事前定義ロールの説明

Google Distributed Cloud(GDC)エアギャップには、チームメンバーに割り当てることができる次の事前定義ロールがあります。

PA のロール

プラットフォーム管理者(PA)は、組織レベルのリソースとプロジェクトのライフサイクル管理を管理します。チームメンバーには、次の事前定義ロールを割り当てることができます。

  • 監査ログ プラットフォーム復元バケット作成者: プラットフォーム監査ログを復元するためのバックアップ バケットを作成します。
  • 監査ログ プラットフォーム バケット閲覧者: プラットフォーム監査ログのバックアップ バケットを表示します。
  • AI Platform 管理者: 事前トレーニング済みサービスを管理する権限を付与します。
  • バックアップ リポジトリ管理者: バックアップ リポジトリを管理します。
  • 請求閲覧者: 料金表ページで、SKU の説明、インベントリ マシン、フリートに対する読み取り専用アクセス権があります。
  • バケット管理者: 組織とプロジェクト内のストレージ バケットと、それらのバケット内のオブジェクトを管理します。
  • バケット管理者(グローバル): 組織とプロジェクト内の単一ゾーン バケットと、それらのバケット内のオブジェクトを管理します。
  • バケット オブジェクト管理者: 組織内のバケットに対する読み取り専用アクセス権と、これらのバケット内のオブジェクトに対する読み取り / 書き込みアクセス権を持ちます。
  • バケット オブジェクト管理者(グローバル): 組織とそのプロジェクト内のデュアルゾーン バケットに対する読み取り専用権限と、それらのバケット内のオブジェクトに対する読み取り / 書き込み権限を持ちます。
  • バケット オブジェクト閲覧者: 組織内のバケットとそれらのバケット内のオブジェクトに対する読み取り専用アクセス権があります。
  • バケット オブジェクト閲覧者(グローバル): バケット オブジェクト閲覧者は、組織とそのプロジェクト内のデュアルゾーン バケットに対する読み取り専用権限と、それらのバケット内のオブジェクトに対する読み取り専用権限を持っています。
  • カスタムロールの組織管理者: 組織またはプロジェクト内でカスタムロールを作成して管理します。
  • Dashboard PA Creator: 組織全体に対して Dashboard カスタム リソースを作成します。
  • Dashboard PA Editor: 組織全体の Dashboard カスタム リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • Dashboard PA Viewer: 組織全体の Dashboard カスタム リソースに対する読み取り専用アクセス権を持ちます。
  • DR バックアップ管理者: 障害復旧バックアップを実行します。
  • DR システム管理者: 管理クラスタでバックアップを設定するために、dr-system Namespace のリソースを管理します。
  • フローログ管理者: ネットワーク トラフィック メタデータのロギング用のフローログ リソースを管理します。
  • フローログ閲覧者: フローログ構成に対する読み取り専用アクセス権を付与します。
  • GDCH 属性による制限ポリシー管理者: GDCHRestrictByAttributes 制約に対する完全なアクセス権があります。
  • GDCH 制限付きサービス ポリシー管理者: 組織のポリシー テンプレートを管理し、制約への完全なアクセス権を持ちます。組織またはプロジェクトのポリシーを適用またはロールバックします。
  • グローバル PNP 管理者: グローバル プロジェクト名前空間内のすべてのマルチゾーン プロジェクト ネットワーク ポリシー(PNP)リソースに対する書き込み権限があります。
  • IdP 連携管理者: ID プロバイダを構成するための完全アクセス権があります。
  • Interconnect 管理者: Interconnect リソースの構成にアクセスできます。
  • KMS ローテーション ジョブ管理者: 鍵管理システム(KMS)のルート鍵をローテーションする RotationJob リソースの作成と管理に対する完全なアクセス権を持ちます。
  • ログクエリ API クエリ実行者: ログクエリ API から監査ログまたはオペレーション ログのエンドポイントにアクセスして、プロジェクトのログを表示する読み取り専用権限があります。
  • LoggingRule PA Creator: 組織全体に対して LoggingRule カスタム リソースを作成します。
  • LoggingRule PA 編集者: 組織全体の LoggingRule カスタム リソースを編集します。
  • LoggingRule PA 閲覧者: 組織全体の LoggingRule カスタム リソースを表示します。
  • LoggingTarget PA Creator: 組織全体に対して LoggingTarget カスタム リソースを作成します。
  • LoggingTarget PA 編集者: 組織全体の LoggingTarget カスタム リソースを編集します。
  • LoggingTarget PA 閲覧者: 組織全体の LoggingTarget カスタム リソースを表示します。
  • MonitoringRule PA 作成者: 組織全体に対して MonitoringRule カスタム リソースを作成します。
  • MonitoringRule PA 編集者: 組織全体の MonitoringRule リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • MonitoringRule PA 閲覧者: 組織全体の MonitoringRule カスタム リソースに対する読み取り専用アクセス権があります。
  • MonitoringTarget PA 作成者: 組織全体の MonitoringTarget カスタム リソースを作成します。
  • MonitoringTarget PA 編集者: 組織全体の MonitoringTarget カスタム リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • MonitoringTarget PA 閲覧者: 組織全体の MonitoringTarget カスタム リソースに対する読み取り専用アクセス権があります。
  • ObservabilityPipeline PA Creator: 組織全体に対して ObservabilityPipeine カスタム リソースを作成します。
  • ObservabilityPipeline PA 編集者: 組織全体の ObservabilityPipeine カスタム リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • ObservabilityPipeline PA 閲覧者: 組織全体の ObservabilityPipeline カスタム リソースに対する読み取り専用アクセス権を持ちます。
  • 組織ネットワーク ポリシー管理者: platform Namespace の組織ネットワーク ポリシーを管理します。
  • 組織セッション管理者: 取り消しコマンドにアクセスできます。この Role にバインドされたユーザーは、認証と認可の ACL に追加されます。
  • 組織のバックアップ管理者: バックアップを管理するための読み取りと書き込みのアクセス権を持ちます。
  • 組織クラスタ バックアップ管理者: 管理クラスタのバックアップを管理する権限を持ちます。
  • 組織の IAM 閲覧者: 組織の IAM 管理者がアクセスできるすべてのリソースに対する読み取り専用アクセス権を持ちます。
  • 組織の DB 管理者: 組織の Database Service リソースを管理します。
  • 組織の Grafana 閲覧者: Grafana モニタリング インスタンスのダッシュボードで、組織関連のオブザーバビリティ データを可視化します。
  • 組織の IAM 管理者: 管理 API サーバー内の権限と許可ポリシーを作成、更新、削除します。
  • 組織アップグレード管理者: 組織のメンテナンスの時間枠を変更します。メンテナンスの時間枠は、組織の作成時に自動的に作成されます。
  • 組織アップグレード閲覧者: メンテナンスの時間枠を表示します。
  • プロジェクト バケット管理者: プロジェクトのデュアルゾーン バケットと、それらのバケット内のオブジェクトを管理します。
  • プロジェクト バケット オブジェクト管理者: プロジェクト内のデュアルゾーン バケットに対する読み取り専用権限と、それらのバケット内のオブジェクトに対する読み取り / 書き込み権限があります。
  • プロジェクト バケット オブジェクト閲覧者: プロジェクト内のデュアルゾーン バケットに対する読み取り専用権限と、それらのバケット内のオブジェクトに対する読み取り専用権限があります。
  • プロジェクト作成者: 新しいプロジェクトを作成します。
  • プロジェクト編集者: プロジェクトを削除します。
  • サブネット組織管理者(グローバル): 組織内の複数のゾーン サブネットを管理します。
  • サブネット組織管理者: 組織内のゾーン サブネットを管理します。
  • SIEM Export Org Creator: SIEMOrgForwarder カスタム リソースを作成します。
  • SIEM エクスポート組織編集者: SIEMOrgForwarder カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • SIEM Export Org Viewer: SIEMOrgForwarder カスタム リソースを表示するための読み取り専用アクセス権を持ちます。
  • システム クラスタ バックアップ リポジトリ管理者: バックアップ リポジトリを管理するための完全なアクセス権があります。
  • Transfer Appliance リクエスト作成者: 大容量ストレージ サーバーを使用して、大量のデータを Distributed Cloud に迅速かつ安全に転送できる転送アプライアンス リクエストの読み取りと作成を行うことができます。
  • ユーザー クラスタ バックアップ管理者: ユーザー クラスタのバックアップ プランや復元プランなどのバックアップ リソースを管理します。
  • ユーザー クラスタ管理者: ユーザー クラスタの作成、更新、削除を行い、ユーザー クラスタのライフサイクルを管理します。
  • ユーザー クラスタ デベロッパー: ユーザー クラスタでクラスタ管理者の権限を持ちます。
  • ユーザー クラスタ ノード閲覧者: ユーザー クラスタで読み取り専用のクラスタ管理者権限を持ちます。
  • VPN 管理者: VPN 関連のすべてのリソースに対する読み取り / 書き込み権限を持ちます。
  • VPN 閲覧者: VPN 関連のすべてのリソースに対する読み取り権限があります。

AO のロール

アプリケーション オペレータ(AO)は、プラットフォーム管理者(PA)組織内の開発チームのメンバーです。AO はプロジェクト レベルのリソースとやり取りします。チームメンバーには、次の事前定義ロールを割り当てることができます。

  • AI OCR デベロッパー: 光学式文字認識サービスにアクセスして、画像内のテキストを検出します。
  • AI Speech Chirp デベロッパー: Speech-to-Text サービスの Chirp モデルにアクセスして、音声を認識し、音声を文字変換します。
  • AI Speech Developer: Speech-to-Text サービスにアクセスして、音声を認識し、音声を文字に変換します。
  • AI テキスト エンベディング デベロッパー: テキスト エンベディング サービスにアクセスして、英語の自然言語を数値ベクトルに変換します。
  • AI Text Embedding Multilingual Developer: テキスト エンベディング サービスにアクセスして、多言語の自然言語を数値ベクトルに変換します。
  • AI Translation デベロッパー: Vertex AI Translation サービスにアクセスしてテキストを翻訳します。
  • Backup Creator: 手動バックアップの作成と復元を行います。
  • Certificate Authority Service 管理者: プロジェクト内の認証局と証明書リクエストを管理する権限があります。
  • カスタムロール プロジェクト管理者: プロジェクト内でカスタムロールを作成して管理します。
  • ダッシュボード編集者: Dashboard カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • ダッシュボード閲覧者: Dashboard カスタム リソースに対する読み取り専用アクセス権があります。
  • ディスカバリー エンジン管理者: すべてのディスカバリー エンジン リソースへのフルアクセス権を取得します。
  • Discovery Engine デベロッパー: すべての Discovery Engine リソースに対する読み取り / 書き込みアクセス権を取得します。
  • Discovery Engine 閲覧者: すべての Discovery Engine リソースに対する読み取りアクセス権を取得します。
  • グローバル ロードバランサ管理者: グローバル API サーバーのプロジェクト Namespace 内のすべてのロードバランサ リソースに対する読み取りと書き込みの権限を持ちます。
  • Harbor インスタンス管理者: プロジェクト内の Harbor インスタンスを管理するための完全なアクセス権があります。
  • Harbor インスタンス閲覧者: プロジェクト内の Harbor インスタンスを表示する読み取り専用アクセス権があります。
  • Harbor プロジェクト作成者: Harbor インスタンス プロジェクトを管理する権限があります。
  • K8s ネットワーク ポリシー管理者: ユーザー クラスタのネットワーク ポリシーを管理します。
  • KMS 管理者: AEADKey 鍵や SigningKey 鍵など、プロジェクト内の KMS 鍵を管理します。このロールでは、鍵のインポートとエクスポートも行うことができます。
  • KMS 作成者: プロジェクト内の KMS 鍵に対する作成と読み取りのアクセス権があります。
  • KMS デベロッパー: プロジェクト内の鍵を使用して暗号オペレーションを実行する権限があります。
  • KMS 鍵のエクスポート管理者: KMS からラップされた鍵として KMS 鍵をエクスポートする権限があります。
  • KMS 鍵インポート管理者: KMS にラップされた鍵として KMS 鍵をインポートする権限があります。
  • KMS 閲覧者: プロジェクト内の KMS 鍵に対する読み取り専用アクセス権を持ち、鍵のインポートとエクスポートを表示できます。
  • LoggingRule 作成者: プロジェクト Namespace に LoggingRule カスタム リソースを作成します。
  • LoggingRule エディタ: プロジェクト Namespace の LoggingRule カスタム リソースを編集します。
  • LoggingRule 閲覧者: プロジェクト Namespace の LoggingRule カスタム リソースを表示します。
  • LoggingTarget Creator: プロジェクト Namespace に LoggingTarget カスタム リソースを作成します。
  • LoggingTarget エディタ: プロジェクト Namespace の LoggingTarget カスタム リソースを編集します。
  • LoggingTarget 閲覧者: プロジェクト Namespace の LoggingTarget カスタム リソースを表示します。
  • ロードバランサ管理者: プロジェクト Namespace 内のすべてのロードバランサ リソースに対する読み取り / 書き込み権限を持ちます。
  • Marketplace 編集者: プロジェクト内のサービス インスタンスに対する作成、更新、削除の権限があります。
  • MonitoringRule 編集者: MonitoringRule リソースに対する読み取り / 書き込みアクセス権があります。
  • MonitoringRule 閲覧者: MonitoringRule カスタム リソースに対する読み取り専用アクセス権があります。
  • MonitoringTarget 編集者: MonitoringTarget カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • MonitoringTarget 閲覧者: MonitoringTarget カスタム リソースに対する読み取り専用アクセス権があります。
  • Namespace 管理者: プロジェクト Namespace 内のすべてのリソースを管理します。
  • NAT 閲覧者: ユーザー クラスタのデプロイに対する読み取り専用アクセス権があります。
  • ObservabilityPipeline 編集者: ObservabilityPipeine カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • ObservabilityPipeline 閲覧者: ObservabilityPipeline カスタム リソースに対する読み取り専用アクセス権があります。
  • プロジェクト バケット管理者: バケット内のストレージ バケットとオブジェクトを管理します。
  • プロジェクト バケット オブジェクト管理者: プロジェクト内のバケットに対する読み取り専用アクセス権と、それらのバケット内のオブジェクトに対する読み取り / 書き込みアクセス権があります。
  • プロジェクト バケット オブジェクト閲覧者: プロジェクト内のバケットとそれらのバケット内のオブジェクトに対する読み取り専用アクセス権があります。
  • プロジェクト IAM 管理者: プロジェクトの IAM 許可ポリシーを管理します。
  • プロジェクト NetworkPolicy 管理者: プロジェクト Namespace のプロジェクト ネットワーク ポリシーを管理します。
  • プロジェクト DB 管理者: プロジェクトの Database Service を管理します。
  • プロジェクト DB 編集者: プロジェクトの Database Service に対する読み取り / 書き込み権限があります。
  • プロジェクト DB 閲覧者: プロジェクトの Database Service への読み取り専用アクセス権があります。
  • プロジェクト閲覧者: プロジェクト Namespace 内のすべてのリソースに対する読み取り専用アクセス権を持ちます。
  • プロジェクト VirtualMachine 管理者: プロジェクト名前空間の VM を管理します。
  • プロジェクト VirtualMachine Image 管理者: プロジェクト Namespace の VM イメージを管理します。
  • Secret 管理者: プロジェクト内の Kubernetes Secret を管理します。
  • Secret 閲覧者: プロジェクト内の Kubernetes Secret を表示します。
  • サービス構成管理者: プロジェクト Namespace 内のサービス構成に対する読み取り / 書き込みアクセス権があります。
  • サービス構成閲覧者: プロジェクト Namespace 内のサービス構成に対する読み取りアクセス権があります。
  • サブネット プロジェクト管理者(グローバル): プロジェクト内の複数のゾーン サブネットを管理します。
  • サブネット プロジェクト管理者: プロジェクト内のゾーン サブネットを管理します。
  • サブネット プロジェクト オペレーター: プロジェクト内のリーフタイプの自動割り当てサブネットを管理します。
  • Vertex AI Prediction ユーザー: オンライン予測サービスにアクセスして、モデル エンドポイントにリクエストを送信します。
  • ボリューム レプリケーション管理者: ボリューム レプリケーション リソースを管理します。
  • Workbench Notebooks 管理者: プロジェクト Namespace 内のすべてのノートブック リソースに対する読み取り / 書き込みアクセス権を取得します。
  • Workbench Notebooks 閲覧者: プロジェクト Namespace 内のすべてのノートブック リソースへの読み取り専用アクセス権を取得し、Vertex AI Workbench ユーザー インターフェースを表示します。
  • ワークロード閲覧者: プロジェクト内のワークロードに対する読み取りアクセス権があります。

一般的なロール

次の事前定義された共通ロールは、すべての認証済みユーザーに適用されます。

  • AI Platform 閲覧者: 事前トレーニング済みサービスを表示する権限を付与します。
  • DB オプション閲覧者: Database Service で使用できるすべての構成オプションを表示します。
  • DB UI 閲覧者: 認証済みユーザーに Database Service UI を表示する権限を付与します。
  • DNS サフィックス ビューア: ドメイン ネーム サービス(DNS)サフィックス構成マップにアクセスします。
  • フローログ管理者: すべてのフローログ リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • フローログ閲覧者: すべてのフローログ リソースに対する読み取り専用アクセス権があります。
  • Marketplace 閲覧者: サービス バージョンに対する読み取り専用アクセス権があります。
  • 料金計算ツールのユーザー: 最小管理単位(SKU)の説明に対する読み取り専用アクセス権があります。
  • プロジェクト検出閲覧者: 認証されたすべてのユーザーにプロジェクト ビューへの読み取りアクセス権を付与します。
  • 公開イメージ閲覧者: Namespace vm-images の公開 VM イメージに対するすべての認証済みユーザーの読み取りアクセス権があります。
  • 仮想マシンタイプの閲覧者: クラスタ スコープの仮想マシンタイプに対する読み取りアクセス権があります。
  • VM タイプ閲覧者: 事前定義の仮想マシンタイプに対する読み取りアクセス権があります。