預先定義角色的說明

基礎架構營運人員 (IO)、平台管理員 (PA) 和應用程式營運人員 (AO) 等目標對象群組並非角色。這些目標對象群組是使用者角色的集合,對應至特定權限,並指派給個別使用者。詳情請參閱「說明文件目標對象」。

這個頁面的每個部分都會列出可指派給團隊成員的預先定義角色。

基礎架構營運者角色

IO 具有管理根管理員叢集和機構生命週期的權限。您可以指派給團隊成員的預先定義角色如下:

  • AuditLoggingTarget Creator:在根管理員叢集中建立AuditLoggingTarget自訂資源。
  • AuditLoggingTarget 編輯器:編輯根管理員叢集中的 AuditLoggingTarget 自訂資源。
  • AuditLoggingTarget 檢視者:在根管理員叢集中查看 AuditLoggingTarget 自訂資源。
  • AuditLoggingTarget IO Creator:在專案命名空間中建立 AuditLoggingTarget 自訂資源。
  • AuditLoggingTarget IO Editor:編輯專案命名空間中的自訂資源 AuditLoggingTarget
  • AuditLoggingTarget IO Viewer:查看專案命名空間中的 AuditLoggingTarget 自訂資源。
  • 稽核記錄備份還原建立者:建立備份移轉工作設定,並還原稽核記錄。
  • 稽核記錄備份還原編輯者:編輯備份轉移工作設定,以及還原稽核記錄。
  • 稽核記錄基礎架構 Bucket 檢視者:查看基礎架構稽核記錄的備份 Bucket。
  • AIS 管理員:擁有 GKE Identity Service (AIS) Pod 和部署項目的讀取和寫入權限。
  • AIS Debugger:具備 AIS 資源的讀寫權限,可進行緩解措施。
  • AIS 監控器:具備 iam-system 命名空間中 AIS 資源的讀取權限。
  • 任意構件叢集檢視者:具備基礎架構叢集控制層或管理層中物件儲存空間儲存桶的讀取權限。
  • 任意構件分配器:可讀取及寫入基礎架構叢集控制平面或管理平面中的模型構件。
  • ATAT 管理員:授予管理 ATAT 組合相關資源的權限。
  • AuthzPDP Debugger:具備授權政策決策點 (PDP) 資源的讀寫權限,可進行緩解和偵錯。
  • 備份管理員:管理備份資源,例如機構管理員叢集中的備份和還原方案。
  • 帳單月結單建立者:在根管理員叢集中手動建立帳單月結單。
  • Cert Manager System Cluster Debugger:管理與 cert-manager 相關的資源。
  • 資訊主頁建立工具:在根管理叢集中建立Dashboard自訂資源。
  • 資訊主頁編輯器:在根管理叢集中編輯 Dashboard 自訂資源。
  • 資訊主頁檢視者:在根管理員叢集中查看 Dashboard 自訂資源。
  • 資訊主頁 IO 建立工具:在專案命名空間中建立Dashboard自訂資源。
  • 資訊主頁 IO 編輯器:編輯專案命名空間中的 Dashboard 自訂資源。
  • 資訊主頁 IO 檢視者:查看專案命名空間中的 Dashboard 自訂資源。
  • DBS Debugger:具備資料庫服務的讀取和寫入權限。
  • DNS 管理員:更新 DNS 檔案。
  • DNS 偵錯工具:具備所有 DNS 資源的讀寫權限。
  • DNS 監控員:具備所有 DNS 資源的讀取權限。
  • DNS 尾碼檢視器:檢視 DNS 尾碼 configmap。
  • DR 管理員:可執行所有災難復原工作。
  • 災難復原還原管理員:執行災難復原還原作業。
  • DR 系統管理員:管理 dr-system 命名空間中的資源,以便在控制平面上設定備份。
  • 緊急 SSH 憑證管理員:具備緊急存取權限,並使用根管理員叢集中的 SSH 節點。
  • EZ Debugger:授予存取 EasySaaS 資源的權限,以偵錯 API 版本 rbac.authorization.k8s.io/v1
  • FluentBit Creator:在根管理員叢集中建立 FluentBit 自訂資源。
  • FluentBit 編輯器:在根管理員叢集中編輯 FluentBit 自訂資源。
  • FluentBit Viewer:在根管理員叢集中查看 FluentBit 自訂資源。
  • FluentBit IO Creator:在專案命名空間中建立 FluentBit 自訂資源。
  • FluentBit IO 編輯器:在專案命名空間中編輯 FluentBit 自訂資源。
  • FluentBit IO 檢視器:在專案命名空間中查看 FluentBit 自訂資源。
  • Gatekeeper 管理員:可重新啟動部署作業及修補密鑰。
  • Gemini Artifact Distributor:具備 gemini-model-artifact-registry 資源的物件儲存空間值區讀寫權限。
  • Gemini Artifacts Cluster Viewer:具備叢集命名空間中物件儲存空間 bucket 的讀取權限。
  • Grafana 偵錯工具:授予 obs-system 命名空間中 Grafana 資源的管理員存取權。
  • Grafana 檢視者:授予在根管理員叢集的系統命名空間中存取 Grafana 執行個體的權限。
  • Harbor 執行個體憑證輪替器:有權管理專案中的密鑰。
  • Harbor 執行個體偵錯工具:可存取基礎 Harbor 服務和工作負載,以便在基礎架構叢集管理平面中偵錯問題。
  • Harbor 執行個體偵錯工具:可存取基礎 Harbor 服務和工作負載,以便在基礎架構叢集控制層中偵錯問題。
  • Harbor 執行個體偵錯工具專案角色:可存取基礎 Harbor 服務和工作負載,以便偵錯專案命名空間中的問題。
  • Harbor 執行個體操作者:可存取基礎 Harbor 服務和工作負載,以偵錯問題。
  • 硬體管理員:具備硬體資源的完整存取權,例如交換器、機架和伺服器。
  • HSM 管理員:具備根管理員叢集中硬體安全模組 (HSM) 資源的讀取/寫入權限。這個角色可以排解 HSM 相關問題,並執行涉及 HSM 的手動密鑰輪替和手動備份程序。
  • HSM 系統密鑰監控:具有唯讀存取權,可查看 hsm-system 命名空間中的密鑰。
  • HSM 系統密鑰輪替器:具備 hsm-system 命名空間中密鑰的讀取、更新和編輯權限。
  • HDWR 管理員:具備硬體相關資源的完整存取權。
  • HWDR 檢視者:具備硬體相關資源的唯讀存取權。
  • Kiali 管理員:授予存取 Kiali 資訊主頁的權限,以便偵錯 Istio 服務網格。
  • KMS 管理員:讀取機構管理員叢集中的 KMS 金鑰、匯入、匯出及輪替作業。這個角色也可以管理 KMS 的部署作業和 Pod,並查看其記錄。
  • KMS 系統偵錯工具:可讀取及寫入 KMS 部署作業、Pod 和記錄。
  • KUB IPAM Debugger:具有自訂CIDRClaim資源的讀取和寫入權限。
  • KUB Monitor:具備 KUB 中所有資源的唯讀權限。
  • LogCollector Creator:在根管理員叢集中建立 LogCollector 自訂資源。
  • LogCollector 編輯器:在根管理員叢集中編輯 LogCollector 自訂資源。
  • LogCollector Viewer:在根管理員叢集中查看 LogCollector 自訂資源。
  • LogCollector IO Creator:在專案命名空間中建立 LogCollector 自訂資源。
  • LogCollector IO 編輯者:在專案命名空間中編輯 LogCollector 自訂資源。
  • LogCollector IO Viewer:在專案命名空間中查看 LogCollector 自訂資源。
  • LoggingRule Creator:在根管理員叢集中建立 LoggingRule 自訂資源。
  • LoggingRule 編輯器:在根管理員叢集中編輯 LoggingRule 自訂資源。
  • LoggingRule Viewer:在根管理員叢集中查看 LoggingRule 自訂資源。
  • LoggingRule IO Creator:在專案命名空間中建立 LoggingRule 自訂資源。
  • LoggingRule IO 編輯者:編輯專案命名空間中的 LoggingRule 自訂資源。
  • LoggingRule IO Viewer:在專案命名空間中查看 LoggingRule 自訂資源。
  • LoggingTarget IO Creator:在專案命名空間中建立 LoggingTarget 自訂資源。
  • LoggingTarget IO Editor:在專案命名空間中編輯 LoggingTarget 自訂資源。
  • LoggingTarget IO 檢視器:在專案命名空間中查看 LoggingTarget 自訂資源。
  • 記錄查詢 API 查詢者:存取 Log Query API 來查詢記錄。
  • 監控規則建立者:在根管理員叢集中建立 MonitoringRule 自訂資源。
  • MonitoringRule 編輯器:在根管理員叢集中編輯 MonitoringRule 自訂資源。
  • MonitoringRule 檢視者:在根管理員叢集中查看 MonitoringRule 自訂資源。
  • MonitoringRule IO Creator:在專案命名空間中建立 MonitoringRule 自訂資源。
  • MonitoringRule IO 編輯器:在專案命名空間中編輯 MonitoringRule 自訂資源。
  • MonitoringRule IO 檢視者:在專案命名空間中查看 MonitoringRule 自訂資源。
  • MonitoringTarget 建立者:在根管理員叢集中建立MonitoringTarget自訂資源。
  • MonitoringTarget 編輯器:在根管理員叢集中編輯 MonitoringTarget 自訂資源。
  • MonitoringTarget 檢視者:在根管理員叢集中查看 MonitoringTarget 自訂資源。
  • MonitoringTarget IO Creator:在專案命名空間中建立MonitoringTarget自訂資源。
  • MonitoringTarget IO Editor:在專案命名空間中編輯 MonitoringTarget 自訂資源。
  • MonitoringTarget IO Viewer:在專案命名空間中查看 MonitoringTarget 自訂資源。
  • MZ Bootstrap Anchor Reader:具有下列自訂資源的區域讀取權限:ZoneServiceConfigMapDNSRegistration
  • MZ Bootstrap Joining Editor:有權編輯 KeyPair 自訂資源。
  • MZ Bootstrap Viewer:具有全域 API mz-system namespaceTokenRequest 自訂資源的讀取權限。
  • MZ Configsync 管理員:在區域根管理員叢集中,擁有與多區域 Configsync 相關的管理員權限。
  • MZ Configsync 全球管理員:在全域 API 中具有多區域 Configsync 相關管理員權限。
  • MZ Etcd 管理員:擁有與 etcd 多區域啟動程序相關資源的編輯權限。
  • MZ Etcd 子元件清理工具:具備 etcd 資源的編輯權限。Subcomponent
  • MZ Etcd Viewer:具備與 etcd 啟動程序和作業資源相關的各種資源讀取權限。
  • MZ Global API Portforward:擁有全域 API Pod 的連接埠轉送權限。
  • MZ Global Etcd Admin:擁有全域 API 密鑰、etcd 叢集和 etcd 區域資源的編輯權限。
  • MZ Global Etcd Viewer:擁有全域 API 密鑰、etcd 叢集和 etcd 區域資源的讀取權限。
  • MZ Kube API 資源監控器:具備 Pod、部署作業,以及與多區域啟動和作業程序相關的子元件讀取權限。
  • MZ Monitor:在兩個管理員叢集中,都具備控制層資源的讀取權限。
  • MZ 資源群組管理員:擁有 Pod、部署作業、密鑰和憑證資源的編輯權限。
  • ObservabilityPipeline Creator:在根管理員叢集中建立ObservabilityPipeline自訂資源。
  • 可觀測性管道編輯器:在根管理員叢集中編輯 ObservabilityPipeline 自訂資源。
  • ObservabilityPipeline 檢視者:在根管理員叢集中查看 ObservabilityPipeline 自訂資源。
  • ObservabilityPipeline IO Creator:在專案命名空間中建立 ObservabilityPipeline 自訂資源。
  • 可觀測性管道 IO 編輯器:編輯專案命名空間中的 ObservabilityPipeline 自訂資源。
  • ObservabilityPipeline IO Viewer:查看專案命名空間中的 ObservabilityPipeline 自訂資源。
  • 可觀測性管理員:具備命名空間中物件的讀取/寫入權限。obs-system
  • 可觀測性管理員偵錯工具:具有叢集專屬的管理員存取權,可存取 obs-system 命名空間中的可觀測性資源。這個角色可精細控管管理員叢集內的存取權。
  • 可觀測性偵錯工具:具備 obs-system 命名空間中可觀測性資源的完整存取權。
  • 可觀測性系統偵錯工具:具備機構層級管理員存取權,可存取 obs-system 命名空間中的可觀測性資源。這個角色可集中管理可觀測性管理員存取權。
  • 觀測檢視者:具備唯讀權限,可查看 obs-system 命名空間中的物件。
  • OCLCM Debugger:具備偵錯 OCLCM 物件的讀寫權限。
  • OCLCM 檢視者:具備唯讀權限,可查看 OCLCM 物件。
  • 機構管理員:建立及刪除機構,並管理機構的生命週期。
  • 機構帳單管理員:具備機構管理員叢集中帳單資源的完整存取權。
  • 機構帳單管理員系統叢集:具備管理員存取權,可管理系統叢集內的帳單作業。
  • 機構帳單檢視者:具備機構帳單資源的唯讀存取權。
  • 機構系統構件管理管理員:具備系統命名空間中所有 Harbor 專案的資源管理存取權。
  • PERF 管理員監控:具備 PERF bucket、服務帳戶和密鑰的讀取權限。
  • PERF 管理員資源維護者:擁有所有虛擬機器 (VM)、VM 磁碟、VM 外部存取權、VM 要求、值區、專案服務帳戶、AEAD 金鑰、簽署金鑰和 PERF 服務帳戶的讀取和寫入存取權。
  • PERF Debugger:具備專案命名空間中工作的讀寫權限。
  • PERF 系統監控:具備專案命名空間中所有 Pod、PERF configmap 和 Cron 工作項目的唯讀存取權。
  • PERF 系統資源維護者:可讀取及寫入專案命名空間中的所有服務。
  • PNET Debugger:具備所有 PNET 資源的讀寫權限。
  • PNET 監控:具備所有 PNET 資源的唯讀權限。
  • 政策管理員:管理機構的政策範本,並擁有限制的完整存取權。
  • Project Cortex Alertmanager Editor:編輯專案命名空間中的 Cortex Alertmanager 執行個體。
  • Project Cortex Alertmanager Viewer:查看專案命名空間中的 Cortex Alertmanager 執行個體。
  • Project Cortex Prometheus Viewer:在專案命名空間中查看 Cortex Prometheus 執行個體。
  • 專案 Grafana 檢視者:在專案命名空間中查看 Grafana 執行個體。
  • 遠端記錄器管理員:具備 remote-logger 資源的完整存取權。
  • 遠端記錄器檢視者:具備 remote-logger 資源的唯讀存取權。
  • Root Cortex Alertmanager Editor:授予在根管理員叢集上編輯 Cortex Alertmanager 執行個體的權限。
  • 根 Cortex Alertmanager 檢視者:授予存取根管理員叢集上 Cortex Alertmanager 執行個體的權限。
  • 根 Cortex Prometheus 檢視者:授予存取根管理員叢集上 Cortex Prometheus 執行個體的權限。
  • 根工作階段管理員:授予在根管理員叢集中執行撤銷作業的權限。
  • 安全管理員:在根管理員叢集中建立、更新及刪除任何權限和政策。這個角色無法存取機構和專案資源。
  • 安全性檢視者:具備安全性管理員可存取的所有資源的唯讀存取權。
  • Service Now 管理員 (機構管理員叢集):具備機構管理員叢集中網路元件的讀寫權,可管理 ServiceNow 應用程式。
  • Service Now 管理員 (使用者叢集):具備系統叢集中系統元件的讀取和寫入權限,可管理 ServiceNow 應用程式。
  • SERV 管理員偵錯工具:可修改 SERV 資源和部署作業,並提供偵錯所需的非 SERV 資源唯讀權限。
  • SERV 管理員監控:可修改 SERV 資源和部署作業。
  • SERV 管理員監控 Secret:可查看 gpc-system 命名空間中的 Secret,因為伺服器 Secret 沒有固定名稱。
  • SERV 管理員密鑰監控:IO 可查看 gpc-system 命名空間中的密鑰,因為伺服器密鑰沒有固定名稱。
  • SIEM 匯出基礎架構建立者:在機構管理員和根管理員叢集中建立及讀取自訂資源。SIEMInfraForwarder
  • SIEM 匯出基礎架構編輯者:具備機構管理員和根管理員叢集中自訂資源的讀取和寫入權限。SIEMInfraForwarder
  • SIEM 匯出基礎架構檢視者:具備機構管理員和根管理員叢集中SIEMInfraForwarder自訂資源的唯讀存取權。
  • 系統構件管理密鑰管理員:具備密鑰資源的管理員存取權,可管理登錄檔鏡像設定。
  • 系統 Artifact Registry Harbor 管理員:具備 Harbor 專案的管理員存取權。
  • 系統構件登錄檔 Harbor 讀取:具備 Harbor 專案的唯讀存取權。
  • 系統 Artifact Registry Harbor ReadWrite:具備 Harbor 專案的讀取和寫入權限。
  • 系統構件登錄檔偵錯工具:具備所有 Harbor 資源的讀寫權限。
  • 系統構件登錄檔監控:具備根管理員叢集中 Harbor 資源的讀取和寫入權限。
  • 系統叢集管理員:可讀取及寫入系統叢集中的任何權限和政策。這個角色具備機構層級的存取權。
  • 系統叢集 DNS 偵錯工具:具有系統叢集內任何權限的建立和讀取存取權。
  • 系統叢集 Vertex AI Debugger:可完整存取 Vertex AI 平台。
  • 系統叢集檢視者:具備系統叢集內任何權限和政策的讀寫權限。
  • 系統專案虛擬機器管理員:有權管理系統專案中的 VM。
  • Tenable Nessus 管理員:具備機構和根管理員叢集中網路元件的讀寫權限,可管理 Tenable.sc 和 Nessus 應用程式。
  • Transfer Appliance 申請管理員:管理平台管理員 (PA) 建立的 Transfer Appliance 申請。您可以使用高容量儲存伺服器,透過 Transfer Appliance 快速安全地將大量資料轉移至 Distributed Cloud。
  • UNET CLI 機構管理員監控:在 UNET 資源上擁有建立和讀取權限,可在機構管理員叢集中執行 gdcloud system network 指令。
  • UNET CLI Root Admin Monitor:在 UNET 資源上具有建立和讀取權限,可在根管理員叢集中執行 gdcloud system network 指令。
  • UNET CLI 系統監控:具備 UNET 資源的建立和讀取權限,可在系統叢集上執行 gdcloud system network 指令。
  • UNET CLI 使用者監控:有權在使用者叢集上執行 gdcloud system network 指令。
  • 升級管理員:授予權限,可將新構件載入叢集的 Harbor 登錄檔。
  • 升級 Debugger:在系統叢集中,對升級資源具有讀寫權限。
  • 使用者叢集 Debugger:具備完整存取權,可偵錯及解決使用者叢集中的問題。
  • 使用者叢集 DNS 偵錯工具:在使用者叢集中具有建立和讀取權限。
  • UI Debugger:有權重新啟動 UI 部署作業。
  • Vertex AI Debugger:具備完整存取權,可減輕預先訓練服務的負擔。
  • VPN Debugger For Management Plane API server:在 Management API 伺服器中,對所有與 VPN 相關的資源具有讀取和寫入權限。
  • 機構邊界叢集的 VPN 偵錯工具:具備邊界叢集中所有 VPN 相關資源的讀取和寫入權限。

PA 角色

平台管理員 (PA) 負責管理機構層級的資源,以及專案生命週期管理。您可以將下列預先定義的角色指派給團隊成員:

  • AI Platform 管理員:授予管理預先訓練服務的權限。
  • 備份存放區管理員:管理備份存放區。
  • 帳單檢視者:具備費用表頁面上 SKU 說明、庫存機器和車隊的唯讀存取權。
  • 值區管理員:管理機構和專案中的儲存空間值區,以及這些值區中的物件。
  • 值區物件管理員:具備機構內值區的唯讀存取權,以及這些值區中物件的讀寫存取權。
  • Bucket Object Viewer:具備機構內值區和這些值區中物件的唯讀存取權。
  • CTM 金鑰編輯器:具備管理 CTM 金鑰的完整存取權,例如刪除金鑰。
  • CTM 金鑰檢視者:具備 CTM 金鑰的唯讀存取權。
  • 災難復原備份管理員:執行災難復原備份。
  • DR 系統管理員:管理 dr-system 命名空間中的資源,以便在管理叢集上設定備份。
  • DR 系統管理員 MP:管理 dr-system 命名空間中的資源,以便在管理叢集上設定備份。
  • DR 系統管理員 MP:管理 dr-system 命名空間中的資源,以便在管理叢集上設定備份。
  • 流程記錄管理員:管理流程記錄資源,用於記錄網路流量中繼資料。
  • 流量記錄檢視者:提供流量記錄設定的唯讀存取權。
  • GDCH Restrict By Attributes Policy Admin:擁有GDCHRestrictByAttributes限制的完整存取權。
  • GDCH 受限服務政策管理員:管理機構的政策範本,並具備限制的完整存取權。為機構或專案套用或還原政策。全域 PNP 管理員:在全域專案命名空間中,擁有所有多區域專案網路政策 (PNP) 資源的寫入權限。
  • IdP 聯盟管理員:具備設定識別資訊提供者的完整存取權。
  • 互連網路管理員:可設定互連網路資源。
  • KMS 輪替作業管理員:可完整存取 RotationJob 資源,並建立及管理該資源,以輪替金鑰管理系統 (KMS) 根金鑰。
  • 記錄查詢者:具備唯讀存取權,可透過 Log Query API 存取稽核記錄或作業記錄端點,查看專案記錄。
  • Marketplace 服務編輯者:更新及刪除 Marketplace 服務。
  • 機構網路政策管理員:管理命名空間中的機構網路政策。platform
  • 機構工作階段管理員:可存取撤銷指令。繫結至這個 Role 的使用者會新增至 Istio ACL,以進行驗證和授權。
  • 機構備份管理員:具備讀取和寫入權限,可管理備份。
  • 機構叢集備份管理員:可管理管理員叢集中的備份。
  • 機構 Grafana 檢視者:授予權限,可存取機構管理員叢集系統命名空間中的 Grafana 執行個體。系統會將繫結至這個 ClusterRole 的使用者新增至 Istio ACL,以進行驗證和授權。
  • 機構 IAM 管理員:在機構管理員叢集中建立、更新及刪除任何權限和允許政策。
  • 機構 IAM 檢視者:具備機構 IAM 管理員有權存取的所有資源的唯讀存取權。
  • 機構資料庫管理員:管理機構的資料庫服務資源。
  • 機構升級管理員:修改機構的維護期間。建立機構時,系統會自動建立維護期間。
  • 機構升級檢視者:查看維護期間。
  • 專案建立者:建立新專案。
  • 專案編輯者:刪除專案。
  • SIEM 匯出機構建立者:建立SIEMOrgForwarder自訂資源。
  • SIEM 匯出機構編輯者:具備自訂資源的讀寫權限。SIEMOrgForwarder
  • SIEM 匯出機構檢視者:具備唯讀存取權,可查看SIEMOrgForwarder自訂資源。
  • 系統叢集備份存放區管理員:具備管理備份存放區的完整權限。
  • 系統叢集 VM 備份管理員:管理系統叢集虛擬機器 (VM) 的備份。
  • Transfer Appliance 要求建立者:可以讀取及建立 Transfer Appliance 要求,讓您使用高容量儲存伺服器,安全地將大量資料快速轉移至 Distributed Cloud。
  • 使用者叢集備份管理員:管理使用者叢集中的備份資源,例如備份和還原方案。
  • 使用者叢集管理員:建立、更新及刪除使用者叢集,並管理使用者叢集的生命週期。
  • 使用者叢集 CRD 檢視者:具備使用者叢集內自訂資源定義 (CRD) 的唯讀存取權。
  • 使用者叢集開發人員:在使用者叢集中具有叢集管理員權限。
  • 使用者叢集節點檢視器:在使用者叢集中擁有唯讀叢集管理員權限。
  • VPN 管理員:具備所有 VPN 相關資源的讀寫權限。
  • VPN 檢視者:具備所有 VPN 相關資源的讀取權限。

AO 角色

應用程式操作人員 (AO) 是平台管理員 (PA) 機構內的開發團隊成員。AO 會與專案層級的資源互動。您可以將下列預先定義的角色指派給團隊成員:

  • 備份建立工具:建立手動備份及還原。
  • 憑證授權單位服務管理員:有權管理專案中的憑證授權單位和憑證要求。
  • 資訊主頁編輯者:具備Dashboard自訂資源的讀寫權限。
  • 資訊主頁檢視者:具備Dashboard自訂資源的唯讀存取權。
  • 全域負載平衡器管理員:在全域 API 伺服器中,對專案命名空間內的所有負載平衡器資源具有讀取和寫入權限。
  • Harbor 執行個體管理員:具備完整存取權,可管理專案中的 Harbor 執行個體。
  • Harbor 執行個體檢視者:具備唯讀存取權,可查看專案中的 Harbor 執行個體。
  • Harbor 專案建立者:可管理 Harbor 執行個體專案。
  • K8s 網路政策管理員:管理使用者叢集中的網路政策。
  • KMS 管理員:管理專案中的 KMS 金鑰,包括 AEADKeySigningKey 金鑰。這個角色也能匯入及匯出金鑰。
  • KMS 建立者:有權在專案中建立及讀取 KMS 金鑰。
  • KMS 開發人員:可存取專案中的金鑰,並使用這些金鑰執行加密作業。
  • KMS 金鑰匯出管理員:有權從 KMS 匯出 KMS 金鑰 (以包裝金鑰的形式)。
  • KMS 金鑰匯入管理員:有權以包裝金鑰的形式,將 KMS 金鑰匯入 KMS。
  • KMS 檢視者:可對專案中的 KMS 金鑰進行唯讀存取,並檢視金鑰匯入和匯出作業。
  • 負載平衡器管理員:具備專案命名空間中所有負載平衡器資源的讀取和寫入權限。
  • Marketplace 編輯者:有權在專案中建立、更新及刪除服務執行個體。
  • MonitoringRule 編輯者:具備 MonitoringRule 資源的讀寫權限。
  • MonitoringRule 檢視者:具備MonitoringRule自訂資源的唯讀存取權。
  • MonitoringTarget 編輯者:具備自訂資源的讀寫權限。MonitoringTarget
  • MonitoringTarget 檢視者:具備MonitoringTarget自訂資源的唯讀存取權。
  • NAT 檢視者:具備使用者叢集中部署作業的唯讀存取權。
  • 命名空間管理員:管理專案命名空間中的所有資源。
  • ObservabilityPipeline 編輯者:具備自訂資源的讀寫權限。ObservabilityPipeine
  • ObservabilityPipeline 檢視者:具備自訂資源的唯讀存取權。ObservabilityPipeline
  • 專案值區管理員:管理值區內的儲存空間值區和物件。
  • 專案值區物件管理員:具備專案內值區的唯讀存取權,以及這些值區中物件的讀寫存取權。
  • 專案值區物件檢視者:具備專案內值區和這些值區中物件的唯讀存取權。
  • Project Cortex Alertmanager Viewer:授予在專案命名空間中存取 Cortex Alertmanager 執行個體的權限。
  • Project Cortex Prometheus Viewer:授予存取專案命名空間中 Cortex Prometheus 執行個體的權限。
  • 專案 Grafana 檢視者:存取機群管理叢集專案命名空間中的 Grafana 執行個體。
  • 專案 IAM 管理員:管理專案的 IAM 允許政策。
  • 專案 NetworkPolicy 管理員:管理專案命名空間中的專案網路政策。
  • 專案 DB 管理員:管理專案的資料服務。
  • 專案資料庫編輯者:具備專案資料庫服務的讀取/寫入存取權。
  • 專案資料庫檢視者:具備專案資料庫服務的唯讀存取權。
  • 專案檢視者:具備專案命名空間中所有資源的唯讀存取權。
  • 專案 VirtualMachine 管理員:管理專案命名空間中的 VM。
  • 專案虛擬機器映像檔管理員:管理專案命名空間中的 VM 映像檔。
  • Secret 管理員:管理專案中的 Kubernetes Secret。
  • Secret 檢視者:查看專案中的 Kubernetes Secret。
  • 服務設定管理員:可讀取及寫入專案命名空間中的服務設定。
  • 服務設定檢視者:可讀取專案命名空間內的服務設定。
  • 系統叢集 VM 備份建立者:可以建立及查看備份和還原作業。
  • Vertex AI 光學字元辨識 (OCR) 開發人員:存取系統叢集中的 OCR 服務。
  • Vertex AI Speech-to-Text 開發人員:存取系統叢集中的 Speech-to-Text 服務。
  • Vertex AI Translation 開發人員:存取系統叢集中的 Translation 服務。
  • 磁碟區複製管理員:管理磁碟區複製資源。
  • Workbench Notebooks 管理員:具備專案命名空間中所有 Notebook 資源的讀寫權限。
  • Workbench Notebooks 檢視者:具備專案命名空間內所有 Notebook 資源的唯讀存取權。
  • 工作負載檢視者:具備專案中工作負載的讀取權限。

常見角色

下列預先定義的常見角色適用於所有已驗證的使用者:

  • AI Platform 檢視者:授予查看預先訓練服務的權限。
  • AIS Debugger:可完整存取 iam-system 命名空間中的所有 GKE Identity Service (AIS) 資源。
  • AIS 監控:具備 iam-system 命名空間中所有 AIS 資源的唯讀存取權。
  • 資料庫選項檢視者:查看可用於資料庫服務的所有設定選項。
  • 資料庫使用者介面檢視者:授予已驗證使用者權限,可查看資料庫服務使用者介面。
  • DNS 金鑰管理員:具備資源的讀取和寫入權限,DNSSEC 包括金鑰設定和金鑰資料。
  • DNS 後置字串檢視器:存取網域名稱服務 (DNS) 後置字串設定對應。
  • IAM Debugger:可讀取及寫入 iam-system 命名空間中所有身分與存取權管理資源,以因應 RoleClusterRole 角色類型。
  • IAM 監控器:具備 iam-system 命名空間中所有 Identity and Access Management (IAM) 資源的唯讀存取權,適用於 RoleClusterRole 角色類型。
  • Marketplace 服務檢視者:所有已通過驗證的使用者都可讀取系統命名空間中的 Marketplace 服務。
  • Marketplace 檢視者:具備服務版本和服務執行個體的唯讀權限。
  • Pricing Calculator 使用者:擁有庫存單位 (SKU) 說明的唯讀存取權。
  • 專案探索檢視者:所有已通過驗證的使用者都具有專案檢視畫面的讀取權限。
  • 公開映像檔檢視者:具備命名空間 vm-images 中公開 VM 映像檔的讀取權限,適用於所有已通過驗證的使用者。
  • 系統 Artifact Registry anthos-creds 密鑰監控器:具有 anthos-creds 命名空間中密鑰的唯讀存取權。
  • 系統 Artifact Registry gpc-system 密鑰監控:具有 gpc-system 命名空間中密鑰的唯讀存取權。
  • 系統構件登錄檔 harbor-system 密鑰偵錯工具:具備完整存取權,可偵錯及修正 harbor-system 命名空間中的密鑰。
  • 系統構件登錄檔 harbor-system 密鑰監控:具有 harbor-system 命名空間中密鑰的唯讀存取權。
  • 虛擬機器類型檢視者:具備叢集範圍內虛擬機器類型的讀取權限。
  • VM 類型檢視者:具備管理員叢集上預先定義虛擬機器類型的讀取權限。