Google Distributed Cloud (GDC) air-gapped 具有下列預先定義的角色,可指派給團隊成員:
PA 角色
平台管理員 (PA) 負責管理機構層級的資源,以及專案生命週期管理。您可以將下列預先定義的角色指派給團隊成員:
- 稽核記錄平台還原值區建立者:建立備份值區,還原平台稽核記錄。
- 稽核記錄平台 Bucket 檢視器:查看平台稽核記錄的備份 Bucket。
- AI Platform 管理員:授予管理預先訓練服務的權限。
- 備份存放區管理員:管理備份存放區。
- 帳單檢視者:具備費用表頁面上 SKU 說明、庫存機器和車隊的唯讀存取權。
- 值區管理員:管理機構和專案中的儲存空間值區,以及這些值區中的物件。
- 值區管理員 (全域):管理機構和專案中的單一可用區值區,以及這些值區中的物件。
- 值區物件管理員:具備機構內值區的唯讀存取權,以及這些值區中物件的讀寫存取權。
- Bucket 物件管理員 (全域):具備機構及其專案中雙區域 bucket 的唯讀權限,以及這些 bucket 中物件的讀寫權限。
- Bucket Object Viewer:具備機構內值區和這些值區中物件的唯讀存取權。
- Bucket 物件檢視者 (全域):Bucket 物件檢視者具有機構及其專案中雙區域 bucket 的唯讀權限,以及這些 bucket 中物件的唯讀權限。
- 自訂角色機構管理員:在機構或專案中建立及管理自訂角色。
- 資訊主頁 PA 建立者:為整個機構建立
Dashboard
自訂資源。 - 資訊主頁 PA 編輯者:具備整個機構的
Dashboard
自訂資源讀寫權限。 - 資訊主頁 PA 檢視者:具備整個機構的
Dashboard
自訂資源唯讀存取權。 - 災難復原備份管理員:執行災難復原備份。
- DR 系統管理員:管理
dr-system
命名空間中的資源,以便在管理叢集上設定備份。 - 流程記錄管理員:管理流程記錄資源,用於記錄網路流量中繼資料。
- 流量記錄檢視者:提供流量記錄設定的唯讀存取權。
- GDCH Restrict By Attributes Policy Admin:擁有
GDCHRestrictByAttributes
限制的完整存取權。 - GDCH 受限服務政策管理員:管理機構的政策範本,並具備限制的完整存取權。為機構或專案套用或還原政策。
- 全域 PNP 管理員:在全域專案命名空間中,擁有所有多區域專案網路政策 (PNP) 資源的寫入權限。
- IdP 聯盟管理員:具備設定識別資訊提供者的完整存取權。
- 互連網路管理員:可設定互連網路資源。
- KMS 輪替作業管理員:可完整存取
RotationJob
資源,並建立及管理該資源,以輪替金鑰管理系統 (KMS) 根金鑰。 - 記錄查詢 API 查詢者:具備唯讀存取權,可透過記錄查詢 API 存取稽核記錄或作業記錄端點,查看專案的記錄。
- LoggingRule PA Creator:為整個機構建立
LoggingRule
自訂資源。 - LoggingRule PA Editor:編輯整個機構的
LoggingRule
自訂資源。 - LoggingRule PA Viewer:檢視整個機構的
LoggingRule
自訂資源。 - LoggingTarget PA Creator:為整個機構建立
LoggingTarget
自訂資源。 - LoggingTarget PA Editor:編輯整個機構的
LoggingTarget
自訂資源。 - LoggingTarget PA Viewer:檢視整個機構的
LoggingTarget
自訂資源。 - 監控規則 PA 建立者:為整個機構建立
MonitoringRule
自訂資源。 - MonitoringRule PA 編輯者:具備整個機構的
MonitoringRule
資源讀寫權限。 - MonitoringRule PA 檢視者:具備整個機構的
MonitoringRule
自訂資源唯讀存取權。 - 監控目標 PA 建立者:為整個機構建立
MonitoringTarget
自訂資源。 - MonitoringTarget PA 編輯者:具備整個機構的自訂資源讀寫權限。
MonitoringTarget
- MonitoringTarget PA 檢視者:具備整個機構的
MonitoringTarget
自訂資源唯讀存取權。 - ObservabilityPipeline PA 建立者:為整個機構建立
ObservabilityPipeine
自訂資源。 - ObservabilityPipeline PA 編輯者:具備整個機構的自訂資源讀寫權限。
ObservabilityPipeine
- ObservabilityPipeline PA 檢視者:具備整個機構的自訂資源唯讀存取權。
ObservabilityPipeline
- 機構網路政策管理員:管理
platform
命名空間中的機構網路政策。 - 機構工作階段管理員:可存取撤銷指令。系統會將繫結至這個
Role
的使用者新增至 ACL,以進行驗證和授權。 - 機構備份管理員:具備讀取和寫入權限,可管理備份。
- 機構叢集備份管理員:可管理管理員叢集中的備份。
- 機構 IAM 檢視者:具備機構 IAM 管理員有權存取的所有資源的唯讀存取權。
- 機構資料庫管理員:管理機構的資料庫服務資源。
- 機構 Grafana 檢視器:在 Grafana 監控執行個體的資訊主頁上,以視覺化方式呈現機構相關的可觀測性資料。
- 機構 IAM 管理員:在 Management API 伺服器中建立、更新及刪除任何權限和允許政策。
- 機構升級管理員:修改機構的維護期間。建立機構時,系統會自動建立維護期間。
- 機構升級檢視者:查看維護期間。
- 專案 Bucket 管理員:管理專案的雙區域 Bucket,以及這些 Bucket 中的物件。
- 專案值區物件管理員:具備專案內雙區域值區的唯讀權限,以及這些值區中物件的讀寫權限。
- 專案 Bucket 物件檢視者:具備專案內雙區域 Bucket 的唯讀權限,以及這些 Bucket 中物件的唯讀權限。
- 專案建立者:建立新專案。
- 專案編輯者:刪除專案。
- 子網路機構管理員 (全域):管理機構內的多個區域子網路。
- 子網路機構管理員:管理機構內的區域子網路。
- SIEM 匯出機構建立者:建立
SIEMOrgForwarder
自訂資源。 - SIEM 匯出機構編輯者:具備自訂資源的讀寫權限。
SIEMOrgForwarder
- SIEM 匯出機構檢視者:具備唯讀存取權,可查看
SIEMOrgForwarder
自訂資源。 - 系統叢集備份存放區管理員:具備管理備份存放區的完整存取權。
- Transfer Appliance 要求建立者:可以讀取及建立 Transfer Appliance 要求,讓您使用高容量儲存伺服器,安全地將大量資料快速轉移至 Distributed Cloud。
- 使用者叢集備份管理員:管理使用者叢集中的備份資源,例如備份和還原方案。
- 使用者叢集管理員:建立、更新及刪除使用者叢集,並管理使用者叢集的生命週期。
- 使用者叢集 CRD 檢視者:具備使用者叢集內自訂資源定義 (CRD) 的唯讀存取權。
- 使用者叢集開發人員:在使用者叢集中具有叢集管理員權限。
- 使用者叢集節點檢視器:在使用者叢集中擁有唯讀叢集管理員權限。
- VPN 管理員:具備所有 VPN 相關資源的讀寫權限。
- VPN 檢視者:具備所有 VPN 相關資源的讀取權限。
AO 角色
應用程式運算子 (AO) 是平台管理員 (PA) 機構內的開發團隊成員。AO 會與專案層級的資源互動。您可以將下列預先定義的角色指派給團隊成員:
- AI OCR 開發人員:存取光學字元辨識服務,偵測圖片中的文字。
- AI Speech Chirp 開發人員:存取 Speech-to-Text 服務的 Chirp 模型,辨識語音並轉錄音訊。
- AI Speech Developer:存取 Speech-to-Text 服務,辨識語音並轉錄音訊。
- AI 文字嵌入開發人員:存取文字嵌入服務,將英文自然語言轉換為數值向量。
- AI 文字嵌入多語言開發人員:存取文字嵌入服務,將多語言自然語言轉換為數值向量。
- AI Translation 開發人員:存取 Vertex AI Translation 服務,翻譯文字。
- 備份建立工具:建立手動備份及還原。
- 憑證授權單位服務管理員:有權管理專案中的憑證授權單位和憑證要求。
- 自訂角色專案管理員:在專案中建立及管理自訂角色。
- 資訊主頁編輯者:具備
Dashboard
自訂資源的讀寫權限。 - 資訊主頁檢視者:具備
Dashboard
自訂資源的唯讀存取權。 - Discovery Engine 管理員:取得所有 Discovery Engine 資源的完整存取權。
- Discovery Engine 開發人員:取得所有 Discovery Engine 資源的讀寫權限。
- Discovery Engine 讀取者:取得所有 Discovery Engine 資源的讀取權限。
- 全域負載平衡器管理員:在全域 API 伺服器中,對專案命名空間內的所有負載平衡器資源具有讀取和寫入權限。
- Harbor 執行個體管理員:具備完整存取權,可管理專案中的 Harbor 執行個體。
- Harbor 執行個體檢視者:具備唯讀存取權,可查看專案中的 Harbor 執行個體。
- Harbor 專案建立者:可管理 Harbor 執行個體專案。
- K8s 網路政策管理員:管理使用者叢集中的網路政策。
- KMS 管理員:管理專案中的 KMS 金鑰,包括
AEADKey
和SigningKey
金鑰。這個角色也能匯入及匯出金鑰。 - KMS 建立者:有權在專案中建立及讀取 KMS 金鑰。
- KMS 開發人員:可存取專案中的金鑰,並使用這些金鑰執行加密作業。
- KMS 金鑰匯出管理員:有權從 KMS 匯出 KMS 金鑰 (以包裝金鑰的形式)。
- KMS 金鑰匯入管理員:有權以包裝金鑰的形式,將 KMS 金鑰匯入 KMS。
- KMS 檢視者:可對專案中的 KMS 金鑰進行唯讀存取,並檢視金鑰匯入和匯出作業。
- LoggingRule Creator:在專案命名空間中建立
LoggingRule
自訂資源。 - LoggingRule 編輯器:編輯專案命名空間中的
LoggingRule
自訂資源。 - LoggingRule Viewer:查看專案命名空間中的
LoggingRule
自訂資源。 - LoggingTarget 建立者:在專案命名空間中建立
LoggingTarget
自訂資源。 - LoggingTarget 編輯者:編輯專案命名空間中的
LoggingTarget
自訂資源。 - LoggingTarget 檢視者:查看專案命名空間中的自訂資源
LoggingTarget
。 - 負載平衡器管理員:具備專案命名空間中所有負載平衡器資源的讀取和寫入權限。
- Marketplace 編輯者:有權在專案中建立、更新及刪除服務執行個體。
- MonitoringRule 編輯者:具備
MonitoringRule
資源的讀寫權限。 - MonitoringRule 檢視者:具備
MonitoringRule
自訂資源的唯讀存取權。 - MonitoringTarget 編輯者:具備自訂資源的讀寫權限。
MonitoringTarget
- MonitoringTarget 檢視者:具備
MonitoringTarget
自訂資源的唯讀存取權。 - 命名空間管理員:管理專案命名空間中的所有資源。
- NAT 檢視者:具備使用者叢集中部署作業的唯讀存取權。
- ObservabilityPipeline 編輯者:具備自訂資源的讀寫權限。
ObservabilityPipeine
- ObservabilityPipeline 檢視者:具備自訂資源的唯讀存取權。
ObservabilityPipeline
- 專案值區管理員:管理值區內的儲存空間值區和物件。
- 專案值區物件管理員:具備專案內值區的唯讀存取權,以及這些值區中物件的讀寫存取權。
- 專案值區物件檢視者:具備專案內值區和這些值區中物件的唯讀存取權。
- 專案 IAM 管理員:管理專案的 IAM 允許政策。
- 專案 NetworkPolicy 管理員:管理專案命名空間中的專案網路政策。
- 專案資料庫管理員:管理專案的資料庫服務。
- 專案資料庫編輯者:具備專案資料庫服務的讀取/寫入存取權。
- 專案資料庫檢視者:具備專案資料庫服務的唯讀存取權。
- 專案檢視者:具備專案命名空間中所有資源的唯讀存取權。
- 專案 VirtualMachine 管理員:管理專案命名空間中的 VM。
- 專案虛擬機器映像檔管理員:管理專案命名空間中的 VM 映像檔。
- Secret 管理員:管理專案中的 Kubernetes Secret。
- Secret 檢視者:查看專案中的 Kubernetes Secret。
- 服務設定管理員:可讀取及寫入專案命名空間中的服務設定。
- 服務設定檢視者:可讀取專案命名空間內的服務設定。
- 子網路專案管理員 (全域):管理專案中的多個可用區子網路。
- 子網路專案管理員:管理專案中的可用區子網路。
- 子網路專案操作者:管理專案中自動分配的葉片類型子網路。
- Vertex AI 預測使用者:存取 Online Prediction 服務,向模型端點提出要求。
- 磁碟區複製管理員:管理磁碟區複製資源。
- Workbench Notebooks 管理員:取得專案命名空間中所有筆記本資源的讀寫權限。
- Workbench Notebooks 檢視者:取得專案命名空間中所有筆記本資源的唯讀存取權,並查看 Vertex AI Workbench 使用者介面。
- 工作負載檢視者:具備專案中工作負載的讀取權限。
常見角色
下列預先定義的常見角色適用於所有已驗證的使用者:
- AI Platform 檢視者:授予查看預先訓練服務的權限。
- 資料庫選項檢視者:查看可用於資料庫服務的所有設定選項。
- 資料庫使用者介面檢視者:授予已驗證使用者權限,可查看資料庫服務使用者介面。
- DNS 後置字串檢視器:存取網域名稱服務 (DNS) 後置字串設定對應。
- 流量記錄管理員:具備所有流量記錄資源的讀寫權限。
- Flow Log 檢視者:具備所有 Flow Log 資源的唯讀存取權。
- Marketplace 檢視者:具備服務版本的唯讀存取權。
- Pricing Calculator 使用者:擁有庫存單位 (SKU) 說明的唯讀存取權。
- 專案探索檢視者:所有已通過驗證的使用者都具有專案檢視畫面的讀取權限。
- 公開映像檔檢視者:具備命名空間
vm-images
中公開 VM 映像檔的讀取權限,適用於所有已通過驗證的使用者。 - 虛擬機器類型檢視者:具備叢集範圍內虛擬機器類型的讀取權限。
- VM 類型檢視者:具備預先定義虛擬機器類型的讀取權限。