Definições de papéis para projetos

As tabelas desta seção descrevem diferentes papéis predefinidos e as permissões deles. As tabelas contêm as seguintes colunas:

  • Nome:o nome de uma função exibida na interface do usuário (UI).
  • Nome do recurso do Kubernetes:o nome do recurso personalizado correspondente do Kubernetes.
  • Nível:especificação de se o escopo desse papel é a organização ou um projeto.
  • Tipo:o tipo dessa função. Por exemplo, alguns valores possíveis são Role, ProjectRole, ClusterRole ou ProjectClusterRole.
  • Tipo de vinculação:o tipo de vinculação que você precisa aplicar a essa função.
  • Permissões do servidor da API de gerenciamento ou do cluster do Kubernetes:as permissões que essa função tem para o servidor da API Management ou o cluster do Kubernetes. Por exemplo, alguns valores possíveis são "leitura", "gravação", "leitura e gravação" ou "não aplicável" (N/A).
  • Escalonamento para:especifica se essa função é escalonada para outras funções ou não.

Personas de AO, papéis predefinidos de identidade e acesso

Personagem de AO
Nome Nome do recurso do Kubernetes Administrador inicial Nível Tipo
Administrador de IAM do projeto project-iam-admin Verdadeiro Projeto Role
Desenvolvedor de OCR de IA ai-ocr-developer Falso Projeto Role
Leitor do AI Platform ai-platform-viewer Falso Projeto Role
Desenvolvedor de IA de fala ai-speech-developer Falso Projeto Role
Desenvolvedor de IA de tradução ai-translation-developer Falso Projeto Role
Administrador de gerenciamento de artefatos artifact-management-admin Falso Projeto Role
Editor de gerenciamento de artefatos artifact-management-editor Falso Projeto Role
Administrador do Certificate Authority Service certificate-authority-service-admin Falso Projeto Role
Administrador do serviço de certificados certificate-service-admin Falso Projeto Role
Editor de painel dashboard-editor Falso Projeto Role
Leitor de painéis dashboard-viewer Falso Projeto Role
Administrador de instâncias do Harbor harbor-instance-admin Falso Projeto Role
Leitor de instâncias do Harbor harbor-instance-viewer Falso Projeto Role
Criador de projetos do Harbor harbor-project-creator Falso Projeto Role
Administrador da política de rede do K8s k8s-networkpolicy-admin Falso Projeto ProjectRole
Administrador do Balanceador de Carga load-balancer-admin Falso Projeto ProjectRole
LoggingRule Creator loggingrule-creator Falso Projeto Role
Editor de LoggingRule loggingrule-editor Falso Projeto Role
Leitor de LoggingRule loggingrule-viewer Falso Projeto Role
Criador de LoggingTarget loggingtarget-creator Falso Projeto Role
Editor do LoggingTarget loggingtarget-editor Falso Projeto Role
Leitor do LoggingTarget loggingtarget-viewer Falso Projeto Role
Editor do MonitoringRule monitoringrule-editor Falso Projeto Role
Leitor de MonitoringRule monitoringrule-viewer Falso Projeto Role
Editor do MonitoringTarget monitoringtarget-editor Falso Projeto Role
Leitor do MonitoringTarget monitoringtarget-viewer Falso Projeto Role
Administrador de namespace namespace-admin Falso Projeto ProjectRole
Visualizador de NAT nat-viewer Falso Projeto ProjectRole
Editor do ObservabilityPipeline observabilitypipeline-editor Falso Projeto Role
Leitor do ObservabilityPipeline observabilitypipeline-viewer Falso Projeto Role
Administrador de bucket do projeto project-bucket-admin Falso Projeto Role
Administrador de objetos do bucket do projeto project-bucket-object-admin Falso Projeto Role
Leitor de objetos do bucket do projeto project-bucket-object-viewer Falso Projeto Role
Editor do Alertmanager do Project Cortex project-cortex-alertmanager-editor Falso Projeto Role
Leitor do Alertmanager do Project Cortex project-cortex-alertmanager-viewer Falso Projeto Role
Leitor do Prometheus do Project Cortex project-cortex-prometheus-viewer Falso Projeto Role
Leitor do Grafana do projeto project-grafana-viewer Falso Projeto Role
Administrador de NetworkPolicy do projeto project-networkpolicy-admin Falso Projeto Role
Leitor do projeto. project-viewer Falso Projeto Role
Administrador de máquinas virtuais do projeto project-vm-admin Falso Projeto Role
Administrador de imagens de máquinas virtuais do projeto project-vm-image-admin Falso Projeto Role
Administrador de secrets secret-admin Falso Projeto Role
Leitor de secrets secret-viewer Falso Projeto Role
Administrador da configuração do serviço service-configuration-admin Falso Projeto Role
Leitor de configuração do serviço service-configuration-viewer Falso Projeto Role
Administrador de notebooks do Workbench workbench-notebooks-admin Falso Projeto Role
Administrador da replicação de volume app-volume-replication-admin Falso Cluster Role
Leitor do Notebooks do Workbench workbench-notebooks-viewer Falso Projeto Role
Leitor de carga de trabalho workload-viewer Falso Projeto Role

Personas da AO, identidades predefinidas e papéis de acesso

Personagem de AO
Nome Tipo de vinculação Permissões do servidor da API Management Permissões do cluster do Kubernetes Encaminha para
Administrador de IAM do projeto RoleBinding
  • RoleBinding, ClusterRoleBinding, Role, ClusterRole, ProjectRole, ProjectClusterRole, ProjectRoleBinding e ProjectClusterRoleBinding:criar, ler, atualizar, excluir e vincular
  • ProjectServiceAccount:criar, ler, atualizar e excluir
  • Listar namespace do projeto
 N/A Todas as outras funções do AO
Desenvolvedor de OCR de IA RoleBinding Recursos de OCR:leitura e gravação N/A N/A
Desenvolvedor de IA de fala RoleBinding Recursos de fala:leitura e gravação N/A N/A
Desenvolvedor de IA de tradução RoleBinding Recursos de tradução:leitura e gravação N/A N/A
Administrador de gerenciamento de artefatos RoleBinding HarborProjects:administrador, criar, ler, gravar, excluir e visualizar N/A N/A
Editor de gerenciamento de artefatos RoleBinding HarborProjects:ler, gravar e visualizar N/A N/A
Administrador do Certificate Authority Service RoleBinding Autoridades certificadoras e solicitações de certificado:receber, listar, monitorar, atualizar, criar, excluir e corrigir N/A N/A
Administrador do serviço de certificados RoleBinding Certificados e emissores de certificados:receber, listar, observar, atualizar, criar, excluir e corrigir N/A N/A
Editor de painel RoleBinding Recursos personalizados do Dashboard:receber, ler, criar, atualizar, excluir e corrigir N/A N/A
Leitor de painéis RoleBinding Dashboard:receber e ler N/A N/A
Administrador de instâncias do Harbor RoleBinding Instâncias do Harbor:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor de instâncias do Harbor RoleBinding Instâncias do Harbor:leitura N/A N/A
Criador de projetos do Harbor RoleBinding Projetos de instância do Harbor:criar, receber e assistir N/A N/A
Administrador do NetworkPolicy do K8s ProjectRoleBinding N/A Recursos NetworkPolicy: criar, ler, receber, atualizar, excluir e patch N/A
Administrador do Balanceador de Carga RoleBinding N/A
  • Backend:get, watch, list, create, patch, update e delete
  • HealthCheck:get, watch, list, create, patch, update e delete
  • BackendService:get, watch, list, create, patch, update e delete
  • ForwardingRuleExternal:get, watch, list, create, patch, update e delete
  • ForwardingRuleInternal:get, watch, list, create, patch, update e delete
 N/A
LoggingRule Creator RoleBinding Recursos personalizados LoggingRule:criar, ler, atualizar, excluir e corrigir N/A N/A
Editor de LoggingRule RoleBinding Recursos personalizados LoggingRule:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor de LoggingRule RoleBinding Recursos personalizados LoggingRule:leitura N/A N/A
Criador de LoggingTarget RoleBinding Recursos personalizados LoggingTarget:criar, ler, atualizar, excluir e corrigir N/A N/A
Editor do LoggingTarget RoleBinding Recursos personalizados LoggingTarget:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor do LoggingTarget RoleBinding Recursos personalizados LoggingTarget:leitura N/A N/A
Editor do MonitoringRule RoleBinding Recursos personalizados MonitoringRule:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor de MonitoringRule RoleBinding Recursos personalizados MonitoringRule:leitura N/A N/A
Editor do MonitoringTarget RoleBinding Recursos personalizados MonitoringTarget:criar, ler, atualizar, excluir e corrigir N/A N/A
Leitor do MonitoringTarget RoleBinding Recursos personalizados MonitoringTarget:leitura N/A N/A
Administrador de namespace ProjectRoleBinding N/A Todos os recursos:acesso de leitura e gravação no namespace do projeto N/A
Visualizador de NAT ProjectRoleBinding N/A Implantações: receber e ler N/A
Editor do ObservabilityPipeline RoleBinding Recursos ObservabilityPipeline:get, read, create, update, delete e patch N/A N/A
Leitor do ObservabilityPipeline RoleBinding Recursos do ObservabilityPipeline:receber e ler N/A N/A
Administrador de bucket do projeto RoleBinding Bucket:leitura e gravação no namespace do projeto N/A N/A
Administrador de objetos do bucket do projeto RoleBinding
  • Bucket:leitura
  • Objetos:leitura e gravação
 N/A N/A
Leitor de objetos do bucket do projeto RoleBinding Bucket e objetos:leitura N/A N/A
Editor do Alertmanager do Project Cortex RoleBinding Sistema do Cortex e Cortex Alertmanager:leitura e gravação N/A N/A
Leitor do Alertmanager do Project Cortex RoleBinding Sistema Cortex e Cortex Alertmanager:leia N/A N/A
Leitor do Prometheus do Project Cortex RoleBinding Sistema Cortex e Prometheus do Cortex:leitura N/A N/A
Leitor do Grafana do projeto RoleBinding Sistema e Grafana:leitura e gravação N/A N/A
Administrador de NetworkPolicy do projeto RoleBinding Políticas de rede do projeto:leitura e gravação no namespace do projeto N/A N/A
Leitor do projeto. RoleBinding Todos os recursos no namespace do projeto:leitura N/A N/A
Administrador de máquinas virtuais do projeto RoleBinding
  • Máquinas virtuais, discos, solicitações de acesso, acesso externo, solicitações de backup, backups, solicitações de restauração, solicitações de exclusão de backup, restaurações e solicitações de redefinição de senha:leitura, criação, atualização e exclusão
  • Reinicialização da máquina virtual:PUT
  • Imagens de máquinas virtuais, planos e modelos de planos de backup:leitura
 N/A N/A
Administrador de imagens de máquinas virtuais do projeto RoleBinding
  • Imagens de VM:leitura
  • Importações de imagens de VM:leitura e gravação
  • Buckets:Criar
  • Bucket"vm-images-bucket":leitura e gravação
 N/A N/A
Administrador de secrets RoleBinding Secrets do Kubernetes:ler, criar, atualizar, excluir e corrigir N/A N/A
Leitor de secrets RoleBinding Secrets do Kubernetes:leitura N/A N/A
Administrador da configuração do serviço RoleBinding ServiceConfigurations:leitura e gravação N/A N/A
Leitor de configuração do serviço RoleBinding ServiceConfigurations:Lida N/A N/A
Administrador da replicação de volume ClusterRoleBinding Volume failovers, volume relationship replicas:create, get, list, watch, delete N/A N/A
Administrador de notebooks do Workbench RoleBinding N/A
  • Recursos personalizados (CRs) do notebook no namespace do projeto:crie, leia, atualize e exclua.
  • Objetos ClusterInfo:leitura
 N/A
Leitor do Notebooks do Workbench RoleBinding N/A
  • Recursos personalizados (CRs) do notebook no namespace do projeto:leitura
 N/A
Leitor de carga de trabalho ProjectRoleBinding N/A
  • Recursos personalizados de pod no namespace do projeto:leitura
  • Recursos personalizados de implantação no namespace do projeto:leitura
 N/A

Papéis comuns predefinidos de identidade e acesso

Funções comuns
Nome Nome do recurso do Kubernetes Administrador inicial Nível Tipo
Leitor do AI Platform ai-platform-viewer Falso Projeto Role
Leitor de sufixo DNS dnssuffix-viewer Falso Organização Role
Administrador de registros de fluxo flowlog-admin Falso Organização ClusterRole
Visualizador de registros de fluxo flowlog-viewer Falso Projeto ClusterRole
Leitor da descoberta de projetos projectdiscovery-viewer Falso Projeto ClusterRole
Visualizador de imagens públicas public-image-viewer Falso Organização Role
Monitor do secret anthos-creds do Artifact Registry do sistema sar-anthos-creds-secret-monitor Falso Organização Role
Monitor de secret do sistema gpc-system do Artifact Registry sar-gpc-system-secret-monitor Falso Organização Role
Monitor de secrets do sistema Artifact Registry harbor-system sar-harbor-system-secret-monitor Falso Organização Role
Leitor de tipo de máquina virtual virtualmachinetype-viewer Falso Organização OrganizationRole
Leitor de tipo de VM vmtype-viewer Falso Organização Role

Papéis comuns predefinidos de identidade e acesso

Funções comuns
Nome Tipo de vinculação Permissões do cluster de administrador Permissões do cluster do Kubernetes Encaminha para
Leitor do AI Platform RoleBinding Serviços pré-treinados:leitura N/A N/A
Leitor de sufixo DNS ClusterRoleBinding Configmaps de sufixo DNS:leitura N/A N/A
Administrador de registros de fluxo ClusterRoleBinding Recursos de registros de fluxo:receber e ler Recursos de registros de fluxo:receber e ler N/A
Visualizador de registros de fluxo ClusterRoleBinding Recursos de registros de fluxo:criar, receber, ler, adicionar patch, atualizar e excluir Recursos de registros de fluxo:criar, receber, ler, adicionar patch, atualizar e excluir N/A
Leitor da descoberta de projetos ClusterRoleBinding Projetos:leitura N/A N/A
Visualizador de imagens públicas RoleBinding Imagens de VM:leitura N/A N/A
Monitor do secret anthos-creds do Artifact Registry do sistema RoleBinding Segredos do anthos-creds:acessar e ler Segredos do anthos-creds:acessar e ler N/A
Monitor de secret do sistema gpc-system do Artifact Registry RoleBinding Segredos do gpc-system:acessar e ler Segredos do gpc-system:acessar e ler N/A
Monitor de secrets do sistema Artifact Registry harbor-system RoleBinding Segredos do harbor-system:acessar e ler Segredos do harbor-system:acessar e ler N/A
Leitor de tipo de máquina virtual OrganizationRoleBinding N/A Tipos de VM:leitura N/A
Leitor de tipo de VM ClusterRoleBinding Tipos de VM:leitura N/A N/A