工作職務的預先定義角色

本文說明專為 Google Cloud中特定職務使用者設計的預先定義角色

授予 Google Cloud 資源存取權時,您可能不知道使用者需要哪些服務專屬的 IAM 角色。您可能只知道他們的大致職務,例如資料庫管理員或網站可靠性工程師。為方便授予這些使用者所需權限,Identity and Access Management (IAM) 提供專為特定職務設計的預先定義角色。這些角色包含通常存取特定工作職能相關服務所需的所有權限。請為 Google Cloud 機構中的使用者指派這些角色,這些使用者的職責與本頁面說明的職務功能最相符。

管理員

以下各節說明一些常見的管理工作職務,以及對應的預先定義角色。

資料庫管理員

資料庫管理員 (roles/iam.databasesAdmin) 角色適用於負責設定及維護機構資訊技術基礎架構的管理使用者。這些使用者負責確保機構的電腦系統、伺服器和資料安全系統安全無虞、運作效率高、維持在最新狀態,並完成備份。

資料庫管理員角色包含必要的權限,可管理Google Cloud中所有結構化和非結構化的資料儲存庫。這些權限可讓使用者執行下列操作:

  • 管理及維護資料服務,例如 Cloud SQL、Datastore、BigQuery 和 Cloud Storage。
  • 建立資訊主頁和快訊。
  • 查看記錄,偵錯資料服務。
  • 查看 Dataflow、Cloud Key Management Service 和 Pub/Sub 等相關 Google Cloud 服務的資料。

如要查看這個角色包含的特定權限清單,請前往「身分與存取權管理角色和權限」頁面,參閱「資料庫管理員角色」

基礎架構管理員

基礎架構管理員 (roles/iam.infrastructureAdmin) 角色適用於負責管理機構核心基礎架構服務效率、安全性和可靠性的管理使用者。這些使用者通常是通才,負責處理各種基礎架構元件,包括伺服器、網路和儲存空間。

基礎架構管理員角色包含管理 Google Cloud中重要基礎架構服務所需的權限。這些權限可讓使用者執行下列操作:

  • 管理及維護所有運算、網路和儲存空間服務。
  • 建立自訂資訊主頁和快訊。
  • 查看記錄,偵錯基礎架構服務。

如要查看這個角色包含的特定權限清單,請參閱「身分與存取權管理角色和權限」頁面的「基礎架構管理員」角色。

網路管理員

「網路管理員」角色 (roles/iam.networkAdmin) 適用於負責設定機構網路裝置或軟體、維護效能,以及排解網路問題 (例如安全漏洞和資源存取權) 的管理使用者。

網路管理員角色包含完整控管 Google Cloud 網路資源所需的權限。這些權限可讓使用者執行下列操作:

  • 在雲端管理及維護網路基礎架構。
  • 建立自訂資訊主頁和快訊。
  • 查看記錄,排解網路問題。

如要查看這個角色包含的特定權限清單,請前往「身分與存取權管理角色和權限」頁面,參閱「網路管理員」角色。

資料和 AI 從業人員

以下各節說明一些常見的資料和 AI 相關職務,以及對應的預先定義角色。

資料科學家

資料科學家 (roles/iam.dataScientist) 角色適用於負責收集及驗證資料、分類資料類型,以及識別資料集模式的使用者。這些使用者會運用分析資料建構模型,藉此找出業務問題的潛在解決方案。

「資料科學家」角色包含分析 Google Cloud 資源資料所需的權限,以及建立資料處理、轉換和分析管道的權限。這些權限可讓使用者執行下列操作:

  • 管理 Vertex AI、資料平台和其他相關的 Compute Engine 服務。
  • 使用事件和資料串流服務。
  • 使用監控、模擬、重要用途和偵錯功能。

如要查看這個角色包含的特定權限清單,請參閱「身分與存取權管理角色和權限」頁面的「資料科學家」角色。

機器學習工程師

機器學習工程師 (roles/iam.mlEngineer) 角色適用於專門開發機器學習模型和技術的使用者。目標是將機器學習做法標準化,並運用及擴充機器學習模型以進行部署。

機器學習工程師角色具備完全控管所有 AI Platform 功能所需的權限。這些權限可讓使用者執行下列操作:

  • 使用任何 Google Cloud AI 服務 (包括 Vertex AI、Model Armor 和 Google Kubernetes Engine),建構及部署 AI 應用程式。
  • 為機器學習應用程式建立及管理資料。
  • 查看監控、記錄和相關重要資料。

如要查看這個角色包含的特定權限清單,請前往「Identity and Access Management roles and permissions」(身分與存取權管理角色和權限) 頁面,查看 ML Engineer 角色。

營運和支援人員

以下各節說明一些常見的作業和支援相關工作職能,以及對應的預先定義角色。

開發與營運 (DevOps)

開發運作 (roles/iam.devOps) 角色適用於負責簡化機構軟體開發生命週期的使用者。這些使用者可協助建構及部署雲端應用程式,並監控應用程式的可靠性和效能。

DevOps 角色包含建構及部署應用程式、建立及管理相關聯Google Cloud 資源,以及執行管理工作所需的權限。這些權限可讓使用者執行下列操作:

  • 在虛擬機器上執行管理工作。
  • 管理及維護儲存空間物件和來源存放區。
  • 可管理部分相關 Google Cloud 資源,包括 Cloud SQL、Cloud Build、Cloud Monitoring、Cloud Logging 和服務帳戶。

如要查看這個角色包含的特定權限清單,請參閱身分與存取權管理角色和權限頁面的「DevOps」DevOps角色。

網站可靠性工程師

網站可靠性工程師 (roles/iam.siteReliabilityEngineer) 角色適用於確保機構應用程式和服務可靠、可擴充且有效率的使用者。他們負責安全有效率地更新及發布內容,並確保程式碼變更不會影響應用程式或服務的可靠性。

網站穩定性工程師角色具備必要的權限,可監控運作情形、最佳化調整及管理在 Google Cloud建構的應用程式可靠性。這些權限可讓使用者執行下列操作:

  • 查看監控和記錄資料。
  • 偵錯素材資源成效。
  • 查看部署至正式環境的資產資料。

如要查看這個角色包含的特定權限清單,請前往「身分與存取權管理角色和權限」頁面,查看「網站可靠性工程師」角色。

支援使用者

支援使用者 (roles/iam.supportUser) 角色適用於負責協助客戶解決技術問題,以及回答產品或服務相關問題的使用者。

「支援使用者」角色包含存取Google Cloud 資源資訊的必要權限,以及收集疑難排解客戶問題所需的洞察資料。這些權限可讓使用者執行下列操作:

  • 在所屬機構中建立及管理支援案件。
  • 查看資源設定和資源記錄資訊,以排解問題。
  • 讀取資源、監控和記錄資訊,以提交支援案件。

如要查看這個角色包含的特定權限清單,請前往「身分與存取權管理角色和權限」頁面,參閱「支援使用者」角色。

資安從業人員

以下各節說明一些常見的安全性相關職務,以及對應的預先定義角色。

安全稽核人員

「安全性稽核員」(roles/iam.securityAuditor) 角色適用於負責評估機構安全性狀態的使用者,確保機構能防範網路威脅,並遵守相關標準和法規。

「安全性稽核員」角色包含必要的唯讀權限,可對 Google Cloud 環境、相關聯政策和設定執行全面安全性評估。這些權限可讓使用者執行下列操作:

  • 瀏覽及查看 Google Cloud 資源、資料夾和專案階層,以及記錄。
  • 讀取安全性設定。
  • 讀取金鑰資源中繼資料。

如要查看這個角色包含的具體權限清單,請前往「身分與存取權管理角色和權限」頁面,查看「安全性稽核員」角色。

後續步驟