Descrições de funções predefinidas

Os grupos de públicos-alvo, como operador de infraestrutura (IO), administrador da plataforma (PA) e operador da aplicação (AO), não são funções. Estes grupos de público-alvo são coleções de funções de utilizador mapeadas para autorizações específicas e atribuídas a utilizadores individuais. Para mais informações, consulte o artigo Públicos-alvo da documentação.

Cada secção desta página apresenta as funções predefinidas que pode atribuir aos membros da equipa.

Funções de operador de infraestrutura

Os IOs têm autorizações para gerir o cluster de administrador principal e o ciclo de vida da organização. Seguem-se as funções predefinidas que pode atribuir aos membros da equipa:

  • AuditLoggingTarget Creator: crie recursos personalizados AuditLoggingTargetno cluster de administrador raiz.
  • AuditLoggingTarget Editor: edite AuditLoggingTarget recursos personalizados no cluster de administrador raiz.
  • AuditLoggingTarget Viewer: veja AuditLoggingTarget recursos personalizados no cluster de administrador raiz.
  • AuditLoggingTarget IO Creator: crie recursos personalizados AuditLoggingTarget no espaço de nomes do projeto.
  • AuditLoggingTarget IO Editor: edite AuditLoggingTarget recursos personalizados no espaço de nomes do projeto.
  • AuditLoggingTarget IO Viewer: veja AuditLoggingTarget recursos personalizados no espaço de nomes do projeto.
  • Criador de restauro de cópias de segurança de registos de auditoria: crie uma configuração de tarefa de transferência de cópias de segurança e restaure os registos de auditoria.
  • Editor de restauro de cópias de segurança de registos de auditoria: edite a configuração da tarefa de transferência de cópias de segurança e restaure os registos de auditoria.
  • Visualizador de contentores de infraestrutura de registos de auditoria: veja contentores de cópias de segurança de registos de auditoria de infraestrutura.
  • Administrador do AIS: tem acesso de leitura e escrita a pods e implementações do serviço de identidade do GKE (AIS).
  • Depurador de AIS: tem acesso de leitura e escrita aos recursos de AIS para mitigação.
  • AIS Monitor: tem acesso de leitura aos recursos da AIS no espaço de nomes iam-system.
  • Visualizador de clusters de artefactos arbitrários: tem acesso de leitura a contentores de armazenamento de objetos no plano de controlo ou no plano de gestão do cluster de infraestrutura.
  • Arbitrary Artifact Distributor: tem acesso de leitura e escrita a artefactos do modelo no plano de controlo ou no plano de gestão do cluster de infraestrutura.
  • Administrador da ATAT: concede autorização para gerir recursos relacionados com a carteira da ATAT.
  • Depurador AuthzPDP: tem acesso de leitura e escrita nos recursos do ponto de decisão (PDP) da política de autorização para mitigação e depuração.
  • Administrador de cópias de segurança: gere recursos de cópias de segurança, como planos de cópia de segurança e restauro, no cluster de administração da organização.
  • Criador de faturas de faturação: cria faturas de faturação manualmente no cluster de administrador raiz.
  • Cert Manager System Cluster Debugger: gere recursos relacionados com o cert-manager.
  • Criador de painéis de controlo: crie Dashboard recursos personalizados no cluster de administrador raiz.
  • Editor do painel de controlo: edite Dashboardrecursos personalizados no cluster de administrador raizDashboard.
  • Visualizador do painel de controlo: veja Dashboard recursos personalizados no cluster de administrador raiz.
  • Dashboard IO Creator: crie Dashboard recursos personalizados no espaço de nomes do projeto.
  • Editor de IO do painel de controlo: edite recursos personalizados Dashboard no espaço de nomes do projeto.
  • Visualizador de IO do painel de controlo: veja Dashboardrecursos personalizados no espaço de nomes do projeto.
  • Depurador do DBS: tem acesso de leitura e escrita aos serviços de base de dados.
  • Administrador de DNS: atualiza os ficheiros DNS.
  • Depurador de DNS: tem autorizações de leitura e escrita em todos os recursos de DNS.
  • Monitor de DNS: tem autorizações de leitura em todos os recursos de DNS.
  • DNS Suffix Viewer: vê o configmap do sufixo DNS.
  • Administrador de recuperação de desastres: tem acesso para realizar todas as tarefas de recuperação de desastres.
  • DR Restore Admin: faz restauros de recuperação de desastres.
  • Administrador do sistema de RD: gere recursos no espaço de nomes dr-system para configurar cópias de segurança no plano de controlo.
  • Emergency SSH Creds Admin: tem autorizações de acesso de emergência e usa o nó SSH no cluster de administrador principal.
  • EZ Debugger: concede autorização para aceder a recursos do EasySaaS para depurar a versão da API rbac.authorization.k8s.io/v1.
  • FluentBit Creator: crie FluentBit recursos personalizados no cluster de administrador raiz.
  • Editor do FluentBit: edite FluentBit recursos personalizados no cluster de administrador raiz.
  • FluentBit Viewer: veja recursos personalizados FluentBit no cluster de administrador raiz.
  • FluentBit IO Creator: crie FluentBitrecursos personalizados no espaço de nomes do projeto.
  • Editor de IO do FluentBit: edite FluentBitrecursos personalizados no espaço de nomes do projeto.
  • FluentBit IO Viewer: veja FluentBit recursos personalizados no espaço de nomes do projeto.
  • Administrador do Gatekeeper: tem acesso ao reinício das implementações e à aplicação de patches aos segredos.
  • Gemini Artifact Distributor: tem acesso de leitura e escrita a contentores de armazenamento de objetos para recursos gemini-model-artifact-registry.
  • Gemini Artifacts Cluster Viewer: tem acesso de leitura a contentores de armazenamento de objetos no espaço de nomes do cluster.
  • Grafana Debugger: concede acesso de administrador aos recursos do Grafana no espaço de nomes obs-system.
  • Grafana Viewer: concede autorizações para aceder à instância do Grafana no espaço de nomes do sistema do cluster de administrador raiz.
  • Harbor Instance Cred Rotator: tem acesso à gestão de segredos no respetivo projeto.
  • Depurador de instâncias do Harbor: tem acesso aos serviços e às cargas de trabalho subjacentes do Harbor para depurar problemas no plano de gestão do cluster de infraestrutura.
  • Depurador de instâncias do Harbor: tem acesso aos serviços e às cargas de trabalho subjacentes do Harbor para depurar problemas no plano de controlo do cluster de infraestrutura.
  • Função de projeto do depurador de instâncias do Harbor: tem acesso aos serviços e às cargas de trabalho subjacentes do Harbor para depurar problemas no espaço de nomes do projeto.
  • Operador da instância do Harbor: tem acesso aos serviços e às cargas de trabalho subjacentes do Harbor para depurar problemas.
  • Administrador de hardware: tem acesso total a recursos de hardware, como comutadores, racks e servidores.
  • Administrador do HSM: tem acesso de leitura/escrita aos recursos dos módulos de segurança de hardware (HSM) no cluster de administrador raiz. Esta função pode resolver problemas relacionados com o HSM e realizar rotações manuais de segredos e procedimentos de cópia de segurança manuais que envolvem o HSM.
  • HSM System Secret Monitor: tem acesso só de leitura para ver segredos no espaço de nomes hsm-system.
  • HSM System Secret Rotator: tem acesso de leitura, atualização e edição a segredos no espaço de nomes hsm-system.
  • Administrador de HDWR: tem acesso total a recursos relacionados com hardware.
  • Visualizador de HWDR: tem acesso só de leitura a recursos relacionados com hardware.
  • Administrador do Kiali: concede autorizações para aceder ao painel de controlo do Kiali para depurar a malha de serviços do Istio.
  • Administrador do KMS: lê chaves do KMS, importa, exporta e alterna tarefas no cluster de administrador da organização. Esta função também pode gerir implementações e pods para o KMS e ver os respetivos registos.
  • Depurador do sistema KMS: tem acesso de leitura e escrita a implementações, pods e registos do KMS.
  • Depurador de IPAM do KUB: tem acesso de leitura e escrita para recursos personalizados CIDRClaim.
  • KUB Monitor: tem autorizações só de leitura para todos os recursos no KUB.
  • LogCollector Creator: crie LogCollector recursos personalizados no cluster de administrador raiz.
  • Editor do LogCollector: edite LogCollector recursos personalizados no cluster de administrador raiz.
  • Visitante do LogCollector: veja recursos personalizados LogCollector no cluster de administrador raiz.
  • LogCollector IO Creator: crie LogCollector recursos personalizados no espaço de nomes do projeto.
  • Editor de IO do LogCollector: edite LogCollector recursos personalizados no espaço de nomes do projeto.
  • LogCollector IO Viewer: veja LogCollector recursos personalizados no espaço de nomes do projeto.
  • LoggingRule Creator: crie recursos personalizados LoggingRule no cluster de administrador raiz.
  • LoggingRule Editor: edite recursos personalizados LoggingRule no cluster de administrador raiz.
  • LoggingRule Viewer: veja recursos personalizados LoggingRule no cluster de administrador raiz.
  • LoggingRule IO Creator: crie recursos personalizados LoggingRule no espaço de nomes do projeto.
  • LoggingRule IO Editor: edite LoggingRule recursos personalizados no espaço de nomes do projeto.
  • LoggingRule IO Viewer: veja LoggingRule recursos personalizados no espaço de nomes do projeto.
  • LoggingTarget IO Creator: crie LoggingTarget recursos personalizados no espaço de nomes do projeto.
  • LoggingTarget IO Editor: edite recursos personalizados LoggingTarget no espaço de nomes do projeto.
  • LoggingTarget IO Viewer: veja recursos personalizados LoggingTarget no espaço de nomes do projeto.
  • Consultador da API Log Query: aceda à API Log Query para consultar registos.
  • MonitoringRule Creator: crie recursos personalizados MonitoringRule no cluster de administrador raiz.
  • Editor de regras de monitorização: edite recursos personalizados MonitoringRule no cluster de administrador raiz.
  • MonitoringRule Viewer: veja recursos personalizados MonitoringRule no cluster de administrador raiz.
  • MonitoringRule IO Creator: crie MonitoringRule recursos personalizados no espaço de nomes do projeto.
  • MonitoringRule IO Editor: edite MonitoringRule recursos personalizados no espaço de nomes do projeto.
  • MonitoringRule IO Viewer: veja MonitoringRule recursos personalizados no namespace do projeto.
  • MonitoringTarget Creator: crie MonitoringTarget recursos personalizados no cluster de administrador raiz.
  • MonitoringTarget Editor: edite recursos personalizados MonitoringTarget no cluster de administrador raiz.
  • MonitoringTarget Viewer: veja recursos personalizados MonitoringTarget no cluster de administrador raiz.
  • MonitoringTarget IO Creator: crie MonitoringTarget recursos personalizados no espaço de nomes do projeto.
  • MonitoringTarget IO Editor: edite MonitoringTarget recursos personalizados no espaço de nomes do projeto.
  • MonitoringTarget IO Viewer: veja MonitoringTarget recursos personalizados no espaço de nomes do projeto.
  • MZ Bootstrap Anchor Reader: tem autorizações de leitura zonais para os seguintes recursos personalizados: Zone, Service, ConfigMap e DNSRegistration.
  • Editor de associação de arranque da MZ: tem autorização para editar recursos personalizados.KeyPair
  • MZ Bootstrap Viewer: tem autorização de leitura para recursos personalizados TokenRequest no mz-system namespace da API global.
  • Administrador do Configsync de várias zonas: tem privilégios de administrador relacionados com o Configsync de várias zonas no cluster de administrador raiz zonal.
  • Administrador global do MZ Configsync": tem privilégios de administrador relacionados com o Configsync de várias zonas na API global.
  • MZ Etcd Admin: tem autorizações de edição para recursos relacionados com o processo de arranque multizona do etcd.
  • MZ Etcd Subcomponent Cleaner: tem autorização de edição para o recurso etcd Subcomponent.
  • MZ Etcd Viewer: tem autorizações de leitura para vários recursos relacionados com o arranque do etcd e recursos operacionais.
  • MZ Global API Portforward: tem autorizações de encaminhamento de portas para pods de API global.
  • MZ Global Etcd Admin: tem autorizações de edição para o segredo da API global, o cluster etcd e os recursos da zona etcd.
  • MZ Global Etcd Viewer: tem autorizações de leitura para o segredo da API global, o cluster etcd e os recursos da zona etcd.
  • MZ Kube API Resource Monitor: tem autorizações de leitura para pods, implementações e subcomponentes relacionados com os processos operacionais e de arranque de vários domínios.
  • MZ Monitor: tem autorização de leitura para recursos do plano de controlo em ambos os clusters de administrador.
  • MZ Resource Group Admin: tem autorizações de edição para pods, implementações, segredos e recursos de certificados.
  • ObservabilityPipeline Creator: crie ObservabilityPipelinerecursos personalizados no cluster de administrador raiz.
  • Editor da ObservabilityPipeline: edite recursos personalizados ObservabilityPipeline no cluster de administrador raiz.
  • ObservabilityPipeline Viewer: veja recursos personalizados ObservabilityPipeline no cluster de administrador raiz.
  • ObservabilityPipeline IO Creator: crie recursos personalizados ObservabilityPipeline no espaço de nomes do projeto.
  • ObservabilityPipeline IO Editor: edite recursos personalizados ObservabilityPipeline no espaço de nomes do projeto.
  • ObservabilityPipeline IO Viewer: veja recursos personalizados ObservabilityPipeline no espaço de nomes do projeto.
  • Administrador de observabilidade: tem acesso de leitura/escrita a objetos no espaço de nomes obs-system.
  • Observability Admin Debugger: tem acesso de administrador específico do cluster aos recursos de observabilidade no espaço de nomes obs-system. Esta função concede controlo detalhado sobre o acesso no cluster de administração.
  • Depurador de observabilidade: tem acesso total aos recursos de observabilidade no espaço de nomes obs-system.
  • Observability System Debugger: tem acesso de administrador ao nível da organização aos recursos de observabilidade no espaço de nomes obs-system. Esta função concede gestão centralizada do acesso de administrador de observabilidade.
  • Observability Viewer: tem acesso só de leitura para ver objetos no espaço de nomes obs-system.
  • Depurador OCLCM: tem acesso de leitura e escrita para depurar objetos OCLCM.
  • Visualizador da OCLCM: tem acesso só de leitura para ver objetos da OCLCM.
  • Administrador da organização: cria e elimina organizações, e gere o ciclo de vida da organização.
  • Administrador de faturação da organização: tem acesso total aos recursos de faturação no cluster de administração da organização.
  • Cluster do sistema de administração de faturação da organização: tem acesso de administrador para gerir operações de faturação no cluster do sistema.
  • Visitante de faturação da organização: tem acesso só de leitura aos recursos de faturação de uma organização.
  • Organization System Artifact Management Admin: tem acesso de administrador aos recursos em todos os projetos do Harbor no espaço de nomes do sistema.
  • PERF Admin Monitor: tem autorização de leitura em contentores PERF, contas de serviço e segredos.
  • PERF Admin Resource Maintainer: tem acesso de leitura e escrita em todas as máquinas virtuais (VM), discos de VM, acessos externos de VM, pedidos de VM, contentores, contas de serviço do projeto, chaves AEAD, chaves de assinatura e contas de serviço PERF.
  • Depurador PERF: tem acesso de leitura e escrita para tarefas no espaço de nomes do projeto.
  • PERF System Monitor: tem acesso só de leitura a todos os pods e configmaps e cron jobs do PERF no espaço de nomes do projeto.
  • PERF System Resource Maintainer: tem acesso de leitura e escrita a todos os serviços no espaço de nomes do projeto.
  • Depurador PNET: tem autorizações de leitura e escrita em todos os recursos PNET.
  • PNET Monitor: tem autorizações só de leitura em todos os recursos da PNET.
  • Administrador de políticas: gere modelos de políticas para a organização e tem acesso total às restrições.
  • Project Cortex Alertmanager Editor: edite a instância do Cortex Alertmanager no espaço de nomes do projeto.
  • Visualizador do Alertmanager do Project Cortex: veja a instância do Alertmanager do Cortex no espaço de nomes do projeto.
  • Project Cortex Prometheus Viewer: veja a instância do Cortex Prometheus no namespace do projeto.
  • Visualizador do Grafana do projeto: veja a instância do Grafana no espaço de nomes do projeto.
  • Administrador do registo remoto: tem acesso total aos recursos do remote-logger.
  • Visitante do registador remoto: tem acesso só de leitura aos recursos remote-logger.
  • Root Cortex Alertmanager Editor: concede autorizações para editar a instância do Cortex Alertmanager no cluster de administrador raiz.
  • Visualizador do Alertmanager do Cortex de raiz: concede autorizações para aceder à instância do Alertmanager do Cortex no cluster de administrador de raiz.
  • Root Cortex Prometheus Viewer: concede autorizações para aceder à instância do Cortex Prometheus no cluster de administrador principal.
  • Administrador de sessão raiz: concede acesso para realizar operações de revogação no cluster de administrador raiz.
  • Administrador de segurança: cria, atualiza e elimina quaisquer autorizações e políticas no cluster de administrador raiz. Esta função não tem acesso aos recursos da organização e do projeto.
  • Visualizador de segurança: tem acesso só de leitura a todos os recursos aos quais o administrador de segurança tem acesso.
  • Administrador do Service Now (cluster de administrador da organização): tem acesso de leitura/escrita aos componentes de rede no cluster de administrador da organização necessários para gerir a aplicação ServiceNow.
  • Administrador do Service Now (cluster de utilizadores): tem acesso de leitura e escrita aos componentes do sistema no cluster do sistema necessários para gerir a aplicação ServiceNow.
  • Depurador de administrador do SERV: tem acesso à modificação de recursos e implementação do SERV e concede autorizações só de leitura para recursos que não são do SERV necessários para a depuração.
  • Monitor de administrador do SERV: tem acesso para modificar os recursos e a implementação do SERV.
  • SERV Admin monitor Secrets: tem acesso à visualização de segredos no espaço de nomes gpc-system, uma vez que os segredos do servidor não têm um nome fixo.
  • SERV Admin Secret Monitor: IO para ver segredos no espaço de nomes gpc-system, uma vez que os segredos do servidor não têm um nome fixo.
  • SIEM Export Infra Creator: cria e lê SIEMInfraForwarder recursos personalizados nos clusters de administrador da organização e de administrador principal.
  • Editor de infraestrutura de exportação do SIEM: tem acesso de leitura e escrita a SIEMInfraForwarder recursos personalizados nos clusters de administrador da organização e administrador raiz.
  • SIEM Export Infra Viewer: tem acesso só de leitura a SIEMInfraForwarder recursos personalizados nos clusters de administrador da organização e de administrador principal.
  • Administrador de segredos de gestão de artefactos do sistema: tem acesso de administrador aos recursos de segredos para gerir as configurações de espelhamento do registo.
  • Administrador do Harbor do Artifact Registry do sistema: tem acesso de administrador aos projetos do Harbor.
  • System Artifact Registry Harbor Read: tem acesso só de leitura a projetos do Harbor.
  • System Artifact Registry Harbor ReadWrite: tem acesso de leitura e escrita a projetos do Harbor.
  • Depurador do registo de artefactos do sistema: tem acesso de leitura e escrita a todos os recursos do Harbor.
  • Monitor do Artifact Registry do sistema: tem acesso de leitura e escrita aos recursos do Harbor no cluster de administrador raiz.
  • Administrador do cluster do sistema: tem acesso de leitura e escrita a todas as autorizações e políticas no cluster do sistema. Esta função tem acesso ao nível da organização.
  • Depurador de DNS do cluster do sistema: tem acesso de criação e leitura a quaisquer autorizações no cluster do sistema.
  • System Cluster Vertex AI Debugger: tem acesso total à plataforma Vertex AI.
  • System Cluster Viewer: tem acesso de leitura/escrita a quaisquer autorizações e políticas no cluster do sistema.
  • Administrador de máquinas virtuais do projeto do sistema: tem acesso à gestão de VMs em projetos do sistema.
  • Administrador do Tenable Nessus: tem acesso de leitura/escrita aos componentes de rede na organização e no cluster de administrador raiz para gerir as aplicações Tenable.sc e Nessus.
  • Administrador de pedidos do Transfer Appliance: gere os pedidos do Transfer Appliance criados por um administrador da plataforma (PA). Um dispositivo de transferência permite-lhe transferir de forma rápida e segura grandes quantidades de dados para a Distributed Cloud através de um servidor de armazenamento de alta capacidade.
  • UNET CLI Org Admin Monitor: tem autorizações de criação e leitura em recursos da UNET para executar comandos gdcloud system network no cluster de administrador da organização.
  • UNET CLI Root Admin Monitor: tem autorizações de criação e leitura em recursos da UNET para executar comandos gdcloud system network no cluster de administrador raiz.
  • UNET CLI System Monitor: tem autorizações de criação e leitura em recursos UNET para executar comandos gdcloud system network em clusters do sistema.
  • UNET CLI User Monitor: tem autorizações nos recursos da UNET para executar comandos gdcloud system network em clusters de utilizadores.
  • Atualizar administrador: concede autorização para carregar novos artefactos no registo do Harbor do cluster.
  • Upgrade Debugger: tem autorizações de leitura e escrita em recursos de atualização no cluster do sistema.
  • Depurador de clusters de utilizadores: tem acesso total para depurar e mitigar problemas em clusters de utilizadores.
  • User Cluster DNS Debugger: tem autorizações de criação e leitura em clusters de utilizadores.
  • Depurador de IU: tem autorizações para reiniciar implementações de IU.
  • Vertex AI Debugger: tem acesso total para mitigar serviços pré-preparados.
  • Depurador de VPN para o servidor da API Management Plane: tem autorizações de leitura e escrita em todos os recursos relacionados com a VPN no servidor da API Management.
  • Depurador de VPN para o cluster do perímetro da organização: tem autorizações de leitura e escrita em todos os recursos relacionados com a VPN no cluster do perímetro.

Funções de PA

Os administradores da plataforma (PA) gerem os recursos ao nível da organização e a gestão do ciclo de vida do projeto. Pode atribuir as seguintes funções predefinidas aos membros da equipa:

  • Administrador da AI Platform: concede autorizações para gerir serviços pré-formados.
  • Administrador do repositório de cópias de segurança: gere os repositórios de cópias de segurança.
  • Visualizador de faturação: tem acesso só de leitura às descrições dos SKU, às máquinas de inventário e às frotas na página da tabela de custos.
  • Administrador do contentor: gere contentores de armazenamento em organizações e projetos, bem como os objetos nesses contentores.
  • Administrador de objetos do contentor: tem acesso só de leitura aos contentores numa organização e acesso de leitura/escrita aos objetos nesses contentores.
  • Visualizador de objetos do contentor: tem acesso só de leitura a contentores numa organização e aos objetos nesses contentores.
  • Editor de chaves do CTM: tem acesso total à gestão de chaves do CTM, como a capacidade de eliminar chaves.
  • Visualizador de chaves do CTM: tem acesso só de leitura às chaves do CTM.
  • Administrador de cópias de segurança de RD: faz cópias de segurança de recuperação de desastres.
  • Administrador do sistema de recuperação de desastres: gere recursos no espaço de nomes dr-system para configurar cópias de segurança no cluster de gestão.
  • DR System Admin MP: gere os recursos no espaço de nomes dr-system para configurar cópias de segurança no cluster de gestão.
  • DR System Admin MP: gere os recursos no espaço de nomes dr-system para configurar cópias de segurança no cluster de gestão.
  • Flow Log Admin: gere recursos de registos de fluxo para registar metadados de tráfego de rede.
  • Leitor de registos de fluxo: fornece acesso só de leitura às configurações de registos de fluxo.
  • GDCH Restrict By Attributes Policy Admin: tem acesso total à restrição GDCHRestrictByAttributes.
  • Administrador da política de serviços restritos da GDCH: gere os modelos de políticas da organização e tem acesso total às restrições. Aplica ou reverte políticas para uma organização ou um projeto. Administrador de PNP global: tem autorizações de escrita em todos os recursos da política de rede do projeto (PNP) de várias zonas no namespace do projeto global.
  • Administrador da federação de IdPs: tem acesso total para configurar fornecedores de identidade.
  • Administrador da interligação: tem acesso à configuração de recursos de interligação.
  • Administrador da tarefa de rotação do KMS: tem acesso total para criar e gerir o recurso RotationJob, que alterna as chaves principais do sistema de gestão de chaves (KMS).
  • Consultador de registos: tem acesso só de leitura para alcançar o ponto final do registo de auditoria ou do registo operacional a partir da API Log Query para ver registos de um projeto.
  • Editor de serviços do Marketplace: atualiza e elimina serviços do Marketplace.
  • Administrador da política de rede da organização: gere as políticas de rede da organização no espaço de nomes platform.
  • Administrador de sessão da organização: tem acesso ao comando de revogação. Os utilizadores associados a este Role são adicionados às ACLs do Istio para autenticação e autorização.
  • Administrador de cópias de segurança da organização: tem acesso de leitura e escrita para gerir cópias de segurança.
  • Administrador de cópias de segurança de clusters da organização: tem acesso à gestão de cópias de segurança em clusters de administração.
  • Visualizador do Grafana da organização: concede autorizações para aceder à instância do Grafana no espaço de nomes do sistema do cluster de administrador da organização. Os utilizadores associados a este ClusterRole são adicionados às ACLs do Istio para autenticação e autorização.
  • Administrador do IAM da organização: cria, atualiza e elimina quaisquer autorizações e permite políticas no cluster de administrador da organização.
  • Visualizador de IAM da organização: tem acesso só de leitura a todos os recursos aos quais o administrador de IAM da organização tem acesso.
  • Administrador da BD da organização: gere os recursos do serviço de base de dados para uma organização.
  • Administrador de atualização da organização: modifica os períodos de manutenção de uma organização. As janelas de manutenção são criadas automaticamente durante a criação da organização.
  • Visitante da atualização da organização: vê os períodos de manutenção.
  • Criador de projetos: cria novos projetos.
  • Editor do projeto: elimina projetos.
  • SIEM Export Org Creator: cria recursos personalizados SIEMOrgForwarder.
  • Editor da organização de exportação do SIEM: tem acesso de leitura e escrita em recursos personalizados.SIEMOrgForwarder
  • SIEM Export Org Viewer tem acesso só de leitura para ver SIEMOrgForwarder recursos personalizados.
  • Administrador do repositório de cópias de segurança do cluster do sistema: tem acesso total para gerir repositórios de cópias de segurança.
  • Administrador de cópias de segurança de VMs do cluster do sistema: gere as cópias de segurança das máquinas virtuais (VMs) do cluster do sistema.
  • Criador de pedidos do Transfer Appliance: pode ler e criar pedidos do Transfer Appliance, o que lhe permite transferir de forma rápida e segura grandes quantidades de dados para a nuvem distribuída através de um servidor de armazenamento de alta capacidade.
  • Administrador de cópias de segurança de clusters de utilizadores: gere recursos de cópias de segurança, como planos de cópias de segurança e de restauro em clusters de utilizadores.
  • Administrador do cluster de utilizadores: cria, atualiza e elimina o cluster de utilizadores e gere o ciclo de vida do cluster de utilizadores.
  • Visualizador de CRDs de clusters de utilizadores: acesso só de leitura às definições de recursos personalizados (CRDs) num cluster de utilizadores.
  • User Cluster Developer: tem autorizações de administrador do cluster em clusters de utilizadores.
  • Visualizador de nós de cluster de utilizadores: tem autorizações de administrador de cluster só de leitura em clusters de utilizadores.
  • Administrador da VPN: tem autorizações de leitura e escrita em todos os recursos relacionados com a VPN.
  • Visualizador de VPN: tem autorizações de leitura em todos os recursos relacionados com a VPN.

Funções de AO

Os operadores de aplicações (AO) são membros da equipa de desenvolvimento na organização do administrador da plataforma (PA). Os AOs interagem com recursos ao nível do projeto. Pode atribuir as seguintes funções predefinidas aos membros da equipa:

  • Backup Creator: cria cópias de segurança manuais e faz restauros.
  • Administrador do serviço de autoridade de certificação: tem acesso para gerir autoridades de certificação e pedidos de certificados no respetivo projeto.
  • Editor do painel de controlo: tem acesso de leitura e escrita a recursos personalizados Dashboard.
  • Visualizador do painel de controlo: tem acesso só de leitura a Dashboard recursos personalizados.
  • Administrador do balanceador de carga global: tem autorizações de leitura e escrita em todos os recursos do balanceador de carga no espaço de nomes do projeto no servidor da API global.
  • Administrador da instância do Harbor: tem acesso total para gerir instâncias do Harbor num projeto.
  • Harbor Instance Viewer: tem acesso só de leitura para ver instâncias do Harbor num projeto.
  • Harbor Project Creator: tem acesso à gestão de projetos de instâncias do Harbor.
  • Administrador de políticas de rede do K8s: gere as políticas de rede nos clusters de utilizadores.
  • Administrador do KMS: gere as chaves do KMS num projeto, incluindo as chaves AEADKey e SigningKey. Esta função também pode importar e exportar chaves.
  • KMS Creator: tem acesso de criação e leitura a chaves do KMS num projeto.
  • Programador do KMS: tem acesso para realizar operações criptográficas com chaves em projetos.
  • Administrador de exportação de chaves do KMS: tem acesso à exportação de chaves do KMS como chaves envolvidas do KMS.
  • Administrador de importação de chaves do KMS: tem acesso à importação de chaves do KMS como chaves envolvidas para o KMS.
  • KMS Viewer: tem acesso só de leitura às chaves do KMS no respetivo projeto e pode ver a importação e a exportação de chaves.
  • Administrador do equilibrador de carga: tem autorizações de leitura e escrita em todos os recursos do equilibrador de carga no espaço de nomes do projeto.
  • Editor do Marketplace: tem acesso de criação, atualização e eliminação em instâncias de serviço num projeto.
  • Editor de regras de monitorização: tem acesso de leitura e escrita aos recursos MonitoringRule.
  • MonitoringRule Viewer: tem acesso só de leitura a MonitoringRule recursos personalizados.
  • Editor de MonitoringTarget: tem acesso de leitura e escrita a MonitoringTarget recursos personalizados.
  • MonitoringTarget Viewer: tem acesso só de leitura a MonitoringTarget recursos personalizados.
  • Visualizador de NAT: tem acesso só de leitura a implementações em clusters de utilizadores.
  • Administrador do espaço de nomes: gere todos os recursos no espaço de nomes do projeto.
  • Editor da ObservabilityPipeline: tem acesso de leitura e escrita a ObservabilityPipeine recursos personalizados.
  • ObservabilityPipeline Viewer: tem acesso só de leitura a recursos personalizados ObservabilityPipeline.
  • Administrador de segmentos do projeto: gere os segmentos de armazenamento e os objetos nos segmentos.
  • Project Bucket Object Admin: tem acesso só de leitura aos contentores num projeto e acesso de leitura/escrita aos objetos nesses contentores.
  • Project Bucket Object Viewer: tem acesso só de leitura aos contentores num projeto e aos objetos nesses contentores.
  • Visualizador do Alertmanager do Project Cortex: concede autorizações para aceder à instância do Alertmanager do Cortex no espaço de nomes do projeto.
  • Visualizador do Project Cortex Prometheus: concede autorizações para aceder à instância do Cortex Prometheus no espaço de nomes do projeto.
  • Visualizador do Grafana do projeto: acede à instância do Grafana no espaço de nomes do projeto do cluster de administração da frota.
  • Administrador de IAM de projetos: gere as políticas de autorização de IAM dos projetos.
  • Project NetworkPolicy Admin: gere as políticas de rede do projeto no espaço de nomes do projeto.
  • Project DB Admin: administra o serviço de dados para um projeto.
  • Editor da BD do projeto: tem acesso de leitura e escrita ao serviço de base de dados de um projeto.
  • Project DB Viewer: tem acesso só de leitura ao serviço de base de dados de um projeto.
  • Leitor do projeto: tem acesso só de leitura a todos os recursos nos espaços de nomes do projeto.
  • Project VirtualMachine Admin: gere VMs no espaço de nomes do projeto.
  • Project VirtualMachine Image Admin: gere imagens de VMs no espaço de nomes do projeto.
  • Administrador de segredos: gere segredos do Kubernetes em projetos.
  • Visualizador de segredos: vê segredos do Kubernetes em projetos.
  • Administrador da configuração do serviço: tem acesso de leitura e escrita às configurações do serviço num espaço de nomes do projeto.
  • Leitor de configuração de serviços: tem acesso de leitura às configurações de serviços num espaço de nomes do projeto.
  • Criador de cópias de segurança de VMs de cluster do sistema: pode criar e ver cópias de segurança e restauros.
  • Reconhecimento ótico de carateres (OCR) do Vertex AI Programador: acede ao serviço de OCR em clusters do sistema.
  • Vertex AI Speech-to-Text Developer: acede ao serviço Speech-to-Text em clusters do sistema.
  • Vertex AI Translation Developer: acede ao serviço de tradução em clusters do sistema.
  • Administrador da replicação de volumes: gere recursos de replicação de volumes.
  • Administrador dos blocos de notas do Workbench: tem acesso de leitura e escrita a todos os recursos de blocos de notas num espaço de nomes do projeto.
  • Leitor dos blocos de notas do Workbench: tem acesso só de leitura a todos os recursos de blocos de notas num espaço de nomes do projeto.
  • Leitor de cargas de trabalho: tem acesso de leitura às cargas de trabalho num projeto.

Funções comuns

As seguintes funções comuns predefinidas aplicam-se a todos os utilizadores autenticados:

  • Leitor da AI Platform: concede autorizações para ver serviços pré-formados.
  • Depurador do AIS: tem acesso total a todos os recursos do GKE Identity Service (AIS) no espaço de nomes iam-system.
  • Monitor AIS: tem acesso só de leitura a todos os recursos AIS no espaço de nomes iam-system.
  • DB Options Viewer: vê todas as opções de configuração que podem ser usadas no serviço de base de dados.
  • Leitor da IU da base de dados: concede autorizações aos utilizadores autenticados para verem a IU do serviço de base de dados.
  • Gestor de chaves de DNS: tem autorizações de leitura e escrita em recursos DNSSEC configurações de chaves e material de chaves.
  • Visualizador de sufixos DNS: acede ao mapa de configuração do sufixo do serviço de nomes de domínio (DNS).
  • Depurador de IAM: tem acesso de leitura e escrita a todos os recursos de IAM para mitigação no espaço de nomes iam-system para o tipo de função Role e ClusterRole.
  • IAM Monitor: tem acesso só de leitura a todos os recursos de gestão de identidade e de acesso (IAM) no espaço de nomes iam-system para o tipo de função Role e ClusterRole.
  • Visualizador de serviços do Marketplace: tem acesso de leitura para todos os utilizadores autenticados aos serviços do Marketplace no espaço de nomes do sistema.
  • Leitor do Marketplace: tem acesso só de leitura às versões e às instâncias de serviço.
  • Utilizador da calculadora de preços: tem acesso só de leitura às descrições das unidades de controlo do stock (SKUs).
  • Project Discovery Viewer: tem acesso de leitura para todos os utilizadores autenticados à visualização de projetos.
  • Public Image Viewer: tem acesso de leitura para todos os utilizadores autenticados nas imagens de VMs públicas no espaço de nomes vm-images.
  • Monitor do Secret anthos-creds do registo de artefactos do sistema: tem acesso de leitura aos segredos no espaço de nomes anthos-creds.
  • System Artifact Registry gpc-system secret Monitor: tem acesso de leitura aos segredos no espaço de nomes gpc-system.
  • Debugger do segredo harbor-system do registo de artefactos do sistema: tem acesso total para depurar e mitigar segredos no espaço de nomes harbor-system.
  • Monitor do segredo harbor-system do registo de artefactos do sistema: tem acesso de leitura aos segredos no espaço de nomes harbor-system.
  • Virtual Machine Type Viewer: tem acesso de leitura a tipos de máquinas virtuais com âmbito de cluster.
  • VM Type Viewer: tem acesso de leitura aos tipos de máquinas virtuais predefinidos nos clusters de administrador.