預先定義角色的說明

Google Distributed Cloud (GDC) air-gapped 具有下列預先定義的角色,可指派給團隊成員:

PA 角色

平台管理員 (PA) 負責管理機構層級的資源,以及專案生命週期管理。您可以將下列預先定義的角色指派給團隊成員:

  • 稽核記錄平台還原值區建立者:建立備份值區,還原平台稽核記錄。
  • 稽核記錄平台 Bucket 檢視器:查看平台稽核記錄的備份 Bucket。
  • AI Platform 管理員:授予管理預先訓練服務的權限。
  • 備份存放區管理員:管理備份存放區。
  • 帳單檢視者:具備費用表頁面上 SKU 說明、庫存機器和車隊的唯讀存取權。
  • 值區管理員:管理機構和專案中的儲存空間值區,以及這些值區中的物件。
  • 值區管理員 (全域):管理機構和專案中的單一可用區值區,以及這些值區中的物件。
  • 值區物件管理員:具備機構內值區的唯讀存取權,以及這些值區中物件的讀寫存取權。
  • Bucket 物件管理員 (全域):具備機構及其專案中雙區域 bucket 的唯讀權限,以及這些 bucket 中物件的讀寫權限。
  • Bucket Object Viewer:具備機構內值區和這些值區中物件的唯讀存取權。
  • Bucket 物件檢視者 (全域):Bucket 物件檢視者具有機構及其專案中雙區域 bucket 的唯讀權限,以及這些 bucket 中物件的唯讀權限。
  • 自訂角色機構管理員:在機構或專案中建立及管理自訂角色。
  • 資訊主頁 PA 建立者:為整個機構建立 Dashboard 自訂資源。
  • 資訊主頁 PA 編輯者:具備整個機構的Dashboard自訂資源讀寫權限。
  • 資訊主頁 PA 檢視者:具備整個機構的Dashboard自訂資源唯讀存取權。
  • 災難復原備份管理員:執行災難復原備份。
  • DR 系統管理員:管理 dr-system 命名空間中的資源,以便在管理叢集上設定備份。
  • 流程記錄管理員:管理流程記錄資源,用於記錄網路流量中繼資料。
  • 流量記錄檢視者:提供流量記錄設定的唯讀存取權。
  • GDCH Restrict By Attributes Policy Admin:擁有GDCHRestrictByAttributes限制的完整存取權。
  • GDCH 受限服務政策管理員:管理機構的政策範本,並具備限制的完整存取權。為機構或專案套用或還原政策。
  • 全域 PNP 管理員:在全域專案命名空間中,擁有所有多區域專案網路政策 (PNP) 資源的寫入權限。
  • IdP 聯盟管理員:具備設定識別資訊提供者的完整存取權。
  • 互連網路管理員:可設定互連網路資源。
  • KMS 輪替作業管理員:可完整存取 RotationJob 資源,並建立及管理該資源,以輪替金鑰管理系統 (KMS) 根金鑰。
  • 記錄查詢 API 查詢者:具備唯讀存取權,可透過記錄查詢 API 存取稽核記錄或作業記錄端點,查看專案的記錄。
  • LoggingRule PA Creator:為整個機構建立 LoggingRule 自訂資源。
  • LoggingRule PA Editor:編輯整個機構的LoggingRule自訂資源。
  • LoggingRule PA Viewer:檢視整個機構的 LoggingRule 自訂資源。
  • LoggingTarget PA Creator:為整個機構建立 LoggingTarget 自訂資源。
  • LoggingTarget PA Editor:編輯整個機構的 LoggingTarget 自訂資源。
  • LoggingTarget PA Viewer:檢視整個機構的LoggingTarget自訂資源。
  • 監控規則 PA 建立者:為整個機構建立 MonitoringRule 自訂資源。
  • MonitoringRule PA 編輯者:具備整個機構的 MonitoringRule 資源讀寫權限。
  • MonitoringRule PA 檢視者:具備整個機構的MonitoringRule自訂資源唯讀存取權。
  • 監控目標 PA 建立者:為整個機構建立MonitoringTarget自訂資源。
  • MonitoringTarget PA 編輯者:具備整個機構的自訂資源讀寫權限。MonitoringTarget
  • MonitoringTarget PA 檢視者:具備整個機構的MonitoringTarget自訂資源唯讀存取權。
  • ObservabilityPipeline PA 建立者:為整個機構建立ObservabilityPipeine自訂資源。
  • ObservabilityPipeline PA 編輯者:具備整個機構的自訂資源讀寫權限。ObservabilityPipeine
  • ObservabilityPipeline PA 檢視者:具備整個機構的自訂資源唯讀存取權。ObservabilityPipeline
  • 機構網路政策管理員:管理 platform 命名空間中的機構網路政策。
  • 機構工作階段管理員:可存取撤銷指令。系統會將繫結至這個 Role 的使用者新增至 ACL,以進行驗證和授權。
  • 機構備份管理員:具備讀取和寫入權限,可管理備份。
  • 機構叢集備份管理員:可管理管理員叢集中的備份。
  • 機構 IAM 檢視者:具備機構 IAM 管理員有權存取的所有資源的唯讀存取權。
  • 機構資料庫管理員:管理機構的資料庫服務資源。
  • 機構 Grafana 檢視器:在 Grafana 監控執行個體的資訊主頁上,以視覺化方式呈現機構相關的可觀測性資料。
  • 機構 IAM 管理員:在 Management API 伺服器中建立、更新及刪除任何權限和允許政策。
  • 機構升級管理員:修改機構的維護期間。建立機構時,系統會自動建立維護期間。
  • 機構升級檢視者:查看維護期間。
  • 專案 Bucket 管理員:管理專案的雙區域 Bucket,以及這些 Bucket 中的物件。
  • 專案值區物件管理員:具備專案內雙區域值區的唯讀權限,以及這些值區中物件的讀寫權限。
  • 專案 Bucket 物件檢視者:具備專案內雙區域 Bucket 的唯讀權限,以及這些 Bucket 中物件的唯讀權限。
  • 專案建立者:建立新專案。
  • 專案編輯者:刪除專案。
  • 子網路機構管理員 (全域):管理機構內的多個區域子網路。
  • 子網路機構管理員:管理機構內的區域子網路。
  • SIEM 匯出機構建立者:建立SIEMOrgForwarder自訂資源。
  • SIEM 匯出機構編輯者:具備自訂資源的讀寫權限。SIEMOrgForwarder
  • SIEM 匯出機構檢視者:具備唯讀存取權,可查看SIEMOrgForwarder自訂資源。
  • 系統叢集備份存放區管理員:具備管理備份存放區的完整存取權。
  • Transfer Appliance 要求建立者:可以讀取及建立 Transfer Appliance 要求,讓您使用高容量儲存伺服器,安全地將大量資料快速轉移至 Distributed Cloud。
  • 使用者叢集備份管理員:管理使用者叢集中的備份資源,例如備份和還原方案。
  • 使用者叢集管理員:建立、更新及刪除使用者叢集,並管理使用者叢集的生命週期。
  • 使用者叢集 CRD 檢視者:具備使用者叢集內自訂資源定義 (CRD) 的唯讀存取權。
  • 使用者叢集開發人員:在使用者叢集中具有叢集管理員權限。
  • 使用者叢集節點檢視器:在使用者叢集中擁有唯讀叢集管理員權限。
  • VPN 管理員:具備所有 VPN 相關資源的讀寫權限。
  • VPN 檢視者:具備所有 VPN 相關資源的讀取權限。

AO 角色

應用程式運算子 (AO) 是平台管理員 (PA) 機構內的開發團隊成員。AO 會與專案層級的資源互動。您可以將下列預先定義的角色指派給團隊成員:

  • AI OCR 開發人員:存取光學字元辨識服務,偵測圖片中的文字。
  • AI Speech Chirp 開發人員:存取 Speech-to-Text 服務的 Chirp 模型,辨識語音並轉錄音訊。
  • AI Speech Developer:存取 Speech-to-Text 服務,辨識語音並轉錄音訊。
  • AI 文字嵌入開發人員:存取文字嵌入服務,將英文自然語言轉換為數值向量。
  • AI 文字嵌入多語言開發人員:存取文字嵌入服務,將多語言自然語言轉換為數值向量。
  • AI Translation 開發人員:存取 Vertex AI Translation 服務,翻譯文字。
  • 備份建立工具:建立手動備份及還原。
  • 憑證授權單位服務管理員:有權管理專案中的憑證授權單位和憑證要求。
  • 自訂角色專案管理員:在專案中建立及管理自訂角色。
  • 資訊主頁編輯者:具備Dashboard自訂資源的讀寫權限。
  • 資訊主頁檢視者:具備Dashboard自訂資源的唯讀存取權。
  • Discovery Engine 管理員:取得所有 Discovery Engine 資源的完整存取權。
  • Discovery Engine 開發人員:取得所有 Discovery Engine 資源的讀寫權限。
  • Discovery Engine 讀取者:取得所有 Discovery Engine 資源的讀取權限。
  • 全域負載平衡器管理員:在全域 API 伺服器中,對專案命名空間內的所有負載平衡器資源具有讀取和寫入權限。
  • Harbor 執行個體管理員:具備完整存取權,可管理專案中的 Harbor 執行個體。
  • Harbor 執行個體檢視者:具備唯讀存取權,可查看專案中的 Harbor 執行個體。
  • Harbor 專案建立者:可管理 Harbor 執行個體專案。
  • K8s 網路政策管理員:管理使用者叢集中的網路政策。
  • KMS 管理員:管理專案中的 KMS 金鑰,包括 AEADKeySigningKey 金鑰。這個角色也能匯入及匯出金鑰。
  • KMS 建立者:有權在專案中建立及讀取 KMS 金鑰。
  • KMS 開發人員:可存取專案中的金鑰,並使用這些金鑰執行加密作業。
  • KMS 金鑰匯出管理員:有權從 KMS 匯出 KMS 金鑰 (以包裝金鑰的形式)。
  • KMS 金鑰匯入管理員:有權以包裝金鑰的形式,將 KMS 金鑰匯入 KMS。
  • KMS 檢視者:可對專案中的 KMS 金鑰進行唯讀存取,並檢視金鑰匯入和匯出作業。
  • LoggingRule Creator:在專案命名空間中建立 LoggingRule 自訂資源。
  • LoggingRule 編輯器:編輯專案命名空間中的 LoggingRule 自訂資源。
  • LoggingRule Viewer:查看專案命名空間中的 LoggingRule 自訂資源。
  • LoggingTarget 建立者:在專案命名空間中建立 LoggingTarget 自訂資源。
  • LoggingTarget 編輯者:編輯專案命名空間中的 LoggingTarget 自訂資源。
  • LoggingTarget 檢視者:查看專案命名空間中的自訂資源 LoggingTarget
  • 負載平衡器管理員:具備專案命名空間中所有負載平衡器資源的讀取和寫入權限。
  • Marketplace 編輯者:有權在專案中建立、更新及刪除服務執行個體。
  • MonitoringRule 編輯者:具備 MonitoringRule 資源的讀寫權限。
  • MonitoringRule 檢視者:具備MonitoringRule自訂資源的唯讀存取權。
  • MonitoringTarget 編輯者:具備自訂資源的讀寫權限。MonitoringTarget
  • MonitoringTarget 檢視者:具備MonitoringTarget自訂資源的唯讀存取權。
  • 命名空間管理員:管理專案命名空間中的所有資源。
  • NAT 檢視者:具備使用者叢集中部署作業的唯讀存取權。
  • ObservabilityPipeline 編輯者:具備自訂資源的讀寫權限。ObservabilityPipeine
  • ObservabilityPipeline 檢視者:具備自訂資源的唯讀存取權。ObservabilityPipeline
  • 專案值區管理員:管理值區內的儲存空間值區和物件。
  • 專案值區物件管理員:具備專案內值區的唯讀存取權,以及這些值區中物件的讀寫存取權。
  • 專案值區物件檢視者:具備專案內值區和這些值區中物件的唯讀存取權。
  • 專案 IAM 管理員:管理專案的 IAM 允許政策。
  • 專案 NetworkPolicy 管理員:管理專案命名空間中的專案網路政策。
  • 專案資料庫管理員:管理專案的資料庫服務。
  • 專案資料庫編輯者:具備專案資料庫服務的讀取/寫入存取權。
  • 專案資料庫檢視者:具備專案資料庫服務的唯讀存取權。
  • 專案檢視者:具備專案命名空間中所有資源的唯讀存取權。
  • 專案 VirtualMachine 管理員:管理專案命名空間中的 VM。
  • 專案虛擬機器映像檔管理員:管理專案命名空間中的 VM 映像檔。
  • Secret 管理員:管理專案中的 Kubernetes Secret。
  • Secret 檢視者:查看專案中的 Kubernetes Secret。
  • 服務設定管理員:可讀取及寫入專案命名空間中的服務設定。
  • 服務設定檢視者:可讀取專案命名空間內的服務設定。
  • 子網路專案管理員 (全域):管理專案中的多個可用區子網路。
  • 子網路專案管理員:管理專案中的可用區子網路。
  • 子網路專案操作者:管理專案中自動分配的葉片類型子網路。
  • Vertex AI 預測使用者:存取 Online Prediction 服務,向模型端點提出要求。
  • 磁碟區複製管理員:管理磁碟區複製資源。
  • Workbench Notebooks 管理員:取得專案命名空間中所有筆記本資源的讀寫權限。
  • Workbench Notebooks 檢視者:取得專案命名空間中所有筆記本資源的唯讀存取權,並查看 Vertex AI Workbench 使用者介面。
  • 工作負載檢視者:具備專案中工作負載的讀取權限。

常見角色

下列預先定義的常見角色適用於所有已驗證的使用者:

  • AI Platform 檢視者:授予查看預先訓練服務的權限。
  • 資料庫選項檢視者:查看可用於資料庫服務的所有設定選項。
  • 資料庫使用者介面檢視者:授予已驗證使用者權限,可查看資料庫服務使用者介面。
  • DNS 後置字串檢視器:存取網域名稱服務 (DNS) 後置字串設定對應。
  • 流量記錄管理員:具備所有流量記錄資源的讀寫權限。
  • Flow Log 檢視者:具備所有 Flow Log 資源的唯讀存取權。
  • Marketplace 檢視者:具備服務版本的唯讀存取權。
  • Pricing Calculator 使用者:擁有庫存單位 (SKU) 說明的唯讀存取權。
  • 專案探索檢視者:所有已通過驗證的使用者都具有專案檢視畫面的讀取權限。
  • 公開映像檔檢視者:具備命名空間 vm-images 中公開 VM 映像檔的讀取權限,適用於所有已通過驗證的使用者。
  • 虛擬機器類型檢視者:具備叢集範圍內虛擬機器類型的讀取權限。
  • VM 類型檢視者:具備預先定義虛擬機器類型的讀取權限。