预定义角色说明

基础架构运维者 (IO)、平台管理员 (PA) 和应用运维者 (AO) 等受众群体组不是角色。这些受众群体是用户角色的集合,这些角色会映射到特定权限并分配给各个用户。如需了解详情,请参阅文档受众群体

本页面中的每个部分都列出了您可以分配给团队成员的预定义角色。

基础架构运维者角色

IO 有权管理根管理员集群和组织的生命周期。您可以向团队成员分配以下预定义角色:

  • AuditLoggingTarget 创建者:在根管理员集群中创建 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget 编辑器:在根管理员集群中修改 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget Viewer:查看根管理员集群中的 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget IO Creator:在项目命名空间中创建 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget IO Editor:在项目命名空间中修改 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget IO Viewer:查看项目命名空间中的 AuditLoggingTarget 自定义资源。
  • 审核日志备份恢复创建者:创建备份转移作业配置并恢复审核日志。
  • 审核日志备份恢复编辑器:修改备份转移作业配置并恢复审核日志。
  • 审核日志基础架构存储分区查看者:查看基础架构审核日志的备份存储分区。
  • AIS Admin:对 GKE Identity Service (AIS) Pod 和部署具有读写访问权限。
  • AIS 调试器:拥有对 AIS 资源的读写权限,可用于缓解问题。
  • AIS 监控器:拥有对 iam-system 命名空间中 AIS 资源的读取权限。
  • 任意制品集群查看者:对基础架构集群控制平面或管理平面中的对象存储分区具有读取权限。
  • 任意制品分发器:对基础架构集群控制平面或管理平面中的模型制品具有读写权限。
  • ATAT 管理员:授予管理 ATAT 产品组合相关资源的权限。
  • AuthzPDP 调试器:拥有对授权政策决策点 (PDP) 资源的读写权限,可用于缓解和调试。
  • 备份管理员:管理组织管理员集群中的备份资源,例如备份和恢复方案。
  • 结算账单创建者:在根管理员集群中手动创建结算账单。
  • Cert Manager 系统集群调试器:管理与 cert-manager 相关的资源。
  • 信息中心创建者:在根管理员集群中创建 Dashboard 自定义资源。
  • 信息中心编辑器:在根管理员集群中修改 Dashboard 自定义资源。
  • 信息中心查看者:查看根管理员集群中的 Dashboard 自定义资源。
  • 信息中心 IO 创建者:在项目命名空间中创建 Dashboard 自定义资源。
  • 信息中心 IO 编辑器:修改项目命名空间中的 Dashboard 自定义资源。
  • 信息中心 IO 查看器:查看项目命名空间中的 Dashboard 自定义资源。
  • DBS 调试器:对数据库服务拥有读写权限。
  • DNS 管理员:更新 DNS 文件。
  • DNS 调试器:拥有对所有 DNS 资源的读取和写入权限。
  • DNS Monitor:拥有对所有 DNS 资源的读取权限。
  • DNS 后缀查看器:查看 DNS 后缀 configmap。
  • DR 管理员:有权执行所有灾难恢复任务。
  • DR 恢复管理员:执行灾难恢复还原。
  • DR 系统管理员:管理 dr-system 命名空间中的资源,以便在控制平面上设置备份。
  • 紧急 SSH 凭据管理员:具有紧急访问权限,并使用根管理员集群中的 SSH 节点。
  • EZ Debugger:授予访问 EasySaaS 资源的权限,以调试 API 版本 rbac.authorization.k8s.io/v1
  • FluentBit 创建者:在根管理员集群中创建 FluentBit 自定义资源。
  • FluentBit 编辑器:在根管理员集群中修改 FluentBit 自定义资源。
  • FluentBit 查看者:查看根管理员集群中的 FluentBit 自定义资源。
  • FluentBit IO Creator:在项目命名空间中创建 FluentBit 自定义资源。
  • FluentBit IO 编辑器:在项目命名空间中编辑 FluentBit 自定义资源。
  • FluentBit IO 查看器:查看项目命名空间中的 FluentBit 自定义资源。
  • Gatekeeper 管理员:有权重启部署和修补 Secret。
  • Gemini Artifact Distributor:拥有对 gemini-model-artifact-registry 资源的对象存储分区的读写权限。
  • Gemini Artifacts Cluster Viewer:对集群命名空间中的对象存储分区具有读取权限。
  • Grafana 调试器:授予管理员对 obs-system 命名空间中 Grafana 资源的访问权限。
  • Grafana Viewer:授予访问根管理员集群的系统命名空间中的 Grafana 实例的权限。
  • Harbor 实例凭据轮换器:有权管理其项目中的密钥。
  • Harbor 实例调试器:可访问底层 Harbor 服务和工作负载,以调试基础架构集群管理平面中的问题。
  • Harbor 实例调试器:有权访问底层 Harbor 服务和工作负载,以调试基础架构集群控制平面中的问题。
  • Harbor 实例调试器项目角色:有权访问底层 Harbor 服务和工作负载,以调试项目命名空间中的问题。
  • Harbor 实例操作员:有权访问底层 Harbor 服务和工作负载,以调试问题。
  • 硬件管理员:拥有对硬件资源(例如交换机、机架和服务器)的完整访问权限。
  • HSM 管理员:对根管理员集群中的硬件安全模块 (HSM) 资源具有读写权限。此角色可以排查与 HSM 相关的问题,并执行涉及 HSM 的手动密钥轮换和手动备份程序。
  • HSM 系统 Secret 监控器:具有只读访问权限,可查看 hsm-system 命名空间中的 Secret。
  • HSM 系统 Secret 轮换器:拥有对 hsm-system 命名空间中 Secret 的读取、更新和编辑权限。
  • HDWR Admin:拥有对硬件相关资源的完整访问权限。
  • HWDR Viewer:拥有对硬件相关资源的只读权限。
  • Kiali Admin:授予访问 Kiali 信息中心的权限,以调试 Istio 服务网格。
  • KMS 管理员:读取组织管理员集群中的 KMS 密钥、导入、导出和轮换作业。此角色还可以管理 KMS 的部署和 pod,并查看其日志。
  • KMS 系统调试器:对 KMS 部署、Pod 和日志具有读写权限。
  • KUB IPAM 调试器:对 CIDRClaim 自定义资源具有读写权限。
  • KUB Monitor:拥有对 KUB 中所有资源的只读权限。
  • LogCollector 创建者:在根管理员集群中创建 LogCollector 自定义资源。
  • LogCollector 编辑者:在根管理员集群中修改 LogCollector 自定义资源。
  • LogCollector Viewer:查看根管理员集群中的 LogCollector 自定义资源。
  • LogCollector IO Creator:在项目命名空间中创建 LogCollector 自定义资源。
  • LogCollector IO Editor:修改项目命名空间中的 LogCollector 自定义资源。
  • LogCollector IO Viewer:查看项目命名空间中的 LogCollector 自定义资源。
  • LoggingRule Creator:在根管理员集群中创建 LoggingRule 自定义资源。
  • LoggingRule Editor:在根管理员集群中修改 LoggingRule 自定义资源。
  • LoggingRule Viewer:查看根管理员集群中的 LoggingRule 自定义资源。
  • LoggingRule IO Creator:在项目命名空间中创建 LoggingRule 自定义资源。
  • LoggingRule IO 编辑器:在项目命名空间中修改 LoggingRule 自定义资源。
  • LoggingRule IO Viewer:查看项目命名空间中的 LoggingRule 自定义资源。
  • LoggingTarget IO Creator:在项目命名空间中创建 LoggingTarget 自定义资源。
  • LoggingTarget IO Editor:在项目命名空间中修改 LoggingTarget 自定义资源。
  • LoggingTarget IO Viewer:查看项目命名空间中的 LoggingTarget 自定义资源。
  • Log Query API Querier:访问 Log Query API 以查询日志。
  • MonitoringRule Creator:在根管理员集群中创建 MonitoringRule 自定义资源。
  • MonitoringRule Editor:在根管理员集群中修改 MonitoringRule 自定义资源。
  • MonitoringRule Viewer:查看根管理员集群中的 MonitoringRule 自定义资源。
  • MonitoringRule IO Creator:在项目命名空间中创建 MonitoringRule 自定义资源。
  • MonitoringRule IO 编辑器:在项目命名空间中编辑 MonitoringRule 自定义资源。
  • MonitoringRule IO Viewer:查看项目命名空间中的 MonitoringRule 自定义资源。
  • MonitoringTarget 创建者:在根管理员集群中创建 MonitoringTarget 自定义资源。
  • MonitoringTarget 编辑器:在根管理员集群中修改 MonitoringTarget 自定义资源。
  • MonitoringTarget Viewer:查看根管理员集群中的 MonitoringTarget 自定义资源。
  • MonitoringTarget IO Creator:在项目命名空间中创建 MonitoringTarget 自定义资源。
  • MonitoringTarget IO Editor:修改项目命名空间中的 MonitoringTarget 自定义资源。
  • MonitoringTarget IO Viewer:查看项目命名空间中的 MonitoringTarget 自定义资源。
  • MZ 引导锚点读取器:对以下自定义资源具有区域读取权限:ZoneServiceConfigMapDNSRegistration
  • MZ Bootstrap Joining Editor:有权修改 KeyPair 自定义资源。
  • MZ Bootstrap Viewer:拥有对全局 API 的 mz-system namespaceTokenRequest 自定义资源的读取权限。
  • MZ Configsync Admin:在地区级根管理员集群中具有与多地区 Configsync 相关的管理员权限。
  • MZ Configsync global Admin:在全局 API 中具有与多区域 Configsync 相关的管理员权限。
  • MZ Etcd Admin:对与 etcd 多区域引导进程相关的资源具有修改权限。
  • MZ Etcd 子组件清理器:对 etcd Subcomponent 资源具有修改权限。
  • MZ Etcd Viewer:拥有与 etcd 引导和运营资源相关的各种资源的读取权限。
  • MZ Global API Portforward:具有全局 API pod 的端口转发权限。
  • MZ Global Etcd Admin:拥有对全局 API 密钥、etcd 集群和 etcd 区域资源的修改权限。
  • MZ Global Etcd Viewer:拥有对全局 API Secret、etcd 集群和 etcd 区域资源的读取权限。
  • MZ Kube API 资源监控器:具有对与多可用区启动和运行流程相关的 pod、部署和子组件的读取权限。
  • MZ 监控器:对管理集群中的控制平面资源拥有读取权限。
  • MZ Resource Group Admin:拥有对 pod、部署、密钥和证书资源的修改权限。
  • ObservabilityPipeline 创建者:在根管理员集群中创建 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline 编辑器:在根管理员集群中修改 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline Viewer:查看根管理员集群中的 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline IO Creator:在项目命名空间中创建 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline IO Editor:在项目命名空间中修改 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline IO Viewer:查看项目命名空间中的 ObservabilityPipeline 自定义资源。
  • 可观测性管理员:拥有对 obs-system 命名空间中对象的读写权限。
  • 可观测性管理员调试器:具有集群特定的管理员访问权限,可访问 obs-system 命名空间中的可观测性资源。此角色可授予对管理员集群内访问权限的精细控制权。
  • Observability Debugger:拥有对 obs-system 命名空间中 Observability 资源的完整访问权限。
  • 可观测性系统调试器:对 obs-system 命名空间中的可观测性资源具有组织范围的管理员访问权限。此角色可授予对可观测性管理员访问权限的集中式管理权限。
  • 可观测性查看者:拥有只读权限,可查看 obs-system 命名空间中的对象。
  • OCLCM 调试器:拥有对调试 OCLCM 对象的读写权限。
  • OCLCM 查看者:拥有只读权限,可查看 OCLCM 对象。
  • 组织管理员:创建和删除组织,并管理组织的生命周期。
  • 组织结算管理员:拥有对组织管理员集群中结算资源的完整访问权限。
  • 组织结算管理系统集群:具有管理员访问权限,可在系统集群内管理结算操作。
  • Organization Billing Viewer:对组织的结算资源拥有只读权限。
  • 组织系统制品管理管理员:对系统命名空间中所有 Harbor 项目中的资源拥有管理员访问权限。
  • PERF 管理员监控器:对 PERF 存储分区、服务账号和密钥具有读取权限。
  • PERF Admin Resource Maintainer:对所有虚拟机 (VM)、VM 磁盘、VM 外部访问权限、VM 请求、存储分区、项目服务账号、AEAD 密钥、签名密钥和 PERF 服务账号具有读写权限。
  • PERF 调试器:对项目命名空间中的作业具有读写权限。
  • PERF 系统监控器:对项目命名空间中的所有 pod、PERF ConfigMap 和 cron 作业拥有只读权限。
  • PERF 系统资源维护者:对项目命名空间中的所有服务拥有读写权限。
  • PNET 调试器:拥有对所有 PNET 资源的读取和写入权限。
  • PNET 监控器:拥有对所有 PNET 资源的只读权限。
  • 政策管理员:管理组织的政策模板,并拥有对限制条件的完全访问权限。
  • Project Cortex Alertmanager 编辑器:在项目命名空间中修改 Cortex Alertmanager 实例。
  • Project Cortex Alertmanager Viewer:查看项目命名空间中的 Cortex Alertmanager 实例。
  • Project Cortex Prometheus 查看器:查看项目命名空间中的 Cortex Prometheus 实例。
  • Project Grafana Viewer:查看项目命名空间中的 Grafana 实例。
  • 远程记录器管理员:拥有对 remote-logger 资源的完整访问权限。
  • Remote Logger Viewer:拥有对 remote-logger 资源的只读权限。
  • 根 Cortex Alertmanager 编辑者:授予在根管理员集群上修改 Cortex Alertmanager 实例的权限。
  • 根 Cortex Alertmanager 查看者:授予访问根管理员集群上的 Cortex Alertmanager 实例的权限。
  • Root Cortex Prometheus Viewer:授予访问根管理员集群上的 Cortex Prometheus 实例的权限。
  • Root Session Admin:授予在根管理员集群中执行撤消操作的权限。
  • Security Admin:在根管理员集群中创建、更新和删除任何权限和政策。此角色无权访问组织和项目资源。
  • 安全查看者:拥有对 Security Admin 有权访问的所有资源的只读权限。
  • Service Now Admin(组织管理员集群):拥有对组织管理员集群中网络组件的读写权限,可用于管理 ServiceNow 应用。
  • Service Now Admin(用户集群):对系统集群中管理 ServiceNow 应用所需的系统组件具有读写权限。
  • SERV 管理员调试器:有权修改 SERV 资源和部署,并为调试所需的非 SERV 资源提供只读权限。
  • SERV 管理员监控器:有权修改 SERV 资源和部署。
  • SERV 管理员监控 Secret:有权查看 gpc-system 命名空间中的 Secret,因为服务器 Secret 没有固定的名称。
  • SERV Admin Secret Monitor:用于查看 gpc-system 命名空间中的密钥的 IO,因为服务器密钥没有固定的名称。
  • SIEM Export Infra Creator:在组织管理员集群和根管理员集群中创建和读取 SIEMInfraForwarder 自定义资源。
  • SIEM Export Infra Editor:对组织管理员集群和根管理员集群中的 SIEMInfraForwarder 自定义资源具有读写权限。
  • SIEM Export Infra Viewer:拥有对组织管理员集群和根管理员集群中SIEMInfraForwarder自定义资源的只读权限。
  • System Artifact Management Secrets Admin:拥有对 Secret 资源的管理员访问权限,可用于管理注册表镜像配置。
  • System Artifact Registry Harbor Admin:拥有对 Harbor 项目的管理员访问权限。
  • 系统制品注册表 Harbor 读取:拥有对 Harbor 项目的只读权限。
  • System Artifact Registry Harbor ReadWrite:拥有对 Harbor 项目的读取和写入权限。
  • System Artifact Registry Debugger:拥有对所有 Harbor 资源的读写权限。
  • System Artifact Registry Monitor:对根管理员集群中的 Harbor 资源具有读写权限。
  • 系统集群管理员:对系统集群内的任何权限和政策具有读写访问权限。此角色在组织层级拥有访问权限。
  • 系统集群 DNS 调试器:对系统集群中的任何权限具有创建和读取访问权限。
  • 系统集群 Vertex AI 调试器:对 Vertex AI 平台具有完全访问权限。
  • System Cluster Viewer:对系统集群内的任何权限和政策具有读写权限。
  • System Project VirtualMachine Admin:有权管理系统项目中的虚拟机。
  • Tenable Nessus Admin:对组织和根管理员集群中的网络组件拥有读写权限,可用于管理 Tenable.sc 和 Nessus 应用。
  • Transfer Appliance 请求管理员:管理平台管理员 (PA) 创建的 Transfer Appliance 请求。利用转移设备,您可以向 Distributed Cloud 租赁一台大容量存储服务器,并在将数据存储到其中后将其配送至 Google 数据中心,这样便能快速安全地将大量数据转移到 Distributed Cloud。
  • UNET CLI Org Admin Monitor:对 UNET 资源具有创建和读取权限,可在组织管理员集群中运行 gdcloud system network 命令。
  • UNET CLI Root Admin Monitor:对 UNET 资源具有创建和读取权限,可在根管理员集群中运行 gdcloud system network 命令。
  • UNET CLI 系统监控器:对 UNET 资源具有创建和读取权限,可在系统集群上运行 gdcloud system network 命令。
  • UNET CLI 用户监控器:拥有对 UNET 资源的权限,可在用户集群上运行 gdcloud system network 命令。
  • 升级管理员:授予将新制品加载到集群的 Harbor 注册表中的权限。
  • 升级调试器:对系统集群中的升级资源具有读写权限。
  • 用户集群调试器:拥有完全访问权限,可调试和缓解用户集群中的问题。
  • 用户集群 DNS 调试器:在用户集群中具有创建和读取权限。
  • 界面调试器:有权重启界面部署。
  • Vertex AI 调试器:具有完全访问权限,可缓解预训练服务。
  • 管理平台 API 服务器的 VPN 调试器:对管理 API 服务器中与 VPN 相关的所有资源具有读取和写入权限。
  • 组织边界集群的 VPN 调试器:对边界集群中与 VPN 相关的所有资源拥有读取和写入权限。

PA 角色

平台管理员 (PA) 负责管理组织级资源和项目生命周期管理。您可以向团队成员分配以下预定义角色:

  • AI Platform 管理员:授予管理预训练服务的权限。
  • 备份代码库管理员:管理备份代码库。
  • Billing Viewer:对费用表格页面上的 SKU 说明、库存机器和机群具有只读权限。
  • 存储分区管理员:管理组织和项目中的存储分区以及这些存储分区中的对象。
  • 存储分区对象管理员:对组织内的存储分区拥有只读权限,对这些存储分区中的对象拥有读写权限。
  • 存储分区对象查看者:拥有对组织内存储分区以及这些存储分区中对象的只读权限。
  • CTM 密钥编辑器:拥有管理 CTM 密钥的完整权限,例如能够删除密钥。
  • CTM Key Viewer:拥有对 CTM 密钥的只读权限。
  • DR Backup Admin:执行灾难恢复备份。
  • DR 系统管理员:管理 dr-system 命名空间中的资源,以便在管理集群上设置备份。
  • DR System Admin MP:管理 dr-system 命名空间中的资源,以便在管理集群上设置备份。
  • DR System Admin MP:管理 dr-system 命名空间中的资源,以便在管理集群上设置备份。
  • 流日志管理员:管理流日志资源,用于记录网络流量元数据。
  • Flow Log Viewer:提供对流日志配置的只读访问权限。
  • GDCH 按属性限制政策管理员:对 GDCHRestrictByAttributes 限制具有完全访问权限。
  • GDCH 受限服务政策管理员:管理组织的政策模板,并拥有对限制条件的完整访问权限。为组织或项目应用或回滚政策。 Global PNP Admin:对全局项目命名空间中的所有多可用区项目网络政策 (PNP) 资源拥有写入权限。
  • IdP Federation Admin:拥有配置身份提供方的完整访问权限。
  • 互连管理员:有权配置互连资源。
  • KMS 轮替作业管理员:拥有创建和管理 RotationJob 资源(用于轮替密钥管理系统 [KMS] 根密钥)的完整权限。
  • 日志查询者:拥有只读权限,可从 Log Query API 访问审核日志或操作日志端点,以查看项目的日志。
  • Marketplace Service Editor:更新和删除 Marketplace 服务。
  • 组织网络政策管理员:管理 platform 命名空间中的组织网络政策。
  • 组织会话管理员:有权访问撤消命令。绑定到此 Role 的用户会添加到 Istio ACL 中,以进行身份验证和授权。
  • 组织备份管理员:拥有读写权限,可管理备份。
  • 组织集群备份管理员:有权管理管理员集群中的备份。
  • 组织 Grafana 查看者:授予访问组织管理员集群的系统命名空间中 Grafana 实例的权限。绑定到此 ClusterRole 的用户会添加到 Istio ACL 中,以进行身份验证和授权。
  • 组织 IAM 管理员:在组织管理员集群中创建、更新和删除任何权限和允许政策。
  • 组织 IAM 查看者:对组织 IAM 管理员有权访问的所有资源拥有只读权限。
  • 组织数据库管理员:管理组织的数据库服务资源。
  • 组织升级管理员:修改组织的维护窗口。在创建组织期间,系统会自动创建维护期。
  • 组织升级查看者:查看维护窗口。
  • Project Creator:创建新项目。
  • 项目编辑者:删除项目。
  • SIEM Export Org Creator:创建 SIEMOrgForwarder 自定义资源。
  • SIEM Export Org Editor:拥有对 SIEMOrgForwarder 自定义资源的读写权限。
  • SIEM Export Org Viewer 拥有查看 SIEMOrgForwarder 自定义资源的只读权限。
  • 系统集群备份代码库管理员:拥有管理备份代码库的完全访问权限。
  • 系统集群虚拟机备份管理员:管理系统集群虚拟机 (VM) 的备份。
  • Transfer Appliance 请求创建者:可以读取和创建 Transfer Appliance 请求,以便您使用大容量存储服务器快速安全地将大量数据转移到 Distributed Cloud。
  • 用户集群备份管理员:管理用户集群中的备份资源,例如备份和恢复计划。
  • 用户集群管理员:创建、更新和删除用户集群,并管理用户集群的生命周期。
  • 用户集群 CRD 查看器:对用户集群中的自定义资源定义 (CRD) 具有只读访问权限。
  • 用户集群开发者:在用户集群中拥有集群管理员权限。
  • 用户集群节点查看者:在用户集群中拥有只读集群管理员权限。
  • VPN 管理员:拥有对所有 VPN 相关资源的读写权限。
  • VPN 查看者:拥有对所有 VPN 相关资源的读取权限。

AO 角色

应用运维人员 (AO) 是平台管理员 (PA) 组织内开发团队的成员。AO 会与项目级资源进行交互。您可以向团队成员分配以下预定义角色:

  • 备份创建器:创建手动备份和恢复。
  • Certificate Authority Service Admin:有权管理其项目中的证书授权机构和证书请求。
  • 信息中心编辑者:拥有对 Dashboard 自定义资源的读写权限。
  • Dashboard Viewer:拥有对 Dashboard 自定义资源的只读权限。
  • Global Load Balancer Admin:对全局 API 服务器中项目命名空间内的所有负载均衡器资源具有读取和写入权限。
  • Harbor Instance Admin:拥有对项目中的 Harbor 实例进行管理的完整访问权限。
  • Harbor Instance Viewer:拥有只读权限,可查看项目中的 Harbor 实例。
  • Harbor Project Creator:有权管理 Harbor 实例项目。
  • K8s 网络政策管理员:管理用户集群中的网络政策。
  • KMS Admin:管理项目中的 KMS 密钥,包括 AEADKeySigningKey 密钥。此角色还可以导入和导出密钥。
  • KMS 创建者:对项目中的 KMS 密钥具有创建和读取权限。
  • KMS Developer:有权使用项目中的密钥执行加密操作。
  • KMS 密钥导出管理员:有权从 KMS 中导出 KMS 密钥(以封装的密钥形式)。
  • KMS 密钥导入管理员:有权将 KMS 密钥作为封装的密钥导入到 KMS 中。
  • KMS 查看者:对其项目中的 KMS 密钥具有只读访问权限,并且可以查看密钥导入和导出。
  • Load Balancer Admin:对项目命名空间中的所有负载均衡器资源拥有读写权限。
  • Marketplace 编辑者:有权在项目中的服务实例上执行创建、更新和删除操作。
  • MonitoringRule Editor:拥有对 MonitoringRule 资源的读写权限。
  • MonitoringRule Viewer:拥有对 MonitoringRule 自定义资源的只读权限。
  • MonitoringTarget Editor:拥有对 MonitoringTarget 自定义资源的读写权限。
  • MonitoringTarget Viewer:拥有对 MonitoringTarget 自定义资源的只读权限。
  • NAT 查看者:拥有对用户集群中部署的只读权限。
  • 命名空间管理员:管理项目命名空间中的所有资源。
  • ObservabilityPipeline Editor:对 ObservabilityPipeine 自定义资源拥有读写权限。
  • ObservabilityPipeline Viewer:拥有对 ObservabilityPipeline 自定义资源的只读权限。
  • Project Bucket Admin:管理存储分区和存储分区内的对象。
  • 项目存储分区对象管理员:对项目中的存储分区具有只读权限,对这些存储分区中的对象具有读写权限。
  • Project Bucket Object Viewer:拥有对项目内存储分区以及这些存储分区中对象的只读权限。
  • Project Cortex Alertmanager Viewer:授予访问项目命名空间中 Cortex Alertmanager 实例的权限。
  • Project Cortex Prometheus Viewer:授予访问项目命名空间中 Cortex Prometheus 实例的权限。
  • 项目 Grafana 查看者:访问舰队管理员集群的项目命名空间中的 Grafana 实例。
  • Project IAM Admin:管理项目的 IAM 许可政策。
  • Project NetworkPolicy Admin:管理项目命名空间中的项目网络政策。
  • Project DB Admin:管理项目的数据服务。
  • 项目数据库编辑者:拥有对项目的数据库服务的读写权限。
  • Project DB Viewer:拥有对项目的数据库服务的只读访问权限。
  • 项目查看者:拥有对项目命名空间内所有资源的只读权限。
  • Project VirtualMachine Admin:管理项目命名空间中的虚拟机。
  • Project VirtualMachine Image Admin:管理项目命名空间中的虚拟机映像。
  • Secret Admin:管理项目中的 Kubernetes Secret。
  • Secret Viewer:查看项目中的 Kubernetes Secret。
  • Service Configuration Admin:对项目命名空间内的服务配置具有读写权限。
  • 服务配置查看者:拥有对项目命名空间内服务配置的读取权限。
  • 系统集群虚拟机备份创建者:可以创建和查看备份及恢复。
  • Vertex AI 光学字符识别 (OCR) 开发者:访问系统集群中的 OCR 服务。
  • Vertex AI Speech-to-Text Developer:访问系统集群中的 Speech-to-Text 服务。
  • Vertex AI Translation Developer:访问系统集群中的 Translation 服务。
  • 卷复制管理员:管理卷复制资源。
  • Workbench Notebooks Admin:对项目命名空间中的所有笔记本资源拥有读写权限。
  • Workbench Notebooks Viewer:拥有对项目命名空间内所有笔记本资源的只读权限。
  • 工作负载查看者:拥有对项目中工作负载的读取权限。

常见角色

以下预定义的常见角色适用于所有通过身份验证的用户:

  • AI Platform Viewer:授予查看预训练服务的权限。
  • AIS 调试器:拥有对 iam-system 命名空间中所有 GKE Identity Service (AIS) 资源的完整访问权限。
  • AIS 监控器:拥有对 iam-system 命名空间中所有 AIS 资源的只读权限。
  • 数据库选项查看器:查看可在数据库服务中使用的所有配置选项。
  • DB UI Viewer:向经过身份验证的用户授予查看数据库服务界面的权限。
  • DNS Key Manager:对资源 DNSSEC 密钥配置和密钥材料拥有读取和写入权限。
  • DNS 后缀查看器:访问域名服务 (DNS) 后缀配置映射。
  • IAM Debugger:对 iam-system 命名空间中角色类型为 RoleClusterRole 的所有 IAM 资源具有读写权限,以便进行缓解。
  • IAM 监控器:对角色类型为 RoleClusterRoleiam-system 命名空间中的所有 Identity and Access Management (IAM) 资源具有只读权限。
  • Marketplace Service Viewer:允许所有已通过身份验证的用户对系统命名空间中的 Marketplace 服务进行读取访问。
  • Marketplace Viewer:拥有对服务版本和服务实例的只读权限。
  • 价格计算器用户:对库存单元 (SKU) 说明拥有只读权限。
  • Project Discovery Viewer:向所有已通过身份验证的用户授予对项目视图的读取权限。
  • 公共映像查看者:对命名空间 vm-images 中的公共虚拟机映像拥有读取权限,适用于所有经过身份验证的用户。
  • 系统制品注册表 anthos-creds Secret 监控器:对 anthos-creds 命名空间中的 Secret 具有只读访问权限。
  • 系统 Artifact Registry gpc-system Secret 监控器:对 gpc-system 命名空间中的 Secret 具有只读访问权限。
  • 系统 Artifact Registry harbor-system Secret 调试器:拥有完全访问权限,可调试和缓解 harbor-system 命名空间中的 Secret。
  • 系统制品注册表 harbor-system Secret 监控器:对 harbor-system 命名空间中的 Secret 具有只读访问权限。
  • 虚拟机类型查看者:拥有对集群范围的虚拟机类型的读取权限。
  • 虚拟机类型查看者:对管理员集群上预定义的虚拟机类型具有读取权限。