Rollendefinitionen

In den Tabellen in diesem Abschnitt werden verschiedene vordefinierte Rollen und ihre Berechtigungen beschrieben. Die Tabellen enthalten die folgenden Spalten:

  • Name:Der Name einer Rolle, die in der Benutzeroberfläche angezeigt wird.
  • Name der Kubernetes-Ressource:Der Name der entsprechenden benutzerdefinierten Kubernetes-Ressource.
  • Ebene:Gibt an, ob diese Rolle auf die Organisation oder ein Projekt beschränkt ist.
  • Typ:Der Typ dieser Rolle. Mögliche Werte sind beispielsweise Role, ProjectRole, ClusterRole oder ProjectClusterRole.
  • Bindungstyp:Der Bindungstyp, den Sie auf diese Rolle anwenden müssen.
  • Berechtigungen für den Management API-Server oder den Kubernetes-Cluster:Die Berechtigungen, die diese Rolle für den Management API-Server oder den Kubernetes-Cluster hat. Einige mögliche Werte sind „Lesen“, „Schreiben“, „Lesen und Schreiben“ oder „Nicht zutreffend“ (N/A).
  • Wird eskaliert an:Gibt an, ob diese Rolle an andere Rollen eskaliert wird.

Rollentypen

  • ClusterRole: Eine Kubernetes-RBAC-Rolle auf Clusterebene im Management API-Server oder Kubernetes-Cluster.
  • Rolle: Eine Kubernetes-RBAC-Rolle im Namespace-Bereich auf dem Management API-Server oder im Kubernetes-Cluster.
  • ProjectRole: Eine benutzerdefinierte Ressourcendefinition mit definierter Berechtigung, die an Kubernetes-Cluster und -Namespaces gebunden ist. Projektrollen werden als Role an Kubernetes-Cluster weitergegeben.
  • OrganizationRole: Eine benutzerdefinierte Ressourcendefinition mit definierter Berechtigung, die als ClusterRole an Kubernetes-Cluster weitergegeben wird.

Tabellen mit vordefinierten Identitäts- und Zugriffsrollen

Die folgenden Tabellen enthalten Details zu den Berechtigungen, die den einzelnen vordefinierten Rollen zugewiesen sind. Für jede Persona gibt es separate Tabellen:

IO Persona, vordefinierte Identitäts- und Zugriffsrollen

IO-Identität
Name Kubernetes-Ressourcenname Erster Administrator Level Typ
Sicherheitsadministrator security-admin Wahr Organisation ClusterRole
APPLSTOR-Debugger applstor-debugger Falsch Organisation ClusterRole
APPLSTOR-Monitor applstor-monitor Falsch Organisation ClusterRole
APPLSTOR-Secret-Rotator applstor-secret-rotator Falsch Organisation Role
AuditLoggingTarget IO Creator auditloggingtarget-io-creator Falsch Organisation ClusterRole
AuditLoggingTarget IO Viewer auditloggingtarget-io-viewer Falsch Organisation ClusterRole
Bearbeiter von AuditLoggingTarget IO auditloggingtarget-io-editor Falsch Organisation ClusterRole
Editor für das Wiederherstellen von Audit-Log-Sicherungen audit-logs-backup-restore-editor Falsch Organisation ClusterRole
Audit Logs Infra Bucket Viewer audit-logs-infra-bucket-viewer Falsch Organisation ClusterRole
AIS-Administrator ais-admin Falsch Organisation Role
AIS Debugger ais-debugger Falsch Organisation Role
AIS Monitor ais-monitor Falsch Organisation Role
AuthzPDP Debugger authzpdp-debugger Falsch Organisation Role
Cert Manager System Cluster Debugger platauth-cert-manager-system-debugger Falsch Organisation OrganizationRole
Dashboard Creator dashboard-creator Falsch Organisation ClusterRole
Dashboard IO Creator dashboard-io-creator Falsch Organisation ClusterRole
Dashboard I/O-Editor dashboard-io-editor Falsch Organisation ClusterRole
Dashboard I/O Viewer dashboard-io-viewer Falsch Organisation ClusterRole
Fehlerbehebung bei der benutzerdefinierten Ressource „AuditLoggingTarget“ auditloggingtarget-monitor Falsch Projekt Role
DNS-Administrator dns-admin Falsch Organisation ClusterRole
DNS-Debugger dns-debugger-root Falsch Organisation ClusterRole
DNS-Monitor dns-monitor Falsch Organisation ClusterRole
DNS Suffix Viewer dnssuffix-viewer Falsch Organisation ClusterRole
Administrator für Notfall-SSH-Anmeldedaten emergencysshcreds-admin Falsch Organisation Role
FluentBit IO Creator fluentbit-io-creator Falsch Organisation ClusterRole
FluentBit IO-Betrachter fluentbit-io-viewer Falsch Organisation ClusterRole
FluentBit IO-Editor fluentbit-io-editor Falsch Organisation ClusterRole
Gatekeeper-Administrator gatekeeper-admin Falsch Organisation Role
Grafana Viewer grafana-viewer Falsch Organisation ClusterRole
Grafana Debugger grafana-debugger Falsch Projekt ProjectRole
Hardwareadministrator hardware-admin Falsch Organisation ClusterRole
HWDR-Administrator hardware-dr-admin Falsch Organisation ClusterRole
HWDR Viewer hwdr-viewer Falsch Organisation ClusterRole
Infra PKI Debugger platauth-infra-pki-debugger Falsch Projekt Role
Interconnect-Administrator interconnect-admin-cp Falsch Organisation ClusterRole
Kiali-Administrator kiali-admin Falsch Organisation ClusterRole
KUB IPAM Debugger kub-ipam-debugger Falsch Organisation ClusterRole
KUB-Monitor kub-monitor Falsch Organisation ClusterRole
LogCollector IO Creator logcollector-io-creator Falsch Organisation ClusterRole
LogCollector IO Viewer logcollector-io-viewer Falsch Organisation ClusterRole
LogCollector IO Editor logcollector-io-editor Falsch Organisation ClusterRole
LoggingRule IO Creator loggingrule-io-creator Falsch Organisation ClusterRole
IO-Viewer für LoggingRule loggingrule-io-viewer Falsch Organisation ClusterRole
LoggingRule IO Editor loggingrule-io-editor Falsch Organisation ClusterRole
LoggingTarget IO Creator loggingtarget-io-creator Falsch Organisation ClusterRole
IO-Viewer für LoggingTarget loggingtarget-io-viewer Falsch Organisation ClusterRole
IO-Bearbeiter für LoggingTarget loggingtarget-io-editor Falsch Organisation ClusterRole
Log Query API Querier log-query-api-querier Falsch Projekt Role
MonitoringRule IO Creator monitoringrule-io-creator Falsch Organisation ClusterRole
MonitoringRule IO Viewer monitoringrule-io-viewer Falsch Organisation ClusterRole
MonitoringRule IO Editor monitoringrule-io-editor Falsch Organisation ClusterRole
MonitoringTarget Creator monitoringtarget-creator Falsch Organisation ClusterRole
MonitoringTarget IO Creator monitoringtarget-io-creator Falsch Organisation ClusterRole
MonitoringTarget IO Viewer monitoringtarget-io-viewer Falsch Organisation ClusterRole
MonitoringTarget IO Editor monitoringtarget-io-editor Falsch Organisation ClusterRole
ObservabilityPipeline IO Creator observabilitypipeline-io-creator Falsch Organisation ClusterRole
ObservabilityPipeline IO Viewer observabilitypipeline-io-viewer Falsch Organisation ClusterRole
ObservabilityPipeline IO Editor observabilitypipeline-io-editor Falsch Organisation ClusterRole
Observability Admin observability-admin Falsch Organisation Role
Observability Debugger observability-debugger Falsch Organisation OrganizationRole
Observability System Debugger observability-system-debugger Falsch Organisation OrganizationRole
Observability Viewer observability-viewer Falsch Organisation Role
OCLCM Debugger oclcm-debugger-root Falsch Organisation ClusterRole
OCLCM-Betrachter oclcm-viewer-root Falsch Organisation ClusterRole
Organisationsadministrator organization-admin Falsch Organisation ClusterRole
Administrator für die Verwaltung von Organisationssystemartefakten organization-system-artifact-management-admin Falsch Organisation Role
Debugger für die Artefaktverwaltung des Organisationssystems organization-system-artifact-management-debugger Falsch Organisation ClusterRole
PERF Admin Monitor perf-admin-monitor Falsch Organisation Role
PERF Admin Resource Maintainer perf-admin-resource-maintainer Falsch Projekt Role
PERF Debugger perf-debugger Falsch Projekt ProjectRole
PERF System Monitor perf-system-monitor Falsch Projekt ProjectRole
PERF System Resource Maintainer perf-system-resource-maintainer Falsch Projekt ProjectRole
PNET Debugger pnet-debugger Falsch Organisation ClusterRole
PNET Monitor pnet-monitor Falsch Organisation ClusterRole
PNET Secret Debugger pnet-secret-debugger Falsch Organisation Role
PSPF Debugger pspf-debugger Falsch Organisation Role
PSPF-Monitor pspf-monitor Falsch Organisation Role
Richtlinienadministrator policy-admin Falsch Organisation ClusterRole
Remote Logger-Administrator remote-logger-admin Falsch Organisation Role
Remote Logger Viewer remote-logger-viewer Falsch Organisation Role
Root Cortex Alertmanager-Bearbeiter root-cortex-alertmanager-editor Falsch Organisation Role
Root Cortex Alertmanager Viewer root-cortex-alertmanager-viewer Falsch Organisation Role
Root Cortex Prometheus Viewer root-cortex-prometheus-viewer Falsch Organisation Role
Root-Sitzungsadministrator root-session-admin Falsch Organisation Role
Security Viewer security-viewer Falsch Organisation ClusterRole
Service Now-Administrator service-now-admin Falsch Projekt Role
Service Now-Administrator service-now-admin Falsch Projekt ProjectRole
SSH Infra Debugger platauth-ssh-infra-debugger Falsch Projekt ProjectRole
Administrator für die Verwaltung von Systemartefakten system-artifact-management-admin Falsch Organisation Role
Administrator für System Artifact Management Secrets system-artifact-management-secrets-admin Falsch Organisation Role
System Artifact Registry Harbor-Administrator sar-harbor-admin Falsch Organisation Role
System Artifact Registry Harbor Read sar-harbor-read Falsch Organisation Role
System Artifact Registry Harbor ReadWrite sar-harbor-readwrite Falsch Organisation Role
System Artifact Registry Debugger sar-debugger-root Falsch Organisation ClusterRole
System Artifact Registry Monitor
  • Organisationsinfrastrukturcluster:
    sar-monitor
  • Stammadministratorcluster:
    sar-monitor-root
    		•  Falsch Organisation ClusterRole
    Systemclusteradministrator system-cluster-admin Falsch Organisation OrganizationRole
    System Cluster DNS Debugger system-cluster-dns-debugger Falsch Organisation OrganizationRole
    System Cluster UNET Debugger system-cluster-unet-debugger Falsch Organisation OrganizationRole
    System Cluster UNET Monitor system-cluster-unet-monitor Falsch Organisation OrganizationRole
    UNET Debugger für Nutzercluster user-cluster-unet-debugger Falsch Organisation OrganizationRole
    System Cluster Viewer system-cluster-viewer Falsch Organisation OrganizationRole
    Systemprojekt-Administrator für virtuelle Maschinen system-project-vm-admin Falsch Rolle Role
    Tenable Nessus-Administrator tenable-nessus-admin Falsch Projekt Role
    Tenable Nessus-Administrator tenable-nessus-system-admin Falsch Projekt ProjectRole
    Transfer Appliance-Anfrageadministrator transfer-appliance-request-admin Falsch Organisation ClusterRole
    Trust Bundle Root Monitor transfer-appliance-request-admin Falsch Organisation Role
    UI Debugger ui-debugger Falsch Organisation ClusterRole
    UNET CLI Org Admin Monitor unet-cli-org-admin-monitor Falsch Organisation ClusterRole
    UNET CLI Root Admin Monitor unet-cli-root-admin-monitor Falsch Organisation ClusterRole
    UNET CLI System Monitor unet-cli-system-monitor Falsch Organisation OrganizationRole
    UNET CLI User Monitor unet-cli-user-monitor Falsch Organisation OrganizationRole
    Upgrade des Appliance-Administrators upgrade-admin-te Falsch Organisation ClusterRole
    Upgrade Debugger upgrade-debugger Falsch Organisation OrganizationRole
    User Cluster DNS Debugger user-cluster-dns-debugger Falsch Organisation OrganizationRole
    Debugger für Nutzercluster user-cluster-debugger Falsch Organisation OrganizationRole
    UNET Debugger für Nutzercluster user-cluster-unet-debugger Falsch Organisation OrganizationRole
    UNET-Monitor für Nutzercluster user-cluster-unet-monitor Falsch Organisation OrganizationRole
    VAISEARCH Secret Rotator vaisearch-secret-rotator Falsch Projekt ProjectRole
    VPN-Debugger für den Management Plane API-Server vpn-debugger Falsch Projekt Role
    Web-TLS-Zertifikat-Debugger platauth-web-tls-cert-debugger Falsch Projekt Role

    IO-Persona, vordefinierte Identitäts- und Zugriffsrollen

    IO-Identität
    Name Bindungstyp Serverberechtigungen für die Management API Berechtigungen für Kubernetes-Cluster Wird eskaliert an
    Sicherheitsadministrator ClusterRoleBinding
    • RoleBinding, ClusterRoleBinding, Role, ClusterRole, ProjectRole, OrganizationClusterRole, ProjectRoleBinding und OrganizationRoleBinding:Erstellen, lesen, aktualisieren und löschen
    • Benutzerdefinierte Ressourcen (Custom Resources, CR) von GKE Identity Service: Lesen und Schreiben
    		 IAM-Administrator der Organisation und alle anderen IO-Rollen
    AIS-Administrator RoleBinding
    • Bereitstellungen von GKE Identity Service-Pods:Lesen und Schreiben
    • AIS-Verschlüsselungs-Secret:Löschen
    AIS Debugger RoleBinding AIS-Ressourcen:erstellen, lesen, aktualisieren, löschen und patchen
    AIS Monitor RoleBinding AIS-Ressourcen im Namespace iam-system:Lesen und Schreiben
    APPLSTOR-Debugger ClusterRoleBinding
    • Namespaces, Secrets, Dienstkonten: Abrufen, auflisten
    • Buckets, Bucket-Gruppen: Lesen und Schreiben
    • Externes HSM: Lesen und Schreiben
    APPLSTOR-Monitor ClusterRoleBinding asmconfigs: Get, list
    APPLSTOR-Secret-Rotator RoleBinding Object storage secrets: Get, patch
    AuditLoggingTarget IO Creator ClusterRoleBinding Benutzerdefinierte AuditLoggingTarget-Ressourcen: Lesen und Schreiben
    Bearbeiter von AuditLoggingTarget IO ClusterRoleBinding Benutzerdefinierte AuditLoggingTarget-Ressourcen: Lesen und Schreiben
    AuditLoggingTarget IO Viewer ClusterRoleBinding Benutzerdefinierte AuditLoggingTarget-Ressourcen: Lesen
    Editor für das Wiederherstellen von Audit-Log-Sicherungen ClusterRoleBinding Sicherungs-Buckets: Lesen und Schreiben
    Audit Logs Infra Bucket Viewer ClusterRoleBinding Sicherungs-Buckets: Lesen
    Dashboard Creator ClusterRoleBinding Benutzerdefinierte Ressourcen Dashboard: Get, list, watch, create
    Dashboard IO Creator ClusterRoleBinding Benutzerdefinierte Dashboard-Ressourcen: Lesen und Schreiben
    AuthzPDP Debugger RoleBinding
    • AuthzPDP-Dienst:Lesen und Aktualisieren
    • DNS-Deployments:Lesen, patchen und aktualisieren
    Cert Manager System Cluster Debugger OrganizationRoleBinding Zertifikate, Zertifikatsanfragen, Aussteller, Clusteraussteller, Challenges, Bestellungen: Get, list, watch, update, patch, delete und create
    Dashboard I/O-Editor ClusterRoleBinding Benutzerdefinierte Dashboard-Ressourcen: Lesen und Schreiben
    Dashboard I/O Viewer ClusterRoleBinding Benutzerdefinierte Dashboard-Ressourcen: Lesen
    Fehlerbehebung bei der benutzerdefinierten Ressource „AuditLoggingTarget“ RoleBinding
    • DNS-Registrierungen:Abrufen, Auflisten
    • Audit logging targets :Get, list, update, delete, patch
    DNS-Administrator ClusterRoleBinding
    • DNS-Dateien und Sicherheitsschlüssel:erstellen, lesen, aktualisieren und löschen
    • Benutzerdefinierte DNSRegistration-Ressourcen (Custom Resources, CRs): erstellen, lesen und aktualisieren
    • DNS-Dienste und Resolver:Lesen und Aktualisieren
    DNS-Debugger ClusterRoleBinding
    • ConfigMaps und Secrets:erstellen, lesen und löschen
    • DNS-Registrierungen:Erstellen und lesen
    • Dienste:Lesen und Aktualisieren
    • Deployments und Deployment-Logs:Lesen, Patchen und Aktualisieren
    • Pods:erstellen und lesen
    • Pod-Logs:Lesen
    DNS-Monitor ClusterRoleBinding ConfigMaps, Secrets, DNS Registration API, DNS-Dienste, DNS-Bereitstellungen:Lesen
    DNS Suffix Viewer ClusterRoleBinding DNS-Suffix-ConfigMap:Lesen
    Administrator für Notfall-SSH-Anmeldedaten RoleBinding EmergencySshCredentials:Erstellen, Lesen und Patchen
    FluentBit IO Creator ClusterRoleBinding Benutzerdefinierte FluentBit-Ressourcen: Lesen und Schreiben
    FluentBit IO-Editor ClusterRoleBinding Benutzerdefinierte FluentBit-Ressourcen: Lesen und Schreiben
    FluentBit IO-Betrachter ClusterRoleBinding Benutzerdefinierte FluentBit-Ressourcen: Lesen
    Gatekeeper-Administrator RoleBinding
    • Deployments:Lesen und Patchen
    • Secrets:Lesen, Patchen und Aktualisieren
    Grafana Debugger ProjectRoleBinding Apps, Bereitstellungen, zustandsorientierte Sets und Pods:Lesen, aktualisieren, löschen und patchen Apps, Bereitstellungen, zustandsorientierte Sets und Pods: Lesen, aktualisieren, löschen und patchen
    Grafana Viewer RoleBinding GrafanaSystem und Grafana:Lesen und Schreiben
    Hardwareadministrator ClusterRoleBinding Hardwarebezogene CRD:Lesen und Schreiben
    HWDR-Administrator ClusterRoleBinding
    • HWDR-Geräte:Lesen und löschen
    • Sicherungspläne, Pods, Logs:Lesen
    HWDR Viewer ClusterRoleBinding Sicherungspläne: Lesen
    Infra PKI Debugger RoleBinding
    • PKI-Zertifikataussteller und Zertifizierungsstellen: get, list, watch, create, update, delete, patch
    • PKI-Secrets: Get, list
    Interconnect-Administrator ClusterRoleBinding Interconnect-Anhänge und Anhangsgruppen: get, list, watch, create, update, delete, patch
    Kiali-Administrator RoleBinding
    • Istio authorization:Lesen und Schreiben
    KUB IPAM Debugger ClusterRoleBinding IPAM-Ressourcen:Lesen und Schreiben
    KUB-Monitor ClusterRoleBinding KUB-Ressourcen:Lesen
    LogCollector IO Creator ClusterRoleBinding Benutzerdefinierte LogCollector-Ressourcen: Lesen und Schreiben
    LogCollector IO Editor ClusterRoleBinding Benutzerdefinierte LogCollector-Ressourcen: Lesen und Schreiben
    LogCollector IO Viewer ClusterRoleBinding Benutzerdefinierte LogCollector-Ressourcen: Lesen
    LoggingRule IO Creator ClusterRoleBinding Benutzerdefinierte LoggingRule-Ressourcen: Lesen und Schreiben
    LoggingRule IO Editor ClusterRoleBinding Benutzerdefinierte LoggingRule-Ressourcen: Lesen und Schreiben
    IO-Viewer für LoggingRule ClusterRoleBinding Benutzerdefinierte LoggingRule-Ressourcen: Lesen
    LoggingTarget IO Creator ClusterRoleBinding Benutzerdefinierte LoggingTarget-Ressourcen: Lesen und Schreiben
    IO-Bearbeiter für LoggingTarget ClusterRoleBinding Benutzerdefinierte LoggingTarget-Ressourcen: Lesen und Schreiben
    IO-Viewer für LoggingTarget ClusterRoleBinding Benutzerdefinierte LoggingTarget-Ressourcen: Lesen
    Log Query API Querier ClusterRoleBinding Log Query API-Projektlogs:Lesen
    MonitoringRule IO Creator ClusterRoleBinding Benutzerdefinierte MonitoringRule-Ressourcen: Lesen und Schreiben
    MonitoringRule IO Editor ClusterRoleBinding Benutzerdefinierte MonitoringRule-Ressourcen: Lesen und Schreiben
    MonitoringRule IO Viewer ClusterRoleBinding Benutzerdefinierte MonitoringRule-Ressourcen: Lesen
    MonitoringTarget Creator ClusterRoleBinding Benutzerdefinierte Ressourcen MonitoringTarget: Get, list, watch, create
    MonitoringTarget IO Creator ClusterRoleBinding Benutzerdefinierte MonitoringTarget-Ressourcen: Lesen und Schreiben
    MonitoringTarget IO Editor ClusterRoleBinding Benutzerdefinierte MonitoringTarget-Ressourcen: Lesen und Schreiben
    MonitoringTarget IO Viewer ClusterRoleBinding Benutzerdefinierte MonitoringTarget-Ressourcen: Lesen
    ObservabilityPipeline IO Creator ClusterRoleBinding Benutzerdefinierte ObservabilityPipeline-Ressourcen: Lesen und Schreiben
    ObservabilityPipeline IO Editor ClusterRoleBinding Benutzerdefinierte ObservabilityPipeline-Ressourcen: Lesen und Schreiben
    ObservabilityPipeline IO Viewer ClusterRoleBinding Benutzerdefinierte ObservabilityPipeline-Ressourcen: Lesen
    Observability Admin RoleBinding
    • obs-system-Namespace:Lesen
    • Anthos-Audit-Log-Forwarder und Anthos-Log-Forwarder:Aktualisieren, patchen und löschen
    • obs-system-Namespace:Lesen
    • audit-logs-loki, loki, cortex, anthos-audit-logs-forwarder, anthos-log-forwarder:Aktualisieren, Patchen und Löschen
    Observability Debugger OrganizationRoleBinding
    • Deployments, StatefulSets, DaemonSets, Secrets, ConfigMaps:Lesen, erstellen, löschen, patchen und aktualisieren
    • Zertifikate:Lesen
    Observability System Debugger OrganizationRoleBinding
    • Deployments, StatefulSets, DaemonSets, Secrets, ConfigMaps:Lesen, erstellen, löschen, patchen und aktualisieren
    • Zertifikate:Lesen
    Observability Viewer RoleBinding obs-system-Namespace:Lesen obs-system-Namespace:Lesen
    OCLCM Debugger ClusterRoleBinding oclcm-debugger:
    • Komponenten:Erstellen und lesen
    • Komponenteneinführungen und Unterkomponenten:Lesen, patchen und aktualisieren
    • Überschreibungen von Unterkomponenten:Erstellen, lesen, aktualisieren und patchen
    		 oclcm-debugger-root:
    • Komponenten:Erstellen und lesen
    • Komponenteneinführungen und Unterkomponenten:Lesen, patchen und aktualisieren
    • Überschreibungen von Unterkomponenten:Erstellen, lesen, aktualisieren und patchen
    OCLCM-Betrachter ClusterRoleBinding oclcm-viewer:
    • Komponenten, Komponenten-Rollouts, Unterkomponenten, Überschreibungen von Unterkomponenten:Lesen
    		 oclcm-viewer-root:
    • Komponenten, Komponenteneinführungen, Unterkomponenten und Überschreibungen von Unterkomponenten:
    Organisationsadministrator ClusterRoleBinding
    • Benutzerdefinierte Organisationsressourcen: Lesen und Schreiben
    • Organisations-Upgrade und Release-Metadaten:Lesen
    Administrator für die Verwaltung von Organisationssystemartefakten RoleBinding
    • Harbor-Projekte:Administrator, Lesen, Schreiben, Ansehen, Erstellen und Löschen
    • Harbor-Nutzeranmeldedaten:Lesen, Erstellen und Löschen
    PERF Admin Monitor RoleBinding PERF-Buckets, Dienstkonten und Secrets:Lesen
    PERF Admin Resource Maintainer RoleBinding
    • VM-Ressourcen, Buckets, Rollen, Rollenbindungen, Projekt-Dienstkonten und KMS-Schlüssel:Lesen und löschen
    • Dienstkonten und Secrets:Lesen
    PERF Debugger ProjectRoleBinding
    • Jobs:Erstellen, lesen und löschen
    • CronJobs und ConfigMap:Erstellen, lesen, patchen und löschen
    PERF System Monitor ProjectRoleBinding Pods, ConfigMap, Cronjobs:Lesen
    PERF System Resource Maintainer ProjectRoleBinding
    • Dienste und Dienstkonten:Lesen und löschen
    • Jobs und Cronjobs:Lesen
    PNET Debugger ClusterRoleBinding
    • PNET-Deployments und Deployment-Logs:Lesen, Patchen und Aktualisieren
    • Pods, Pod-Logs, Subnetzansprüche und Switches:Lesen
    PNET Monitor ClusterRoleBinding PNET-Bereitstellungen, Bereitstellungslogs, Pods, Pod-Logs, Subnetzansprüche und Switches:Lesen
    PNET Secret Debugger RoleBinding PNET-Secrets:Get, list, watch, create, update, patch, delete
    PSPF Debugger RoleBinding
    • PSPF-Bereitstellungen:get, list, watch, create, update, patch, delete
    • PSPF-Bereitstellungslogs, Pods, Pod-Logs:get, list, watch
    PSPF-Monitor RoleBinding PSPF-Bereitstellungslogs, Pods, Pod-Logs:get, list, watch
    Richtlinienadministrator ClusterRoleBinding Einschränkungen:erstellen, bearbeiten und löschen
    Remote Logger-Administrator RoleBinding Bereitstellungen:Lesen, aktualisieren, patchen und löschen Bereitstellungen:Lesen, aktualisieren, patchen und löschen
    Remote Logger Viewer RoleBinding Deployments:Lesen Deployments:Lesen
    Root Cortex Alertmanager-Bearbeiter RoleBinding Benutzerdefinierte Ressourcen für Cortex Alertmanager, Protokollierungsregeln und Überwachungsregeln:Erstellen, löschen, lesen, patchen und aktualisieren
    Root Cortex Alertmanager Viewer RoleBinding Benutzerdefinierte Ressourcen für Cortex Alertmanager, Logging-Regeln und Monitoring-Regeln:Read
    Root Cortex Prometheus Viewer RoleBinding Cortex-System und Cortex Prometheus:Lesen
    Root-Sitzungsadministrator RoleBinding Istio-Ressourcenmanager:Erstellen, lesen, aktualisieren, löschen und patchen
    Security Viewer ClusterRoleBinding
    • RoleBinding und ClusterRoleBinding: Lesen
    • Role und ClusterRole: Lesen
    • Benutzerdefinierte Ressourcen (Custom Resources, CR) für GKE Identity Service: Lesen
    Service Now-Administrator RoleBinding Dnsregistrations, Projectnetworkpolicies, Virtualservices, Envoyfilters, Destinationrules, Monitoringtargets, Monitoringrules und Dashboards:Lesen und Schreiben
    Service Now-Administrator ProjectRoleBinding Dienste, ConfigMaps, Pod-Logs und Secrets:Lesen und Schreiben
    SSH Infra Debugger ProjectRoleBinding SSH-Secrets:get, list, watch, patch, update, create, delete
    Administrator für die Verwaltung von Systemartefakten RoleBinding HarborProjects:Administrator, Erstellen, Lesen, Schreiben, Löschen und Ansehen
    • Harbor-Projekte und Nutzeranmeldedaten:Erstellen, löschen und lesen
    • HarborProjects:Administrator, Lesen, Schreiben
    • Artefakte verteilen:Erstellen, löschen, aktualisieren und lesen
    • image-label-map-ConfigMap:erstellen, löschen, aktualisieren und lesen
    • Server, Truststore-ConfigMaps:Lesen
    Administrator für System Artifact Management Secrets RoleBinding
    • In-Cluster-Registry:Lesen
    • Registrierungsspiegel aktualisieren:Erstellen, lesen, aktualisieren und löschen
    System Artifact Registry Harbor-Administrator RoleBinding Harbor-Projekte: Erstellen, lesen, aktualisieren, patchen und löschen Harbor-Projekte:erstellen, lesen, aktualisieren, patchen und löschen
    Systemclusteradministrator OrganizationRoleBinding Systemcluster:Erstellen, löschen, aktualisieren und lesen
    System Artifact Registry Harbor Read RoleBinding Harbor-Projekte:Lesen
    System Artifact Registry Harbor ReadWrite RoleBinding Harbor-Projekte:Erstellen, lesen und schreiben
    System Artifact Registry Debugger ClusterRoleBinding
    • Harbor-Cluster, Secrets, Verteilungsrichtlinien, manuelle Verteilung und ConfigMaps:Erstellen, lesen, aktualisieren, patchen und löschen
    • PVCs, Pods und Harbor-Robot-Konten:Erstellen, lesen und löschen
    • Metadaten für Releases, Organisationen, Datenbankcluster, Harbor-Projekte, Zertifikate, Server und Cluster: Lesen
    • Datenbank und CRDs:Lesen und Löschen
    • Bereitstellungen:Lesen, aktualisieren, patchen und löschen
    • Nichtflüchtige Volumes:Lesen, Aktualisieren und Patchen
    System Artifact Registry Monitor ClusterRoleBinding Harbor-Cluster, Secrets und CRDs:Lesen
    System Cluster DNS Debugger OrganizationRoleBinding
    • Deployments und Bereitstellungslogs:Lesen
    • Pods:erstellen und lesen
    System Cluster UNET Debugger OrganizationRoleBinding
    • Configmaps: Abrufen, Erstellen und Aktualisieren
    • Bereitstellungen, Bereitstellungslogs, DaemonSets und DaemonSet-Logs: Abrufen, patchen und aktualisieren
    • Pods und Pod-Logs: Abrufen, lesen, erstellen und löschen
    • Dienste, Netzwerkrichtlinien und Cilium: Abrufen, lesen, erstellen, aktualisieren und löschen
    • Flusslogs und Flusslogstatus: Abrufen, lesen, erstellen, patchen, aktualisieren und löschen
    System Cluster UNET Monitor OrganizationRoleBinding Projekte, Projektnetzwerkrichtlinien, ConfigMaps, Secrets, Zertifikate, Bundles, Deployments, DaemonSets, StatefulSets, Pods, Pod-Logs, Services, Endpunkte, Endpunktslices, Netzwerkrichtlinien, Netzwerk-Logging, Netzwerke, Netzwerkschnittstellen, Netzwerke, virtuelle Maschinen, VM-Instanzen, Cluster-CIDR-Konfigurationen, Fluss-Logs, Fluss-Log-Status, BGP-Peers, BGP-beworbene Routen, BGP-empfangene Routen, BGP-Sitzungen, BGP-Load-Balancer, Egress-NAT-Richtlinien, Netzwerk-Gateway-Gruppen, Netzwerk-Gateway-Knoten, Flat-IP-Modi, Multi-Cluster-Verbindungskonfigurationen, VPN-Tunnel, Traffic-Steering, ConfigMap-Weiterleitungen, Secret-Weiterleitungen, Health Checks, Node-Pool-Ansprüche, Node-Pools und Add-on-Konfigurationen: Abrufen und Lesen
    System Cluster Viewer OrganizationRoleBinding Systemcluster:Lesen und Schreiben
    Tenable Nessus-Administrator RoleBinding Netzwerkkomponenten zum Verwalten von Nessus:Lesen und Schreiben
    Tenable Nessus-Administrator ProjectRoleBinding Netzwerkkomponenten zum Verwalten von Nessus:Lesen und Schreiben
    Transfer Appliance-Anfrageadministrator ClusterRoleBinding Transferappliancerequests:Lesen und Schreiben
    Trust Bundle Root Monitor RoleBinding Config maps:get, list, watch
    UI Debugger ClusterRoleBinding Backend-UI-Server: Lesen, Patchen, Aktualisieren
    UNET CLI Org Admin Monitor ClusterRoleBinding
    • Netzwerkressourcen, Secrets, ConfigMaps, Cilium-Endpunkte, VMs, VM-Laufzeiten, Cluster und Namespaces:Lesen
    • Pods:Lesen und erstellen
    UNET CLI Root Admin Monitor ClusterRoleBinding
    • Netzwerkressourcen, Secrets, ConfigMaps, Cilium-Endpunkte und Namespaces:Lesen
    • Pods:Lesen und erstellen
    UNET CLI System Monitor OrganizationRoleBinding
    • Netzwerkressourcen, Secrets, ConfigMaps, Cilium-Endpunkte, VMs, VM-Laufzeiten, Deployments, Cluster, Namespaces, CRDs:Lesen
    • Pods:Lesen und erstellen
    UNET CLI User Monitor OrganizationRoleBinding
    • Netzwerkressourcen, Secrets, ConfigMaps, Cilium-Endpunkte, virtuelle Maschinen (VMs), VM-Laufzeiten, Bereitstellungen, Cluster, Namespaces, CRDs:Lesen
    • Pods:Lesen und erstellen
    Upgrade des Appliance-Administrators ClusterRoleBinding SubcomponentOverrides:Abrufen, auflisten, erstellen, aktualisieren und patchen
    • Organisation:Get, list, update, patch und watch
    • OrganizationUpgrade:Get
    Upgrade Debugger OrganizationRoleBinding
    • Ressourcen aktualisieren:Erstellen, lesen, aktualisieren, löschen und patchen
    • Harbor-Projekte:Harbor-Administrator
    User Cluster DNS Debugger OrganizationRoleBinding
    • Deployments, Deployment-Logs, Pods, Pod-Logs:Lesen
    • Pods:Erstellen
    Debugger für Nutzercluster OrganizationRoleBinding Nutzercluster: Abrufen, lesen, erstellen, aktualisieren, patchen und löschen
    UNET Debugger für Nutzercluster OrganizationRoleBinding
    • ConfigMaps:Abrufen, aktualisieren und lesen
    • Bereitstellungen, Bereitstellungslogs, DaemonSets und DaemonSet-Logs:Abrufen, Lesen, Patchen und Aktualisieren
    • Pods und Pod-Logs: Abrufen, lesen, erstellen und löschen
    • Dienste, Cilium und Netzwerkrichtlinien: Abrufen, Lesen, Erstellen, Aktualisieren und Löschen
    • Flusslogs und Flusslogstatus: Abrufen, lesen, erstellen, patchen, aktualisieren und löschen
    UNET-Monitor für Nutzercluster OrganizationRoleBinding Projekte, Projektnetzwerkrichtlinien, ConfigMaps, Secrets, Zertifikate, Zertifikataussteller, Bundles, Deployments, DaemonSets, StatefulSets, Pods, Pod-Logs, Dienste, Endpunkte, Endpunktslices, Netzwerkrichtlinien, Netzwerkprotokollierungen, Cilium, Netzwerke, Netzwerkschnittstellen, virtuelle Maschinen, VM-Instanzen, Netzwerke, Cluster-CIDR-Konfigurationen, Flat-IP-Modi, ConfigMap-Weiterleitungen, Secret-Weiterleitungen, Systemdiagnosen, Node-Pool-Ansprüche, Node-Pools, Add-on-Konfigurationen, Flusslogs und Flusslogstatus, BGP-Peers, BGP-beworbene Routen, BGP-empfangene Routen, BGP-Sitzungen, BGP-Load-Balancer, Egress-NAT-Richtlinien, Netzwerk-Gateway-Gruppen, Netzwerk-Gateway-Knoten, Flat-IP-Modi, Multi-Cluster-Verbindungskonfigurationen, VPN-Tunnel und Traffic-Steuerungen:Abrufen und Lesen
    VAISEARCH Secret Rotator ProjectRoleBinding Vertex AI Search-Secrets:Abrufen, auflisten, beobachten, löschen
    VPN-Debugger für den Management Plane API-Server RoleBinding
    • VPNGateway:Erstellen, lesen, schreiben
    • PeerGateway:Erstellen, lesen, schreiben
    • VPNBGPPeer:Erstellen, lesen, schreiben
    • VPNTunnel:Erstellen, lesen, schreiben
    VPN-Debugger für Perimeter-Cluster RoleBinding
    • NetworkGatewayNodes:Erstellen, lesen, schreiben
    • NetworkGatewayGroups:Erstellen, lesen, schreiben
    • BGPAdvertisedRoutes:Erstellen, lesen, schreiben
    • BGPReceivedRoutes:Erstellen, lesen, schreiben
    • BGPPeers:Erstellen, lesen, schreiben
    • BGPSessions:Erstellen, lesen, schreiben
    • VPNTunnels:Erstellen, lesen, schreiben
    • TrafficSteering:Erstellen, lesen, schreiben
    Web-TLS-Zertifikat-Debugger RoleBinding Secrets und PKI-Zertifikate:get, list, watch, update, patch, create, delete

    PA-Persona, vordefinierte Identitäts- und Zugriffsrollen

    PA-Identität
    Name Kubernetes-Ressourcenname Erster Administrator Level Typ
    Organisations-IAM-Administrator organization-iam-admin Wahr Organisation ClusterRole
    AI Platform-Administrator ai-platform-admin Wahr Organisation ClusterRole
    Audit Logs Platform Restore Bucket Creator audit-logs-platform-restore-bucket-creator Falsch Organisation Role
    Audit Logs Platform Bucket Viewer audit-logs-platform-bucket-viewer Falsch Organisation Role
    Bucket-Administrator bucket-admin Falsch Organisation ClusterRole
    Bucket-Objekt-Administrator bucket-object-admin Falsch Organisation ClusterRole
    Bucket-Objekt-Betrachter bucket-object-viewer Falsch Organisation ClusterRole
    Bucket-Administrator global-bucket-admin Falsch Organisation ClusterRole
    Bucket-Objekt-Administrator global-bucket-object-admin Falsch Organisation ClusterRole
    Bucket-Objekt-Betrachter global-bucket-object-viewer Falsch Organisation ClusterRole
    Dashboard PA Creator dashboard-pa-creator Falsch Organisation ClusterRole
    Dashboard-PA-Editor dashboard-pa-editor Falsch Organisation ClusterRole
    Dashboard PA Viewer dashboard-pa-viewer Falsch Organisation ClusterRole
    Flow Log-Administrator flowlog-admin Falsch Organisation ClusterRole
    Flow-Log-Viewer flowlog-viewer Falsch Organisation ClusterRole
    GDCH Restrict By Attributes Policy Admin gdchrestrictbyattributes-policy-admin Falsch Organisation ClusterRole
    GDCH Restricted Service Policy Admin gdchrestrictedservice-policy-admin Falsch Organisation ClusterRole
    Administrator für die Identitätsanbieterföderation idp-federation-admin Falsch Organisation Role
    Infra-PKI-Administrator infra-pki-admin Falsch Projekt Role
    Interconnect-Administrator interconnect-admin-mp Falsch Organisation ClusterRole
    Log Query API Querier log-query-api-querier Falsch Projekt Role
    LoggingRule PA Creator loggingrule-pa-creator Falsch Organisation ClusterRole
    LoggingRule PA Viewer loggingrule-pa-viewer Falsch Organisation ClusterRole
    LoggingRule PA Editor loggingrule-pa-editor Falsch Organisation ClusterRole
    LoggingTarget PA Creator loggingtarget-pa-creator Falsch Organisation ClusterRole
    LoggingTarget PA Viewer loggingtarget-pa-viewer Falsch Organisation ClusterRole
    LoggingTarget PA Editor loggingtarget-pa-editor Falsch Organisation ClusterRole
    MonitoringRule PA Creator monitoringrule-pa-creator Falsch Organisation ClusterRole
    MonitoringRule PA Viewer monitoringrule-pa-viewer Falsch Organisation ClusterRole
    MonitoringRule PA Editor monitoringrule-pa-editor Falsch Organisation ClusterRole
    MonitoringTarget PA Creator monitoringtarget-pa-creator Falsch Organisation ClusterRole
    Betrachter für MonitoringTarget PA monitoringtarget-pa-viewer Falsch Organisation ClusterRole
    MonitoringTarget PA Editor monitoringtarget-pa-editor Falsch Organisation ClusterRole
    MP OCLCM Debugger mp-oclcm-debugger Falsch Organisation ClusterRole
    MP OCLCM Viewer mp-oclcm-viewer Falsch Organisation ClusterRole
    ObservabilityPipeline PA Creator observabilitypipeline-pa-creator Falsch Organisation ClusterRole
    ObservabilityPipeline PA Viewer observabilitypipeline-pa-viewer Falsch Organisation ClusterRole
    ObservabilityPipeline PA Editor observabilitypipeline-pa-editor Falsch Organisation ClusterRole
    Administrator für Organisationsnetzwerkrichtlinien org-network-policy-admin Falsch Organisation Role
    Administrator für Sitzungen der Organisation org-session-admin Falsch Organisation Role
    Organisations-Grafana-Betrachter organization-grafana-viewer Falsch Organisation ClusterRole
    Organisations-IAM-Betrachter organization-iam-viewer Falsch Organisation ClusterRole
    Administrator für Organisationsupgrades organization-upgrade-admin Falsch Organisation ClusterRole
    Betrachter für Organisationsupgrades organization-upgrade-viewer Falsch Organisation ClusterRole
    Project Bucket Admin global-project-bucket-admin Falsch Organisation Project
    Project Bucket Object Admin project-bucket-object-admin Falsch Organisation Project
    Project Bucket Object Viewer global-project-bucket-object-viewer Falsch Organisation Project
    Projektersteller project-creator Falsch Organisation ClusterRole
    Projektbearbeiter project-editor Falsch Organisation ClusterRole
    SIEM Export Org Creator siemexport-org-creator Falsch Projekt Role
    Organisationsbearbeiter für SIEM-Exporte siemexport-org-editor Falsch Projekt Role
    SIEM Export Org Viewer siemexport-org-viewer Falsch Projekt Role
    Transfer Appliance-Anfrage erstellen transfer-appliance-request-creator Falsch Organisation ClusterRole
    Nutzerclusteradministrator user-cluster-admin Falsch Organisation ClusterRole
    Betrachter von CRDs für Nutzercluster user-cluster-crd-viewer Falsch Organisation OrganizationRole
    Nutzercluster-Entwickler user-cluster-developer Falsch Organisation OrganizationRole
    User Node Viewer user-cluster-node-viewer Falsch Organisation OrganizationRole
    VPN-Administrator vpn-admin Falsch Projekt Role
    VPN Viewer vpn-viewer Falsch Projekt Role

    PA-Persona, vordefinierte Identitäts- und Zugriffsrollen

    PA-Identität
    Name Bindungstyp Serverberechtigungen für die Management API Berechtigungen für Kubernetes-Cluster Wird eskaliert an
    IAM-Administrator der Organisation 

    		 ClusterRoleBinding
    • RoleBinding, ClusterRoleBinding, Role, ClusterRole, ProjectRole, OrganizationClusterRole, ProjectRoleBinding und OrganizationClusterRoleBinding:Erstellen, lesen, aktualisieren und löschen
    • Projekt-Namespace auflisten
    		 Projekt-IAM-Administrator und alle anderen PA-Rollen
    AI Platform-Administrator 

    		 ClusterRoleBinding
    • Vortrainierte Dienste:Erstellen, lesen, aktualisieren und löschen
    Audit Logs Platform Restore Bucket Creator ClusterRoleBinding Backup-Buckets:Lesen und Schreiben
    Audit Logs Platform Bucket Viewer ClusterRoleBinding Sicherungs-Buckets:Lesen
    Bucket-Administrator ClusterRoleBinding Bucket und Objekte:Lesen und Schreiben
    Bucket-Objekt-Administrator ClusterRoleBinding
    • Bucket:Lesen
    • Objekte:Lesen und Schreiben
    Bucket-Objekt-Betrachter ClusterRoleBinding Bucket und Objekte:Lesen
    Dashboard PA Creator ClusterRoleBinding Benutzerdefinierte Dashboard-Ressourcen: Lesen und Schreiben
    Dashboard-PA-Editor ClusterRoleBinding Benutzerdefinierte Dashboard-Ressourcen: Lesen und Schreiben
    Dashboard PA Viewer ClusterRoleBinding Benutzerdefinierte Dashboard-Ressourcen: Lesen
    Flow Log-Administrator ClusterRoleBinding Ressourcen für Flow-Logs: Lesen und Schreiben
    Flow-Log-Viewer ClusterRoleBinding Flusslog-Ressourcen: Lesen
    GDCH Restrict By Attributes Policy Admin ClusterRoleBinding Richtlinien für eingeschränkte Attribute für GDCH:Erstellen, bearbeiten und löschen
    GDCH Restricted Service Policy Manager ClusterRoleBinding Richtlinien für eingeschränkte GDCH-Dienste:Erstellen, bearbeiten und löschen
    Administrator für die Identitätsanbieterföderation RoleBinding Konfigurationen und Secrets des Identitätsanbieters:Erstellen, lesen, aktualisieren, patchen und löschen
    Infra-PKI-Administrator RoleBinding
    • PKI-Zertifikataussteller und Zertifizierungsstellen: get, list, watch, create, update, delete, patch
    • PKI-Secrets: Get, list
    Interconnect-Administrator ClusterRoleBinding Interconnect-Anhänge und Anhangsgruppen: get, list, watch, create, update, delete, patch
    Log Query API Querier RoleBinding Log Query API-Projektlogs:Lesen
    LoggingRule PA Creator ClusterRoleBinding Benutzerdefinierte LoggingRule-Ressourcen: Lesen und Schreiben
    LoggingRule PA Editor ClusterRoleBinding Benutzerdefinierte LoggingRule-Ressourcen: Lesen und Schreiben
    LoggingRule PA Viewer ClusterRoleBinding Benutzerdefinierte LoggingRule-Ressourcen: Lesen
    LoggingTarget PA Creator ClusterRoleBinding Benutzerdefinierte LoggingTarget-Ressourcen: Lesen und Schreiben
    LoggingTarget PA Editor ClusterRoleBinding Benutzerdefinierte LoggingTarget-Ressourcen: Lesen und Schreiben
    LoggingTarget PA Viewer ClusterRoleBinding Benutzerdefinierte LoggingTarget-Ressourcen: Lesen
    MonitoringRule PA Creator ClusterRoleBinding Benutzerdefinierte MonitoringRule-Ressourcen: Lesen und Schreiben
    MonitoringRule PA Editor ClusterRoleBinding Benutzerdefinierte MonitoringRule-Ressourcen: Lesen und Schreiben
    MonitoringRule PA Viewer ClusterRoleBinding Benutzerdefinierte MonitoringRule-Ressourcen: Lesen
    MonitoringTarget PA Creator ClusterRoleBinding Benutzerdefinierte MonitoringTarget-Ressourcen: Lesen und Schreiben
    MonitoringTarget PA Editor ClusterRoleBinding Benutzerdefinierte MonitoringTarget-Ressourcen: Lesen und Schreiben
    Betrachter für MonitoringTarget PA ClusterRoleBinding Benutzerdefinierte MonitoringTarget-Ressourcen: Lesen
    MP OCLCM Debugger ClusterRoleBinding
    • Komponenten:Get, list, create
    • ComponentOverrides, SubcomponentOverrides:Get, list, create, update, patch
    • ComponentRollouts, Subcomponents:Get, list, update, patch
    MP OCLCM Viewer ClusterRoleBinding Komponenten, ComponentOverrides, SubcomponentOverrides, ComponentRollouts, Unterkomponenten:Abrufen, auflisten
    ObservabilityPipeline PA Creator ClusterRoleBinding Benutzerdefinierte ObservabilityPipeline-Ressourcen: Lesen und Schreiben
    ObservabilityPipeline PA Editor ClusterRoleBinding Benutzerdefinierte ObservabilityPipeline-Ressourcen: Lesen und Schreiben
    ObservabilityPipeline PA Viewer ClusterRoleBinding Benutzerdefinierte ObservabilityPipeline-Ressourcen: Lesen
    Administrator für Organisationsnetzwerkrichtlinien RoleBinding OrganizationNetworkPolicy im Namespace platform:erstellen, lesen, aktualisieren und löschen
    Administrator für Sitzungen der Organisation RoleBinding Istio-Autorisierungsressource:Erstellen, Lesen, Aktualisieren und Löschen
    Organisations-Grafana-Betrachter RoleBinding GrafanaSystem und Grafana:Lesen und Schreiben
    Organisations-IAM-Betrachter
    		 ClusterRoleBinding
    • Objekte der rollenbasierten Zugriffssteuerung (RBAC):Lesen
    • OrganizationClusterRole und OrganizationClusterRoleBinding: Lesen
    Administrator für Organisationsupgrades ClusterRoleBinding Wartungsfenster:Abrufen, Auflisten, Beobachten, Aktualisieren und Patchen
    Betrachter für Organisationsupgrades ClusterRoleBinding Wartungsfenster:get, list, watch
    Projektersteller ClusterRoleBinding
    • Benutzerdefinierte Projektressourcen (CR): Lesen und Erstellen
    • Fleet CR: Read and create
    • Cluster:Lesen
    Projektbearbeiter ClusterRoleBinding
    • Benutzerdefinierte Projektressourcen (CR): Lesen, löschen, patchen, aktualisieren und ansehen
    • Flotten-CR:Lesen und Löschen
    • Cluster CR:Lesen
    SIEM Export Org Creator RoleBinding Benutzerdefinierte SIEMOrgForwarder-Ressourcen und Secrets:Abrufen, Erstellen und Lesen
    Organisationsbearbeiter für SIEM-Exporte RoleBinding Benutzerdefinierte SIEMOrgForwarder-Ressourcen und Secrets:Abrufen, Lesen, Aktualisieren, Löschen und Patchen
    SIEM Export Org Viewer RoleBinding Benutzerdefinierte SIEMOrgForwarder-Ressourcen und Secrets:Lesen
    Transfer Appliance-Anfrage erstellen ClusterRoleBinding Benutzerdefinierte Ressource (Custom Resource, CR) TransferApplianceRequest: Lesen und Erstellen
    Nutzerclusteradministrator ClusterRoleBinding
    • AddressPoolClaims:Erstellen, lesen, aktualisieren und löschen
    • UserClusterUpgrade:Lesen und Schreiben
    • UserClusterMetadata, ClusterBgpRouters, InventoryMachines und benutzerdefinierte Projektressourcen (CR): Lesen
    • CidrClaims:Erstellen, lesen, aktualisieren und löschen
    • Namespace:Erstellen und löschen
    • ClusterCidrConfigs und Cluster:erstellen, lesen, aktualisieren, patchen und löschen
    • NodeUpgrades:Lesen, erstellen, patchen und aktualisieren
    • HarborClusters, Projects, UserClusterUpgradeRequests: Lesen
    • Clusters und NodePoolClaims:Lese- und Schreibzugriff
    • NodePools, MachineClasses, VirtualMachineTypes und ClusterInfos:Lesen
    Betrachter von CRDs für Nutzercluster OrganizationRoleBinding CustomResourceDefinitions:Gelesen
    Nutzercluster-Entwickler OrganizationRoleBinding Cluster:Lesen und Schreiben
    Betrachter für Nutzerclusterknoten OrganizationRoleBinding Cluster:Lesen
    VPN-Administrator RoleBinding
    • VPNGateway:Erstellen, lesen, schreiben
    • PeerGateway:Erstellen, lesen, schreiben
    • VPNBGPPeer:Erstellen, lesen, schreiben
    • VPNTunnel:Erstellen, lesen, schreiben
    VPN Viewer RoleBinding
    • VPNGateway:Gelesen
    • PeerGateway:Gelesen
    • VPNBGPPeer:Gelesen
    • VPNTunnel:Gelesen

    AO-Persona, vordefinierte Identitäts- und Zugriffsrollen

    AO-Persona
    Name Kubernetes-Ressourcenname Erster Administrator Level Typ
    Projekt-IAM-Administrator project-iam-admin Wahr Projekt Role
    AI OCR Developer ai-ocr-developer Falsch Projekt Role
    AI Platform-Betrachter ai-platform-viewer Falsch Projekt Role
    AI Speech-Entwickler ai-speech-developer Falsch Projekt Role
    AI Translation-Entwickler ai-translation-developer Falsch Projekt Role
    Administrator für die Artefaktverwaltung artifact-management-admin Falsch Projekt Role
    Artifact Management Editor artifact-management-editor Falsch Projekt Role
    Certificate Authority Service-Administrator certificate-authority-service-admin Falsch Projekt Role
    Zertifikatsdienstadministrator certificate-service-admin Falsch Projekt Role
    Dashboard-Editor dashboard-editor Falsch Projekt Role
    Dashboard-Betrachter dashboard-viewer Falsch Projekt Role
    Harbor-Instanzadministrator harbor-instance-admin Falsch Projekt Role
    Harbor Instance Viewer harbor-instance-viewer Falsch Projekt Role
    Harbor-Projektersteller harbor-project-creator Falsch Projekt Role
    K8s Network Policy Admin k8s-networkpolicy-admin Falsch Projekt ProjectRole
    Lastenausgleichsmodul-Administrator load-balancer-admin Falsch Projekt ProjectRole
    LoggingRule Creator loggingrule-creator Falsch Projekt Role
    LoggingRule Editor loggingrule-editor Falsch Projekt Role
    LoggingRule Viewer loggingrule-viewer Falsch Projekt Role
    LoggingTarget Creator loggingtarget-creator Falsch Projekt Role
    LoggingTarget-Bearbeiter loggingtarget-editor Falsch Projekt Role
    LoggingTarget Viewer loggingtarget-viewer Falsch Projekt Role
    MonitoringRule Editor monitoringrule-editor Falsch Projekt Role
    MonitoringRule Viewer monitoringrule-viewer Falsch Projekt Role
    MonitoringTarget Editor monitoringtarget-editor Falsch Projekt Role
    MonitoringTarget Viewer monitoringtarget-viewer Falsch Projekt Role
    Namespace-Administrator namespace-admin Falsch Projekt ProjectRole
    NAT Viewer nat-viewer Falsch Projekt ProjectRole
    ObservabilityPipeline Editor observabilitypipeline-editor Falsch Projekt Role
    ObservabilityPipeline-Betrachter observabilitypipeline-viewer Falsch Projekt Role
    Project Bucket Admin project-bucket-admin Falsch Projekt Role
    Project Bucket Object Admin project-bucket-object-admin Falsch Projekt Role
    Project Bucket Object Viewer project-bucket-object-viewer Falsch Projekt Role
    Project Cortex Alertmanager Editor project-cortex-alertmanager-editor Falsch Projekt Role
    Project Cortex Alertmanager Viewer project-cortex-alertmanager-viewer Falsch Projekt Role
    Project Cortex Prometheus Viewer project-cortex-prometheus-viewer Falsch Projekt Role
    Projekt-Grafana-Betrachter project-grafana-viewer Falsch Projekt Role
    Projektadministrator für NetworkPolicy project-networkpolicy-admin Falsch Projekt Role
    Projektbetrachter project-viewer Falsch Projekt Role
    Projekt-VirtualMachine-Administrator project-vm-admin Falsch Projekt Role
    Administrator für VirtualMachine-Images für Projekte project-vm-image-admin Falsch Projekt Role
    Secret-Administrator secret-admin Falsch Projekt Role
    Secret-Betrachter secret-viewer Falsch Projekt Role
    Administrator für Dienstkonfiguration service-configuration-admin Falsch Projekt Role
    Betrachter von Dienstkonfigurationen service-configuration-viewer Falsch Projekt Role
    Workbench Notebooks-Administrator workbench-notebooks-admin Falsch Projekt Role
    Administrator für die Volume-Replikation app-volume-replication-admin Falsch Cluster Role
    Workbench-Notebooks-Betrachter workbench-notebooks-viewer Falsch Projekt Role
    Workload Viewer workload-viewer Falsch Projekt Role

    AO-Persona, vordefinierte Identitäts- und Zugriffsrollen

    AO-Persona
    Name Bindungstyp Serverberechtigungen für die Management API Berechtigungen für Kubernetes-Cluster Wird eskaliert an
    Projekt-IAM-Administrator RoleBinding
    • RoleBinding, ClusterRoleBinding, Role, ClusterRole, ProjectRole, ProjectClusterRole, ProjectRoleBinding und ProjectClusterRoleBinding:Erstellen, lesen, aktualisieren, löschen und binden
    • ProjectServiceAccount:Erstellen, lesen, aktualisieren und löschen
    • Projekt-Namespace auflisten
    		 Alle anderen AO-Rollen
    AI OCR Developer RoleBinding OCR-Ressourcen:Lesen und Schreiben
    AI Speech-Entwickler RoleBinding Sprachressourcen:Lesen und Schreiben
    AI Translation-Entwickler RoleBinding Übersetzungsressourcen:Lesen und Schreiben
    Administrator für die Artefaktverwaltung RoleBinding HarborProjects:Administrator, Erstellen, Lesen, Schreiben, Löschen und Ansehen
    Artifact Management Editor RoleBinding HarborProjects:Lesen, Schreiben und Ansehen
    Certificate Authority Service-Administrator RoleBinding Zertifizierungsstellen und Zertifikatsanfragen:Abrufen, Auflisten, Beobachten, Aktualisieren, Erstellen, Löschen und Patchen
    Zertifikatsdienstadministrator RoleBinding Zertifikate und Zertifikataussteller:Get, list, watch, update, create, delete und patch
    Dashboard-Editor RoleBinding Benutzerdefinierte Dashboard-Ressourcen:Abrufen, Lesen, Erstellen, Aktualisieren, Löschen und Patchen
    Dashboard-Betrachter RoleBinding Dashboard:Abrufen und lesen
    Harbor-Instanzadministrator RoleBinding Harbor-Instanzen:Erstellen, lesen, aktualisieren, löschen und patchen
    Harbor Instance Viewer RoleBinding Harbor-Instanzen:Lesen
    Harbor-Projektersteller RoleBinding Harbor-Instanzprojekte:Erstellen, abrufen und beobachten
    K8s NetworkPolicy-Administrator ProjectRoleBinding NetworkPolicy-Ressourcen: Erstellen, lesen, abrufen, aktualisieren, löschen und patchen
    Lastenausgleichsmodul-Administrator RoleBinding
    • Backend:Get, watch, list, create, patch, update und delete
    • HealthCheck:Get, watch, list, create, patch, update und delete
    • BackendService:Get, watch, list, create, patch, update und delete
    • ForwardingRuleExternal:Get, watch, list, create, patch, update und delete
    • ForwardingRuleInternal:Get, watch, list, create, patch, update und delete
    LoggingRule Creator RoleBinding Benutzerdefinierte RessourcenLoggingRule:erstellen, lesen, aktualisieren, löschen und patchen
    LoggingRule Editor RoleBinding Benutzerdefinierte RessourcenLoggingRule:erstellen, lesen, aktualisieren, löschen und patchen
    LoggingRule Viewer RoleBinding Benutzerdefinierte LoggingRule-Ressourcen:Lesen
    LoggingTarget Creator RoleBinding Benutzerdefinierte RessourcenLoggingTarget:erstellen, lesen, aktualisieren, löschen und patchen
    LoggingTarget-Bearbeiter RoleBinding Benutzerdefinierte RessourcenLoggingTarget:erstellen, lesen, aktualisieren, löschen und patchen
    LoggingTarget Viewer RoleBinding Benutzerdefinierte LoggingTarget-Ressourcen:Lesen
    MonitoringRule Editor RoleBinding Benutzerdefinierte RessourcenMonitoringRule:erstellen, lesen, aktualisieren, löschen und patchen
    MonitoringRule Viewer RoleBinding Benutzerdefinierte MonitoringRule-Ressourcen:Lesen
    MonitoringTarget Editor RoleBinding Benutzerdefinierte RessourcenMonitoringTarget:erstellen, lesen, aktualisieren, löschen und patchen
    MonitoringTarget Viewer RoleBinding Benutzerdefinierte MonitoringTarget-Ressourcen:Lesen
    Namespace-Administrator ProjectRoleBinding Alle Ressourcen:Lese- und Schreibzugriff im Projekt-Namespace
    NAT Viewer ProjectRoleBinding Deployments: Abrufen und lesen
    ObservabilityPipeline Editor RoleBinding ObservabilityPipeline-Ressourcen:Abrufen, Lesen, Erstellen, Aktualisieren, Löschen und Patchen
    ObservabilityPipeline-Betrachter RoleBinding ObservabilityPipeline-Ressourcen:Abrufen und lesen
    Project Bucket Admin RoleBinding Bucket:Lese- und Schreibzugriff im Projekt-Namespace
    Project Bucket Object Admin RoleBinding
    • Bucket:Lesen
    • Objekte:Lesen und Schreiben
    Project Bucket Object Viewer RoleBinding Bucket und Objekte:Lesen
    Project Cortex Alertmanager Editor RoleBinding Cortex-System und Cortex Alertmanager:Lesen und Schreiben
    Project Cortex Alertmanager Viewer RoleBinding Cortex-System und Cortex Alertmanager:
    Project Cortex Prometheus Viewer RoleBinding Cortex-System und Cortex Prometheus:Lesen
    Projekt-Grafana-Betrachter RoleBinding Grafana-System und Grafana:Lesen und Schreiben
    Projektadministrator für NetworkPolicy RoleBinding Projektnetzwerkrichtlinien:Lesen und Schreiben im Projekt-Namespace
    Projektbetrachter RoleBinding Alle Ressourcen im Projekt-Namespace:Lesen
    Projekt-VirtualMachine-Administrator RoleBinding
    • Virtuelle Maschinen, Laufwerke, Zugriffsanfragen, externer Zugriff, Sicherungsanfragen, Sicherungen, Wiederherstellungsanfragen, Anfragen zum Löschen von Sicherungen, Wiederherstellungen und Anfragen zum Zurücksetzen von Passwörtern:Lesen, Erstellen, Aktualisieren und Löschen
    • Neustart der virtuellen Maschine:
    • VM-Images, Sicherungspläne und Sicherungsplanvorlagen:Lesen
    Administrator für VirtualMachine-Images für Projekte RoleBinding
    • VM-Images:Lesen
    • VM-Image-Importe:Lesen und Schreiben
    • Buckets:Erstellen
    • Bucket „vm-images-bucket“:Lesen und Schreiben
    Secret-Administrator RoleBinding Kubernetes-Secrets:Lesen, erstellen, aktualisieren, löschen und patchen
    Secret-Betrachter RoleBinding Kubernetes-Secrets:Lesen
    Administrator für Dienstkonfiguration RoleBinding ServiceConfigurations:Lesen und Schreiben
    Betrachter von Dienstkonfigurationen RoleBinding ServiceConfigurations:Gelesen
    Administrator für die Volume-Replikation ClusterRoleBinding Volume failovers, volume relationship replicas:create, get, list, watch, delete
    Workbench Notebooks-Administrator RoleBinding
    • Benutzerdefinierte Notebook-Ressourcen (CR) im Projekt-Namespace:Erstellen, lesen, aktualisieren und löschen
    • ClusterInfo-Objekte:Lesen
    Workbench-Notebooks-Betrachter RoleBinding
    • Benutzerdefinierte Notebook-Ressourcen (CR) im Projekt-Namespace:Lesen
    Workload Viewer ProjectRoleBinding
    • Benutzerdefinierte Pod-Ressourcen im Projekt-Namespace:Lesen
    • Benutzerdefinierte Deployment-Ressourcen im Projekt-Namespace: Lesen

    Häufig verwendete vordefinierte Identitäts- und Zugriffsrollen

    Häufige Rollen
    Name Kubernetes-Ressourcenname Erster Administrator Level Typ
    AI Platform-Betrachter ai-platform-viewer Falsch Projekt Role
    DNS Suffix Viewer dnssuffix-viewer Falsch Organisation Role
    Flow Log-Administrator flowlog-admin Falsch Organisation ClusterRole
    Flow-Log-Viewer flowlog-viewer Falsch Projekt ClusterRole
    Betrachter für Projekterkennung projectdiscovery-viewer Falsch Projekt ClusterRole
    Öffentliche Bildanzeige public-image-viewer Falsch Organisation Role
    System-Artifact Registry-Secret „anthos-creds“ überwachen sar-anthos-creds-secret-monitor Falsch Organisation Role
    System Artifact Registry gpc-system secret Monitor sar-gpc-system-secret-monitor Falsch Organisation Role
    System-Secret „harbor-system“ für Artifact Registry-Monitor sar-harbor-system-secret-monitor Falsch Organisation Role
    Virtual Machine Type Viewer virtualmachinetype-viewer Falsch Organisation OrganizationRole
    VM-Typ-Betrachter vmtype-viewer Falsch Organisation Role

    Häufig verwendete vordefinierte Identitäts- und Zugriffsrollen

    Häufige Rollen
    Name Bindungstyp Berechtigungen für Administratorcluster Berechtigungen für Kubernetes-Cluster Wird eskaliert an
    AI Platform-Betrachter RoleBinding Vortrainierte Dienste:Lesen
    DNS Suffix Viewer ClusterRoleBinding DNS-Suffix-Konfigurationszuordnungen:Lesen
    Flow Log-Administrator ClusterRoleBinding Ressourcen für Ablaufprotokolle:Abrufen und Lesen Ressourcen für Ablaufprotokolle:Abrufen und Lesen
    Flow-Log-Viewer ClusterRoleBinding Flow-Log-Ressourcen:Erstellen, abrufen, lesen, patchen, aktualisieren und löschen Flow-Log-Ressourcen:Erstellen, abrufen, lesen, patchen, aktualisieren und löschen
    Betrachter für Projekterkennung ClusterRoleBinding Projekte:Lesen
    Öffentliche Bildanzeige RoleBinding VM-Images:Lesen
    System-Artifact Registry-Secret „anthos-creds“ überwachen RoleBinding anthos-creds Secrets:Abrufen und lesen anthos-creds Secrets:Abrufen und lesen
    System Artifact Registry gpc-system secret Monitor RoleBinding gpc-system Secrets:Abrufen und lesen gpc-system Secrets:Abrufen und lesen
    System-Secret „harbor-system“ für Artifact Registry-Monitor RoleBinding harbor-system Secrets:Abrufen und lesen harbor-system Secrets:Abrufen und lesen
    Virtual Machine Type Viewer OrganizationRoleBinding VM-Typen:Lesen
    VM-Typ-Betrachter ClusterRoleBinding VM-Typen:Lesen