Definições de papéis para projetos

As tabelas desta seção descrevem diferentes papéis predefinidos e as respectivas permissões. As tabelas contêm as seguintes colunas:

  • Nome:o nome de uma função exibida na interface do usuário (UI).
  • Nome do recurso do Kubernetes:o nome do recurso personalizado correspondente do Kubernetes.
  • Nível:especificação de se o escopo desse papel é a organização ou um projeto.
  • Permissões de cluster de administrador ou de usuário:as permissões que essa função tem para clusters de administrador ou de usuário. Por exemplo, alguns valores possíveis são leitura, gravação, leitura e gravação ou não aplicável (N/A).
  • Escalonamento para:especifica se essa função é escalonada para outras funções ou não.

Todos os papéis têm o tipo IAMRole. Conceda a um assunto permissões no servidor da API global usando IAMRoleBinding para um IAMRole predefinido. Todas as funções e vinculações de função são globais.

Grupo de público-alvo da AO, identidade predefinida e papéis de acesso

Grupo de público-alvo da AO
Nome Nome do recurso do Kubernetes Administrador inicial Nível
Desenvolvedor de OCR de IA ai-ocr-developer Falso Projeto
Leitor do AI Platform ai-platform-viewer Falso Projeto
Desenvolvedor do Chirp de voz de IA ai-speech-chirp-developer Falso Projeto
Desenvolvedor de IA de fala ai-speech-developer Falso Projeto
Desenvolvedor de embeddings de texto de IA ai-text-embedding-developer Falso Projeto
Desenvolvedor multilíngue de embeddings de texto de IA ai-text-embedding-multilingual-developer Falso Projeto
Desenvolvedor de IA de tradução ai-translation-developer Falso Projeto
Criador de backup backup-creator Falso Projeto
Administrador do Certificate Authority Service certificate-authority-service-admin Falso Projeto
Administrador de projetos com função personalizada global-custom-role-project-admin Falso Projeto
Editor de painel dashboard-editor Falso Projeto
Leitor de painéis dashboard-viewer Falso Projeto
Administrador do Discovery Engine vaisearch-admin Falso Projeto
Desenvolvedor do Discovery Engine vaisearch-developer Falso Projeto
Leitor do Discovery Engine vaisearch-reader Falso Projeto
Administrador do balanceador de carga global global-load-balancer-admin Falso Projeto
Administrador de instâncias do Harbor harbor-instance-admin Falso Projeto
Leitor de instâncias do Harbor harbor-instance-viewer Falso Projeto
Criador de projetos do Harbor harbor-project-creator Falso Projeto
Administrador do NetworkPolicy do K8s k8s-networkpolicy-admin Falso Projeto
Administrador do KMS kms-admin Falso Projeto
Criador do KMS kms-creator Falso Projeto
Desenvolvedor do KMS kms-developer Falso Projeto
Administrador de exportação de chaves do KMS kms-keyexport-admin Falso Projeto
Administrador da importação de chaves do KMS kms-keyimport-admin Falso Projeto
Leitor do KMS kms-viewer Falso Projeto
Administrador do Balanceador de Carga load-balancer-admin Falso Projeto
LoggingRule Creator loggingrule-creator Falso Projeto
Editor de LoggingRule loggingrule-editor Falso Projeto
Leitor de LoggingRule loggingrule-viewer Falso Projeto
Criador de LoggingTarget loggingtarget-creator Falso Projeto
Editor do LoggingTarget loggingtarget-editor Falso Projeto
Leitor do LoggingTarget loggingtarget-viewer Falso Projeto
Editor do Marketplace marketplace-editor Falso Projeto
Editor do MonitoringRule monitoringrule-editor Falso Projeto
Leitor de MonitoringRule monitoringrule-viewer Falso Projeto
Editor do MonitoringTarget monitoringtarget-editor Falso Projeto
Leitor do MonitoringTarget monitoringtarget-viewer Falso Projeto
Administrador de namespace namespace-admin Falso Projeto
Visualizador de NAT nat-viewer Falso Projeto
Editor do ObservabilityPipeline observabilitypipeline-editor Falso Projeto
Leitor do ObservabilityPipeline observabilitypipeline-viewer Falso Projeto
Administrador de bucket do projeto project-bucket-admin Falso Projeto
Administrador de objetos do bucket do projeto project-bucket-object-admin Falso Projeto
Leitor de objetos do bucket do projeto project-bucket-object-viewer Falso Projeto
Administrador de IAM do projeto project-iam-admin Verdadeiro Projeto
Administrador de NetworkPolicy do projeto project-networkpolicy-admin Falso Projeto
Administrador de banco de dados do projeto project-db-admin Falso Projeto
Editor de banco de dados do projeto project-db-editor Falso Projeto
Leitor de banco de dados do projeto project-db-viewer Falso Projeto
Leitor do projeto. project-viewer Falso Projeto
Administrador de máquinas virtuais do projeto project-vm-admin Falso Projeto
Administrador de imagens de máquinas virtuais do projeto project-vm-image-admin Falso Projeto
Administrador de secrets secret-admin Falso Projeto
Leitor de secrets secret-viewer Falso Projeto
Administrador da configuração do serviço service-configuration-admin Falso Projeto
Leitor de configuração do serviço service-configuration-viewer Falso Projeto
Administrador de projetos de sub-rede subnet-project-admin Falso Projeto
Operador de projeto de sub-rede subnet-project-operator Falso Projeto
Administrador da replicação de volume app-volume-replication-admin Falso Cluster
Usuário da Previsão da Vertex AI vertex-ai-prediction-user Falso Projeto
Administrador de notebooks do Workbench workbench-notebooks-admin Falso Projeto
Leitor do Notebooks do Workbench workbench-notebooks-viewer Falso Projeto

Grupo de público-alvo da AO, identidade predefinida e papéis de acesso

Grupo de público-alvo da AO
Nome Permissões do servidor da API Management Permissões do cluster do Kubernetes Encaminha para
Desenvolvedor de OCR de IA Recursos de OCR:leitura e gravação N/A N/A
Desenvolvedor do Chirp de voz de IA Recursos do Speech Chirp:leitura e gravação N/A N/A
Desenvolvedor de IA de fala Recursos de fala:leitura e gravação N/A N/A
Desenvolvedor de embeddings de texto de IA Recursos de embedding de texto:leitura e gravação N/A N/A
Desenvolvedor multilíngue de embeddings de texto de IA Recursos multilíngues de embeddings de texto:leitura e gravação N/A N/A
Desenvolvedor de IA de tradução Recursos de tradução:leitura e gravação N/A N/A
Criador de backup N/A
  • Backups e restaurações manuais:criar, ler e excluir
  • Backups, restaurações, planos de backup e de restauração, backups e restaurações de volume, solicitações de exclusão de backup:leitura
 N/A
Administrador do Certificate Authority Service Autoridades certificadoras e solicitações de certificado:receber, listar, monitorar, atualizar, criar, excluir e corrigir N/A N/A
Administrador de projetos com função personalizada
  • RoleBinding:criar, ler, atualizar e excluir
  • Listar namespace do projeto
 N/A Todas as outras funções do AO
Editor de painel Recursos personalizados do Dashboard:receber, ler, criar, atualizar, excluir e corrigir N/A N/A
Leitor de painéis Dashboard:receber e ler N/A N/A
Administrador do Discovery Engine Discovery Engine:receber, ler, criar, atualizar, excluir e corrigir N/A N/A
Desenvolvedor do Discovery Engine Discovery Engine:receber e ler N/A N/A
Leitor do Discovery Engine Discovery Engine: Lida N/A N/A
Administrador do balanceador de carga global N/A
  • HealthCheck:get, watch, list, create, patch, update e delete
  • BackendService:get, watch, list, create, patch, update e delete
  • ForwardingRuleExternal:get, watch, list, create, patch, update e delete
  • ForwardingRuleInternal:get, watch, list, create, patch, update e delete
 N/A
Administrador de instâncias do Harbor Instâncias do Harbor:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor de instâncias do Harbor Instâncias do Harbor:leitura N/A N/A
Criador de projetos do Harbor Projetos de instância do Harbor:criar, receber e assistir N/A N/A
Administrador do NetworkPolicy do K8s Recursos NetworkPolicy: criar, ler, receber, atualizar, excluir e patch N/A N/A
Administrador do KMS
  • AEADKey:criar, ler, atualizar, excluir, corrigir, criptografar e descriptografar
  • SigningKey:criar, ler, atualizar, excluir, corrigir e assinar
  • KeyImport e KeyExport:leitura
 N/A N/A
Criador do KMS AEADKey e SigningKey:criar e ler N/A N/A
Desenvolvedor do KMS
  • AEADKey no namespace do projeto:leitura, criptografia e descriptografia
  • SigningKey no namespace do projeto:leitura e assinatura
 N/A N/A
Administrador de exportação de chaves do KMS Recurso KeyExport:criar, ler, atualizar, patch e excluir N/A N/A
Administrador da importação de chaves do KMS Recurso KeyImport:criar, ler, atualizar, patch e excluir N/A N/A
Leitor do KMS AEADKey, SigningKey, KeyImport, KeyExport: Ler N/A N/A
Administrador do Balanceador de Carga N/A
  • Backend:get, watch, list, create, patch, update e delete
  • HealthCheck:get, watch, list, create, patch, update e delete
  • BackendService:get, watch, list, create, patch, update e delete
  • ForwardingRuleExternal:get, watch, list, create, patch, update e delete
  • ForwardingRuleInternal:get, watch, list, create, patch, update e delete
 N/A
LoggingRule Creator Recursos personalizados LoggingRule:criar, ler, atualizar, excluir e corrigir N/A N/A
Editor de LoggingRule Recursos personalizados LoggingRule:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor de LoggingRule Recursos personalizados LoggingRule:leitura N/A N/A
Criador de LoggingTarget Recursos personalizados LoggingTarget:criar, ler, atualizar, excluir e corrigir N/A N/A
Editor do LoggingTarget Recursos personalizados LoggingTarget:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor do LoggingTarget Recursos personalizados LoggingTarget:leitura N/A N/A
Editor do Marketplace N/A Instâncias de serviço:criar, atualizar e excluir N/A
Editor do MonitoringRule Recursos personalizados MonitoringRule:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor de MonitoringRule Recursos personalizados MonitoringRule:leitura N/A N/A
Editor do MonitoringTarget Recursos personalizados MonitoringTarget:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor do MonitoringTarget Recursos personalizados MonitoringTarget:leitura N/A N/A
Administrador de namespace N/A Todos os recursos:acesso de leitura e gravação no namespace do projeto N/A
Visualizador de NAT N/A Implantações: receber e ler N/A
Editor do ObservabilityPipeline Recursos ObservabilityPipeline:get, read, create, update, delete e patch N/A N/A
Leitor do ObservabilityPipeline Recursos do ObservabilityPipeline:receber e ler N/A N/A
Administrador de bucket do projeto Bucket:leitura e gravação no namespace do projeto N/A N/A
Administrador de objetos do bucket do projeto
  • Bucket:leitura
  • Objetos:leitura e gravação
 N/A N/A
Leitor de objetos do bucket do projeto Bucket e objetos:leitura N/A N/A
Administrador de IAM do projeto
  • IAMRoleBinding e IAMRole:criar, ler, atualizar, excluir e vincular
  • ProjectServiceAccount:criar, ler, atualizar e excluir
  • Listar namespace do projeto
 N/A Todas as outras funções do AO
Administrador de NetworkPolicy do projeto Políticas de rede do projeto:leitura e gravação no namespace do projeto N/A N/A
Administrador de banco de dados do projeto
  • Versões, flags, políticas de manutenção, bibliotecas de software e propriedades do projeto de banco de dados:leitura
  • Planos de backup e clusters de banco de dados:criar, ler, atualizar e excluir
  • Importações, exportações e restaurações:criar, ler e excluir
  • Secrets:criar, excluir e atualizar
  • Migrações e servidores externos:criar, ler, atualizar, excluir e corrigir
 N/A N/A
Editor de banco de dados do projeto
  • Versões, flags, políticas de manutenção, bibliotecas de software, planos de backup e restaurações de banco de dados:leitura
  • Importações:criar, ler e excluir
  • Clusters de banco de dados:leitura e atualização
  • Secrets:criar e excluir
 N/A N/A
Leitor de banco de dados do projeto Versões de banco de dados, flags, políticas de manutenção, bibliotecas de software, planos de backup, restaurações, importações, exportações, clusters de banco de dados e failovers:leitura N/A N/A
Leitor do projeto. Todos os recursos no namespace do projeto:leitura N/A N/A
Administrador de máquinas virtuais do projeto
  • Máquinas virtuais, discos, solicitações de acesso, acesso externo, solicitações de backup, backups, solicitações de restauração, solicitações de exclusão de backup, restaurações e solicitações de redefinição de senha:leitura, criação, atualização e exclusão
  • Reinicialização da máquina virtual:PUT
  • Imagens de máquinas virtuais, planos e modelos de planos de backup:leitura
 N/A N/A
Administrador de imagens de máquinas virtuais do projeto
  • Imagens de VM:leitura
  • Importações de imagens de VM:leitura e gravação
  • Buckets:Criar
  • Bucket"vm-images-bucket":leitura e gravação
 N/A N/A
Administrador de secrets Secrets do Kubernetes:ler, criar, atualizar, excluir e corrigir N/A N/A
Leitor de secrets Secrets do Kubernetes:leitura N/A N/A
Administrador da configuração do serviço ServiceConfigurations:leitura e gravação N/A N/A
Leitor de configuração do serviço ServiceConfigurations: Lida N/A N/A
Administrador de projetos de sub-rede Sub-redes:criar, ler, atualizar e excluir. N/A N/A
Operador de projeto de sub-rede Sub-redes:criar, ler, atualizar e excluir. N/A N/A
Usuário da Previsão da Vertex AI Previsões on-line:leitura e gravação N/A N/A
Administrador da replicação de volume Volume failovers, volume relationship replicas:create, get, list, watch, delete N/A N/A
Administrador de notebooks do Workbench N/A
  • Recursos personalizados (CRs) do notebook no namespace do projeto:criar, ler, atualizar e excluir
  • Objetos ClusterInfo:leitura
 N/A
Leitor do Notebooks do Workbench N/A
  • Recursos personalizados (CRs) do notebook no namespace do projeto:leitura
 N/A
Leitor de carga de trabalho N/A
  • Recursos personalizados do pod no namespace do projeto:leitura
  • Recursos personalizados de implantação no namespace do projeto:leitura
 N/A

Papéis comuns predefinidos de identidade e acesso

Funções comuns
Nome Nome do recurso do Kubernetes Administrador inicial Nível
Leitor do AI Platform ai-platform-viewer Falso Projeto
Leitor da interface do usuário do banco de dados db-ui-viewer Falso Projeto
Leitor de opções de banco de dados db-options-viewer Falso Projeto
Leitor de sufixo DNS dnssuffix-viewer Falso Organização
Administrador de registros de fluxo flowlog-admin Falso Organização
Visualizador de registros de fluxo flowlog-viewer Falso Projeto
Leitor do Marketplace marketplace-viewer Falso Projeto
Usuário da calculadora de preços pricingcalculator-user Falso Projeto
Leitor da descoberta de projetos projectdiscovery-viewer Falso Projeto
Visualizador de imagens públicas public-image-viewer Falso Organização
Leitor de tipo de máquina virtual virtualmachinetype-viewer Verdadeiro Organização
Leitor de tipo de VM vmtype-viewer Falso Organização

Papéis comuns predefinidos de identidade e acesso

Funções comuns
Nome Permissões do cluster de administrador Permissões do cluster de usuário Encaminha para
Leitor do AI Platform Serviços pré-treinados:leitura N/A N/A
Leitor de opções de banco de dados Configurações do DBS:leitura N/A N/A
Leitor da interface do usuário do banco de dados Configurações da interface do DBS:leitura N/A N/A
Leitor de sufixo DNS Configmaps de sufixo DNS:leitura N/A N/A
Administrador de registros de fluxo Recursos de registros de fluxo:receber e ler Recursos de registros de fluxo:receber e ler N/A
Visualizador de registros de fluxo Recursos de registros de fluxo:criar, receber, ler, adicionar patch, atualizar e excluir Recursos de registros de fluxo:criar, receber, ler, adicionar patch, atualizar e excluir N/A
Leitor do Marketplace Versões do serviço:leitura N/A N/A
Usuário da calculadora de preços N/A SkuDescriptions: Lida N/A
Leitor da descoberta de projetos Projetos:leitura N/A N/A
Visualizador de imagens públicas Imagens de VM:leitura N/A N/A
Leitor de tipo de VM Tipos de VM:leitura N/A N/A