预定义角色说明

Google Distributed Cloud (GDC) air-gapped 具有以下预定义角色,您可以将这些角色分配给团队成员:

PA 角色

平台管理员 (PA) 管理组织级资源和项目生命周期管理。您可以向团队成员分配以下预定义角色:

  • Audit Logs Platform Restore Bucket Creator:创建备份存储分区以恢复平台审核日志。
  • 审核日志平台存储分区查看器:查看平台审核日志的备份存储分区。
  • AI Platform 管理员:授予管理预训练服务的权限。
  • 备份代码库管理员:管理备份代码库。
  • Billing Viewer:对费用表格页面上的 SKU 说明、库存机器和机群具有只读权限。
  • 存储分区管理员:管理组织和项目中的存储分区以及这些存储分区中的对象。
  • 存储分区管理员(全局):管理组织和项目中的单区域存储分区,以及这些存储分区中的对象。
  • 存储分区对象管理员:对组织内的存储分区拥有只读权限,对这些存储分区中的对象拥有读写权限。
  • 存储分区对象管理员(全局)对组织及其项目中的双区域存储分区具有只读权限,对这些存储分区中的对象具有读写权限。
  • 存储分区对象查看者:拥有对组织内存储分区以及这些存储分区中对象的只读权限。
  • 存储分区对象查看者(全局)存储分区对象查看者对组织及其项目中的双区域存储分区具有只读权限,对这些存储分区中的对象也具有只读权限。
  • 自定义角色组织管理员:在组织或项目中创建和管理自定义角色。
  • 信息中心 PA 创建者:为整个组织创建 Dashboard 自定义资源。
  • 信息中心 PA 编辑者:拥有对整个组织的 Dashboard 自定义资源的读写权限。
  • 信息中心 PA 查看者:对整个组织的 Dashboard 自定义资源拥有只读权限。
  • DR Backup Admin:执行灾难恢复备份。
  • DR 系统管理员:管理 dr-system 命名空间中的资源,以便在管理集群上设置备份。
  • 流日志管理员:管理流日志资源,用于记录网络流量元数据。
  • Flow Log Viewer:提供对流日志配置的只读访问权限。
  • GDCH 按属性限制政策管理员:对 GDCHRestrictByAttributes 限制具有完全访问权限。
  • GDCH 受限服务政策管理员:管理组织的政策模板,并拥有对限制条件的完整访问权限。为组织或项目应用或回滚政策。
  • Global PNP Admin:对全局项目命名空间中的所有多可用区项目网络政策 (PNP) 资源拥有写入权限。
  • IdP Federation Admin:拥有配置身份提供方的完整访问权限。
  • Interconnect Admin:有权配置互连资源。
  • KMS 轮替作业管理员:拥有创建和管理 RotationJob 资源(用于轮替密钥管理系统 [KMS] 根密钥)的完整权限。
  • Log Query API Querier:拥有只读权限,可从 Log Query API 访问审核日志或操作日志端点,以查看项目的日志。
  • LoggingRule PA Creator:为整个组织创建 LoggingRule 自定义资源。
  • LoggingRule PA Editor:修改整个组织的 LoggingRule 自定义资源。
  • LoggingRule PA Viewer:查看整个组织的 LoggingRule 自定义资源。
  • LoggingTarget PA Creator:为整个组织创建 LoggingTarget 自定义资源。
  • LoggingTarget PA 编辑者:修改整个组织的 LoggingTarget 自定义资源。
  • LoggingTarget PA Viewer:查看整个组织的 LoggingTarget 自定义资源。
  • MonitoringRule PA Creator:为整个组织创建 MonitoringRule 自定义资源。
  • MonitoringRule PA Editor:拥有对整个组织的 MonitoringRule 资源的读写权限。
  • MonitoringRule PA Viewer:拥有对整个组织的 MonitoringRule 自定义资源的只读权限。
  • MonitoringTarget PA Creator:为整个组织创建 MonitoringTarget 自定义资源。
  • MonitoringTarget PA Editor:拥有对整个组织的 MonitoringTarget 自定义资源的读写权限。
  • MonitoringTarget PA Viewer:拥有对整个组织的 MonitoringTarget 自定义资源的只读权限。
  • ObservabilityPipeline PA Creator:为整个组织创建 ObservabilityPipeine 自定义资源。
  • ObservabilityPipeline PA Editor:拥有对整个组织的 ObservabilityPipeine 自定义资源的读写权限。
  • ObservabilityPipeline PA Viewer:对整个组织的 ObservabilityPipeline 自定义资源拥有只读权限。
  • Org Network Policy Admin:管理 platform 命名空间中的组织网络政策。
  • 组织会话管理员:有权访问撤消命令。绑定到此 Role 的用户会添加到身份验证和授权的 ACL 中。
  • 组织备份管理员:拥有读写权限,可管理备份。
  • 组织集群备份管理员:有权管理管理员集群中的备份。
  • 组织 IAM 查看者:对组织 IAM 管理员有权访问的所有资源拥有只读权限。
  • 组织数据库管理员:管理组织的数据库服务资源。
  • 组织 Grafana 查看者:在 Grafana 监控实例的信息中心内直观呈现组织相关可观测性数据。
  • 组织 IAM 管理员:在 Management API 服务器中创建、更新和删除任何权限和允许政策。
  • 组织升级管理员:修改组织的维护窗口。在创建组织期间,系统会自动创建维护期。
  • 组织升级查看者:查看维护窗口。
  • 项目存储分区管理员:管理项目的双区域存储分区以及这些存储分区中的对象。
  • 项目存储分区对象管理员:对项目内的双区域存储分区具有只读权限,对这些存储分区中的对象具有读写权限。
  • 项目存储分区对象查看者:拥有对项目内双区域存储分区的只读权限,以及对这些存储分区中对象的只读权限。
  • Project Creator:创建新项目。
  • 项目编辑者:删除项目。
  • 子网组织管理员(全局):管理组织内的多个可用区子网。
  • 子网组织管理员:管理组织内的可用区子网。
  • SIEM Export Org Creator:创建 SIEMOrgForwarder 自定义资源。
  • SIEM Export Org Editor:拥有对 SIEMOrgForwarder 自定义资源的读写权限。
  • SIEM Export Org Viewer 拥有查看 SIEMOrgForwarder 自定义资源的只读权限。
  • 系统集群备份代码库管理员:拥有管理备份代码库的完整访问权限。
  • Transfer Appliance 请求创建者:可以读取和创建 Transfer Appliance 请求,以便您使用大容量存储服务器快速安全地将大量数据转移到 Distributed Cloud。
  • 用户集群备份管理员:管理用户集群中的备份资源,例如备份和恢复计划。
  • 用户集群管理员:创建、更新和删除用户集群,并管理用户集群的生命周期。
  • 用户集群开发者:在用户集群中拥有集群管理员权限。
  • 用户集群节点查看者:在用户集群中拥有只读集群管理员权限。
  • VPN 管理员:拥有对所有 VPN 相关资源的读写权限。
  • VPN Viewer:拥有对所有 VPN 相关资源的读取权限。

AO 角色

应用运维人员 (AO) 是平台管理员 (PA) 组织内开发团队的成员。AO 会与项目级资源进行交互。您可以向团队成员分配以下预定义角色:

  • AI OCR 开发者:访问光学字符识别服务以检测图片中的文本。
  • AI Speech Chirp 开发者:访问 Speech-to-Text 服务的 Chirp 模型,以识别语音和转写音频。
  • AI Speech Developer:访问 Speech-to-Text 服务以识别语音和转写音频。
  • AI 文本嵌入开发者:访问文本嵌入服务,将英语自然语言转换为数值向量。
  • AI Text Embedding Multilingual Developer:访问 Text Embedding 服务,将多语言自然语言转换为数值向量。
  • AI Translation Developer:访问 Vertex AI Translation 服务以翻译文本。
  • 备份创建器:创建手动备份和恢复。
  • Certificate Authority Service Admin:有权管理其项目中的证书授权机构和证书请求。
  • 自定义角色项目管理员:在项目中创建和管理自定义角色。
  • 信息中心编辑器:对 Dashboard 自定义资源拥有读写权限。
  • Dashboard Viewer:拥有对 Dashboard 自定义资源的只读权限。
  • Discovery Engine Admin:可完全访问所有 Discovery Engine 资源。
  • Discovery Engine Developer:拥有对所有 Discovery Engine 资源的读写权限。
  • Discovery Engine Reader:获取对所有 Discovery Engine 资源的读取权限。
  • Global Load Balancer Admin:对全局 API 服务器中项目命名空间内的所有负载均衡器资源具有读取和写入权限。
  • Harbor Instance Admin:拥有对项目中的 Harbor 实例进行管理的完整访问权限。
  • Harbor Instance Viewer:拥有只读权限,可查看项目中的 Harbor 实例。
  • Harbor Project Creator:有权管理 Harbor 实例项目。
  • K8s 网络政策管理员:管理用户集群中的网络政策。
  • KMS Admin:管理项目中的 KMS 密钥,包括 AEADKeySigningKey 密钥。此角色还可以导入和导出密钥。
  • KMS 创建者:对项目中的 KMS 密钥具有创建和读取权限。
  • KMS Developer:有权使用项目中的密钥执行加密操作。
  • KMS 密钥导出管理员:有权从 KMS 中导出 KMS 密钥(以封装的密钥形式)。
  • KMS 密钥导入管理员:有权将 KMS 密钥作为封装的密钥导入到 KMS 中。
  • KMS 查看者:对其项目中的 KMS 密钥具有只读访问权限,并且可以查看密钥导入和导出。
  • LoggingRule 创建者:在项目命名空间中创建 LoggingRule 自定义资源。
  • LoggingRule 编辑器:用于修改项目命名空间中的 LoggingRule 自定义资源。
  • LoggingRule Viewer:查看项目命名空间中的 LoggingRule 自定义资源。
  • LoggingTarget 创建者:在项目命名空间中创建 LoggingTarget 自定义资源。
  • LoggingTarget 编辑器:用于修改项目命名空间中的 LoggingTarget 自定义资源。
  • LoggingTarget Viewer:查看项目命名空间中的 LoggingTarget 自定义资源。
  • Load Balancer Admin:对项目命名空间中的所有负载均衡器资源拥有读写权限。
  • Marketplace 编辑者:有权在项目中的服务实例上执行创建、更新和删除操作。
  • MonitoringRule Editor:拥有对 MonitoringRule 资源的读写权限。
  • MonitoringRule Viewer:拥有对 MonitoringRule 自定义资源的只读权限。
  • MonitoringTarget Editor:拥有对 MonitoringTarget 自定义资源的读写权限。
  • MonitoringTarget Viewer:拥有对 MonitoringTarget 自定义资源的只读权限。
  • 命名空间管理员:管理项目命名空间中的所有资源。
  • NAT 查看者:拥有对用户集群中部署的只读权限。
  • ObservabilityPipeline Editor:对 ObservabilityPipeine 自定义资源拥有读写权限。
  • ObservabilityPipeline Viewer:拥有对 ObservabilityPipeline 自定义资源的只读权限。
  • Project Bucket Admin:管理存储分区和存储分区内的对象。
  • 项目存储分区对象管理员:对项目中的存储分区具有只读权限,对这些存储分区中的对象具有读写权限。
  • Project Bucket Object Viewer:拥有对项目中的存储分区以及这些存储分区中的对象的只读权限。
  • Project IAM Admin:管理项目的 IAM 允许政策。
  • Project NetworkPolicy Admin:管理项目命名空间中的项目网络政策。
  • Project DB Admin:管理项目的数据库服务。
  • 项目数据库编辑者:拥有对项目的数据库服务的读写权限。
  • Project DB Viewer:拥有对项目的数据库服务的只读访问权限。
  • 项目查看者:拥有对项目命名空间内所有资源的只读权限。
  • Project VirtualMachine Admin:管理项目命名空间中的虚拟机。
  • Project VirtualMachine Image Admin:管理项目命名空间中的虚拟机映像。
  • Secret Admin:管理项目中的 Kubernetes Secret。
  • Secret Viewer:查看项目中的 Kubernetes Secret。
  • Service Configuration Admin:对项目命名空间内的服务配置具有读写权限。
  • 服务配置查看者:拥有对项目命名空间内服务配置的读取权限。
  • 子网项目管理员(全局):管理项目内的多个可用区子网。
  • 子网项目管理员:管理项目中的地区级子网。
  • Subnet Project Operator:管理项目中的叶类型自动分配子网。
  • Vertex AI Prediction User:访问在线预测服务,向模型端点发出请求。
  • 卷复制管理员:管理卷复制资源。
  • Workbench Notebooks Admin:获取对项目命名空间内所有笔记本资源的读写访问权限。
  • Workbench Notebooks Viewer:获取对项目命名空间内所有笔记本资源的只读访问权限,并查看 Vertex AI Workbench 界面。
  • 工作负载查看者:拥有对项目中工作负载的读取权限。

常见角色

以下预定义的常见角色适用于所有通过身份验证的用户:

  • AI Platform Viewer:授予查看预训练服务的权限。
  • 数据库选项查看器:查看可在数据库服务中使用的所有配置选项。
  • DB UI Viewer:授予经过身份验证的用户查看数据库服务界面的权限。
  • DNS 后缀查看器:访问域名服务 (DNS) 后缀配置映射。
  • Flow Log Admin:拥有对所有流日志资源的读写权限。
  • Flow Log Viewer:拥有对所有流日志资源的只读权限。
  • Marketplace Viewer:拥有对服务版本的只读权限。
  • 价格计算器用户:对库存单元 (SKU) 说明拥有只读权限。
  • Project Discovery Viewer:向所有已通过身份验证的用户授予对项目视图的读取权限。
  • 公共映像查看者:对命名空间 vm-images 中的公共虚拟机映像拥有读取权限,适用于所有经过身份验证的用户。
  • 虚拟机类型查看者:拥有对集群范围的虚拟机类型的读取权限。
  • 虚拟机类型查看者:拥有对预定义虚拟机类型的读取权限。