Descrições de papéis predefinidos

O Google Distributed Cloud (GDC) isolado tem os seguintes papéis predefinidos que podem ser atribuídos aos membros da equipe:

Funções de PA

Os administradores da plataforma (PA, na sigla em inglês) gerenciam recursos no nível da organização e o gerenciamento do ciclo de vida do projeto. É possível atribuir os seguintes papéis predefinidos aos membros da equipe:

  • Criador de buckets de restauração da plataforma de registros de auditoria:cria buckets de backup para restaurar os registros de auditoria da plataforma.
  • Leitor de buckets da plataforma de registros de auditoria:confira os buckets de backup dos registros de auditoria da plataforma.
  • Administrador do AI Platform: concede permissões para gerenciar serviços pré-treinados.
  • Administrador do repositório de backup:gerencia repositórios de backup.
  • Leitor do faturamento:tem acesso somente leitura às descrições de SKU, máquinas de inventário e frotas na página da tabela de custos.
  • Administrador de bucket:gerencia buckets de armazenamento em organizações e projetos, além dos objetos nesses buckets.
  • Administrador de bucket (global): gerencia buckets de zona única na organização e nos projetos, além dos objetos nesses buckets.
  • Administrador de objetos do bucket:tem acesso somente leitura a buckets em uma organização e acesso de leitura/gravação aos objetos nesses buckets.
  • Administrador de objetos do bucket (global): tem acesso somente leitura a buckets de duas zonas na organização e nos projetos dela, além de acesso de leitura e gravação aos objetos nesses buckets.
  • Leitor de objetos do bucket:tem acesso somente leitura a buckets em uma organização e aos objetos nesses buckets.
  • Leitor de objetos do bucket (global): tem acesso somente leitura a buckets de duas zonas na organização e nos projetos dela, bem como acesso somente leitura aos objetos nesses buckets.
  • Administrador da organização com função personalizada: cria e gerencia funções personalizadas em uma organização ou projeto.
  • Criador de PA do painel: cria Dashboard recursos personalizados para toda a organização.
  • Editor de PA do painel: tem acesso de leitura e gravação a Dashboard recursos personalizados para toda a organização.
  • Leitor do painel de PA: tem acesso somente leitura a Dashboard recursos personalizados para toda a organização.
  • Administrador de backup de DR: faz backups de recuperação de desastres.
  • Administrador do sistema de DR: gerencia recursos no namespace dr-system para configurar backups no cluster de gerenciamento.
  • Administrador de registros de fluxo: gerencia recursos de registros de fluxo para registrar metadados de tráfego de rede.
  • Leitor de registros de fluxo: oferece acesso somente leitura às configurações de registros de fluxo.
  • Administrador da política de restrição por atributos do GDCH:tem acesso total à restrição GDCHRestrictByAttributes.
  • Administrador da política de serviços restritos do GDCH:gerencia modelos de política para a organização e tem acesso total às restrições. Aplica ou reverte políticas para uma organização ou um projeto.
  • Administrador global de PNP: tem permissões de gravação em todos os recursos de política de rede de projeto (PNP) multizona no namespace do projeto global.
  • Administrador da federação de IdP: tem acesso total para configurar provedores de identidade.
  • Administrador da interconexão: tem acesso para configurar recursos de interconexão.
  • Administrador de jobs de rotação do KMS:tem acesso total para criar e gerenciar o recurso RotationJob, que alterna as chaves raiz do sistema de gerenciamento de chaves (KMS).
  • Consultor da API Log Query: tem acesso somente leitura para acessar o endpoint de registro de auditoria ou operacional da API Log Query e ver os registros de um projeto.
  • Criador de PA LoggingRule: cria recursos personalizados LoggingRule para toda a organização.
  • Editor de PA LoggingRule: edita recursos personalizados LoggingRule para toda a organização.
  • Leitor de PA de LoggingRule: visualiza LoggingRule recursos personalizados para toda a organização.
  • Criador de PA do LoggingTarget: cria recursos personalizados LoggingTarget para toda a organização.
  • Editor de PA do LoggingTarget: edita recursos personalizados LoggingTarget para toda a organização.
  • Leitor de PA do LoggingTarget: visualiza recursos personalizados LoggingTarget para toda a organização.
  • Criador de PA MonitoringRule: cria recursos personalizados MonitoringRule para toda a organização.
  • Editor de PA MonitoringRule: tem acesso de leitura e gravação a recursos MonitoringRule para toda a organização.
  • Leitor de PA MonitoringRule: tem acesso somente leitura a MonitoringRule recursos personalizados para toda a organização.
  • Criador de PA do MonitoringTarget: cria MonitoringTarget recursos personalizados para toda a organização.
  • Editor de PA do MonitoringTarget: tem acesso de leitura e gravação a recursos personalizados MonitoringTarget para toda a organização.
  • Leitor de PA do MonitoringTarget: tem acesso somente leitura a MonitoringTarget recursos personalizados para toda a organização.
  • Criador de PA do ObservabilityPipeline: cria ObservabilityPipeine recursos personalizados para toda a organização.
  • Editor do ObservabilityPipeline PA: tem acesso de leitura e gravação em recursos personalizados ObservabilityPipeine para toda a organização.
  • Leitor de PA do ObservabilityPipeline: tem acesso somente leitura aos recursos personalizados ObservabilityPipeline para toda a organização.
  • Administrador de políticas de rede da organização: gerencia as políticas de rede da organização no namespace platform.
  • Administrador da sessão da organização: tem acesso ao comando de revogação. Os usuários vinculados a esse Role são adicionados às ACLs para autenticação e autorização.
  • Administrador de backup da organização: tem acesso de leitura e gravação para gerenciar backups.
  • Administrador de backup do cluster da organização: tem acesso para gerenciar backups em clusters de administrador.
  • Leitor do IAM da organização:tem acesso somente leitura a todos os recursos que o administrador do IAM da organização pode acessar.
  • Administrador do banco de dados da organização:gerencia recursos do serviço de banco de dados para uma organização.
  • Leitor do Grafana da organização:visualize dados de observabilidade relacionados à organização em painéis da instância de monitoramento do Grafana.
  • Administrador do IAM da organização:cria, atualiza e exclui permissões e políticas de permissão no servidor da API Management.
  • Administrador de upgrade da organização:modifica as janelas de manutenção de uma organização. As janelas de manutenção são criadas automaticamente durante a criação da organização.
  • Leitor de upgrade da organização:visualiza janelas de manutenção.
  • Administrador de bucket do projeto:gerencia os buckets de duas zonas de um projeto, bem como os objetos nesses buckets.
  • Administrador de objetos do bucket do projeto:tem acesso somente leitura a buckets de duas zonas em um projeto, além de acesso de leitura e gravação aos objetos nesses buckets.
  • Leitor de objetos do bucket do projeto:tem acesso somente leitura a buckets de duas zonas em um projeto, bem como acesso somente leitura aos objetos nesses buckets.
  • Criador de projetos:cria projetos.
  • Editor de projetos:exclui projetos.
  • Administrador da organização de sub-redes (global): gerencia várias sub-redes de zona na organização.
  • Administrador da organização de sub-rede:gerencia sub-redes zonais na organização.
  • Criador da organização de exportação do SIEM: cria SIEMOrgForwarder recursos personalizados.
  • Editor da organização de exportação do SIEM: tem acesso de leitura e gravação aos recursos personalizados do SIEMOrgForwarder.
  • O Leitor da organização de exportação do SIEM tem acesso somente leitura para visualizar recursos personalizados do SIEMOrgForwarder.
  • Administrador do repositório de backup do cluster do sistema: tem acesso total para gerenciar repositórios de backup.
  • Criador de solicitações do Transfer Appliance:pode ler e criar solicitações do Transfer Appliance, que permitem transferir grandes quantidades de dados para o Distributed Cloud de maneira rápida e segura usando um servidor de armazenamento de alta capacidade.
  • Administrador de backup de cluster de usuário:gerencia recursos de backup, como planos de backup e restauração em clusters de usuário.
  • Administrador do cluster de usuário:cria, atualiza e exclui o cluster de usuário e gerencia o ciclo de vida dele.
  • Desenvolvedor de cluster de usuário:tem permissões de administrador de cluster em clusters de usuário.
  • Visualizador de nós do cluster de usuário:tem permissões de administrador de cluster somente leitura em clusters de usuário.
  • Administrador de VPN:tem permissões de leitura e gravação em todos os recursos relacionados à VPN.
  • Leitor de VPN:tem permissões de leitura em todos os recursos relacionados à VPN.

Funções do AO

Um operador de aplicativo (AO, na sigla em inglês) é um membro da equipe de desenvolvimento na organização do administrador da plataforma (PA, na sigla em inglês). As AOs interagem com recursos no nível do projeto. É possível atribuir os seguintes papéis predefinidos aos membros da equipe:

  • Desenvolvedor de OCR de IA: acesse o serviço de reconhecimento óptico de caracteres para detectar texto em imagens.
  • Desenvolvedor do Chirp de fala com IA: acesse o modelo Chirp do serviço Speech-to-Text para reconhecer a fala e transcrever o áudio.
  • Desenvolvedor de fala com IA: acesse o serviço Speech-to-Text para reconhecer a fala e transcrever áudio.
  • Desenvolvedor de embeddings de texto de IA: acesse o serviço de embeddings de texto para converter linguagem natural em inglês em vetores numéricos.
  • Desenvolvedor multilíngue de embeddings de texto de IA: acesse o serviço de embeddings de texto para converter linguagem natural multilíngue em vetores numéricos.
  • Desenvolvedor de tradução de IA: acesse o serviço de tradução da Vertex AI para traduzir texto.
  • Criador de backup: cria e restaura backups manuais.
  • Administrador do Certificate Authority Service: tem acesso para gerenciar autoridades certificadoras e solicitações de certificado no projeto.
  • Administrador de projetos com função personalizada: cria e gerencia funções personalizadas em um projeto.
  • Editor de painel: tem acesso de leitura e gravação a recursos personalizados Dashboard.
  • Leitor do painel: tem acesso somente leitura a recursos personalizados do Dashboard.
  • Administrador do Discovery Engine: tenha acesso total a todos os recursos do Discovery Engine.
  • Desenvolvedor do Discovery Engine: tenha acesso de leitura e gravação a todos os recursos do Discovery Engine.
  • Leitor do Discovery Engine: recebe acesso de leitura a todos os recursos do Discovery Engine.
  • Administrador global do balanceador de carga: tem permissões de leitura e gravação em todos os recursos do balanceador de carga no namespace do projeto no servidor de API global.
  • Administrador da instância do Harbor: tem acesso total para gerenciar instâncias do Harbor em um projeto.
  • Leitor de instâncias do Harbor: tem acesso somente leitura para visualizar instâncias do Harbor em um projeto.
  • Criador de projetos do Harbor: tem acesso para gerenciar projetos de instâncias do Harbor.
  • Administrador de políticas de rede do K8s: gerencia políticas de rede em clusters de usuários.
  • Administrador do KMS: gerencia chaves do KMS em um projeto, incluindo as chaves AEADKey e SigningKey. Essa função também pode importar e exportar chaves.
  • Criador do KMS: tem acesso de criação e leitura às chaves do KMS em um projeto.
  • Desenvolvedor do KMS: tem acesso para realizar operações criptográficas usando chaves em projetos.
  • Administrador de exportação de chaves do KMS: tem acesso para exportar chaves do KMS como chaves encapsuladas do KMS.
  • Administrador da importação de chaves do KMS: tem acesso para importar chaves do KMS como chaves encapsuladas para o KMS.
  • Leitor do KMS: tem acesso somente leitura às chaves do KMS no projeto e pode visualizar a importação e exportação de chaves.
  • Criador de LoggingRule: cria recursos personalizados LoggingRule no namespace do projeto.
  • Editor de LoggingRule: edita recursos personalizados LoggingRule no namespace do projeto.
  • Leitor de LoggingRule: visualiza recursos personalizados LoggingRule no namespace do projeto.
  • Criador de LoggingTarget: cria recursos personalizados LoggingTarget no namespace do projeto.
  • Editor do LoggingTarget: edita recursos personalizados LoggingTarget no namespace do projeto.
  • Leitor do LoggingTarget: visualiza LoggingTarget recursos personalizados no namespace do projeto.
  • Administrador do balanceador de carga: tem permissões de leitura e gravação em todos os recursos do balanceador de carga no namespace do projeto.
  • Editor do Marketplace: tem acesso para criar, atualizar e excluir instâncias de serviço em um projeto.
  • Editor do MonitoringRule: tem acesso de leitura e gravação aos recursos MonitoringRule.
  • Leitor do MonitoringRule: tem acesso somente leitura aos recursos personalizados MonitoringRule.
  • Editor do MonitoringTarget: tem acesso de leitura e gravação a recursos personalizados MonitoringTarget.
  • Leitor do MonitoringTarget: tem acesso somente leitura aos recursos personalizados MonitoringTarget.
  • Administrador do namespace: gerencia todos os recursos no namespace do projeto.
  • Leitor do NAT: tem acesso somente leitura às implantações em clusters de usuários.
  • Editor do ObservabilityPipeline: tem acesso de leitura e gravação em recursos personalizados ObservabilityPipeine.
  • Leitor do ObservabilityPipeline: tem acesso somente leitura aos recursos personalizados do ObservabilityPipeline.
  • Administrador de buckets do projeto: gerencia os buckets e objetos de armazenamento dentro dos buckets.
  • Administrador de objetos do bucket do projeto: tem acesso somente leitura aos buckets em um projeto e acesso de leitura/gravação aos objetos nesses buckets.
  • Leitor de objetos do bucket do projeto: tem acesso somente leitura a buckets em um projeto e aos objetos nesses buckets.
  • Administrador do IAM do projeto: gerencia as políticas de permissão do IAM dos projetos.
  • Administrador de NetworkPolicy do projeto:gerencia as políticas de rede do projeto no namespace do projeto.
  • Administrador de banco de dados do projeto: administra o serviço de banco de dados de um projeto.
  • Editor de banco de dados do projeto: tem acesso de leitura e gravação ao serviço de banco de dados de um projeto.
  • Leitor de banco de dados do projeto: tem acesso somente leitura ao serviço de banco de dados de um projeto.
  • Leitor do projeto:tem acesso somente leitura a todos os recursos nos namespaces do projeto.
  • Administrador de VirtualMachine do projeto: gerencia VMs no namespace do projeto.
  • Administrador de imagens de máquina virtual do projeto: gerencia imagens de VM no namespace do projeto.
  • Administrador de secrets: gerencia secrets do Kubernetes em projetos.
  • Leitor de secrets: visualiza secrets do Kubernetes em projetos.
  • Administrador da configuração de serviço: tem acesso de leitura e gravação às configurações de serviço em um namespace do projeto.
  • Leitor de configuração de serviço: tem acesso de leitura às configurações de serviço em um namespace do projeto.
  • Administrador de projeto de sub-rede (global): gerencia várias sub-redes de zona em projetos.
  • Administrador de projetos de sub-rede: gerencia sub-redes zonais em projetos.
  • Operador de projetos de sub-rede: gerencia sub-redes de tipo folha alocadas automaticamente em projetos.
  • Usuário da Vertex AI Prediction: acesse o serviço de previsão on-line para fazer solicitações ao endpoint do modelo.
  • Administrador da replicação de volume: gerencia recursos de replicação de volume.
  • Administrador de notebooks do Workbench: tenha acesso de leitura e gravação a todos os recursos de notebook em um namespace de projeto.
  • Leitor de notebooks do Workbench: tenha acesso somente leitura a todos os recursos de notebook em um namespace de projeto e veja a interface do usuário do Vertex AI Workbench.
  • Leitor de carga de trabalho: tem acesso de leitura às cargas de trabalho em um projeto.

Funções comuns

As seguintes funções comuns predefinidas se aplicam a todos os usuários autenticados:

  • Leitor do AI Platform: concede permissões para visualizar serviços pré-treinados.
  • Leitor de opções de banco de dados: mostra todas as opções de configuração que podem ser usadas no serviço de banco de dados.
  • Leitor da interface da DB: concede permissões a usuários autenticados para visualizar a interface do serviço de banco de dados.
  • Visualizador de sufixo de DNS: acessa o mapa de configuração de sufixo do serviço de nome de domínio (DNS).
  • Administrador de registros de fluxo: tem acesso de leitura e gravação a todos os recursos de registros de fluxo.
  • Leitor de registros de fluxo: tem acesso somente leitura a todos os recursos de registros de fluxo.
  • Leitor do Marketplace: tem acesso somente leitura às versões do serviço.
  • Usuário da calculadora de preços: tem acesso somente leitura às descrições de unidade de manutenção de estoque (SKU).
  • Leitor de descoberta de projetos: tem acesso de leitura para todos os usuários autenticados na visualização do projeto.
  • Visualizador de imagens públicas: tem acesso de leitura para todos os usuários autenticados nas imagens públicas de VM no namespace vm-images.
  • Leitor de tipo de máquina virtual: tem acesso de leitura a tipos de máquinas virtuais no escopo do cluster.
  • Leitor de tipo de VM: tem acesso de leitura aos tipos de máquina virtual predefinidos.