本節的表格說明不同的預先定義角色及其權限。表格包含下列資料欄:
- 名稱:使用者介面 (UI) 中顯示的角色名稱。
- Kubernetes 資源名稱:對應 Kubernetes 自訂資源的名稱。
- 層級:指定這個角色是否受機構或專案的範圍限制。
- 類型:這個角色的類型。例如,可能的值包括
Role、ProjectRole、ClusterRole或ProjectClusterRole。 - 繫結類型:您必須套用至這個角色的繫結類型。
- 管理 API 伺服器或 Kubernetes 叢集權限:這個角色在管理 API 伺服器或 Kubernetes 叢集擁有的權限。舉例來說,可能的值包括讀取、寫入、讀取和寫入,或不適用 (N/A)。
- 升級至:指定這個角色是否會升級至其他角色。
角色類型
- ClusterRole:管理 API 伺服器或 Kubernetes 叢集中的叢集範圍 Kubernetes RBAC 角色。
- 角色:管理 API 伺服器或 Kubernetes 叢集中的命名空間範圍內,Kubernetes RBAC 角色。
- ProjectRole:自訂資源定義,其中定義了權限,並繫結至 Kubernetes 叢集和命名空間。專案角色會以
Role的形式傳播至 Kubernetes 叢集。 - OrganizationRole:定義權限的自訂資源定義,會以
ClusterRole形式傳播至 Kubernetes 叢集。
預先定義的身分與存取角色表
下表詳細列出各個預先定義角色獲派的權限。每個目標對象都有專屬的表格:
IO Persona、預先定義的身分與存取權角色
| IO 角色 | ||||
|---|---|---|---|---|
| 名稱 | Kubernetes 資源名稱 | 初始管理員 | 等級 | 類型 |
| 安全性管理員 | security-admin |
是 | 機構 | ClusterRole |
| APPLSTOR 偵錯工具 | applstor-debugger |
否 | 機構 | ClusterRole |
| APPLSTOR 監控器 | applstor-monitor |
否 | 機構 | ClusterRole |
| APPLSTOR 密鑰輪替器 | applstor-secret-rotator |
否 | 機構 | Role |
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
否 | 機構 | ClusterRole |
| AuditLoggingTarget IO Viewer | auditloggingtarget-io-viewer |
否 | 機構 | ClusterRole |
| AuditLoggingTarget IO 編輯者 | auditloggingtarget-io-editor |
否 | 機構 | ClusterRole |
| 稽核記錄備份還原編輯器 | audit-logs-backup-restore-editor |
否 | 機構 | ClusterRole |
| 稽核記錄基礎架構值區檢視者 | audit-logs-infra-bucket-viewer |
否 | 機構 | ClusterRole |
| AIS 管理員 | ais-admin |
否 | 機構 | Role |
| AIS Debugger | ais-debugger |
否 | 機構 | Role |
| AIS Monitor | ais-monitor |
否 | 機構 | Role |
| AuthzPDP Debugger | authzpdp-debugger |
否 | 機構 | Role |
| Cert Manager 系統叢集偵錯工具 | platauth-cert-manager-system-debugger |
否 | 機構 | OrganizationRole |
| 資訊主頁建立者 | dashboard-creator |
否 | 機構 | ClusterRole |
| Dashboard IO Creator | dashboard-io-creator |
否 | 機構 | ClusterRole |
| 資訊主頁 IO 編輯者 | dashboard-io-editor |
否 | 機構 | ClusterRole |
| 資訊主頁 IO 檢視者 | dashboard-io-viewer |
否 | 機構 | ClusterRole |
| 偵錯 AuditLoggingTarget 自訂資源 | auditloggingtarget-monitor |
否 | 專案 | Role |
| DNS 管理員 | dns-admin |
否 | 機構 | ClusterRole |
| DNS 偵錯工具 | dns-debugger-root |
否 | 機構 | ClusterRole |
| DNS 監控器 | dns-monitor |
否 | 機構 | ClusterRole |
| DNS 尾碼檢視者 | dnssuffix-viewer |
否 | 機構 | ClusterRole |
| 緊急 SSH 憑證管理員 | emergencysshcreds-admin |
否 | 機構 | Role |
| FluentBit IO Creator | fluentbit-io-creator |
否 | 機構 | ClusterRole |
| FluentBit IO 檢視者 | fluentbit-io-viewer |
否 | 機構 | ClusterRole |
| FluentBit IO 編輯器 | fluentbit-io-editor |
否 | 機構 | ClusterRole |
| 守門員管理員 | gatekeeper-admin |
否 | 機構 | Role |
| Grafana 檢視者 | grafana-viewer |
否 | 機構 | ClusterRole |
| Grafana Debugger | grafana-debugger |
否 | 專案 | ProjectRole |
| 硬體管理員 | hardware-admin |
否 | 機構 | ClusterRole |
| HWDR 管理員 | hardware-dr-admin |
否 | 機構 | ClusterRole |
| HWDR 檢視者 | hwdr-viewer |
否 | 機構 | ClusterRole |
| 基礎架構 PKI 偵錯工具 | platauth-infra-pki-debugger |
否 | 專案 | Role |
| 互連網路管理員 | interconnect-admin-cp |
否 | 機構 | ClusterRole |
| Kiali 管理員 | kiali-admin |
否 | 機構 | ClusterRole |
| KUB IPAM Debugger | kub-ipam-debugger |
否 | 機構 | ClusterRole |
| KUB Monitor | kub-monitor |
否 | 機構 | ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
否 | 機構 | ClusterRole |
| LogCollector IO Viewer | logcollector-io-viewer |
否 | 機構 | ClusterRole |
| LogCollector IO Editor | logcollector-io-editor |
否 | 機構 | ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
否 | 機構 | ClusterRole |
| LoggingRule IO Viewer | loggingrule-io-viewer |
否 | 機構 | ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
否 | 機構 | ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
否 | 機構 | ClusterRole |
| LoggingTarget IO Viewer | loggingtarget-io-viewer |
否 | 機構 | ClusterRole |
| LoggingTarget IO 編輯者 | loggingtarget-io-editor |
否 | 機構 | ClusterRole |
| Log Query API Querier | log-query-api-querier |
否 | 專案 | Role |
| MonitoringRule IO 建立者 | monitoringrule-io-creator |
否 | 機構 | ClusterRole |
| MonitoringRule IO 檢視者 | monitoringrule-io-viewer |
否 | 機構 | ClusterRole |
| MonitoringRule IO 編輯者 | monitoringrule-io-editor |
否 | 機構 | ClusterRole |
| 監控目標創作者 | monitoringtarget-creator |
否 | 機構 | ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
否 | 機構 | ClusterRole |
| MonitoringTarget IO 檢視者 | monitoringtarget-io-viewer |
否 | 機構 | ClusterRole |
| MonitoringTarget IO 編輯者 | monitoringtarget-io-editor |
否 | 機構 | ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
否 | 機構 | ClusterRole |
| ObservabilityPipeline IO 檢視者 | observabilitypipeline-io-viewer |
否 | 機構 | ClusterRole |
| ObservabilityPipeline IO 編輯者 | observabilitypipeline-io-editor |
否 | 機構 | ClusterRole |
| Observability 管理員 | observability-admin |
否 | 機構 | Role |
| 可觀測性偵錯工具 | observability-debugger |
否 | 機構 | OrganizationRole |
| 可觀測性系統偵錯工具 | observability-system-debugger |
否 | 機構 | OrganizationRole |
| Observability 檢視者 | observability-viewer |
否 | 機構 | Role |
| OCLCM Debugger | oclcm-debugger-root |
否 | 機構 | ClusterRole |
| OCLCM 檢視者 | oclcm-viewer-root |
否 | 機構 | ClusterRole |
| 機構管理員 | organization-admin |
否 | 機構 | ClusterRole |
| 機構系統構件管理管理員 | organization-system-artifact-management-admin |
否 | 機構 | Role |
| 機構系統構件管理偵錯工具 | organization-system-artifact-management-debugger |
否 | 機構 | ClusterRole |
| PERF Admin Monitor | perf-admin-monitor |
否 | 機構 | Role |
| PERF 管理員資源維護人員 | perf-admin-resource-maintainer |
否 | 專案 | Role |
| PERF Debugger | perf-debugger |
否 | 專案 | ProjectRole |
| PERF 系統監控工具 | perf-system-monitor |
否 | 專案 | ProjectRole |
| PERF 系統資源維護人員 | perf-system-resource-maintainer |
否 | 專案 | ProjectRole |
| PNET Debugger | pnet-debugger |
否 | 機構 | ClusterRole |
| PNET Monitor | pnet-monitor |
否 | 機構 | ClusterRole |
| PNET Secret Debugger | pnet-secret-debugger |
否 | 機構 | Role |
| PSPF Debugger | pspf-debugger |
否 | 機構 | Role |
| PSPF 監控 | pspf-monitor |
否 | 機構 | Role |
| 政策管理員 | policy-admin |
否 | 機構 | ClusterRole |
| 遠端記錄器管理員 | remote-logger-admin |
否 | 機構 | Role |
| Remote Logger Viewer | remote-logger-viewer |
否 | 機構 | Role |
| Root Cortex Alertmanager 編輯者 | root-cortex-alertmanager-editor |
否 | 機構 | Role |
| Root Cortex Alertmanager 檢視者 | root-cortex-alertmanager-viewer |
否 | 機構 | Role |
| 根 Cortex Prometheus 檢視器 | root-cortex-prometheus-viewer |
否 | 機構 | Role |
| 根工作階段管理員 | root-session-admin |
否 | 機構 | Role |
| 安全性檢視者 | security-viewer |
否 | 機構 | ClusterRole |
| Service Now 管理員 | service-now-admin |
否 | 專案 | Role |
| Service Now 管理員 | service-now-admin |
否 | 專案 | ProjectRole |
| SSH 基礎架構偵錯工具 | platauth-ssh-infra-debugger |
否 | 專案 | ProjectRole |
| 系統構件管理管理員 | system-artifact-management-admin |
否 | 機構 | Role |
| 系統構件管理密鑰管理員 | system-artifact-management-secrets-admin |
否 | 機構 | Role |
| 系統構件登錄檔 Harbor 管理員 | sar-harbor-admin |
否 | 機構 | Role |
| 系統 Artifact Registry Harbor 讀取權 | sar-harbor-read |
否 | 機構 | Role |
| System Artifact Registry Harbor ReadWrite | sar-harbor-readwrite |
否 | 機構 | Role |
| 系統 Artifact Registry 偵錯工具 | sar-debugger-root |
否 | 機構 | ClusterRole |
| 系統構件登錄檔監控 | sar-monitorsar-monitor-root |
否 | 機構 | ClusterRole |
| 系統叢集管理員 | system-cluster-admin |
否 | 機構 | OrganizationRole |
| 系統叢集 DNS 偵錯工具 | system-cluster-dns-debugger |
否 | 機構 | OrganizationRole |
| 系統叢集 UNET 偵錯工具 | system-cluster-unet-debugger |
否 | 機構 | OrganizationRole |
| 系統叢集 UNET 監控 | system-cluster-unet-monitor |
否 | 機構 | OrganizationRole |
| 使用者叢集 UNET 偵錯工具 | user-cluster-unet-debugger |
否 | 機構 | OrganizationRole |
| 系統叢集檢視者 | system-cluster-viewer |
否 | 機構 | OrganizationRole |
| 系統專案 VirtualMachine 管理員 | system-project-vm-admin |
否 | 角色 | Role |
| Tenable Nessus 管理員 | tenable-nessus-admin |
否 | 專案 | Role |
| Tenable Nessus 管理員 | tenable-nessus-system-admin |
否 | 專案 | ProjectRole |
| Transfer Appliance 申請管理員 | transfer-appliance-request-admin |
否 | 機構 | ClusterRole |
| 信任組合根監控 | transfer-appliance-request-admin |
否 | 機構 | Role |
| UI 偵錯工具 | ui-debugger |
否 | 機構 | ClusterRole |
| UNET CLI 機構管理員監控器 | unet-cli-org-admin-monitor |
否 | 機構 | ClusterRole |
| UNET CLI Root Admin Monitor | unet-cli-root-admin-monitor |
否 | 機構 | ClusterRole |
| UNET CLI 系統監控工具 | unet-cli-system-monitor |
否 | 機構 | OrganizationRole |
| UNET CLI 使用者監控 | unet-cli-user-monitor |
否 | 機構 | OrganizationRole |
| 升級設備管理員 | upgrade-admin-te |
否 | 機構 | ClusterRole |
| 升級 Debugger | upgrade-debugger |
否 | 機構 | OrganizationRole |
| 使用者叢集 DNS 偵錯工具 | user-cluster-dns-debugger |
否 | 機構 | OrganizationRole |
| 使用者叢集偵錯工具 | user-cluster-debugger |
否 | 機構 | OrganizationRole |
| 使用者叢集 UNET 偵錯工具 | user-cluster-unet-debugger |
否 | 機構 | OrganizationRole |
| 使用者叢集 UNET 監控器 | user-cluster-unet-monitor |
否 | 機構 | OrganizationRole |
| VAISEARCH Secret Rotator | vaisearch-secret-rotator |
否 | 專案 | ProjectRole |
| 管理平面 API 伺服器的 VPN 偵錯工具 | vpn-debugger |
否 | 專案 | Role |
| 網站 TLS 憑證偵錯工具 | platauth-web-tls-cert-debugger |
否 | 專案 | Role |
IO 角色、預先定義的身分和存取權角色
| IO 角色 | ||||
|---|---|---|---|---|
| 名稱 | 繫結類型 | Management API 伺服器權限 | Kubernetes 叢集權限 | 呈報至 |
| 安全性管理員 | ClusterRoleBinding |
|
不適用 | 機構 IAM 管理員和所有其他 IO 角色 |
| AIS 管理員 | RoleBinding |
|
不適用 | 不適用 |
| AIS Debugger | RoleBinding |
AIS 資源:建立、讀取、更新、刪除及修補 | 不適用 | 不適用 |
| AIS Monitor | RoleBinding |
iam-system 命名空間中的 AIS 資源:讀取和寫入 |
不適用 | 不適用 |
| APPLSTOR 偵錯工具 | ClusterRoleBinding |
|
不適用 | 不適用 |
| APPLSTOR 監控器 | ClusterRoleBinding |
asmconfigs:取得、列出 |
不適用 | 不適用 |
| APPLSTOR 密鑰輪替器 | RoleBinding |
Object storage secrets:取得、修補 |
不適用 | 不適用 |
| AuditLoggingTarget IO Creator | ClusterRoleBinding |
AuditLoggingTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| AuditLoggingTarget IO 編輯者 | ClusterRoleBinding |
AuditLoggingTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| AuditLoggingTarget IO Viewer | ClusterRoleBinding |
AuditLoggingTarget 自訂資源:讀取 |
不適用 | 不適用 |
| 稽核記錄備份還原編輯器 | ClusterRoleBinding |
備份 bucket:讀取和寫入 | 不適用 | 不適用 |
| 稽核記錄基礎架構值區檢視者 | ClusterRoleBinding |
備份值區:讀取 | 不適用 | 不適用 |
| 資訊主頁建立者 | ClusterRoleBinding |
Dashboard 自訂資源:取得、列出、監看、建立 |
不適用 | 不適用 |
| Dashboard IO Creator | ClusterRoleBinding |
Dashboard 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| AuthzPDP Debugger | RoleBinding |
|
不適用 | 不適用 |
| Cert Manager 系統叢集偵錯工具 | OrganizationRoleBinding |
憑證、憑證要求、簽發者、叢集簽發者、驗證、訂單:取得、列出、監控、更新、修補、刪除及建立 | 不適用 | 不適用 |
| 資訊主頁 IO 編輯者 | ClusterRoleBinding |
Dashboard 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| 資訊主頁 IO 檢視者 | ClusterRoleBinding |
Dashboard 自訂資源:讀取 |
不適用 | 不適用 |
| 偵錯 AuditLoggingTarget 自訂資源 | RoleBinding |
|
不適用 | 不適用 |
| DNS 管理員 | ClusterRoleBinding |
|
不適用 | 不適用 |
| DNS 偵錯工具 | ClusterRoleBinding |
|
不適用 | 不適用 |
| DNS 監控器 | ClusterRoleBinding |
不適用 | Configmap、密鑰、DNS 註冊 API、DNS 服務、DNS 部署作業:讀取 | 不適用 |
| DNS 尾碼檢視者 | ClusterRoleBinding |
不適用 | DNS 尾碼 configmap:讀取 | 不適用 |
| 緊急 SSH 憑證管理員 | RoleBinding |
不適用 | EmergencySshCredentials:建立、讀取及修補 |
不適用 |
| FluentBit IO Creator | ClusterRoleBinding |
FluentBit 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| FluentBit IO 編輯器 | ClusterRoleBinding |
FluentBit 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| FluentBit IO 檢視者 | ClusterRoleBinding |
FluentBit 自訂資源:讀取 |
不適用 | 不適用 |
| 守門員管理員 | RoleBinding |
|
不適用 | 不適用 |
| Grafana Debugger | ProjectRoleBinding |
應用程式、部署作業、有狀態集和 Pod:讀取、更新、刪除及修補 | 應用程式、部署作業、有狀態集和 Pod:讀取、更新、刪除及修補 | 不適用 |
| Grafana 檢視者 | RoleBinding |
GrafanaSystem 和 Grafana:讀取及寫入 |
不適用 | 不適用 |
| 硬體管理員 | ClusterRoleBinding |
硬體相關 CRD:讀取和寫入 | 不適用 | 不適用 |
| HWDR 管理員 | ClusterRoleBinding |
|
不適用 | 不適用 |
| HWDR 檢視者 | ClusterRoleBinding |
不適用 | 備份方案:讀取 | 不適用 |
| 基礎架構 PKI 偵錯工具 | RoleBinding |
不適用 |
|
不適用 |
| 互連網路管理員 | ClusterRoleBinding |
不適用 | 互連網路連結和連結群組:取得、列出、監控、建立、更新、刪除、修補 | 不適用 |
| Kiali 管理員 | RoleBinding |
不適用 |
|
不適用 |
| KUB IPAM Debugger | ClusterRoleBinding |
IPAM 資源:讀取及寫入 | 不適用 | 不適用 |
| KUB Monitor | ClusterRoleBinding |
KUB 資源:閱讀 | 不適用 | 不適用 |
| LogCollector IO Creator | ClusterRoleBinding |
LogCollector 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LogCollector IO Editor | ClusterRoleBinding |
LogCollector 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LogCollector IO Viewer | ClusterRoleBinding |
LogCollector 自訂資源:讀取 |
不適用 | 不適用 |
| LoggingRule IO Creator | ClusterRoleBinding |
LoggingRule 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LoggingRule IO Editor | ClusterRoleBinding |
LoggingRule 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LoggingRule IO Viewer | ClusterRoleBinding |
LoggingRule 自訂資源:讀取 |
不適用 | 不適用 |
| LoggingTarget IO Creator | ClusterRoleBinding |
LoggingTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LoggingTarget IO 編輯者 | ClusterRoleBinding |
LoggingTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LoggingTarget IO Viewer | ClusterRoleBinding |
LoggingTarget 自訂資源:讀取 |
不適用 | 不適用 |
| Log Query API Querier | ClusterRoleBinding |
Log Query API 專案記錄:讀取 | 不適用 | 不適用 |
| MonitoringRule IO 建立者 | ClusterRoleBinding |
MonitoringRule 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| MonitoringRule IO 編輯者 | ClusterRoleBinding |
MonitoringRule 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| MonitoringRule IO 檢視者 | ClusterRoleBinding |
MonitoringRule 自訂資源:讀取 |
不適用 | 不適用 |
| 監控目標創作者 | ClusterRoleBinding |
MonitoringTarget 自訂資源:取得、列出、監看、建立 |
不適用 | 不適用 |
| MonitoringTarget IO Creator | ClusterRoleBinding |
MonitoringTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| MonitoringTarget IO 編輯者 | ClusterRoleBinding |
MonitoringTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| MonitoringTarget IO 檢視者 | ClusterRoleBinding |
MonitoringTarget 自訂資源:讀取 |
不適用 | 不適用 |
| ObservabilityPipeline IO Creator | ClusterRoleBinding |
ObservabilityPipeline 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| ObservabilityPipeline IO 編輯者 | ClusterRoleBinding |
ObservabilityPipeline 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| ObservabilityPipeline IO 檢視者 | ClusterRoleBinding |
ObservabilityPipeline 自訂資源:讀取 |
不適用 | 不適用 |
| Observability 管理員 | RoleBinding |
|
|
不適用 |
| 可觀測性偵錯工具 | OrganizationRoleBinding |
|
不適用 | 不適用 |
| 可觀測性系統偵錯工具 | OrganizationRoleBinding |
|
不適用 | 不適用 |
| Observability 檢視者 | RoleBinding |
obs-system 命名空間:讀取 |
obs-system 命名空間:讀取 |
不適用 |
| OCLCM Debugger | ClusterRoleBinding |
oclcm-debugger:
|
oclcm-debugger-root:
|
不適用 |
| OCLCM 檢視者 | ClusterRoleBinding |
oclcm-viewer:
|
oclcm-viewer-root:
|
不適用 |
| 機構管理員 | ClusterRoleBinding |
|
不適用 | 不適用 |
| 機構系統構件管理管理員 | RoleBinding |
|
不適用 | 不適用 |
| PERF Admin Monitor | RoleBinding |
PERF 值區、服務帳戶和密鑰:讀取 | 不適用 | 不適用 |
| PERF 管理員資源維護人員 | RoleBinding |
|
不適用 | 不適用 |
| PERF Debugger | ProjectRoleBinding |
|
不適用 | 不適用 |
| PERF 系統監控工具 | ProjectRoleBinding |
Pod、configmap、Cron 工作:讀取 | 不適用 | 不適用 |
| PERF 系統資源維護人員 | ProjectRoleBinding |
|
不適用 | 不適用 |
| PNET Debugger | ClusterRoleBinding |
不適用 |
|
不適用 |
| PNET Monitor | ClusterRoleBinding |
不適用 | PNET 部署作業、部署作業記錄、Pod、Pod 記錄、子網路聲明和交換器:讀取 | 不適用 |
| PNET Secret Debugger | RoleBinding |
不適用 | PNET 密鑰:取得、列出、監看、建立、更新、修補、刪除 | 不適用 |
| PSPF Debugger | RoleBinding |
不適用 |
|
不適用 |
| PSPF 監控 | RoleBinding |
不適用 | PSPF 部署記錄、Pod、Pod 記錄:取得、列出、監看 | 不適用 |
| 政策管理員 | ClusterRoleBinding |
限制:建立、編輯及刪除 | 不適用 | 不適用 |
| 遠端記錄器管理員 | RoleBinding |
部署作業:讀取、更新、修補及刪除 | 部署作業:讀取、更新、修補及刪除 | 不適用 |
| Remote Logger Viewer | RoleBinding |
部署作業:讀取 | 部署作業:讀取 | 不適用 |
| Root Cortex Alertmanager 編輯者 | RoleBinding |
不適用 | Cortex Alertmanager、記錄規則和監控規則自訂資源:建立、刪除、讀取、修補及更新 | 不適用 |
| Root Cortex Alertmanager 檢視者 | RoleBinding |
不適用 | Cortex Alertmanager、記錄規則和監控規則自訂資源:讀取 | 不適用 |
| 根 Cortex Prometheus 檢視器 | RoleBinding |
不適用 | Cortex 系統和 Cortex Prometheus:請參閱 | 不適用 |
| 根工作階段管理員 | RoleBinding |
不適用 | Istio 資源管理工具:建立、讀取、更新、刪除及修補 | 不適用 |
| 安全性檢視者 | ClusterRoleBinding |
|
不適用 | 不適用 |
| Service Now 管理員 | RoleBinding |
Dnsregistrations、Projectnetworkpolicies、Virtualservices、Envoyfilters、Destinationrules、Monitoringtargets、Monitoringrules 和 Dashboards:讀取和寫入 |
不適用 | 不適用 |
| Service Now 管理員 | ProjectRoleBinding |
不適用 | 服務、設定對應、Pod 記錄和密鑰:讀取和寫入 | 不適用 |
| SSH 基礎架構偵錯工具 | ProjectRoleBinding |
不適用 | SSH 密鑰:取得、列出、監看、修補、更新、建立、刪除 | 不適用 |
| 系統構件管理管理員 | RoleBinding |
HarborProjects:管理員、建立、讀取、寫入、刪除及檢視 |
|
不適用 |
| 系統構件管理密鑰管理員 | RoleBinding |
不適用 |
|
不適用 |
| 系統構件登錄檔 Harbor 管理員 | RoleBinding |
Harbor 專案:建立、讀取、更新、修補及刪除 | Harbor 專案:建立、讀取、更新、修補及刪除 | 不適用 |
| 系統叢集管理員 | OrganizationRoleBinding |
不適用 | 系統叢集:建立、刪除、更新及讀取 | 不適用 |
| 系統 Artifact Registry Harbor 讀取權 | RoleBinding |
不適用 | Harbor 專案:讀取 | 不適用 |
| System Artifact Registry Harbor ReadWrite | RoleBinding |
不適用 | Harbor 專案:建立、讀取及寫入 | 不適用 |
| 系統 Artifact Registry 偵錯工具 | ClusterRoleBinding |
不適用 |
|
不適用 |
| 系統構件登錄檔監控 | ClusterRoleBinding |
不適用 | Harbor 叢集、密鑰和 CRD:讀取 | 不適用 |
| 系統叢集 DNS 偵錯工具 | OrganizationRoleBinding |
不適用 |
|
不適用 |
| 系統叢集 UNET 偵錯工具 | OrganizationRoleBinding |
|
不適用 | 不適用 |
| 系統叢集 UNET 監控 | OrganizationRoleBinding |
專案、專案網路政策、ConfigMap、密鑰、憑證、套件、部署作業、常駐程式集、具狀態集、Pod、Pod 記錄、服務、端點、端點切片、網路政策、網路記錄、網路、網路介面、網路、虛擬機器、虛擬機器執行個體、叢集 CIDR 設定、流量記錄、流量記錄狀態、BGP 對等互連、BGP 通告路由、BGP 接收路由、BGP 工作階段、BGP 負載平衡器、輸出 NAT 政策、網路閘道群組、網路閘道節點、扁平 IP 模式、多叢集連線設定、VPN 通道、流量轉送、ConfigMap 轉送器、密鑰轉送器、健康狀態檢查、節點集區聲明、節點集區和外掛程式設定:取得及讀取 | 不適用 | 不適用 |
| 系統叢集檢視者 | OrganizationRoleBinding |
不適用 | 系統叢集:讀取及寫入 | 不適用 |
| Tenable Nessus 管理員 | RoleBinding |
用於管理 Nessus 的網路元件:讀取和寫入 | 不適用 | 不適用 |
| Tenable Nessus 管理員 | ProjectRoleBinding |
用於管理 Nessus 的網路元件:讀取和寫入 | 不適用 | 不適用 |
| Transfer Appliance 申請管理員 | ClusterRoleBinding |
Transferappliancerequests:讀取及寫入 |
不適用 | 不適用 |
| 信任組合根監控 | RoleBinding |
Config maps:取得、列出、觀看 |
不適用 | 不適用 |
| UI 偵錯工具 | ClusterRoleBinding |
後端 UI 伺服器:讀取、修補、更新 | 不適用 | 不適用 |
| UNET CLI 機構管理員監控器 | ClusterRoleBinding |
|
不適用 | 不適用 |
| UNET CLI Root Admin Monitor | ClusterRoleBinding |
不適用 |
|
不適用 |
| UNET CLI 系統監控工具 | OrganizationRoleBinding |
不適用 |
|
不適用 |
| UNET CLI 使用者監控 | OrganizationRoleBinding |
不適用 |
|
不適用 |
| 升級設備管理員 | ClusterRoleBinding |
SubcomponentOverrides:取得、列出、建立、更新及修補 |
|
不適用 |
| 升級 Debugger | OrganizationRoleBinding |
不適用 |
|
不適用 |
| 使用者叢集 DNS 偵錯工具 | OrganizationRoleBinding |
不適用 |
|
不適用 |
| 使用者叢集偵錯工具 | OrganizationRoleBinding |
不適用 | 使用者叢集:取得、讀取、建立、更新、修補及刪除 | 不適用 |
| 使用者叢集 UNET 偵錯工具 | OrganizationRoleBinding |
不適用 |
|
不適用 |
| 使用者叢集 UNET 監控器 | OrganizationRoleBinding |
不適用 | 專案、專案網路政策、ConfigMap、祕密、憑證、憑證簽發者、套件、部署作業、常駐程式集、具狀態集、Pod、Pod 記錄、服務、端點、端點切片、網路政策、網路記錄、Cilium、網路、網路介面、虛擬機器、虛擬機器執行個體、網路、叢集 CIDR 設定、扁平 IP 模式、ConfigMap 轉送器、祕密轉送器、健康狀態檢查、節點集區聲明、節點集區、外掛程式設定、流量記錄和流量記錄狀態、BGP 對等互連、BGP 播送的路由、BGP 收到的路由、BGP 工作階段、BGP 負載平衡器、輸出 NAT 政策、網路閘道群組、網路閘道節點、扁平 IP 模式、多叢集連線設定、VPN 通道和流量導向:取得及讀取 | 不適用 |
| VAISEARCH Secret Rotator | ProjectRoleBinding |
不適用 | Vertex AI Search 密鑰:取得、列出、觀看、刪除 | 不適用 |
| 管理平面 API 伺服器的 VPN 偵錯工具 | RoleBinding |
不適用 |
|
不適用 |
| 適用於邊界叢集的 VPN Debugger | RoleBinding |
不適用 |
|
不適用 |
| 網站 TLS 憑證偵錯工具 | RoleBinding |
不適用 | 密鑰和 PKI 憑證:取得、列出、監控、更新、修補、建立、刪除 | 不適用 |
PA 角色、預先定義的身分與存取權角色
| PA persona | ||||
|---|---|---|---|---|
| 名稱 | Kubernetes 資源名稱 | 初始管理員 | 等級 | 類型 |
| 機構 IAM 管理員 | organization-iam-admin |
是 | 機構 | ClusterRole |
| AI 平台管理員 | ai-platform-admin |
是 | 機構 | ClusterRole |
| 稽核記錄平台還原 Bucket 建立者 | audit-logs-platform-restore-bucket-creator |
否 | 機構 | Role |
| 稽核記錄平台 Bucket 檢視者 | audit-logs-platform-bucket-viewer |
否 | 機構 | Role |
| Bucket 管理員 | bucket-admin |
否 | 機構 | ClusterRole |
| Bucket 物件管理員 | bucket-object-admin |
否 | 機構 | ClusterRole |
| Bucket 物件檢視者 | bucket-object-viewer |
否 | 機構 | ClusterRole |
| Bucket 管理員 | global-bucket-admin |
否 | 機構 | ClusterRole |
| Bucket 物件管理員 | global-bucket-object-admin |
否 | 機構 | ClusterRole |
| Bucket 物件檢視者 | global-bucket-object-viewer |
否 | 機構 | ClusterRole |
| 資訊主頁 PA 建立者 | dashboard-pa-creator |
否 | 機構 | ClusterRole |
| 資訊主頁 PA 編輯者 | dashboard-pa-editor |
否 | 機構 | ClusterRole |
| 資訊主頁 PA 檢視者 | dashboard-pa-viewer |
否 | 機構 | ClusterRole |
| Flow Log Admin | flowlog-admin |
否 | 機構 | ClusterRole |
| 流程記錄檢視器 | flowlog-viewer |
否 | 機構 | ClusterRole |
| GDCH Restrict By Attributes Policy Admin | gdchrestrictbyattributes-policy-admin |
否 | 機構 | ClusterRole |
| GDCH Restricted Service Policy 管理員 | gdchrestrictedservice-policy-admin |
否 | 機構 | ClusterRole |
| IdP 聯盟管理員 | idp-federation-admin |
否 | 機構 | Role |
| Infra PKI 管理員 | infra-pki-admin |
否 | 專案 | Role |
| 互連網路管理員 | interconnect-admin-mp |
否 | 機構 | ClusterRole |
| Log Query API Querier | log-query-api-querier |
否 | 專案 | Role |
| LoggingRule PA Creator | loggingrule-pa-creator |
否 | 機構 | ClusterRole |
| LoggingRule PA Viewer | loggingrule-pa-viewer |
否 | 機構 | ClusterRole |
| LoggingRule PA Editor | loggingrule-pa-editor |
否 | 機構 | ClusterRole |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
否 | 機構 | ClusterRole |
| LoggingTarget PA 檢視器 | loggingtarget-pa-viewer |
否 | 機構 | ClusterRole |
| LoggingTarget PA 編輯者 | loggingtarget-pa-editor |
否 | 機構 | ClusterRole |
| MonitoringRule PA 建立者 | monitoringrule-pa-creator |
否 | 機構 | ClusterRole |
| MonitoringRule PA 檢視者 | monitoringrule-pa-viewer |
否 | 機構 | ClusterRole |
| MonitoringRule PA 編輯者 | monitoringrule-pa-editor |
否 | 機構 | ClusterRole |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
否 | 機構 | ClusterRole |
| MonitoringTarget PA 檢視者 | monitoringtarget-pa-viewer |
否 | 機構 | ClusterRole |
| MonitoringTarget PA 編輯者 | monitoringtarget-pa-editor |
否 | 機構 | ClusterRole |
| MP OCLCM Debugger | mp-oclcm-debugger |
否 | 機構 | ClusterRole |
| MP OCLCM 檢視者 | mp-oclcm-viewer |
否 | 機構 | ClusterRole |
| ObservabilityPipeline PA Creator | observabilitypipeline-pa-creator |
否 | 機構 | ClusterRole |
| ObservabilityPipeline PA 檢視者 | observabilitypipeline-pa-viewer |
否 | 機構 | ClusterRole |
| ObservabilityPipeline PA 編輯者 | observabilitypipeline-pa-editor |
否 | 機構 | ClusterRole |
| 機構網路政策管理員 | org-network-policy-admin |
否 | 機構 | Role |
| 機構工作階段管理員 | org-session-admin |
否 | 機構 | Role |
| 機構 Grafana 檢視者 | organization-grafana-viewer |
否 | 機構 | ClusterRole |
| 機構 IAM 檢視者 | organization-iam-viewer |
否 | 機構 | ClusterRole |
| 機構升級管理員 | organization-upgrade-admin |
否 | 機構 | ClusterRole |
| 機構升級檢視者 | organization-upgrade-viewer |
否 | 機構 | ClusterRole |
| 專案 Bucket 管理員 | global-project-bucket-admin |
否 | 機構 | Project |
| 專案值區物件管理員 | project-bucket-object-admin |
否 | 機構 | Project |
| 專案 Bucket 物件檢視者 | global-project-bucket-object-viewer |
否 | 機構 | Project |
| 專案建立者 | project-creator |
否 | 機構 | ClusterRole |
| 專案編輯者 | project-editor |
否 | 機構 | ClusterRole |
| SIEM 匯出機構建立者 | siemexport-org-creator |
否 | 專案 | Role |
| SIEM 匯出機構編輯者 | siemexport-org-editor |
否 | 專案 | Role |
| SIEM 匯出項目機構檢視者 | siemexport-org-viewer |
否 | 專案 | Role |
| Transfer Appliance 申請建立者 | transfer-appliance-request-creator |
否 | 機構 | ClusterRole |
| 使用者叢集管理員 | user-cluster-admin |
否 | 機構 | ClusterRole |
| 使用者叢集 CRD 檢視者 | user-cluster-crd-viewer |
否 | 機構 | OrganizationRole |
| 使用者叢集開發人員 | user-cluster-developer |
否 | 機構 | OrganizationRole |
| 使用者節點檢視者 | user-cluster-node-viewer |
否 | 機構 | OrganizationRole |
| VPN 管理員 | vpn-admin |
否 | 專案 | Role |
| VPN 檢視者 | vpn-viewer |
否 | 專案 | Role |
PA 角色、預先定義的身分和存取權角色
| PA persona | ||||
|---|---|---|---|---|
| 名稱 | 繫結類型 | Management API 伺服器權限 | Kubernetes 叢集權限 | 呈報至 |
| 機構 IAM 管理員 |
ClusterRoleBinding |
|
不適用 | 專案 IAM 管理員和所有其他 PA 角色 |
| AI Platform 管理員 |
ClusterRoleBinding |
|
不適用 | 不適用 |
| 稽核記錄平台還原 Bucket 建立者 | ClusterRoleBinding |
備份 bucket:讀取和寫入 | 不適用 | 不適用 |
| 稽核記錄平台 Bucket 檢視者 | ClusterRoleBinding |
備份 bucket:讀取 | 不適用 | 不適用 |
| Bucket 管理員 | ClusterRoleBinding |
值區和物件:讀取和寫入 | 不適用 | 不適用 |
| Bucket 物件管理員 | ClusterRoleBinding |
|
不適用 | 不適用 |
| Bucket 物件檢視者 | ClusterRoleBinding |
值區和物件:讀取 | 不適用 | 不適用 |
| 資訊主頁 PA 建立者 | ClusterRoleBinding |
Dashboard 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| 資訊主頁 PA 編輯者 | ClusterRoleBinding |
Dashboard 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| 資訊主頁 PA 檢視者 | ClusterRoleBinding |
Dashboard 自訂資源:讀取 |
不適用 | 不適用 |
| Flow Log Admin | ClusterRoleBinding |
流量記錄資源:讀取及寫入 | 不適用 | 不適用 |
| 流程記錄檢視器 | ClusterRoleBinding |
流量記錄資源:讀取 | 不適用 | 不適用 |
| GDCH Restrict By Attributes Policy Admin | ClusterRoleBinding |
GDCH 受限屬性政策:建立、編輯及刪除 | 不適用 | 不適用 |
| GDCH Restricted Service Policy Manager | ClusterRoleBinding |
GDCH 受限服務政策:建立、編輯及刪除 | 不適用 | 不適用 |
| IdP 聯盟管理員 | RoleBinding |
身分提供者設定和密鑰:建立、讀取、更新、修補及刪除 | 不適用 | 不適用 |
| Infra PKI 管理員 | RoleBinding |
不適用 |
|
不適用 |
| 互連網路管理員 | ClusterRoleBinding |
不適用 | 互連網路連結和連結群組:取得、列出、監控、建立、更新、刪除、修補 | 不適用 |
| Log Query API Querier | RoleBinding |
Log Query API 專案記錄:讀取 | 不適用 | 不適用 |
| LoggingRule PA Creator | ClusterRoleBinding |
LoggingRule 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LoggingRule PA Editor | ClusterRoleBinding |
LoggingRule 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LoggingRule PA Viewer | ClusterRoleBinding |
LoggingRule 自訂資源:讀取 |
不適用 | 不適用 |
| LoggingTarget PA Creator | ClusterRoleBinding |
LoggingTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LoggingTarget PA 編輯者 | ClusterRoleBinding |
LoggingTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| LoggingTarget PA 檢視器 | ClusterRoleBinding |
LoggingTarget 自訂資源:讀取 |
不適用 | 不適用 |
| MonitoringRule PA 建立者 | ClusterRoleBinding |
MonitoringRule 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| MonitoringRule PA 編輯者 | ClusterRoleBinding |
MonitoringRule 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| MonitoringRule PA 檢視者 | ClusterRoleBinding |
MonitoringRule 自訂資源:讀取 |
不適用 | 不適用 |
| MonitoringTarget PA Creator | ClusterRoleBinding |
MonitoringTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| MonitoringTarget PA 編輯者 | ClusterRoleBinding |
MonitoringTarget 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| MonitoringTarget PA 檢視者 | ClusterRoleBinding |
MonitoringTarget 自訂資源:讀取 |
不適用 | 不適用 |
| MP OCLCM Debugger | ClusterRoleBinding |
|
不適用 | 不適用 |
| MP OCLCM 檢視者 | ClusterRoleBinding |
元件、ComponentOverrides、SubcomponentOverrides、ComponentRollouts、Subcomponents:取得、列出 | 不適用 | 不適用 |
| ObservabilityPipeline PA Creator | ClusterRoleBinding |
ObservabilityPipeline 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| ObservabilityPipeline PA 編輯者 | ClusterRoleBinding |
ObservabilityPipeline 自訂資源:讀取及寫入 |
不適用 | 不適用 |
| ObservabilityPipeline PA 檢視者 | ClusterRoleBinding |
ObservabilityPipeline 自訂資源:讀取 |
不適用 | 不適用 |
| 機構網路政策管理員 | RoleBinding |
OrganizationNetworkPolicy platform 命名空間:建立、讀取、更新及刪除 |
不適用 | 不適用 |
| 機構工作階段管理員 | RoleBinding |
Istio 授權資源:建立、讀取、更新及刪除 | 不適用 | 不適用 |
| 機構 Grafana 檢視者 | RoleBinding |
GrafanaSystem 和 Grafana:讀取及寫入 |
不適用 | 不適用 |
| 機構 IAM 檢視者 |
ClusterRoleBinding |
|
不適用 | 不適用 |
| 機構升級管理員 | ClusterRoleBinding |
維護期間:取得、列出、監看、更新及修補 | 不適用 | 不適用 |
| 機構升級檢視者 | ClusterRoleBinding |
維護期間:取得、列出及觀看 | 不適用 | 不適用 |
| 專案建立者 | ClusterRoleBinding |
|
不適用 | 不適用 |
| 專案編輯者 | ClusterRoleBinding |
|
不適用 | 不適用 |
| SIEM 匯出機構建立者 | RoleBinding |
SIEMOrgForwarder 自訂資源和密鑰:取得、建立及讀取 |
不適用 | 不適用 |
| SIEM 匯出機構編輯者 | RoleBinding |
SIEMOrgForwarder 自訂資源和密鑰:取得、讀取、更新、刪除及修補 |
不適用 | 不適用 |
| SIEM 匯出項目機構檢視者 | RoleBinding |
SIEMOrgForwarder 自訂資源和密鑰:讀取 |
不適用 | 不適用 |
| Transfer Appliance 申請建立者 | ClusterRoleBinding |
TransferApplianceRequest 自訂資源 (CR):讀取及建立 |
不適用 | 不適用 |
| 使用者叢集管理員 | ClusterRoleBinding |
|
|
不適用 |
| 使用者叢集 CRD 檢視者 | OrganizationRoleBinding |
不適用 | CustomResourceDefinitions:已讀 |
不適用 |
| 使用者叢集開發人員 | OrganizationRoleBinding |
不適用 | 叢集:讀取及寫入 | 不適用 |
| 使用者叢集節點檢視者 | OrganizationRoleBinding |
不適用 | 叢集:讀取 | 不適用 |
| VPN 管理員 | RoleBinding |
不適用 |
|
不適用 |
| VPN 檢視者 | RoleBinding |
不適用 |
|
不適用 |
AO Persona、預先定義的身分與存取權角色
| AO 角色 | ||||
|---|---|---|---|---|
| 名稱 | Kubernetes 資源名稱 | 初始管理員 | 等級 | 類型 |
| 專案 IAM 管理員 | project-iam-admin |
是 | 「Project」(專案) | Role |
| AI OCR 開發人員 | ai-ocr-developer |
否 | 「Project」(專案) | Role |
| AI 平台檢視者 | ai-platform-viewer |
否 | 「Project」(專案) | Role |
| AI Speech 開發人員 | ai-speech-developer |
否 | 「Project」(專案) | Role |
| AI 翻譯開發人員 | ai-translation-developer |
否 | 「Project」(專案) | Role |
| 構件管理管理員 | artifact-management-admin |
否 | 專案 | Role |
| 構件管理編輯者 | artifact-management-editor |
否 | 專案 | Role |
| 憑證授權單位服務管理員 | certificate-authority-service-admin |
否 | 專案 | Role |
| 憑證服務管理員 | certificate-service-admin |
否 | 專案 | Role |
| 資訊主頁編輯器 | dashboard-editor |
否 | 專案 | Role |
| 資訊主頁檢視者 | dashboard-viewer |
否 | 專案 | Role |
| Harbor 執行個體管理員 | harbor-instance-admin |
否 | 專案 | Role |
| Harbor 執行個體檢視者 | harbor-instance-viewer |
否 | 專案 | Role |
| Harbor 專案建立者 | harbor-project-creator |
否 | 專案 | Role |
| K8s 網路政策管理員 | k8s-networkpolicy-admin |
否 | 專案 | ProjectRole |
| 負載平衡器管理員 | load-balancer-admin |
否 | 專案 | ProjectRole |
| LoggingRule Creator | loggingrule-creator |
否 | 「Project」(專案) | Role |
| LoggingRule 編輯器 | loggingrule-editor |
否 | 「Project」(專案) | Role |
| LoggingRule Viewer | loggingrule-viewer |
否 | 「Project」(專案) | Role |
| LoggingTarget Creator | loggingtarget-creator |
否 | 「Project」(專案) | Role |
| LoggingTarget 編輯器 | loggingtarget-editor |
否 | 「Project」(專案) | Role |
| LoggingTarget 檢視器 | loggingtarget-viewer |
否 | 「Project」(專案) | Role |
| MonitoringRule 編輯者 | monitoringrule-editor |
否 | 「Project」(專案) | Role |
| MonitoringRule 檢視者 | monitoringrule-viewer |
否 | 「Project」(專案) | Role |
| MonitoringTarget 編輯者 | monitoringtarget-editor |
否 | 「Project」(專案) | Role |
| MonitoringTarget 檢視者 | monitoringtarget-viewer |
否 | 「Project」(專案) | Role |
| 命名空間管理員 | namespace-admin |
否 | 「Project」(專案) | ProjectRole |
| NAT 檢視器 | nat-viewer |
否 | 「Project」(專案) | ProjectRole |
| ObservabilityPipeline 編輯者 | observabilitypipeline-editor |
否 | 「Project」(專案) | Role |
| ObservabilityPipeline 檢視者 | observabilitypipeline-viewer |
否 | 「Project」(專案) | Role |
| 專案 Bucket 管理員 | project-bucket-admin |
否 | 「Project」(專案) | Role |
| 專案值區物件管理員 | project-bucket-object-admin |
否 | 「Project」(專案) | Role |
| 專案 Bucket 物件檢視者 | project-bucket-object-viewer |
否 | 「Project」(專案) | Role |
| Project Cortex Alertmanager 編輯者 | project-cortex-alertmanager-editor |
否 | 「Project」(專案) | Role |
| Project Cortex Alertmanager 檢視者 | project-cortex-alertmanager-viewer |
否 | 「Project」(專案) | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
否 | 「Project」(專案) | Role |
| 專案 Grafana 檢視者 | project-grafana-viewer |
否 | 專案 | Role |
| 專案 NetworkPolicy 管理員 | project-networkpolicy-admin |
否 | 「Project」(專案) | Role |
| 專案檢視者 | project-viewer |
否 | 「Project」(專案) | Role |
| 專案 VirtualMachine 管理員 | project-vm-admin |
否 | 「Project」(專案) | Role |
| 專案 VirtualMachine 映像檔管理員 | project-vm-image-admin |
否 | 「Project」(專案) | Role |
| 密鑰管理員 | secret-admin |
否 | 專案 | Role |
| Secret 檢視者 | secret-viewer |
否 | 專案 | Role |
| 服務設定管理員 | service-configuration-admin |
否 | 專案 | Role |
| 服務設定檢視者 | service-configuration-viewer |
否 | 專案 | Role |
| Workbench Notebooks 管理員 | workbench-notebooks-admin |
否 | 專案 | Role |
| 磁碟區複製管理員 | app-volume-replication-admin |
否 | 叢集 | Role |
| Workbench 筆記本檢視者 | workbench-notebooks-viewer |
否 | 專案 | Role |
| 工作負載檢視者 | workload-viewer |
否 | 專案 | Role |
AO 角色、預先定義的身分和存取權角色
| AO 角色 | ||||
|---|---|---|---|---|
| 名稱 | 繫結類型 | Management API 伺服器權限 | Kubernetes 叢集權限 | 呈報至 |
| 專案 IAM 管理員 | RoleBinding |
|
不適用 | 所有其他 AO 角色 |
| AI OCR 開發人員 | RoleBinding |
OCR 資源:讀取及寫入 | 不適用 | 不適用 |
| AI Speech 開發人員 | RoleBinding |
語音資源:讀取及寫入 | 不適用 | 不適用 |
| AI 翻譯開發人員 | RoleBinding |
翻譯資源:讀取及寫入 | 不適用 | 不適用 |
| 構件管理管理員 | RoleBinding |
HarborProjects:管理員、建立、讀取、寫入、刪除及檢視 |
不適用 | 不適用 |
| 構件管理編輯者 | RoleBinding |
HarborProjects:讀取、寫入及檢視 |
不適用 | 不適用 |
| 憑證授權單位服務管理員 | RoleBinding |
憑證授權單位和憑證要求:取得、列出、監控、更新、建立、刪除及修補 | 不適用 | 不適用 |
| 憑證服務管理員 | RoleBinding |
憑證和憑證核發機構:取得、列出、監控、更新、建立、刪除及修補 | 不適用 | 不適用 |
| 資訊主頁編輯器 | RoleBinding |
Dashboard 自訂資源:取得、讀取、建立、更新、刪除及修補 |
不適用 | 不適用 |
| 資訊主頁檢視者 | RoleBinding |
Dashboard:取得及讀取 |
不適用 | 不適用 |
| Harbor 執行個體管理員 | RoleBinding |
Harbor 執行個體:建立、讀取、更新、刪除及修補 | 不適用 | 不適用 |
| Harbor 執行個體檢視者 | RoleBinding |
Harbor 執行個體:讀取 | 不適用 | 不適用 |
| Harbor 專案建立者 | RoleBinding |
Harbor 執行個體專案:建立、取得及監看 | 不適用 | 不適用 |
| K8s NetworkPolicy 管理員 | ProjectRoleBinding |
不適用 | NetworkPolicy 資源:建立、讀取、取得、更新、刪除及修補 |
不適用 |
| 負載平衡器管理員 | RoleBinding |
不適用 |
|
不適用 |
| LoggingRule Creator | RoleBinding |
LoggingRule 自訂資源:建立、讀取、更新、刪除及修補 |
不適用 | 不適用 |
| LoggingRule 編輯器 | RoleBinding |
LoggingRule 自訂資源:建立、讀取、更新、刪除及修補 |
不適用 | 不適用 |
| LoggingRule Viewer | RoleBinding |
LoggingRule 自訂資源:讀取 |
不適用 | 不適用 |
| LoggingTarget Creator | RoleBinding |
LoggingTarget 自訂資源:建立、讀取、更新、刪除及修補 |
不適用 | 不適用 |
| LoggingTarget 編輯器 | RoleBinding |
LoggingTarget 自訂資源:建立、讀取、更新、刪除及修補 |
不適用 | 不適用 |
| LoggingTarget 檢視器 | RoleBinding |
LoggingTarget 自訂資源:讀取 |
不適用 | 不適用 |
| MonitoringRule 編輯者 | RoleBinding |
MonitoringRule 自訂資源:建立、讀取、更新、刪除及修補 |
不適用 | 不適用 |
| MonitoringRule 檢視者 | RoleBinding |
MonitoringRule 自訂資源:讀取 |
不適用 | 不適用 |
| MonitoringTarget 編輯者 | RoleBinding |
MonitoringTarget 自訂資源:建立、讀取、更新、刪除及修補 |
不適用 | 不適用 |
| MonitoringTarget 檢視者 | RoleBinding |
MonitoringTarget 自訂資源:讀取 |
不適用 | 不適用 |
| 命名空間管理員 | ProjectRoleBinding |
不適用 | 所有資源:專案命名空間的讀寫權限 | 不適用 |
| NAT 檢視器 | ProjectRoleBinding |
不適用 | 部署作業:取得及讀取 | 不適用 |
| ObservabilityPipeline 編輯者 | RoleBinding |
ObservabilityPipeline 資源:取得、讀取、建立、更新、刪除及修補 |
不適用 | 不適用 |
| ObservabilityPipeline 檢視者 | RoleBinding |
ObservabilityPipeline 資源:取得及閱讀 |
不適用 | 不適用 |
| 專案 Bucket 管理員 | RoleBinding |
值區:在專案命名空間中讀取及寫入 | 不適用 | 不適用 |
| 專案值區物件管理員 | RoleBinding |
|
不適用 | 不適用 |
| 專案 Bucket 物件檢視者 | RoleBinding |
值區和物件:讀取 | 不適用 | 不適用 |
| Project Cortex Alertmanager 編輯者 | RoleBinding |
Cortex 系統和 Cortex Alertmanager:讀取及寫入 | 不適用 | 不適用 |
| Project Cortex Alertmanager 檢視者 | RoleBinding |
Cortex 系統和 Cortex Alertmanager:請參閱 | 不適用 | 不適用 |
| Project Cortex Prometheus Viewer | RoleBinding |
Cortex 系統和 Cortex Prometheus:請參閱 | 不適用 | 不適用 |
| 專案 Grafana 檢視者 | RoleBinding |
Grafana 系統和 Grafana:讀取和寫入 | 不適用 | 不適用 |
| 專案 NetworkPolicy 管理員 | RoleBinding |
專案網路政策:在專案命名空間中讀取及寫入 | 不適用 | 不適用 |
| 專案檢視者 | RoleBinding |
專案命名空間中的所有資源:讀取 | 不適用 | 不適用 |
| 專案 VirtualMachine 管理員 | RoleBinding |
|
不適用 | 不適用 |
| 專案 VirtualMachine 映像檔管理員 | RoleBinding |
|
不適用 | 不適用 |
| 密鑰管理員 | RoleBinding |
Kubernetes Secret:讀取、建立、更新、刪除及修補 | 不適用 | 不適用 |
| Secret 檢視者 | RoleBinding |
Kubernetes 密鑰:讀取 | 不適用 | 不適用 |
| 服務設定管理員 | RoleBinding |
ServiceConfigurations:讀取及寫入
|
不適用 | 不適用 |
| 服務設定檢視者 | RoleBinding |
ServiceConfigurations:已讀
|
不適用 | 不適用 |
| 磁碟區複製管理員 | ClusterRoleBinding |
Volume failovers, volume relationship replicas:
建立、取得、列出、觀看、刪除
|
不適用 | 不適用 |
| Workbench Notebooks 管理員 | RoleBinding |
不適用 |
|
不適用 |
| Workbench 筆記本檢視者 | RoleBinding |
不適用 |
|
不適用 |
| 工作負載檢視者 | ProjectRoleBinding |
不適用 |
|
不適用 |
常見的預先定義身分與存取權角色
| 常見角色 | ||||
|---|---|---|---|---|
| 名稱 | Kubernetes 資源名稱 | 初始管理員 | 等級 | 類型 |
| AI 平台檢視者 | ai-platform-viewer |
否 | 專案 | Role |
| DNS 尾碼檢視者 | dnssuffix-viewer |
否 | 機構 | Role |
| Flow Log Admin | flowlog-admin |
否 | 機構 | ClusterRole |
| 流程記錄檢視器 | flowlog-viewer |
否 | 專案 | ClusterRole |
| 專案探索檢視者 | projectdiscovery-viewer |
否 | 「Project」(專案) | ClusterRole |
| 公開圖片檢視器 | public-image-viewer |
否 | 機構 | Role |
| 系統 Artifact Registry anthos-creds 密鑰監控 | sar-anthos-creds-secret-monitor |
否 | 機構 | Role |
| 系統 Artifact Registry gpc-system 密鑰監控 | sar-gpc-system-secret-monitor |
否 | 機構 | Role |
| 系統 Artifact Registry harbor-system 密鑰監控 | sar-harbor-system-secret-monitor |
否 | 機構 | Role |
| 虛擬機器類型檢視者 | virtualmachinetype-viewer |
否 | 機構 | OrganizationRole |
| VM Type Viewer | vmtype-viewer |
否 | 機構 | Role |
常見的預先定義身分與存取權角色
| 常見角色 | ||||
|---|---|---|---|---|
| 名稱 | 繫結類型 | 管理員叢集權限 | Kubernetes 叢集權限 | 呈報至 |
| AI 平台檢視者 | RoleBinding |
預先訓練的服務:讀取 | 不適用 | 不適用 |
| DNS 尾碼檢視者 | ClusterRoleBinding |
DNS 尾碼設定對應:讀取 | 不適用 | 不適用 |
| Flow Log Admin | ClusterRoleBinding |
流量記錄資源:取得及讀取 | 流量記錄資源:取得及讀取 | 不適用 |
| 流程記錄檢視器 | ClusterRoleBinding |
流量記錄資源:建立、取得、讀取、修補、更新及刪除 | 流量記錄資源:建立、取得、讀取、修補、更新及刪除 | 不適用 |
| 專案探索檢視者 | ClusterRoleBinding |
專案:讀取 | 不適用 | 不適用 |
| 公開圖片檢視器 | RoleBinding |
VM 映像檔:請參閱 | 不適用 | 不適用 |
| 系統 Artifact Registry anthos-creds 密鑰監控 | RoleBinding |
anthos-creds 密鑰:取得及讀取 |
anthos-creds 密鑰:取得及讀取 |
不適用 |
| 系統 Artifact Registry gpc-system 密鑰監控 | RoleBinding |
gpc-system 密鑰:取得及讀取 |
gpc-system 密鑰:取得及讀取 |
不適用 |
| 系統 Artifact Registry harbor-system 密鑰監控 | RoleBinding |
harbor-system 密鑰:取得及讀取 |
harbor-system 密鑰:取得及讀取 |
不適用 |
| 虛擬機器類型檢視者 | OrganizationRoleBinding |
不適用 | VM 類型:讀取 | 不適用 |
| VM Type Viewer | ClusterRoleBinding |
VM 類型:讀取 | 不適用 | 不適用 |