Descriptions des rôles prédéfinis

Google Distributed Cloud (GDC) air-gapped propose les rôles prédéfinis suivants que vous pouvez attribuer aux membres de votre équipe :

Rôles PA

Les administrateurs de plate-forme (AP) gèrent les ressources au niveau de l'organisation et la gestion du cycle de vie des projets. Vous pouvez attribuer les rôles prédéfinis suivants aux membres de l'équipe :

  • Créateur de buckets de restauration de la plate-forme de journaux d'audit : créez des buckets de sauvegarde pour restaurer les journaux d'audit de la plate-forme.
  • Lecteur de buckets de plate-forme pour les journaux d'audit : permet d'afficher les buckets de sauvegarde des journaux d'audit de la plate-forme.
  • Administrateur AI Platform : accorde les autorisations permettant de gérer les services pré-entraînés.
  • Administrateur du dépôt de sauvegarde : gère les dépôts de sauvegarde.
  • Lecteur Facturation : dispose d'un accès en lecture seule aux descriptions des SKU, aux machines de l'inventaire et aux flottes sur la page du tableau des coûts.
  • Administrateur de bucket : gère les buckets de stockage dans les organisations et les projets, ainsi que les objets qu'ils contiennent.
  • Administrateur de bucket (global) : gère les buckets à zone unique au sein de l'organisation et des projets, ainsi que les objets de ces buckets.
  • Administrateur d'objets de bucket : dispose d'un accès en lecture seule aux buckets d'une organisation et d'un accès en lecture et en écriture aux objets de ces buckets.
  • Administrateur des objets Bucket (global) : dispose d'un accès en lecture seule aux buckets à double zone de l'organisation et de ses projets, ainsi qu'en lecture et écriture aux objets de ces buckets.
  • Lecteur d'objets de bucket : dispose d'un accès en lecture seule aux buckets d'une organisation et aux objets qu'ils contiennent.
  • Lecteur des objets Bucket (global) : ce rôle permet d'accéder en lecture seule aux buckets à double zone de l'organisation et de ses projets, ainsi qu'aux objets de ces buckets.
  • Administrateur de rôle personnalisé : crée et gère des rôles personnalisés dans une organisation ou un projet.
  • Créateur de tableaux de bord et de PA : crée des ressources personnalisées Dashboard pour l'ensemble de l'organisation.
  • Éditeur de tableau de bord PA : dispose d'un accès en lecture et en écriture aux ressources personnalisées Dashboard pour l'ensemble de l'organisation.
  • Lecteur PA de tableau de bord : dispose d'un accès en lecture seule aux ressources personnalisées Dashboard pour l'ensemble de l'organisation.
  • Administrateur de sauvegarde pour la reprise après sinistre : effectue des sauvegardes pour la reprise après sinistre.
  • Administrateur du système de reprise après sinistre : gère les ressources dans l'espace de noms dr-system pour configurer les sauvegardes sur le cluster de gestion.
  • Administrateur des journaux de flux : gère les ressources des journaux de flux pour enregistrer les métadonnées du trafic réseau.
  • Lecteur de journaux de flux : fournit un accès en lecture seule aux configurations des journaux de flux.
  • Administrateur des règles "Restreindre par attributs" de GDCH : dispose d'un accès complet à la contrainte GDCHRestrictByAttributes.
  • Administrateur des règles de service restreint GDCH : gère les modèles de règles pour l'organisation et dispose d'un accès complet aux contraintes. Applique ou restaure les règles pour une organisation ou un projet.
  • Administrateur PNP mondial : dispose d'autorisations d'écriture sur toutes les ressources de stratégie de réseau de projet (PNP) multizones dans l'espace de noms de projet mondial.
  • Administrateur de la fédération IdP : dispose d'un accès complet pour configurer les fournisseurs d'identité.
  • Administrateur d'interconnexion : peut configurer les ressources d'interconnexion.
  • Administrateur des jobs de rotation KMS : dispose d'un accès complet pour créer et gérer la ressource RotationJob, qui fait tourner les clés racine du système de gestion des clés (KMS).
  • Requêteur de l'API Log Query : dispose d'un accès en lecture seule pour accéder au point de terminaison des journaux d'audit ou opérationnels à partir de l'API Log Query afin d'afficher les journaux d'un projet.
  • Créateur de règles de journalisation PA : crée des ressources personnalisées LoggingRule pour l'ensemble de l'organisation.
  • Éditeur de règles de journalisation PA : modifie les ressources personnalisées LoggingRule pour l'ensemble de l'organisation.
  • Lecteur PA LoggingRule : affiche les ressources personnalisées LoggingRule pour l'ensemble de l'organisation.
  • Créateur de PA LoggingTarget : crée des ressources personnalisées LoggingTarget pour l'ensemble de l'organisation.
  • Éditeur LoggingTarget PA : modifie les ressources personnalisées LoggingTarget pour l'ensemble de l'organisation.
  • Lecteur de journaux de cibles PA : affiche les ressources personnalisées LoggingTarget pour l'ensemble de l'organisation.
  • Créateur de règles de surveillance PA : crée des ressources personnalisées MonitoringRule pour l'ensemble de l'organisation.
  • Éditeur de règles de surveillance PA : accès en lecture et en écriture aux ressources MonitoringRule pour l'ensemble de l'organisation.
  • Lecteur de règles MonitoringRule PA : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringRule pour l'ensemble de l'organisation.
  • Créateur de PA MonitoringTarget : crée des ressources personnalisées MonitoringTarget pour l'ensemble de l'organisation.
  • Éditeur de PA MonitoringTarget : accès en lecture et en écriture aux ressources personnalisées MonitoringTarget pour l'ensemble de l'organisation.
  • Lecteur MonitoringTarget PA : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringTarget pour l'ensemble de l'organisation.
  • Créateur de pipelines d'observabilité PA : crée des ressources ObservabilityPipeine personnalisées pour l'ensemble de l'organisation.
  • Éditeur de l'analyse du pipeline d'observabilité : dispose d'un accès en lecture et en écriture aux ressources personnalisées ObservabilityPipeine pour l'ensemble de l'organisation.
  • Lecteur ObservabilityPipeline PA : dispose d'un accès en lecture seule aux ressources personnalisées ObservabilityPipeline pour l'ensemble de l'organisation.
  • Administrateur des règles de réseau de l'organisation : gère les règles de réseau de l'organisation dans l'espace de noms platform.
  • Administrateur de session de l'organisation : a accès à la commande de révocation. Les utilisateurs associés à ce Role sont ajoutés aux LCA pour l'authentification et l'autorisation.
  • Administrateur de la sauvegarde de l'organisation : dispose d'un accès en lecture et en écriture pour gérer les sauvegardes.
  • Administrateur de la sauvegarde du cluster de l'organisation : a accès à la gestion des sauvegardes dans les clusters d'administrateur.
  • Lecteur IAM de l'organisation : dispose d'un accès en lecture seule à toutes les ressources auxquelles l'administrateur IAM de l'organisation a accès.
  • Administrateur de la base de données de l'organisation : gère les ressources du service de base de données pour une organisation.
  • Lecteur Grafana de l'organisation : visualisez les données d'observabilité liées à l'organisation dans les tableaux de bord de l'instance de surveillance Grafana.
  • Administrateur IAM de l'organisation : crée, met à jour et supprime les autorisations et les stratégies d'autorisation dans le serveur de l'API Management.
  • Administrateur de la mise à niveau de l'organisation : modifie les intervalles de maintenance d'une organisation. Les périodes de maintenance sont créées automatiquement lors de la création de l'organisation.
  • Lecteur de la mise à niveau de l'organisation : affiche les intervalles de maintenance.
  • Administrateur des buckets de projet : gère les buckets à double zone d'un projet, ainsi que les objets qu'ils contiennent.
  • Administrateur des objets du bucket de projet : dispose d'un accès en lecture seule aux buckets à double zone d'un projet, ainsi que d'un accès en lecture et en écriture aux objets de ces buckets.
  • Lecteur des objets de bucket de projet : dispose d'un accès en lecture seule aux buckets à double zone d'un projet, ainsi qu'aux objets de ces buckets.
  • Créateur de projet : crée des projets.
  • Éditeur de projet : supprime les projets.
  • Administrateur de l'organisation des sous-réseaux (global) : gère plusieurs sous-réseaux de zone au sein de l'organisation.
  • Administrateur d'organisation de sous-réseau : gère les sous-réseaux zonaux au sein de l'organisation.
  • Créateur d'organisation d'exportation SIEM : crée des ressources personnalisées SIEMOrgForwarder.
  • Éditeur d'exportation SIEM au niveau de l'organisation : dispose d'un accès en lecture et en écriture aux ressources personnalisées SIEMOrgForwarder.
  • Lecteur de l'organisation d'exportation SIEM : dispose d'un accès en lecture seule pour afficher les ressources personnalisées SIEMOrgForwarder.
  • Administrateur du dépôt de sauvegarde du cluster système : dispose d'un accès complet pour gérer les dépôts de sauvegarde.
  • Créateur de demandes Transfer Appliance : peut lire et créer des demandes Transfer Appliance, qui vous permettent de transférer rapidement et de manière sécurisée de grandes quantités de données vers Distributed Cloud à l'aide d'un serveur de stockage haute capacité.
  • Administrateur de la sauvegarde des clusters d'utilisateur : gère les ressources de sauvegarde telles que les plans de sauvegarde et de restauration dans les clusters d'utilisateur.
  • Administrateur de cluster d'utilisateur : crée, met à jour et supprime le cluster d'utilisateur, et gère son cycle de vie.
  • Développeur de clusters d'utilisateur : dispose d'autorisations d'administrateur de cluster dans les clusters d'utilisateur.
  • Lecteur de nœuds de cluster d'utilisateur : dispose d'autorisations d'administrateur de cluster en lecture seule dans les clusters d'utilisateur.
  • Administrateur VPN : dispose d'autorisations en lecture et en écriture sur toutes les ressources liées au VPN.
  • Lecteur VPN : dispose d'autorisations de lecture sur toutes les ressources liées au VPN.

Rôles AO

Un opérateur d'application (AO) est un membre de l'équipe de développement au sein de l'organisation de l'administrateur de plate-forme (PA). Les AO interagissent avec les ressources au niveau du projet. Vous pouvez attribuer les rôles prédéfinis suivants aux membres de l'équipe :

  • Développeur AI OCR : accédez au service de reconnaissance optique des caractères pour détecter le texte dans les images.
  • Développeur Chirp Speech AI : accédez au modèle Chirp du service Speech-to-Text pour reconnaître la parole et transcrire l'audio.
  • Développeur Speech AI : accédez au service Speech-to-Text pour reconnaître la voix et transcrire l'audio.
  • Développeur d'embeddings de texte d'IA : accédez au service d'embeddings de texte pour convertir le langage naturel anglais en vecteurs numériques.
  • Développeur AI Text Embedding Multilingual : accédez au service Text Embedding pour convertir le langage naturel multilingue en vecteurs numériques.
  • Développeur de traduction par IA : accédez au service Vertex AI Translation pour traduire du texte.
  • Backup Creator : crée des sauvegardes manuelles et les restaure.
  • Administrateur Certificate Authority Service : a accès à la gestion des autorités de certification et des demandes de certificat dans son projet.
  • Administrateur de projet avec rôle personnalisé : crée et gère des rôles personnalisés dans un projet.
  • Éditeur de tableaux de bord : dispose d'un accès en lecture et en écriture aux ressources personnalisées Dashboard.
  • Lecteur de tableaux de bord : dispose d'un accès en lecture seule aux ressources personnalisées Dashboard.
  • Administrateur Discovery Engine : bénéficiez d'un accès complet à toutes les ressources Discovery Engine.
  • Développeur Discovery Engine : accès en lecture et en écriture à toutes les ressources Discovery Engine.
  • Lecteur Discovery Engine : permet d'accéder en lecture à toutes les ressources Discovery Engine.
  • Administrateur d'équilibreur de charge global : dispose d'autorisations de lecture et d'écriture sur toutes les ressources d'équilibreur de charge dans l'espace de noms du projet sur le serveur d'API global.
  • Administrateur d'instance Harbor : dispose d'un accès complet pour gérer les instances Harbor dans un projet.
  • Lecteur d'instances Harbor : dispose d'un accès en lecture seule pour afficher les instances Harbor d'un projet.
  • Créateur de projet Harbor : a accès à la gestion des projets d'instance Harbor.
  • Administrateur de règles réseau K8s : gère les règles réseau dans les clusters d'utilisateur.
  • Administrateur KMS : gère les clés KMS d'un projet, y compris les clés AEADKey et SigningKey. Ce rôle permet également d'importer et d'exporter des clés.
  • Créateur KMS : dispose d'un accès en création et en lecture aux clés KMS d'un projet.
  • Développeur KMS : peut effectuer des opérations de chiffrement à l'aide de clés dans les projets.
  • Administrateur de l'exportation de clés KMS : peut exporter des clés KMS en tant que clés encapsulées depuis KMS.
  • Administrateur de l'importation de clés KMS : peut importer des clés KMS en tant que clés encapsulées dans KMS.
  • Lecteur KMS : dispose d'un accès en lecture seule aux clés KMS de son projet et peut afficher l'importation et l'exportation de clés.
  • Créateur de LoggingRule : crée des ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Éditeur LoggingRule : modifie les ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Lecteur LoggingRule : affiche les ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Créateur LoggingTarget : crée des ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Éditeur LoggingTarget : modifie les ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Lecteur LoggingTarget : affiche les ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Administrateur Load Balancer : dispose d'autorisations en lecture et en écriture sur toutes les ressources d'équilibrage de charge dans l'espace de noms du projet.
  • Éditeur Marketplace : dispose d'un accès permettant de créer, de mettre à jour et de supprimer des instances de service dans un projet.
  • Éditeur de MonitoringRule : dispose d'un accès en lecture et en écriture aux ressources MonitoringRule.
  • Lecteur MonitoringRule : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringRule.
  • Éditeur MonitoringTarget : dispose d'un accès en lecture et en écriture aux ressources personnalisées MonitoringTarget.
  • Lecteur MonitoringTarget : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringTarget.
  • Administrateur de l'espace de noms : gère toutes les ressources de l'espace de noms du projet.
  • Lecteur NAT : dispose d'un accès en lecture seule aux déploiements dans les clusters d'utilisateur.
  • Éditeur ObservabilityPipeline : dispose d'un accès en lecture et en écriture aux ressources personnalisées ObservabilityPipeine.
  • Lecteur ObservabilityPipeline : dispose d'un accès en lecture seule aux ressources personnalisées ObservabilityPipeline.
  • Administrateur de buckets du projet : gère les buckets de stockage et les objets qu'ils contiennent.
  • Administrateur d'objets de bucket de projet : dispose d'un accès en lecture seule aux buckets d'un projet et d'un accès en lecture et en écriture aux objets de ces buckets.
  • Lecteur des objets de bucket de projet : dispose d'un accès en lecture seule aux buckets d'un projet et aux objets qu'ils contiennent.
  • Administrateur IAM de projet : gère les stratégies d'autorisation IAM des projets.
  • Administrateur NetworkPolicy de projet : gère les règles réseau du projet dans l'espace de noms du projet.
  • Administrateur de base de données du projet : administre le service de base de données pour un projet.
  • Éditeur de base de données du projet : dispose d'un accès en lecture et en écriture au service de base de données pour un projet.
  • Lecteur de base de données du projet : dispose d'un accès en lecture seule au service de base de données pour un projet.
  • Lecteur du projet : dispose d'un accès en lecture seule à toutes les ressources des espaces de noms du projet.
  • Administrateur VirtualMachine du projet : gère les VM dans l'espace de noms du projet.
  • Administrateur d'images de machines virtuelles du projet : gère les images de VM dans l'espace de noms du projet.
  • Administrateur Secret : gère les secrets Kubernetes dans les projets.
  • Lecteur de secrets : permet d'afficher les secrets Kubernetes dans les projets.
  • Administrateur de la configuration du service : dispose d'un accès en lecture et en écriture aux configurations de service dans un espace de noms de projet.
  • Lecteur de configuration de service : dispose d'un accès en lecture aux configurations de service dans un espace de noms de projet.
  • Administrateur de projet de sous-réseau (global) : gère plusieurs sous-réseaux de zone dans les projets.
  • Administrateur de projet de sous-réseau : gère les sous-réseaux zonaux dans les projets.
  • Opérateur de projet de sous-réseau : gère les sous-réseaux de type feuille alloués automatiquement dans les projets.
  • Utilisateur Vertex AI Prediction : accédez au service de prédiction en ligne pour envoyer des requêtes au point de terminaison de votre modèle.
  • Administrateur de la réplication de volumes : gère les ressources de réplication de volumes.
  • Administrateur de notebooks Workbench : accès en lecture et en écriture à toutes les ressources de notebooks dans un espace de noms de projet.
  • Lecteur de notebooks Workbench : obtenez un accès en lecture seule à toutes les ressources de notebook dans un espace de noms de projet et affichez l'interface utilisateur Vertex AI Workbench.
  • Lecteur de charges de travail : dispose d'un accès en lecture aux charges de travail d'un projet.

Rôles courants

Les rôles communs prédéfinis suivants s'appliquent à tous les utilisateurs authentifiés :

  • Lecteur AI Platform : accorde l'autorisation d'afficher les services pré-entraînés.
  • Lecteur des options de base de données : affiche toutes les options de configuration qui peuvent être utilisées dans le service de base de données.
  • Lecteur de l'UI de la base de données : accorde aux utilisateurs authentifiés l'autorisation d'afficher l'UI du service de base de données.
  • DNS Suffix Viewer (Afficheur de suffixe DNS) : accède à la carte de configuration du suffixe du service de nom de domaine (DNS).
  • Administrateur des journaux de flux : dispose d'un accès en lecture et en écriture à toutes les ressources des journaux de flux.
  • Lecteur de journaux de flux : dispose d'un accès en lecture seule à toutes les ressources de journaux de flux.
  • Lecteur Marketplace : dispose d'un accès en lecture seule aux versions de service.
  • Utilisateur du simulateur de coût : dispose d'un accès en lecture seule aux descriptions des unités de gestion des stocks (SKU).
  • Lecteur de découverte de projet : permet à tous les utilisateurs authentifiés d'accéder en lecture à la vue du projet.
  • Lecteur d'images publiques : dispose d'un accès en lecture pour tous les utilisateurs authentifiés sur les images de VM publiques dans l'espace de noms vm-images.
  • Lecteur de types de machines virtuelles : dispose d'un accès en lecture aux types de machines virtuelles à portée de cluster.
  • Lecteur de types de VM : dispose d'un accès en lecture aux types de machines virtuelles prédéfinis.