Beschreibungen vordefinierter Rollen

Für Google Distributed Cloud (GDC) Air-Gapped sind die folgenden vordefinierten Rollen verfügbar, die Sie Teammitgliedern zuweisen können:

PA-Rollen

Plattformadministratoren verwalten Ressourcen auf Organisationsebene und den Projektlebenszyklus. Sie können den Teammitgliedern die folgenden vordefinierten Rollen zuweisen:

  • Audit Logs Platform Restore Bucket Creator:Erstellt Sicherungs-Buckets zum Wiederherstellen der Plattform-Audit-Logs.
  • Audit Logs Platform Bucket Viewer:Sicherungs-Buckets von Plattform-Audit-Logs ansehen.
  • AI Platform-Administrator: Gewährt Berechtigungen zum Verwalten vortrainierter Dienste.
  • Administrator von Sicherungs-Repositories:Verwaltet Sicherungs-Repositories.
  • Abrechnungsbetrachter:Hat Lesezugriff auf SKU-Beschreibungen, Inventarmaschinen und Flotten auf der Seite mit der Kostentabelle.
  • Bucket-Administrator:Verwaltet Speicher-Buckets in Organisationen und Projekten sowie die Objekte in diesen Buckets.
  • Bucket-Administrator (global): Verwaltet Single-Zone-Buckets in der Organisation und in Projekten sowie die Objekte in diesen Buckets.
  • Bucket Object Admin (Bucket-Objektadministrator): Hat Lesezugriff auf Buckets in einer Organisation und Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Bucket-Objekt-Administrator (global): Hat Lesezugriff auf Dual-Zone-Buckets in der Organisation und ihren Projekten sowie Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Bucket Object Viewer (Bucket-Objektbetrachter): Hat Lesezugriff auf Buckets in einer Organisation und die Objekte in diesen Buckets.
  • Bucket-Objekt-Betrachter (global): Der Bucket-Objekt-Betrachter hat Lesezugriff auf Dual-Zone-Buckets in der Organisation und ihren Projekten sowie Lesezugriff auf die Objekte in diesen Buckets.
  • Administrator für benutzerdefinierte Rollen: Erstellt und verwaltet benutzerdefinierte Rollen in einer Organisation oder einem Projekt.
  • Dashboard PA Creator: Erstellt Dashboard benutzerdefinierte Ressourcen für die gesamte Organisation.
  • Dashboard PA Editor (Bearbeiter von Dashboard-PA): Hat Lese- und Schreibzugriff auf Dashboard benutzerdefinierte Ressourcen für die gesamte Organisation.
  • Dashboard PA Viewer (Dashboard-Betrachter für Personen mit eingeschränkter Berechtigung): Hat Lesezugriff auf Dashboard benutzerdefinierte Ressourcen für die gesamte Organisation.
  • DR Backup Admin: Führt Notfallwiederherstellungssicherungen durch.
  • DR System Admin: Verwaltet Ressourcen im Namespace dr-system, um Sicherungen im Verwaltungscluster einzurichten.
  • Flow Log Admin: Verwaltet Flow-Log-Ressourcen zum Protokollieren von Metadaten zum Netzwerkverkehr.
  • Betrachter von Flusslogs: Bietet Lesezugriff auf Flusslogkonfigurationen.
  • GDCH Restrict By Attributes Policy Admin:Hat vollen Zugriff auf die Einschränkung GDCHRestrictByAttributes.
  • Administrator für eingeschränkte GDCH-Dienste:Verwaltet Richtlinienvorlagen für die Organisation und hat vollen Zugriff auf Einschränkungen. Wendet Richtlinien für eine Organisation oder ein Projekt an oder macht sie rückgängig.
  • Global PNP Admin (Globaler PNP-Administrator): Hat Schreibberechtigungen für alle PNP-Ressourcen (Project Network Policy, Projektnetzwerkrichtlinie) für Projekte mit mehreren Zonen im globalen Projektnamespace.
  • IdP Federation Admin (Administrator für IdP-Föderation): Hat vollen Zugriff zum Konfigurieren von Identitätsanbietern.
  • Interconnect-Administrator: Hat Zugriff zum Konfigurieren von Interconnect-Ressourcen.
  • KMS Rotation Job Admin:Hat vollen Zugriff zum Erstellen und Verwalten der RotationJob-Ressource, mit der KMS-Rootschlüssel (Key Management System) rotiert werden.
  • Log Query API Querier: Hat schreibgeschützten Zugriff auf den Audit-Log- oder Betriebslog-Endpunkt der Log Query API, um Logs für ein Projekt anzusehen.
  • LoggingRule PA Creator: Erstellt LoggingRule benutzerdefinierte Ressourcen für die gesamte Organisation.
  • LoggingRule PA Editor: Bearbeitet LoggingRule-benutzerdefinierte Ressourcen für die gesamte Organisation.
  • LoggingRule PA Viewer: Zeigt LoggingRule benutzerdefinierte Ressourcen für die gesamte Organisation an.
  • LoggingTarget PA Creator: Erstellt benutzerdefinierte LoggingTarget-Ressourcen für die gesamte Organisation.
  • LoggingTarget PA Editor: Bearbeitet benutzerdefinierte LoggingTarget-Ressourcen für die gesamte Organisation.
  • LoggingTarget PA Viewer: Zeigt LoggingTarget benutzerdefinierte Ressourcen für die gesamte Organisation an.
  • MonitoringRule PA Creator: Erstellt MonitoringRule benutzerdefinierte Ressourcen für die gesamte Organisation.
  • MonitoringRule PA Editor: Hat Lese- und Schreibzugriff auf MonitoringRule-Ressourcen für die gesamte Organisation.
  • MonitoringRule PA Viewer: Hat Lesezugriff auf MonitoringRule-Benutzerressourcen für die gesamte Organisation.
  • MonitoringTarget PA Creator: Erstellt MonitoringTarget benutzerdefinierte Ressourcen für die gesamte Organisation.
  • MonitoringTarget PA Editor: Hat Lese- und Schreibzugriff auf MonitoringTarget benutzerdefinierte Ressourcen für die gesamte Organisation.
  • MonitoringTarget PA Viewer (Betrachter von MonitoringTarget-PA): Hat Lesezugriff auf MonitoringTarget-Benutzerressourcen für die gesamte Organisation.
  • ObservabilityPipeline PA Creator: Erstellt benutzerdefinierte ObservabilityPipeine-Ressourcen für die gesamte Organisation.
  • ObservabilityPipeline PA Editor: Hat Lese- und Schreibzugriff auf ObservabilityPipeine benutzerdefinierte Ressourcen für die gesamte Organisation.
  • ObservabilityPipeline PA Viewer: Hat Lesezugriff auf ObservabilityPipeline-Benutzerressourcen für die gesamte Organisation.
  • Org Network Policy Admin: Verwaltet Organisationsnetzwerkrichtlinien im Namespace platform.
  • Sitzungsadministrator der Organisation: Hat Zugriff auf den Befehl zum Widerrufen. Nutzer, die an diese Role gebunden sind, werden den ACLs für die Authentifizierung und Autorisierung hinzugefügt.
  • Administrator für Organisationssicherungen: Hat Lese- und Schreibzugriff zum Verwalten von Sicherungen.
  • Administrator für die Sicherung von Organisationsclustern: Hat Zugriff auf die Verwaltung von Sicherungen in Administratorclustern.
  • Organization IAM Viewer (IAM-Betrachter der Organisation): Hat Lesezugriff auf alle Ressourcen, auf die der IAM-Administrator der Organisation Zugriff hat.
  • Organisations-DB-Administrator:Verwaltet Database Service-Ressourcen für eine Organisation.
  • Grafana-Betrachter für Organisationen:Visualisieren Sie organisationsbezogene Observability-Daten in Dashboards der Grafana-Monitoring-Instanz.
  • IAM-Administrator der Organisation:Erstellt, aktualisiert und löscht alle Berechtigungen und Zulassungsrichtlinien auf dem Management API-Server.
  • Administrator für Organisationsupgrades:Ändert Wartungsfenster für eine Organisation. Wartungsfenster werden automatisch bei der Erstellung der Organisation erstellt.
  • Betrachter für Organisationsupgrades:Kann Wartungsfenster ansehen.
  • Project Bucket Admin (Projekt-Bucket-Administrator): Verwaltet die Buckets mit zwei Zonen eines Projekts sowie die Objekte in diesen Buckets.
  • Projekt-Bucket-Objektadministrator:Hat Lesezugriff auf Dual-Zone-Buckets in einem Projekt sowie Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Project Bucket Object Viewer:Hat Lesezugriff auf Dual-Zone-Buckets in einem Projekt sowie Lesezugriff auf die Objekte in diesen Buckets.
  • Projektersteller:Erstellt neue Projekte.
  • Projektbearbeiter:Löscht Projekte.
  • Subnet Organization Admin (global): Verwaltet mehrere Zonensubnetze innerhalb der Organisation.
  • Subnetz-Organisationsadministrator:Verwaltet zonale Subnetze innerhalb der Organisation.
  • SIEM Export Org Creator: Erstellt SIEMOrgForwarder benutzerdefinierte Ressourcen.
  • SIEM Export Org Editor (SIEM Export Org-Bearbeiter): Hat Lese- und Schreibzugriff auf benutzerdefinierte SIEMOrgForwarder-Ressourcen.
  • SIEM Export Org Viewer (SIEM Export Org-Betrachter) Hat Lesezugriff auf benutzerdefinierte SIEMOrgForwarder-Ressourcen.
  • System Cluster Backup Repository Admin: Hat vollen Zugriff auf die Verwaltung von Sicherungs-Repositories.
  • Transfer Appliance Request Creator:Kann Transfer Appliance-Anfragen lesen und erstellen, mit denen Sie große Datenmengen schnell und sicher über einen Speicherserver mit hoher Kapazität in Distributed Cloud übertragen können.
  • Administrator für Nutzercluster-Sicherungen:Verwaltet Sicherungsressourcen wie Sicherungs- und Wiederherstellungspläne in Nutzerclustern.
  • Nutzercluster-Administrator:Erstellt, aktualisiert und löscht den Nutzercluster und verwaltet den Lebenszyklus des Nutzerclusters.
  • Nutzercluster-Entwickler:Hat Cluster-Administratorberechtigungen in Nutzerclustern.
  • User Cluster Node Viewer:Hat Cluster-Administratorberechtigungen mit Lesezugriff in Nutzerclustern.
  • VPN-Administrator:Hat Lese- und Schreibberechtigungen für alle VPN-bezogenen Ressourcen.
  • VPN-Betrachter:Hat Leseberechtigungen für alle VPN-bezogenen Ressourcen.

AO-Rollen

Ein Anwendungsoperator (Application Operator, AO) ist Mitglied des Entwicklungsteams in der Organisation des Plattformadministrators (Platform Administrator, PA). AOs interagieren mit Ressourcen auf Projektebene. Sie können Teammitgliedern die folgenden vordefinierten Rollen zuweisen:

  • AI OCR Developer: Zugriff auf den Dienst für die optische Zeichenerkennung, um Text in Bildern zu erkennen.
  • AI Speech Chirp Developer: Zugriff auf das Chirp-Modell des Speech-to-Text-Dienstes, um Sprache zu erkennen und Audio zu transkribieren.
  • AI Speech Developer: Zugriff auf den Speech-to-Text-Dienst zur Spracherkennung und Audiotranskription.
  • AI Text Embedding Developer: Zugriff auf den Text Embedding-Dienst, um englische natürliche Sprache in numerische Vektoren umzuwandeln.
  • AI Text Embedding Multilingual Developer: Zugriff auf den Text Embedding-Dienst, um mehrsprachige natürliche Sprache in numerische Vektoren umzuwandeln.
  • AI Translation Developer: Zugriff auf den Vertex AI Translation-Dienst zum Übersetzen von Text.
  • Backup Creator: Erstellt manuelle Sicherungen und führt Wiederherstellungen durch.
  • Certificate Authority Service-Administrator: Hat Zugriff zum Verwalten von Zertifizierungsstellen und Zertifikatsanfragen in seinem Projekt.
  • Benutzerdefinierte Rolle „Projektadministrator“: Erstellt und verwaltet benutzerdefinierte Rollen in einem Projekt.
  • Dashboard Editor (Dashboard-Bearbeiter): Hat Lese- und Schreibzugriff auf benutzerdefinierte Dashboard-Ressourcen.
  • Dashboard-Betrachter: Hat Lesezugriff auf benutzerdefinierte Dashboard-Ressourcen.
  • Discovery Engine-Administrator: Sie haben vollen Zugriff auf alle Discovery Engine-Ressourcen.
  • Discovery Engine-Entwickler: Lese- und Schreibzugriff auf alle Discovery Engine-Ressourcen.
  • Discovery Engine Reader: Lesezugriff auf alle Discovery Engine-Ressourcen.
  • Global Load Balancer Admin: Hat Lese- und Schreibberechtigungen für alle Load-Balancer-Ressourcen im Projekt-Namespace auf dem globalen API-Server.
  • Harbor Instance Admin: Hat vollen Zugriff zum Verwalten von Harbor-Instanzen in einem Projekt.
  • Harbor Instance Viewer (Harbor-Instanzbetrachter): Hat Lesezugriff zum Anzeigen von Harbor-Instanzen in einem Projekt.
  • Harbor Project Creator: Hat Zugriff zum Verwalten von Harbor-Instanzprojekten.
  • K8s Network Policy Admin: Verwaltet Netzwerkrichtlinien in Nutzerclustern.
  • KMS-Administrator: Verwaltet KMS-Schlüssel in einem Projekt, einschließlich der Schlüssel AEADKey und SigningKey. Mit dieser Rolle können auch Schlüssel importiert und exportiert werden.
  • KMS Creator: Hat Erstellungs- und Lesezugriff auf KMS-Schlüssel in einem Projekt.
  • KMS-Entwickler: Hat Zugriff, um kryptografische Vorgänge mit Schlüsseln in Projekten auszuführen.
  • KMS Key Export Admin: Hat Zugriff, um KMS-Schlüssel als verpackte Schlüssel aus dem KMS zu exportieren.
  • KMS Key Import Admin: Hat Zugriff, um KMS-Schlüssel als verpackte Schlüssel in den KMS zu importieren.
  • KMS Viewer: Hat schreibgeschützten Zugriff auf KMS-Schlüssel in seinem Projekt und kann den Import und Export von Schlüsseln ansehen.
  • LoggingRule Creator: Erstellt benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace.
  • LoggingRule Editor: Bearbeitet benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace.
  • LoggingRule Viewer: Zeigt benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace an.
  • LoggingTarget Creator: Erstellt benutzerdefinierte LoggingTarget-Ressourcen im Namespace des Projekts.
  • LoggingTarget Editor: Bearbeitet benutzerdefinierte LoggingTarget-Ressourcen im Projekt-Namespace.
  • LoggingTarget Viewer: Zeigt LoggingTarget-benutzerdefinierte Ressourcen im Projekt-Namespace an.
  • Load Balancer Admin: Hat Lese- und Schreibberechtigungen für alle Load-Balancer-Ressourcen im Projekt-Namespace.
  • Marketplace-Editor: Hat Zugriff zum Erstellen, Aktualisieren und Löschen von Dienstinstanzen in einem Projekt.
  • MonitoringRule Editor (Bearbeiter von Monitoring-Regeln): Hat Lese- und Schreibzugriff auf MonitoringRule-Ressourcen.
  • MonitoringRule Viewer (Betrachter von MonitoringRule): Hat schreibgeschützten Zugriff auf benutzerdefinierte MonitoringRule-Ressourcen.
  • MonitoringTarget Editor (MonitoringTarget-Bearbeiter): Hat Lese- und Schreibzugriff auf MonitoringTarget-Benutzerressourcen.
  • MonitoringTarget Viewer: Hat Lesezugriff auf MonitoringTarget-Benutzerressourcen.
  • Namespace-Administrator: Verwaltet alle Ressourcen im Projekt-Namespace.
  • NAT Viewer: Hat schreibgeschützten Zugriff auf Bereitstellungen in Nutzerclustern.
  • ObservabilityPipeline Editor: Hat Lese- und Schreibzugriff auf benutzerdefinierte ObservabilityPipeine-Ressourcen.
  • ObservabilityPipeline Viewer (Betrachter für ObservabilityPipeline): Hat Lesezugriff auf benutzerdefinierte ObservabilityPipeline-Ressourcen.
  • Project Bucket Admin (Projekt-Bucket-Administrator): Verwaltet die Speicher-Buckets und Objekte in Buckets.
  • Project Bucket Object Admin (Projekt-Bucket-Objektadministrator): Hat Lesezugriff auf Buckets in einem Projekt und Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Project Bucket Object Viewer: Hat Lesezugriff auf Buckets in einem Projekt und die Objekte in diesen Buckets.
  • Projekt-IAM-Administrator: Verwaltet die IAM-Zulassungsrichtlinien von Projekten.
  • Project NetworkPolicy Admin:Verwaltet die Netzwerkrichtlinien des Projekts im Projekt-Namespace.
  • Project DB Admin (Projekt-DB-Administrator): Verwaltet den Datenbankdienst für ein Projekt.
  • Project DB Editor (Projekt-DB-Bearbeiter): Hat Lese- und Schreibzugriff auf den Database Service für ein Projekt.
  • Project DB Viewer: Hat Lesezugriff auf den Database Service für ein Projekt.
  • Projektbetrachter:Hat schreibgeschützten Zugriff auf alle Ressourcen in Projekt-Namespaces.
  • Project VirtualMachine Admin: Verwaltet VMs im Projekt-Namespace.
  • Project VirtualMachine Image Admin: Verwaltet VM-Images im Projekt-Namespace.
  • Secret Admin: Verwaltet Kubernetes-Secrets in Projekten.
  • Secret-Betrachter: Zeigt Kubernetes-Secrets in Projekten an.
  • Service Configuration Admin: Hat Lese- und Schreibzugriff auf Dienstkonfigurationen in einem Projekt-Namespace.
  • Service Configuration Viewer: Hat Lesezugriff auf Dienstkonfigurationen in einem Projekt-Namespace.
  • Subnetz-Projektadministrator (global): Verwaltet mehrere zonale Subnetze in Projekten.
  • Subnet Project Admin (Subnetzprojektadministrator): Verwaltet zonale Subnetze in Projekten.
  • Subnet Project Operator: Verwaltet automatisch zugewiesene Subnetze vom Typ „Leaf“ in Projekten.
  • Vertex AI Prediction User: Greifen Sie auf den Online Prediction-Dienst zu, um Anfragen an Ihren Modellendpunkt zu senden.
  • Volume Replication Admin (Administrator für Volume-Replikation): Verwaltet Ressourcen für die Volume-Replikation.
  • Workbench Notebooks-Administrator: Lese- und Schreibzugriff auf alle Notebook-Ressourcen in einem Projektnamespace.
  • Workbench Notebooks Viewer: Lesezugriff auf alle Notebook-Ressourcen in einem Projektnamespace und Zugriff auf die Vertex AI Workbench-Benutzeroberfläche.
  • Workload Viewer (Arbeitslastbetrachter): Hat Lesezugriff auf Arbeitslasten in einem Projekt.

Häufige Rollen

Die folgenden vordefinierten allgemeinen Rollen gelten für alle authentifizierten Nutzer:

  • AI Platform-Betrachter: Gewährt Berechtigungen zum Aufrufen vortrainierter Dienste.
  • DB Options Viewer: Zeigt alle Konfigurationsoptionen an, die im Database Service verwendet werden können.
  • DB UI Viewer: Gewährt authentifizierten Nutzern Berechtigungen zum Aufrufen der Database Service-Benutzeroberfläche.
  • DNS Suffix Viewer: Greift auf die Konfigurationszuordnung für das DNS-Suffix (Domain Name Service) zu.
  • Flow Log Admin (Flow-Log-Administrator): Hat Lese- und Schreibzugriff auf alle Flow-Log-Ressourcen.
  • Flow Log Viewer (Flow-Log-Betrachter): Hat Lesezugriff auf alle Flow-Log-Ressourcen.
  • Marketplace Viewer (Marketplace-Betrachter): Hat Lesezugriff auf Dienstversionen.
  • Pricing Calculator User (Preisrechner-Nutzer): Hat schreibgeschützten Zugriff auf Beschreibungen von Artikelnummern.
  • Project Discovery Viewer: Hat Lesezugriff für alle authentifizierten Nutzer auf die Projektansicht.
  • Public Image Viewer: Hat Lesezugriff für alle authentifizierten Nutzer auf die öffentlichen VM-Images im Namespace vm-images.
  • Virtual Machine Type Viewer: Hat Lesezugriff auf virtuelle Maschinentypen auf Clusterebene.
  • VM Type Viewer: Hat Lesezugriff auf die vordefinierten VM-Typen.