工作职能的预定义角色

本文档介绍了旨在授予 Google Cloud中具有特定工作职能的用户的预定义角色

在授予对 Google Cloud 资源的访问权限时,您可能不知道用户需要哪些特定于服务的 IAM 角色。不过,您可能知道他们的总体工作职能,例如数据库管理员或网站可靠性工程师。为了更轻松地向这些用户授予所需权限,Identity and Access Management (IAM) 提供了专为特定工作职能设计的预定义角色。这些角色包含访问与特定工作职能相关的服务通常所需的所有权限。将这些角色分配给您 Google Cloud 组织中职责与本页所述工作职能最相符的用户。

管理员

以下部分介绍了一些常见的管理工作职能及其对应的预定义角色。

数据库管理员

数据库管理员 (roles/iam.databasesAdmin) 角色专为负责配置和维护组织信息技术基础设施的管理用户而设计。这些用户可确保组织中的计算机系统、服务器和数据安全系统安全、高效、处于最新状态并已备份。

数据库管理员角色包含对Google Cloud中所有结构化和非结构化数据存储区进行管理访问所需的权限。这些权限可让用户执行以下操作:

  • 管理和维护 Cloud SQL、Datastore、BigQuery 和 Cloud Storage 等数据服务。
  • 创建信息中心和提醒。
  • 查看日志以调试数据服务。
  • 查看来自相关 Google Cloud 服务(例如 Dataflow、Cloud Key Management Service 和 Pub/Sub)的数据。

如需查看此角色包含的具体权限的列表,请参阅 Identity and Access Management 角色和权限页面上的数据库管理员角色

基础设施管理员

基础设施管理员 (roles/iam.infrastructureAdmin) 角色专为负责管理组织核心基础设施服务的效率、安全性和可靠性的管理用户而设计。这些用户通常是通才,负责处理不同的基础设施组件,包括服务器、网络和存储。

Infrastructure Administrator 角色包含管理 Google Cloud中关键基础架构服务所需的权限。这些权限可让用户执行以下操作:

  • 管理和维护所有计算、网络和存储服务。
  • 创建自定义信息中心和提醒。
  • 查看日志以调试基础架构服务。

如需查看此角色包含的具体权限的列表,请参阅 Identity and Access Management 角色和权限页面上的基础设施管理员角色。

网络管理员

网络管理员 (roles/iam.networkAdmin) 角色专为负责配置组织的网络设备或软件、维护其性能以及排查网络问题(例如漏洞和资源访问问题)的管理用户而设计。

网络管理员角色包含完全控制 Google Cloud 网络资源所需的权限。这些权限可让用户执行以下操作:

  • 管理和维护云中的网络基础设施。
  • 创建自定义信息中心和提醒。
  • 查看日志以调试网络问题。

如需查看此角色包含的具体权限的列表,请参阅“Identity and Access Management 角色和权限”页面上的网络管理员角色。

数据和 AI 从业者

以下部分介绍了一些常见的数据和 AI 相关职位,以及它们对应的预定义角色。

数据科学家

数据科学家 (roles/iam.dataScientist) 角色专为负责收集和验证数据、对数据类型进行分类以及识别数据集中的模式的用户而设计。这些用户会使用分析后的数据来构建模型,以针对业务问题提出潜在的解决方案。

数据科学家角色包含分析 Google Cloud 资源中的数据以及构建数据处理、转换和分析流水线所需的权限。这些权限可让用户执行以下操作:

  • 管理 Vertex AI、数据平台和其他关联的 Compute Engine 服务。
  • 使用事件和数据流服务。
  • 使用监控、模拟、密钥使用和调试功能。

如需查看此角色包含的具体权限的列表,请参阅 Identity and Access Management 角色和权限页面上的数据科学家角色。

机器学习工程师

机器学习工程师 (roles/iam.mlEngineer) 角色专为擅长开发机器学习 (ML) 模型和技术的用户而设计。其目标是标准化机器学习实践,并实现机器学习模型的运营和规模化,以便进行部署。

ML Engineer 角色包含对所有 AI Platform 功能进行完全控制所需的权限。这些权限可让用户执行以下操作:

  • 使用任何 Google Cloud AI 服务(包括 Vertex AI、Model Armor 和 Google Kubernetes Engine)构建和部署基于 AI 的应用。
  • 为机器学习应用创建和管理数据。
  • 查看监控、日志记录和关联的关键数据。

如需查看此角色包含的具体权限的列表,请参阅“Identity and Access Management 角色和权限”页面上的 ML Engineer 角色。

运营和支持人员

以下部分介绍了一些常见的运营和支持相关作业职能及其对应的预定义角色。

开发和运维 (DevOps)

DevOps (roles/iam.devOps) 角色专为负责简化组织软件开发生命周期的用户而设计。这些用户可帮助构建和部署云应用,并监控其可靠性和性能。

DevOps 角色包含构建和部署应用、创建和管理关联Google Cloud 资源以及对这些资源执行管理任务所需的权限。这些权限可让用户执行以下操作:

  • 在虚拟机上执行管理任务。
  • 管理和维护存储对象和源代码库。
  • 能够管理一些相关 Google Cloud 资源,包括 Cloud SQL、Cloud Build、Cloud Monitoring、Cloud Logging 和服务账号。

如需查看此角色中包含的具体权限的列表,请参阅 Identity and Access Management 角色和权限页面上的 DevOps 角色。

站点可靠性工程师

站点可靠性工程师 (roles/iam.siteReliabilityEngineer) 角色专为确保组织的应用和服务可靠、可扩缩且高效运行的用户而设计。他们的职责包括安全高效地进行更新和发布,并确保代码更改不会影响应用或服务的可靠性。

站点可靠性工程师角色包含对基于 Google Cloud构建的应用进行运行监控、性能优化和可靠性管理所需的权限。这些权限可让用户执行以下操作:

  • 查看监控和日志记录数据。
  • 调试素材资源效果。
  • 查看已部署到生产环境的资产中的数据。

如需查看此角色包含的特定权限的列表,请参阅 Identity and Access Management 角色和权限页面上的站点可靠性工程师角色。

支持用户

支持用户 (roles/iam.supportUser) 角色专为负责帮助客户解决技术问题并解答客户可能提出的产品或服务相关问题的用户而设计。

支持用户角色包含访问Google Cloud 资源信息所需的权限,并可收集排查客户问题所需的分析洞见。这些权限可让用户执行以下操作:

  • 在其组织中创建和管理支持请求。
  • 查看资源配置和资源日志信息,以便排查问题。
  • 读取资源、监控和日志记录信息,以便提交支持请求。

如需查看此角色包含的具体权限的列表,请参阅 Identity and Access Management 角色和权限页面上的支持用户角色。

安全从业者

以下部分介绍了一些常见的以安全为中心的工作职能及其对应的预定义角色。

安全审核人员

安全审核员 (roles/iam.securityAuditor) 角色专为负责评估组织的安全态势是否能够防范网络威胁并符合相关标准和法规的用户而设计。

Security Auditor 角色包含执行以下操作所需的只读权限:对 Google Cloud 环境、关联政策和配置进行全面的安全评估。这些权限可让用户执行以下操作:

  • 浏览和查看 Google Cloud 资源、文件夹和项目层次结构以及日志。
  • 读取安全配置。
  • 读取关键资源元数据。

如需查看此角色包含的具体权限的列表,请参阅“Identity and Access Management 角色和权限”页面上的安全审核员角色。

后续步骤