタの Harbor レジストリに新しいアーティファクトを読み込む権限を付与します。
  • アップグレード デバッガ: システム クラスタのアップグレード リソースに対する読み取り / 書き込み権限があります。
  • ユーザー クラスタ デバッガ: ユーザー クラスタの問題をデバッグして軽減するための完全なアクセス権があります。
  • ユーザー クラスタ DNS デバッガ: ユーザー クラスタで作成権限と読み取り権限を持ちます。
  • UI Debugger: UI デプロイを再起動する権限があります。
  • Vertex AI Debugger: 事前トレーニング済みサービスを軽減するための完全なアクセス権があります。
  • VPN Debugger For Management Plane API server: Management API サーバーの VPN に関連するすべてのリソースに対する読み取り / 書き込み権限があります。
  • VPN Debugger For Org Perimeter Cluster: Perimeter Cluster 内の VPN に関連するすべてのリソースに対する読み取り / 書き込み権限を持ちます。

PA のロール

プラットフォーム管理者(PA)は、組織レベルのリソースとプロジェクトのライフサイクル管理を管理します。チームメンバーには、次の事前定義ロールを割り当てることができます。

  • AI Platform 管理者: 事前トレーニング済みサービスを管理する権限を付与します。
  • バックアップ リポジトリ管理者: バックアップ リポジトリを管理します。
  • 請求閲覧者: 料金表ページで、SKU の説明、インベントリ マシン、フリートに対する読み取り専用アクセス権があります。
  • バケット管理者: 組織とプロジェクト内のストレージ バケットと、それらのバケット内のオブジェクトを管理します。
  • バケット オブジェクト管理者: 組織内のバケットに対する読み取り専用アクセス権と、これらのバケット内のオブジェクトに対する読み取り / 書き込みアクセス権を持ちます。
  • バケット オブジェクト閲覧者: 組織内のバケットとそれらのバケット内のオブジェクトに対する読み取り専用アクセス権があります。
  • CTM 鍵エディタ: 鍵の削除など、CTM 鍵を管理するための完全なアクセス権があります。
  • CTM 鍵閲覧者: CTM 鍵に対する読み取り専用アクセス権があります。
  • DR バックアップ管理者: 障害復旧バックアップを実行します。
  • DR システム管理者: dr-system Namespace のリソースを管理して、管理クラスタでバックアップを設定します。
  • DR System Admin MP: dr-system Namespace のリソースを管理して、管理クラスタにバックアップを設定します。
  • DR System Admin MP: dr-system Namespace のリソースを管理して、管理クラスタにバックアップを設定します。
  • フローログ管理者: ネットワーク トラフィック メタデータのロギング用のフローログ リソースを管理します。
  • フローログ閲覧者: フローログ構成に対する読み取り専用アクセス権を付与します。
  • GDCH Restrict By Attributes Policy Admin: GDCHRestrictByAttributes 制約に対する完全なアクセス権があります。
  • GDCH 制限付きサービス ポリシー管理者: 組織のポリシー テンプレートを管理し、制約に対する完全なアクセス権を持ちます。組織またはプロジェクトのポリシーを適用またはロールバックします。グローバル PNP 管理者: グローバル プロジェクト Namespace 内のすべてのマルチゾーン プロジェクト ネットワーク ポリシー(PNP)リソースに対する書き込み権限があります。
  • IdP 連携管理者: ID プロバイダを構成するための完全アクセス権があります。
  • Interconnect 管理者: Interconnect リソースを構成する権限があります。
  • KMS ローテーション ジョブ管理者: 鍵管理システム(KMS)のルート鍵をローテーションする RotationJob リソースの作成と管理に対する完全なアクセス権を持ちます。
  • ログクエリ: ログクエリ API から監査ログまたは運用ログのエンドポイントにアクセスして、プロジェクトのログを表示する読み取り専用権限があります。
  • Marketplace サービス エディタ: Marketplace サービスを更新および削除します。
  • 組織ネットワーク ポリシー管理者: platform Namespace の組織ネットワーク ポリシーを管理します。
  • 組織セッション管理者: 取り消しコマンドにアクセスできます。この Role にバインドされたユーザーは、認証と認可のために Istio ACL に追加されます。
  • 組織のバックアップ管理者: バックアップを管理するための読み取りと書き込みのアクセス権を持ちます。
  • 組織クラスタ バックアップ管理者: 管理クラスタのバックアップを管理する権限があります。
  • 組織の Grafana 閲覧者: 組織の管理クラスタのシステム Namespace の Grafana インスタンスにアクセスする権限を付与します。この ClusterRole にバインドされたユーザーは、認証と認可のために Istio ACL に追加されます。
  • 組織の IAM 管理者: 組織管理者クラスタ内の権限と許可ポリシーを作成、更新、削除します。
  • 組織の IAM 閲覧者: 組織の IAM 管理者がアクセスできるすべてのリソースに対する読み取り専用アクセス権を持ちます。
  • 組織の DB 管理者: 組織のデータベース サービス リソースを管理します。
  • 組織アップグレード管理者: 組織のメンテナンスの時間枠を変更します。メンテナンスの時間枠は、組織の作成時に自動的に作成されます。
  • 組織アップグレード閲覧者: メンテナンスの時間枠を表示します。
  • プロジェクト作成者: 新しいプロジェクトを作成します。
  • プロジェクト編集者: プロジェクトを削除します。
  • SIEM エクスポート組織の作成者: SIEMOrgForwarder カスタム リソースを作成します。
  • SIEM エクスポート組織編集者: SIEMOrgForwarder カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • SIEM Export Org Viewer: SIEMOrgForwarder カスタム リソースを表示するための読み取り専用アクセス権を持ちます。
  • システム クラスタ バックアップ リポジトリ管理者: バックアップ リポジトリを管理するためのフルアクセス権があります。
  • システム クラスタ VM バックアップ管理者: システム クラスタの仮想マシン(VM)のバックアップを管理します。
  • Transfer Appliance リクエスト作成者: 大容量ストレージ サーバーを使用して、大量のデータを Distributed Cloud に迅速かつ安全に転送できる転送アプライアンス リクエストの読み取りと作成を行うことができます。
  • ユーザー クラスタ バックアップ管理者: ユーザー クラスタのバックアップ プランや復元プランなどのバックアップ リソースを管理します。
  • ユーザー クラスタ管理者: ユーザー クラスタの作成、更新、削除を行い、ユーザー クラスタのライフサイクルを管理します。
  • ユーザー クラスタ CRD ビューア: ユーザー クラスタ内のカスタム リソース定義(CRD)への読み取り専用アクセス。
  • ユーザー クラスタ デベロッパー: ユーザー クラスタでクラスタ管理者の権限を持ちます。
  • ユーザー クラスタ ノード閲覧者: ユーザー クラスタで読み取り専用のクラスタ管理者権限を持ちます。
  • VPN 管理者: VPN 関連のすべてのリソースに対する読み取り / 書き込み権限を持ちます。
  • VPN 閲覧者: VPN 関連のすべてのリソースに対する読み取り権限があります。

AO のロール

アプリケーション オペレーター(AO)は、プラットフォーム管理者(PA)組織内の開発チームのメンバーです。AO はプロジェクト レベルのリソースとやり取りします。チームメンバーには、次の事前定義ロールを割り当てることができます。

  • Backup Creator: 手動バックアップの作成と復元を行います。
  • Certificate Authority Service 管理者: プロジェクト内の認証局と証明書リクエストを管理する権限があります。
  • ダッシュボード編集者: Dashboard カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • ダッシュボード閲覧者: Dashboard カスタム リソースに対する読み取り専用アクセス権があります。
  • グローバル ロードバランサ管理者: グローバル API サーバーのプロジェクト Namespace 内のすべてのロードバランサ リソースに対する読み取りと書き込みの権限があります。
  • Harbor インスタンス管理者: プロジェクト内の Harbor インスタンスを管理するための完全なアクセス権があります。
  • Harbor インスタンス閲覧者: プロジェクト内の Harbor インスタンスを表示する読み取り専用アクセス権があります。
  • Harbor プロジェクト作成者: Harbor インスタンス プロジェクトを管理する権限があります。
  • K8s ネットワーク ポリシー管理者: ユーザー クラスタのネットワーク ポリシーを管理します。
  • KMS 管理者: AEADKey 鍵や SigningKey 鍵など、プロジェクト内の KMS 鍵を管理します。このロールでは、鍵のインポートとエクスポートも行うことができます。
  • KMS 作成者: プロジェクト内の KMS 鍵に対する作成と読み取りのアクセス権があります。
  • KMS デベロッパー: プロジェクト内の鍵を使用して暗号オペレーションを実行する権限があります。
  • KMS 鍵のエクスポート管理者: KMS からラップされた鍵として KMS 鍵をエクスポートする権限があります。
  • KMS 鍵インポート管理者: KMS にラップされた鍵として KMS 鍵をインポートする権限があります。
  • KMS 閲覧者: プロジェクト内の KMS 鍵に対する読み取り専用アクセス権を持ち、鍵のインポートとエクスポートを表示できます。
  • ロードバランサ管理者: プロジェクト Namespace 内のすべてのロードバランサ リソースに対する読み取り / 書き込み権限を持ちます。
  • Marketplace 編集者: プロジェクト内のサービス インスタンスに対する作成、更新、削除の権限があります。
  • MonitoringRule 編集者: MonitoringRule リソースに対する読み取り / 書き込みアクセス権があります。
  • MonitoringRule 閲覧者: MonitoringRule カスタム リソースに対する読み取り専用アクセス権があります。
  • MonitoringTarget 編集者: MonitoringTarget カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • MonitoringTarget 閲覧者: MonitoringTarget カスタム リソースに対する読み取り専用アクセス権があります。
  • NAT 閲覧者: ユーザー クラスタのデプロイに対する読み取り専用アクセス権があります。
  • Namespace 管理者: プロジェクト Namespace 内のすべてのリソースを管理します。
  • ObservabilityPipeline 編集者: ObservabilityPipeine カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • ObservabilityPipeline 閲覧者: ObservabilityPipeline カスタム リソースに対する読み取り専用アクセス権があります。
  • プロジェクト バケット管理者: バケット内のストレージ バケットとオブジェクトを管理します。
  • プロジェクト バケット オブジェクト管理者: プロジェクト内のバケットに対する読み取り専用アクセス権と、それらのバケット内のオブジェクトに対する読み取り / 書き込みアクセス権があります。
  • プロジェクト バケット オブジェクト閲覧者: プロジェクト内のバケットと、そのバケット内のオブジェクトに対する読み取り専用アクセス権があります。
  • Project Cortex Alertmanager Viewer: プロジェクト Namespace の Cortex Alertmanager インスタンスにアクセスする権限を付与します。
  • Project Cortex Prometheus Viewer: プロジェクト Namespace の Cortex Prometheus インスタンスにアクセスする権限を付与します。
  • プロジェクト Grafana 閲覧者: フリート管理クラスタのプロジェクト Namespace の Grafana インスタンスにアクセスします。
  • プロジェクト IAM 管理者: プロジェクトの IAM 許可ポリシーを管理します。
  • プロジェクト NetworkPolicy 管理者: プロジェクト Namespace のプロジェクト ネットワーク ポリシーを管理します。
  • プロジェクト DB 管理者: プロジェクトの Data Service を管理します。
  • プロジェクト DB 編集者: プロジェクトの Database Service に対する読み取り / 書き込み権限があります。
  • プロジェクト DB 閲覧者: プロジェクトの Database Service への読み取り専用アクセス権があります。
  • プロジェクト閲覧者: プロジェクト Namespace 内のすべてのリソースに対する読み取り専用アクセス権を持ちます。
  • プロジェクト VirtualMachine 管理者: プロジェクト名前空間の VM を管理します。
  • プロジェクト VirtualMachine Image 管理者: プロジェクト Namespace の VM イメージを管理します。
  • Secret 管理者: プロジェクト内の Kubernetes Secret を管理します。
  • Secret 閲覧者: プロジェクト内の Kubernetes Secret を表示します。
  • サービス構成管理者: プロジェクト Namespace 内のサービス構成に対する読み取り / 書き込みアクセス権があります。
  • サービス構成閲覧者: プロジェクト Namespace 内のサービス構成に対する読み取りアクセス権があります。
  • システム クラスタ VM バックアップ作成者: バックアップと復元を作成して表示できます。
  • Vertex AI 光学式文字認識(OCR)デベロッパー: システム クラスタの OCR サービスにアクセスします。
  • Vertex AI Speech-to-Text デベロッパー: システム クラスタの Speech-to-Text サービスにアクセスします。
  • Vertex AI Translation Developer: システム クラスタ内の Translation サービスにアクセスします。
  • ボリューム レプリケーション管理者: ボリューム レプリケーション リソースを管理します。
  • Workbench Notebooks 管理者: プロジェクト Namespace 内のすべてのノートブック リソースに対する読み取り / 書き込みアクセス権があります。
  • Workbench Notebooks 閲覧者: プロジェクト Namespace 内のすべてのノートブック リソースに対する読み取り専用アクセス権を持ちます。
  • ワークロード閲覧者: プロジェクト内のワークロードに対する読み取りアクセス権があります。

一般的なロール

次の事前定義された共通ロールは、すべての認証済みユーザーに適用されます。

  • AI Platform 閲覧者: 事前トレーニング済みサービスを表示する権限を付与します。
  • AIS Debugger: iam-system Namespace 内のすべての GKE Identity Service(AIS)リソースに対する完全アクセス権があります。
  • AIS モニター: iam-system Namespace 内のすべての AIS リソースに対する読み取り専用アクセス権を持ちます。
  • DB オプション閲覧者: Database Service で使用できるすべての構成オプションを表示します。
  • DB UI 閲覧者: 認証済みユーザーに Database Service UI を表示する権限を付与します。
  • DNS Key Manager: リソース DNSSEC の鍵構成と鍵マテリアルに対する読み取り / 書き込み権限を持ちます。
  • DNS サフィックス ビューア: ドメイン ネーム サービス(DNS)サフィックス構成マップにアクセスします。
  • IAM Debugger: ロールタイプ RoleClusterRoleiam-system Namespace のすべての IAM リソースに対する読み取り / 書き込み権限を持ちます。
  • IAM モニター: ロールタイプ RoleClusterRoleiam-system Namespace 内のすべての Identity and Access Management(IAM)リソースに対する読み取り専用アクセス権を持ちます。
  • Marketplace サービス閲覧者: システム Namespace の Marketplace サービスに対するすべての認証済みユーザーの読み取りアクセス権があります。
  • Marketplace 閲覧者: サービス バージョンとサービス インスタンスに対する読み取り専用アクセス権があります。
  • 料金計算ツールのユーザー: 最小管理単位(SKU)の説明に対する読み取り専用アクセス権があります。
  • プロジェクト検出閲覧者: 認証されたすべてのユーザーにプロジェクト ビューへの読み取りアクセス権を付与します。
  • 公開イメージ閲覧者: Namespace vm-images の公開 VM イメージに対するすべての認証済みユーザーの読み取りアクセス権があります。
  • システム Artifact Registry anthos-creds シークレット モニター: anthos-creds Namespace のシークレットに対する読み取り専用アクセス権を持ちます。
  • システム Artifact Registry gpc-system シークレット モニター: gpc-system Namespace のシークレットに対する読み取り専用アクセス権を持ちます。
  • システム Artifact Registry harbor-system シークレット デバッガ: harbor-system Namespace のシークレットをデバッグして軽減するための完全なアクセス権があります。
  • システム Artifact Registry harbor-system Secret モニター: harbor-system Namespace の Secret への読み取り専用アクセス権があります。
  • 仮想マシンタイプの閲覧者: クラスタ スコープの仮想マシンタイプに対する読み取りアクセス権があります。
  • VM タイプ閲覧者: 管理クラスタの事前定義された仮想マシンタイプに対する読み取りアクセス権があります。