Descrições de papéis predefinidos

Os grupos de público-alvo, como operador de infraestrutura (IO), administrador da plataforma (PA) e operador de aplicativos (AO), não são papéis. Esses grupos de público-alvo são conjuntos de funções de usuário mapeadas para permissões específicas e atribuídas a usuários individuais. Para mais informações, consulte Públicos-alvo da documentação.

Cada seção desta página lista os papéis predefinidos que podem ser atribuídos aos membros da equipe.

Funções de operador de infraestrutura

Os IOs têm permissões para gerenciar o cluster de administrador raiz e o ciclo de vida da organização. Estes são os papéis predefinidos que podem ser atribuídos aos membros da equipe:

  • Criador de AuditLoggingTarget: crie recursos personalizados AuditLoggingTarget no cluster de administrador raiz.
  • Editor de AuditLoggingTarget: edite recursos personalizados AuditLoggingTarget no cluster de administrador raiz.
  • Leitor do AuditLoggingTarget: confira recursos personalizados do AuditLoggingTarget no cluster de administrador raiz.
  • Criador de E/S AuditLoggingTarget: crie AuditLoggingTarget recursos personalizados no namespace do projeto.
  • Editor de E/S AuditLoggingTarget: edite recursos personalizados AuditLoggingTarget no namespace do projeto.
  • Leitor de IO AuditLoggingTarget: veja recursos personalizados AuditLoggingTarget no namespace do projeto.
  • Criador de backup e restauração de registros de auditoria: crie uma configuração de job de transferência de backup e restaure os registros de auditoria.
  • Editor de restauração de backup de registros de auditoria: edite a configuração do job de transferência de backup e restaure os registros de auditoria.
  • Leitor de bucket de infraestrutura de registros de auditoria: confira os buckets de backup dos registros de auditoria da infraestrutura.
  • Administrador do AIS: tem acesso de leitura e gravação a pods e implantações do GKE Identity Service (AIS).
  • Depurador de IA: tem acesso de leitura e gravação aos recursos de IA para mitigação.
  • Monitor do AIS: tem acesso de leitura aos recursos do AIS no namespace iam-system.
  • Leitor de cluster de artefatos arbitrários: tem acesso de leitura a buckets de armazenamento de objetos no plano de controle ou de gerenciamento do cluster de infraestrutura.
  • Distribuidor de artefatos arbitrários: tem acesso de leitura e gravação a artefatos de modelo no plano de controle ou de gerenciamento do cluster de infraestrutura.
  • Administrador do ATAT: concede permissão para gerenciar recursos relacionados ao portfólio do ATAT.
  • Depurador AuthzPDP: tem acesso de leitura e gravação aos recursos do ponto de decisão da política de autorização (PDP) para mitigação e depuração.
  • Administrador de backup: gerencia recursos de backup, como planos de backup e restauração no cluster de administrador da organização.
  • Criador de faturas de faturamento: cria faturas de faturamento manualmente no cluster de administrador raiz.
  • Depurador do cluster do sistema do Cert Manager: gerencia recursos relacionados ao cert-manager.
  • Criador de painéis: crie Dashboard recursos personalizados no cluster de administrador raiz.
  • Editor de painéis: edite recursos personalizados Dashboard no cluster de administrador raiz.
  • Leitor do painel: veja Dashboard recursos personalizados no cluster de administrador raiz.
  • Criador de painéis de E/S: crie Dashboard recursos personalizados no namespace do projeto.
  • Editor de E/S do painel: edite recursos personalizados Dashboard no namespace do projeto.
  • Visualizador de E/S do painel: veja Dashboard recursos personalizados no namespace do projeto.
  • Depurador do DBS: tem acesso de leitura e gravação aos serviços de banco de dados.
  • Administrador de DNS: atualiza arquivos DNS.
  • Depurador de DNS: tem permissões de leitura e gravação em todos os recursos de DNS.
  • Monitor do DNS: tem permissões de leitura em todos os recursos do DNS.
  • Visualizador de sufixo DNS: mostra o configmap de sufixo DNS.
  • Administrador de DR: tem acesso para realizar todas as tarefas de recuperação de desastres.
  • Administrador de restauração de DR: realiza restaurações de recuperação de desastres.
  • Administrador do sistema de DR: gerencia recursos no namespace dr-system para configurar backups no plano de controle.
  • Administrador de credenciais SSH de emergência: tem permissões de acesso de emergência e usa o nó SSH no cluster de administrador raiz.
  • EZ Debugger: concede permissão para acessar recursos do EasySaaS e depurar a versão da API rbac.authorization.k8s.io/v1.
  • FluentBit Creator: crie FluentBit recursos personalizados no cluster de administrador raiz.
  • Editor do FluentBit: edite recursos personalizados FluentBit no cluster de administrador raiz.
  • Leitor do FluentBit: confira os recursos personalizados FluentBit no cluster de administrador raiz.
  • Criador de E/S do FluentBit: crie FluentBit recursos personalizados no namespace do projeto.
  • Editor de E/S do FluentBit: edite FluentBit recursos personalizados no namespace do projeto.
  • Visualizador de E/S do FluentBit: veja recursos personalizados FluentBit no namespace do projeto.
  • Administrador do Gatekeeper: tem acesso para reiniciar implantações e corrigir segredos.
  • Distribuidor de artefatos do Gemini: tem acesso de leitura e gravação a buckets de armazenamento de objetos para recursos gemini-model-artifact-registry.
  • Leitor de cluster de artefatos do Gemini: tem acesso de leitura a buckets de armazenamento de objetos no namespace do cluster.
  • Debugger do Grafana: concede acesso de administrador aos recursos do Grafana no namespace obs-system.
  • Leitor do Grafana: concede permissões para acessar a instância do Grafana no namespace do sistema do cluster de administrador raiz.
  • Harbor Instance Cred Rotator: tem acesso para gerenciar secrets no projeto.
  • Depurador de instâncias do Harbor: tem acesso aos serviços e cargas de trabalho do Harbor para depurar problemas no plano de gerenciamento do cluster de infraestrutura.
  • Debugger da instância do Harbor: tem acesso aos serviços e cargas de trabalho do Harbor para depurar problemas no plano de controle do cluster de infraestrutura.
  • Função de projeto do depurador de instâncias do Harbor: tem acesso aos serviços e cargas de trabalho do Harbor para depurar problemas no namespace do projeto.
  • Operador da instância do Harbor: tem acesso aos serviços e cargas de trabalho do Harbor para depurar problemas.
  • Administrador de hardware: tem acesso total a recursos de hardware, como switches, racks e servidores.
  • Administrador do HSM: tem acesso de leitura/gravação aos recursos de módulos de segurança de hardware (HSM) no cluster de administrador raiz. Essa função pode resolver problemas relacionados ao HSM e realizar rotações manuais de secrets e procedimentos manuais de backup envolvendo o HSM.
  • Monitor de secrets do sistema HSM: tem acesso somente leitura para ver secrets no namespace hsm-system.
  • Rotador de secrets do sistema HSM: tem acesso de leitura, atualização e edição a secrets no namespace hsm-system.
  • Administrador de HDWR: tem acesso total aos recursos relacionados a hardware.
  • Leitor de HWDR: tem acesso somente leitura a recursos relacionados a hardware.
  • Administrador do Kiali: concede permissões para acessar o painel do Kiali e depurar a malha de serviço do Istio.
  • Administrador do KMS: lê chaves do KMS, importa, exporta e faz jobs de rotação no cluster de administrador da organização. Essa função também pode gerenciar implantações e pods do KMS e ver os registros deles.
  • Depurador do sistema KMS: tem acesso de leitura e gravação a implantações, pods e registros do KMS.
  • Debugger IPAM do KUB: tem acesso de leitura e gravação para recursos personalizados CIDRClaim.
  • KUB Monitor: tem permissões somente leitura para todos os recursos no KUB.
  • Criador do LogCollector: crie recursos personalizados LogCollector no cluster de administrador raiz.
  • Editor do LogCollector: edite recursos personalizados LogCollector no cluster de administrador raiz.
  • Leitor do LogCollector: confira LogCollector recursos personalizados no cluster de administrador raiz.
  • Criador de E/S do LogCollector: crie recursos personalizados LogCollector no namespace do projeto.
  • Editor de E/S do LogCollector: edite recursos personalizados LogCollector no namespace do projeto.
  • Leitor de E/S do LogCollector: confira LogCollector recursos personalizados no namespace do projeto.
  • Criador de LoggingRule: crie LoggingRule recursos personalizados no cluster de administrador raiz.
  • Editor de LoggingRule: edite recursos personalizados LoggingRule no cluster de administrador raiz.
  • Leitor de LoggingRule: confira os recursos personalizados LoggingRule no cluster de administrador raiz.
  • Criador de IO LoggingRule: cria LoggingRule recursos personalizados no namespace do projeto.
  • Editor de E/S LoggingRule: edite recursos personalizados LoggingRule no namespace do projeto.
  • Visualizador de E/S de LoggingRule: veja recursos personalizados LoggingRule no namespace do projeto.
  • Criador de E/S LoggingTarget: crie LoggingTarget recursos personalizados no namespace do projeto.
  • Editor de E/S do LoggingTarget: edite recursos personalizados LoggingTarget no namespace do projeto.
  • Leitor de IO LoggingTarget: veja LoggingTarget recursos personalizados no namespace do projeto.
  • Consultor da API Log Query: acesse a API Log Query para consultar registros.
  • Criador de MonitoringRule: crie MonitoringRule recursos personalizados no cluster de administrador raiz.
  • Editor de MonitoringRule: edite recursos personalizados MonitoringRule no cluster de administrador raiz.
  • Leitor de MonitoringRule: confira os recursos personalizados MonitoringRule no cluster de administrador raiz.
  • Criador de E/S de MonitoringRule: crie MonitoringRule recursos personalizados no namespace do projeto.
  • Editor de IO MonitoringRule: edite MonitoringRule recursos personalizados no namespace do projeto.
  • Leitor de IO MonitoringRule: veja recursos personalizados MonitoringRule no namespace do projeto.
  • Criador de MonitoringTarget: crie recursos personalizados MonitoringTarget no cluster de administrador raiz.
  • Editor do MonitoringTarget: edite recursos personalizados MonitoringTarget no cluster de administrador raiz.
  • Leitor do MonitoringTarget: veja recursos personalizados MonitoringTarget no cluster de administrador raiz.
  • Criador de E/S do MonitoringTarget: crie recursos personalizados MonitoringTarget no namespace do projeto.
  • Editor de E/S do MonitoringTarget: edite MonitoringTarget recursos personalizados no namespace do projeto.
  • Leitor de IO MonitoringTarget: confira os recursos personalizados MonitoringTarget no namespace do projeto.
  • Leitor de âncora de inicialização do MZ: tem permissões de leitura zonal para os seguintes recursos personalizados: Zone, Service, ConfigMap e DNSRegistration.
  • Editor de junção de inicialização do MZ: tem permissão para editar recursos personalizados KeyPair.
  • Visualizador de bootstrap do MZ: tem permissão de leitura para TokenRequest recursos personalizados em mz-system namespace da API global.
  • Administrador do ConfigSync de várias zonas: tem privilégios de administrador relacionados ao ConfigSync de várias zonas no cluster de administrador raiz zonal.
  • Administrador global do MZ Configsync: tem privilégios de administrador relacionados ao Configsync multizona na API global.
  • Administrador do MZ Etcd: tem permissões de edição para recursos relacionados ao processo de bootstrap multizona do etcd.
  • MZ Etcd Subcomponent Cleaner: tem permissão para edição para o recurso etcd Subcomponent.
  • Visualizador do MZ Etcd: tem permissões de leitura para vários recursos relacionados à inicialização do etcd e recursos operacionais.
  • MZ Global API Portforward: tem permissões de encaminhamento de porta para pods da API global.
  • Administrador global do Etcd da MZ: tem permissões de edição para o segredo da API global, o cluster do etcd e os recursos de zona do etcd.
  • Leitor global do Etcd da MZ: tem permissões de leitura para o segredo da API global, o cluster do etcd e os recursos da zona do etcd.
  • MZ Kube API Resource Monitor: tem permissões de leitura para pods, implantações e subcomponentes relacionados aos processos operacionais e de bootstrap multizona.
  • MZ Monitor: tem permissão de leitura para recursos do plano de controle nos dois clusters de administrador.
  • Administrador do grupo de recursos do MZ: tem permissões de edição para pods, implantações, secrets e recursos de certificado.
  • Criador do ObservabilityPipeline: crie recursos personalizados ObservabilityPipeline no cluster de administrador raiz.
  • Editor do ObservabilityPipeline: edite recursos personalizados ObservabilityPipeline no cluster de administrador raiz.
  • Visualizador do ObservabilityPipeline: confira recursos personalizados ObservabilityPipeline no cluster de administrador raiz.
  • ObservabilityPipeline IO Creator: crie recursos personalizados ObservabilityPipeline no namespace do projeto.
  • Editor de E/S do ObservabilityPipeline: edite recursos personalizados ObservabilityPipeline no namespace do projeto.
  • Leitor de E/S do ObservabilityPipeline: veja recursos personalizados ObservabilityPipeline no namespace do projeto.
  • Administrador de observabilidade: tem acesso de leitura/gravação a objetos no namespace obs-system.
  • Debugger de administrador da observabilidade: tem acesso de administrador específico do cluster a recursos de observabilidade no namespace obs-system. Essa função concede controle granular sobre o acesso no cluster de administrador.
  • Depurador de observabilidade: tem acesso total aos recursos de observabilidade no namespace obs-system.
  • Depurador do sistema de observabilidade: tem acesso de administrador em toda a organização aos recursos de observabilidade no namespace obs-system. Essa função concede gerenciamento centralizado do acesso de administrador de observabilidade.
  • Leitor de observabilidade: tem acesso somente leitura para visualizar objetos no namespace obs-system.
  • Depurador do OCLCM: tem acesso de leitura e gravação para depurar objetos do OCLCM.
  • Leitor do OCLCM: tem acesso somente leitura para visualizar objetos do OCLCM.
  • Administrador da organização: cria e exclui organizações e gerencia o ciclo de vida delas.
  • Administrador de faturamento da organização: tem acesso total aos recursos de faturamento no cluster de administrador da organização.
  • Cluster do sistema de administrador de faturamento da organização: tem acesso de administrador para gerenciar operações de faturamento no cluster do sistema.
  • Leitor de faturamento da organização: tem acesso somente leitura aos recursos de faturamento de uma organização.
  • Administrador de gerenciamento de artefatos do sistema da organização: tem acesso de administrador a recursos em todos os projetos do Harbor no namespace do sistema.
  • PERF Admin Monitor: tem permissão de leitura em buckets do PERF, contas de serviço e secrets.
  • PERF Admin Resource Maintainer: tem acesso de leitura e gravação em todas as máquinas virtuais (VMs), discos de VM, acessos externos de VM, solicitações de VM, buckets, contas de serviço do projeto, chaves AEAD, chaves de assinatura e contas de serviço do PERF.
  • PERF Debugger: tem acesso de leitura e gravação para jobs no namespace do projeto.
  • PERF System Monitor: tem acesso somente leitura a todos os pods e configmaps do PERF, além de jobs cron no namespace do projeto.
  • PERF System Resource Maintainer: tem acesso de leitura e gravação a todos os serviços no namespace do projeto.
  • PNET Debugger: tem permissões de leitura e gravação em todos os recursos da PNET.
  • Monitor do PNET: tem permissões somente leitura em todos os recursos do PNET.
  • Administrador de políticas: gerencia modelos de políticas para a organização e tem acesso total às restrições.
  • Editor do Alertmanager do Project Cortex: edite a instância do Alertmanager do Cortex no namespace do projeto.
  • Leitor do Alertmanager do Project Cortex: confira a instância do Alertmanager do Cortex no namespace do projeto.
  • Visualizador do Prometheus do Project Cortex: veja a instância do Prometheus do Cortex no namespace do projeto.
  • Leitor do Grafana do projeto: confira a instância do Grafana no namespace do projeto.
  • Administrador do Remote Logger: tem acesso total aos recursos do remote-logger.
  • Leitor do Remote Logger: tem acesso somente leitura aos recursos remote-logger.
  • Editor do Alertmanager do Cortex raiz: concede permissões para editar a instância do Alertmanager do Cortex no cluster de administrador raiz.
  • Leitor do Root Cortex Alertmanager: concede permissões para acessar a instância do Cortex Alertmanager no cluster de administrador raiz.
  • Leitor do Prometheus do Cortex raiz: concede permissões para acessar a instância do Prometheus do Cortex no cluster de administrador raiz.
  • Administrador da sessão raiz: concede acesso para realizar operações de revogação no cluster de administrador raiz.
  • Administrador de segurança: cria, atualiza e exclui permissões e políticas no cluster de administrador raiz. Essa função não tem acesso a recursos da organização e do projeto.
  • Leitor de segurança: tem acesso somente leitura a todos os recursos que o administrador de segurança pode acessar.
  • Administrador do ServiceNow (cluster de administrador da organização): tem acesso de leitura e gravação aos componentes de rede no cluster de administrador da organização necessários para gerenciar o aplicativo ServiceNow.
  • Administrador do Service Now (cluster de usuário): tem acesso de leitura e gravação aos componentes do sistema no cluster do sistema necessários para gerenciar o aplicativo ServiceNow.
  • Depurador do administrador do SERV: tem acesso para modificar recursos e implantação do SERV e concede permissões somente leitura para recursos não SERV necessários para depuração.
  • Monitor de administrador do SERV: tem acesso para modificar recursos e implantação do SERV.
  • Monitorar secrets do administrador do SERV: tem acesso para visualizar secrets no namespace gpc-system, já que os secrets do servidor não têm um nome fixo.
  • SERV Admin Secret Monitor: IO para ver secrets no namespace gpc-system já que os secrets do servidor não têm um nome fixo.
  • Criador da infraestrutura de exportação do SIEM: cria e lê recursos personalizados SIEMInfraForwarder nos clusters de administrador da organização e administrador raiz.
  • Editor da infraestrutura de exportação do SIEM: tem acesso de leitura e gravação a recursos personalizados SIEMInfraForwarder nos clusters de administrador da organização e administrador raiz.
  • Leitor da infraestrutura de exportação do SIEM: tem acesso somente leitura a SIEMInfraForwarder recursos personalizados nos clusters de administrador da organização e administrador raiz.
  • Administrador de secrets de gerenciamento de artefatos do sistema: tem acesso de administrador aos recursos de secret para gerenciar configurações de espelho de registro.
  • Administrador do Harbor do Artifact Registry do sistema: tem acesso de administrador aos projetos do Harbor.
  • Leitura do Harbor do Artifact Registry do sistema: tem acesso somente leitura aos projetos do Harbor.
  • Leitura/gravação do Harbor do Artifact Registry do sistema: tem acesso de leitura e gravação aos projetos do Harbor.
  • Depurador do Artifact Registry do sistema: tem acesso de leitura e gravação a todos os recursos do Harbor.
  • Monitor do Artifact Registry do sistema: tem acesso de leitura e gravação aos recursos do Harbor no cluster de administrador raiz.
  • Administrador do cluster do sistema: tem acesso de leitura e gravação a todas as permissões e políticas no cluster do sistema. Essa função tem acesso no nível da organização.
  • Depurador de DNS do cluster do sistema: tem acesso de criação e leitura a todas as permissões no cluster do sistema.
  • Depurador da Vertex AI do cluster do sistema: tem acesso total à plataforma Vertex AI.
  • Leitor de cluster do sistema: tem acesso de leitura e gravação a todas as permissões e políticas no cluster do sistema.
  • Administrador de máquinas virtuais do projeto do sistema: tem acesso para gerenciar VMs em projetos do sistema.
  • Administrador do Tenable Nessus: tem acesso de leitura e gravação aos componentes de rede na organização e no cluster de administrador raiz para gerenciar os aplicativos Tenable.sc e Nessus.
  • Administrador de solicitações do Transfer Appliance: gerencia solicitações do Transfer Appliance criadas por um administrador da plataforma (PA, na sigla em inglês). Com um dispositivo de transferência, é possível transferir grandes quantidades de dados de maneira rápida e segura para o Distributed Cloud usando um servidor de armazenamento de alta capacidade.
  • UNET CLI Org Admin Monitor: tem permissões de criação e leitura em recursos da UNET para executar comandos gdcloud system network no cluster de administrador da organização.
  • Monitor de administrador raiz da CLI UNET: tem permissões de criação e leitura em recursos da UNET para executar comandos gdcloud system network no cluster de administrador raiz.
  • Monitor do sistema da CLI UNET: tem permissões de criação e leitura em recursos da UNET para executar comandos gdcloud system network em clusters do sistema.
  • Monitor de usuários da CLI do UNET: tem permissões nos recursos do UNET para executar comandos gdcloud system network em clusters de usuários.
  • Administrador de upgrade: concede permissão para carregar novos artefatos no registro do Harbor do cluster.
  • Upgrade Debugger: tem permissões de leitura e gravação em recursos de upgrade no cluster do sistema.
  • Depurador de cluster de usuário: tem acesso total para depurar e atenuar problemas em clusters de usuário.
  • Depurador de DNS do cluster de usuário: tem permissões de criação e leitura em clusters de usuário.
  • UI Debugger: tem permissões para reiniciar implantações da interface.
  • Debugger da Vertex AI: tem acesso total para mitigar serviços pré-treinados.
  • Depurador de VPN para o servidor da API do plano de gerenciamento: tem permissões de leitura e gravação em todos os recursos relacionados à VPN no servidor da API Management.
  • Depurador de VPN para cluster de perímetro da organização: tem permissões de leitura e gravação em todos os recursos relacionados à VPN no cluster de perímetro.

Funções de PA

Os administradores da plataforma (PA, na sigla em inglês) gerenciam recursos no nível da organização e o gerenciamento do ciclo de vida do projeto. É possível atribuir os seguintes papéis predefinidos aos membros da equipe:

  • Administrador do AI Platform: concede permissões para gerenciar serviços pré-treinados.
  • Administrador do repositório de backup:gerencia repositórios de backup.
  • Leitor do faturamento:tem acesso somente leitura às descrições de SKU, máquinas de inventário e frotas na página da tabela de custos.
  • Administrador de bucket:gerencia buckets de armazenamento em organizações e projetos, além dos objetos nesses buckets.
  • Administrador de objetos do bucket:tem acesso somente leitura a buckets em uma organização e acesso de leitura/gravação aos objetos nesses buckets.
  • Leitor de objetos do bucket:tem acesso somente leitura a buckets em uma organização e aos objetos nesses buckets.
  • Editor de chaves do CTM:tem acesso total para gerenciar chaves do CTM, como a capacidade de excluir chaves.
  • Leitor de chaves do CTM:tem acesso somente leitura às chaves do CTM.
  • Administrador de backup de DR: realiza backups de recuperação de desastres.
  • Administrador do sistema de DR: gerencia recursos no namespace dr-system para configurar backups no cluster de gerenciamento.
  • Administrador do sistema de DR MP: gerencia recursos no namespace dr-system para configurar backups no cluster de gerenciamento.
  • Administrador do sistema de DR MP: gerencia recursos no namespace dr-system para configurar backups no cluster de gerenciamento.
  • Administrador de registros de fluxo: gerencia recursos de registros de fluxo para registrar metadados de tráfego de rede.
  • Leitor de registros de fluxo: oferece acesso somente leitura às configurações de registros de fluxo.
  • Administrador da política de restrição por atributos do GDCH:tem acesso total à restrição GDCHRestrictByAttributes.
  • Administrador da política de serviços restritos do GDCH:gerencia modelos de política para a organização e tem acesso total às restrições. Aplica ou reverte políticas para uma organização ou um projeto. Administrador global de PNP: tem permissões de gravação em todos os recursos de política de rede do projeto (PNP, na sigla em inglês) multizona no namespace do projeto global.
  • Administrador da federação de IdP: tem acesso total para configurar provedores de identidade.
  • Administrador da interconexão: tem acesso para configurar recursos de interconexão.
  • Administrador de jobs de rotação do KMS:tem acesso total para criar e gerenciar o recurso RotationJob, que alterna as chaves raiz do sistema de gerenciamento de chaves (KMS).
  • Consultador de registros: tem acesso somente leitura para acessar o endpoint de registro de auditoria ou operacional da API Log Query e ver os registros de um projeto.
  • Editor de serviços do Marketplace:atualiza e exclui serviços do Marketplace.
  • Administrador de políticas de rede da organização: gerencia políticas de rede da organização no namespace platform.
  • Administrador da sessão da organização: tem acesso ao comando de revogação. Os usuários vinculados a esse Role são adicionados às ACLs do Istio para autenticação e autorização.
  • Administrador de backup da organização: tem acesso de leitura e gravação para gerenciar backups.
  • Administrador de backup de cluster da organização: tem acesso para gerenciar backups em clusters de administrador.
  • Leitor do Grafana da organização:concede permissões para acessar a instância do Grafana no namespace do sistema do cluster de administrador da organização. Os usuários vinculados a esse ClusterRole são adicionados às ACLs do Istio para autenticação e autorização.
  • Administrador do IAM da organização:cria, atualiza e exclui permissões e políticas de permissão no cluster de administrador da organização.
  • Leitor do IAM da organização:tem acesso somente leitura a todos os recursos que o administrador do IAM da organização pode acessar.
  • Administrador de banco de dados da organização:gerencia recursos do serviço de banco de dados para uma organização.
  • Administrador de upgrade da organização:modifica as janelas de manutenção de uma organização. As janelas de manutenção são criadas automaticamente durante a criação da organização.
  • Leitor de upgrade da organização:visualiza janelas de manutenção.
  • Criador de projetos:cria projetos.
  • Editor de projetos:exclui projetos.
  • Criador da organização de exportação do SIEM: cria SIEMOrgForwarder recursos personalizados.
  • Editor da organização de exportação do SIEM: tem acesso de leitura e gravação aos recursos personalizados do SIEMOrgForwarder.
  • O Leitor da organização de exportação do SIEM tem acesso somente leitura para visualizar recursos personalizados do SIEMOrgForwarder.
  • Administrador do repositório de backup do cluster do sistema: tem acesso total para gerenciar repositórios de backup.
  • Administrador de backup de VM do cluster do sistema: gerencia backups para as máquinas virtuais (VMs) do cluster do sistema.
  • Criador de solicitações do Transfer Appliance:pode ler e criar solicitações do Transfer Appliance, que permitem transferir grandes quantidades de dados para o Distributed Cloud de maneira rápida e segura usando um servidor de armazenamento de alta capacidade.
  • Administrador de backup de cluster de usuário:gerencia recursos de backup, como planos de backup e restauração em clusters de usuário.
  • Administrador do cluster de usuário:cria, atualiza e exclui o cluster de usuário e gerencia o ciclo de vida dele.
  • Visualizador de CRD do cluster de usuário: acesso somente leitura às definições de recursos personalizados (CRDs) em um cluster de usuário.
  • Desenvolvedor de cluster de usuário:tem permissões de administrador de cluster em clusters de usuário.
  • Visualizador de nós do cluster de usuário:tem permissões de administrador de cluster somente leitura em clusters de usuário.
  • Administrador de VPN:tem permissões de leitura e gravação em todos os recursos relacionados à VPN.
  • Leitor de VPN:tem permissões de leitura em todos os recursos relacionados à VPN.

Funções do AO

Os operadores de aplicativos (AO, na sigla em inglês) são membros da equipe de desenvolvimento na organização do administrador da plataforma (PA, na sigla em inglês). As AOs interagem com recursos no nível do projeto. É possível atribuir os seguintes papéis predefinidos aos membros da equipe:

  • Criador de backup: cria e restaura backups manuais.
  • Administrador do Certificate Authority Service: tem acesso para gerenciar autoridades certificadoras e solicitações de certificado no projeto.
  • Editor de painéis: tem acesso de leitura e gravação em recursos personalizados Dashboard.
  • Leitor do painel: tem acesso somente leitura a Dashboard recursos personalizados.
  • Administrador global do balanceador de carga: tem permissões de leitura e gravação em todos os recursos do balanceador de carga no namespace do projeto no servidor de API global.
  • Administrador de instâncias do Harbor: tem acesso total para gerenciar instâncias do Harbor em um projeto.
  • Leitor de instâncias do Harbor: tem acesso somente leitura para visualizar instâncias do Harbor em um projeto.
  • Criador de projetos do Harbor: tem acesso para gerenciar projetos de instâncias do Harbor.
  • Administrador de políticas de rede do K8s: gerencia políticas de rede em clusters de usuários.
  • Administrador do KMS: gerencia chaves do KMS em um projeto, incluindo as chaves AEADKey e SigningKey. Essa função também pode importar e exportar chaves.
  • Criador do KMS: tem acesso de criação e leitura às chaves do KMS em um projeto.
  • Desenvolvedor do KMS: tem acesso para realizar operações criptográficas usando chaves em projetos.
  • Administrador de exportação de chaves do KMS: tem acesso para exportar chaves do KMS como chaves encapsuladas do KMS.
  • Administrador da importação de chaves do KMS: tem acesso para importar chaves do KMS como chaves encapsuladas para o KMS.
  • Leitor do KMS: tem acesso somente leitura às chaves do KMS no projeto e pode ver a importação e exportação de chaves.
  • Administrador do balanceador de carga: tem permissões de leitura e gravação em todos os recursos do balanceador de carga no namespace do projeto.
  • Editor do Marketplace: tem acesso para criar, atualizar e excluir instâncias de serviço em um projeto.
  • Editor do MonitoringRule: tem acesso de leitura e gravação aos recursos MonitoringRule.
  • Leitor do MonitoringRule: tem acesso somente leitura aos recursos personalizados do MonitoringRule.
  • Editor do MonitoringTarget: tem acesso de leitura e gravação a recursos personalizados MonitoringTarget.
  • Leitor do MonitoringTarget: tem acesso somente leitura aos recursos personalizados MonitoringTarget.
  • Leitor do NAT: tem acesso somente leitura às implantações em clusters de usuários.
  • Administrador de namespace: gerencia todos os recursos no namespace do projeto.
  • Editor do ObservabilityPipeline: tem acesso de leitura e gravação a recursos personalizados ObservabilityPipeine.
  • Leitor do ObservabilityPipeline: tem acesso somente leitura aos recursos personalizados do ObservabilityPipeline.
  • Administrador de bucket do projeto: gerencia os buckets e objetos de armazenamento dentro dos buckets.
  • Administrador de objetos do bucket do projeto: tem acesso somente leitura aos buckets em um projeto e acesso de leitura/gravação aos objetos nesses buckets.
  • Leitor de objetos do bucket do projeto: tem acesso somente leitura a buckets em um projeto e aos objetos nesses buckets.
  • Leitor do Alertmanager do Project Cortex: concede permissões para acessar a instância do Alertmanager do Cortex no namespace do projeto.
  • Visualizador do Prometheus do Project Cortex: concede permissões para acessar a instância do Cortex Prometheus no namespace do projeto.
  • Leitor do Grafana do projeto: acessa a instância do Grafana no namespace do projeto do cluster de administrador da frota.
  • Administrador do IAM do projeto:gerencia as políticas de permissão do IAM dos projetos.
  • Administrador de NetworkPolicy do projeto:gerencia as políticas de rede do projeto no namespace do projeto.
  • Administrador de banco de dados do projeto: administra o serviço de dados de um projeto.
  • Editor de banco de dados do projeto: tem acesso de leitura e gravação ao serviço de banco de dados de um projeto.
  • Leitor de banco de dados do projeto: tem acesso somente leitura ao serviço de banco de dados de um projeto.
  • Leitor do projeto:tem acesso somente leitura a todos os recursos nos namespaces do projeto.
  • Administrador de VirtualMachine do projeto: gerencia VMs no namespace do projeto.
  • Administrador de imagens de máquina virtual do projeto: gerencia imagens de VM no namespace do projeto.
  • Administrador de secrets: gerencia secrets do Kubernetes em projetos.
  • Leitor de secrets: visualiza secrets do Kubernetes em projetos.
  • Administrador da configuração de serviço: tem acesso de leitura e gravação às configurações de serviço em um namespace do projeto.
  • Leitor de configuração de serviço: tem acesso de leitura às configurações de serviço em um namespace do projeto.
  • Criador de backup de VM do cluster do sistema:pode criar e visualizar backups e restaurações.
  • Desenvolvedor do reconhecimento óptico de caracteres (OCR) da Vertex AI: acessa o serviço de OCR em clusters do sistema.
  • Desenvolvedor da API Speech-to-Text da Vertex AI: acessa o serviço Speech-to-Text em clusters do sistema.
  • Desenvolvedor de tradução da Vertex AI: acessa o serviço de tradução em clusters do sistema.
  • Administrador da replicação de volume: gerencia recursos de replicação de volume.
  • Administrador de notebooks do Workbench: tem acesso de leitura e gravação a todos os recursos de notebook em um namespace de projeto.
  • Leitor do Notebooks do Workbench: tem acesso somente leitura a todos os recursos de notebook em um namespace de projeto.
  • Leitor de carga de trabalho: tem acesso de leitura a cargas de trabalho em um projeto.

Funções comuns

As seguintes funções comuns predefinidas se aplicam a todos os usuários autenticados:

  • Leitor do AI Platform: concede permissões para visualizar serviços pré-treinados.
  • AIS Debugger: tem acesso total a todos os recursos do serviço de identidade do GKE (AIS) no namespace iam-system.
  • AIS Monitor: tem acesso somente leitura a todos os recursos de AIS no namespace iam-system.
  • Leitor de opções de banco de dados: mostra todas as opções de configuração que podem ser usadas no serviço de banco de dados.
  • Leitor da interface da DB: concede permissões a usuários autenticados para visualizar a interface do serviço de banco de dados.
  • Gerenciador de chaves de DNS: tem permissões de leitura e gravação nos recursos DNSSEC configurações de chave e material de chave.
  • Visualizador de sufixo de DNS: acessa o mapa de configuração de sufixo do serviço de nome de domínio (DNS).
  • Debugger do IAM: tem leitura e gravação em todos os recursos do IAM para mitigação no namespace iam-system para o tipo de papel Role e ClusterRole.
  • IAM Monitor: tem acesso somente leitura a todos os recursos do Identity and Access Management (IAM) no namespace iam-system para os tipos de função Role e ClusterRole.
  • Leitor de serviços do Marketplace: tem acesso de leitura para todos os usuários autenticados aos serviços do Marketplace no namespace do sistema.
  • Leitor do Marketplace: tem acesso somente leitura a versões e instâncias de serviço.
  • Usuário da calculadora de preços: tem acesso somente leitura às descrições de unidade de manutenção de estoque (SKU).
  • Leitor de descoberta de projetos: tem acesso de leitura para todos os usuários autenticados na visualização do projeto.
  • Visualizador de imagens públicas: tem acesso de leitura para todos os usuários autenticados nas imagens de VM públicas no namespace vm-images.
  • Monitor de secrets anthos-creds do Artifact Registry do sistema: tem acesso somente leitura a secrets no namespace anthos-creds.
  • Monitor de secrets do Artifact Registry do sistema gpc-system: tem acesso somente leitura a secrets no namespace gpc-system.
  • Debugger do secret harbor-system do Artifact Registry do sistema: tem acesso total para depurar e reduzir segredos no namespace harbor-system.
  • Monitor de secrets do sistema harbor-system do Artifact Registry: tem acesso somente leitura a secrets no namespace harbor-system.
  • Leitor de tipo de máquina virtual: tem acesso de leitura a tipos de máquinas virtuais no escopo do cluster.
  • Leitor de tipo de VM: tem acesso de leitura aos tipos de máquina virtual predefinidos nos clusters de administrador.