项目的角色定义

本部分中的表格介绍了不同的预定义角色及其权限。这些表格包含以下列:

  • 名称:界面 (UI) 中显示的角色名称。
  • Kubernetes 资源名称:相应 Kubernetes 自定义资源的名称。
  • 级别:用于指定此角色的范围是组织还是项目。
  • 管理员或用户集群权限:相应角色对管理员或用户集群拥有的权限。例如,一些可能的值包括读取、写入、读取和写入,或不适用 (N/A)。
  • 升级为:用于指定此角色是否升级为其他角色。

所有角色的角色类型均为 IAMRole。使用 IAMRoleBinding 将全局 API 服务器中具有权限的正文授予预定义的 IAMRole。所有角色和角色绑定都是全局性的。

AO 受众群体、预定义身份和访问权限角色

AO 受众群体群组
名称 Kubernetes 资源名称 初始管理员 级别
AI OCR 开发者 ai-ocr-developer 错误 项目
AI Platform Viewer ai-platform-viewer 错误 项目
AI 语音 Chirp 开发者 ai-speech-chirp-developer 错误 项目
AI 语音开发者 ai-speech-developer 错误 项目
AI 文本嵌入开发者 ai-text-embedding-developer 错误 项目
AI Text Embedding Multilingual Developer ai-text-embedding-multilingual-developer 错误 项目
AI Translation Developer ai-translation-developer 错误 项目
备份创建者 backup-creator 错误 项目
CA Service Certificate Requester certificate-authority-service-certificate-requester 错误 项目
CA Service Operation Manager certificate-authority-service-operation-manager 错误 项目
Certificate Authority Service 管理员 certificate-authority-service-admin 错误 项目
Cluster Admin cluster-admin 错误 项目
集群开发者 cluster-developer 正确 项目
Custom Role Project Admin global-custom-role-project-admin 错误 项目
信息中心编辑器 dashboard-editor 错误 项目
信息中心查看器 dashboard-viewer 错误 项目
Discovery Engine Admin vaisearch-admin 错误 项目
Discovery Engine Developer vaisearch-developer 错误 项目
Discovery Engine Reader vaisearch-reader 错误 项目
Global Load Balancer Admin global-load-balancer-admin 错误 项目
Harbor 实例管理员 harbor-instance-admin 错误 项目
Harbor Instance Viewer harbor-instance-viewer 错误 项目
Harbor 项目创建者 harbor-project-creator 错误 项目
K8s NetworkPolicy Admin k8s-networkpolicy-admin 错误 项目
KMS 管理员 kms-admin 错误 项目
KMS 创建者 kms-creator 错误 项目
KMS 开发者 kms-developer 错误 项目
KMS 密钥导出管理员 kms-keyexport-admin 错误 项目
KMS 密钥导入管理员 kms-keyimport-admin 错误 项目
KMS 查看器 kms-viewer 错误 项目
负载平衡器管理员 load-balancer-admin 错误 项目
LoggingRule Creator loggingrule-creator 错误 项目
LoggingRule 编辑器 loggingrule-editor 错误 项目
LoggingRule 查看者 loggingrule-viewer 错误 项目
LoggingTarget 创建者 loggingtarget-creator 错误 项目
LoggingTarget 编辑器 loggingtarget-editor 错误 项目
LoggingTarget 查看器 loggingtarget-viewer 错误 项目
Marketplace 编辑器 marketplace-editor 错误 项目
MonitoringRule 编辑器 monitoringrule-editor 错误 项目
MonitoringRule 查看器 monitoringrule-viewer 错误 项目
MonitoringTarget 编辑器 monitoringtarget-editor 错误 项目
MonitoringTarget 查看器 monitoringtarget-viewer 错误 项目
Namespace Admin namespace-admin 错误 项目
NAT 查看器 nat-viewer 错误 项目
ObservabilityPipeline Editor observabilitypipeline-editor 错误 项目
ObservabilityPipeline Viewer observabilitypipeline-viewer 错误 项目
项目级存储分区管理员 project-bucket-admin 错误 项目
Project Bucket Object Admin project-bucket-object-admin 错误 项目
Project Bucket Object Viewer project-bucket-object-viewer 错误 项目
Project IAM Admin project-iam-admin 正确 项目
项目 NetworkPolicy 管理员 project-networkpolicy-admin 错误 项目
项目数据库管理员 project-db-admin 错误 项目
项目数据库编辑器 project-db-editor 错误 项目
Project DB Viewer project-db-viewer 错误 项目
Project Viewer project-viewer 错误 项目
项目虚拟机管理员 project-vm-admin 错误 项目
Project VirtualMachine Image Admin project-vm-image-admin 错误 项目
Secret Admin secret-admin 错误 项目
Secret Viewer secret-viewer 错误 项目
Service Configuration Admin service-configuration-admin 错误 项目
Service Configuration Viewer service-configuration-viewer 错误 项目
Standard Cluster Admin standard-cluster-admin 错误 项目
子网项目管理员 subnet-project-admin 错误 项目
子网项目运算符 subnet-project-operator 错误 项目
卷复制管理员 app-volume-replication-admin 错误 集群
Vertex AI Prediction User vertex-ai-prediction-user 错误 项目
Workbench Notebooks Admin workbench-notebooks-admin 错误 项目
Workbench Notebooks 查看器 workbench-notebooks-viewer 错误 项目

AO 受众群体、预定义身份和访问权限角色

AO 受众群体群组
名称 管理 API 服务器权限 Kubernetes 集群权限 升级为
AI OCR 开发者 OCR 资源:读取和写入 不适用 不适用
AI 语音 Chirp 开发者 语音 Chirp 资源:读取和写入 不适用 不适用
AI 语音开发者 语音资源:读取和写入 不适用 不适用
AI 文本嵌入开发者 文本嵌入资源:读取和写入 不适用 不适用
AI Text Embedding Multilingual Developer Text Embedding Multilingual 资源:读取和写入 不适用 不适用
AI Translation Developer 翻译资源:读写 不适用 不适用
备份创建者 不适用
  • 手动备份和恢复:创建、读取和删除
  • 备份、恢复、备份方案、恢复方案、卷备份、卷恢复、删除备份请求:读取
 不适用
CA Service Certificate Requester
  • CertificateRequests:创建、获取和列出。
  • Secret:获取和列出。
 不适用 不适用
CA Service Operation Manager
  • CertificateAuthorities:获取、列出、监控、创建、更新、修补和删除。
  • RevokeCertificateRequests:获取、列出、观看、创建、更新、修补和删除。
  • CertificateRequests:获取、列出和观看。
  • Secret:获取和列出。
 不适用 不适用
Certificate Authority Service 管理员
  • CertificateAuthorities:获取、列出、监控、更新、修补、创建和删除。
  • CertificateRequests:获取、列出、观看、更新、修补、创建和删除。
  • RevokeCertificateRequests:获取、列出、观看、更新、修补、创建和删除。
  • Secret:获取和列出。
 不适用 不适用
Cluster Admin 不适用 所有资源:读取和写入。 不适用
集群开发者 不适用 Kubernetes 对象(Pod、Deployment、Service、ConfigMap):读取和写入。 不适用
Custom Role Project Admin
  • RoleBinding:创建、读取、更新和删除
  • 列出项目命名空间
 不适用 所有其他 AO 角色
信息中心编辑器 Dashboard 自定义资源:获取、读取、创建、更新、删除和修补 不适用 不适用
信息中心查看器 Dashboard:获取和读取 不适用 不适用
Discovery Engine Admin Discovery Engine:获取、读取、创建、更新、删除和修补 不适用 不适用
Discovery Engine Developer Discovery Engine:获取和读取 不适用 不适用
Discovery Engine Reader Discovery Engine:已读 不适用 不适用
Global Load Balancer Admin 不适用
  • HealthCheck:获取、观看、列出、创建、修补、更新和删除
  • BackendService:获取、观看、列出、创建、修补、更新和删除
  • ForwardingRuleExternal:获取、观看、列出、创建、修补、更新和删除
  • ForwardingRuleInternal:获取、观看、列出、创建、修补、更新和删除
 不适用
Harbor 实例管理员 Harbor 实例:创建、读取、更新、删除和修补 不适用 不适用
Harbor Instance Viewer Harbor 实例:读取 不适用 不适用
Harbor 项目创建者 Harbor 实例项目:创建、获取和观看 不适用 不适用
K8s NetworkPolicy Admin NetworkPolicy 资源:创建、读取、获取、更新、删除和修补 不适用 不适用
KMS 管理员
  • AEADKey:创建、读取、更新、删除、修补、加密和解密
  • SigningKey:创建、读取、更新、删除、修补和签名
  • KeyImportKeyExport:读取
 不适用 不适用
KMS 创建者 AEADKeySigningKey:创建和读取 不适用 不适用
KMS 开发者
  • 项目命名空间中的 AEADKey:读取、加密和解密
  • 项目命名空间中的 SigningKey:读取和签名
 不适用 不适用
KMS 密钥导出管理员 KeyExport 资源:创建、读取、更新、修补和删除 不适用 不适用
KMS 密钥导入管理员 KeyImport 资源:创建、读取、更新、修补和删除 不适用 不适用
KMS 查看器 AEADKeySigningKeyKeyImportKeyExport:读取 不适用 不适用
负载平衡器管理员 不适用
  • Backend:获取、观看、列出、创建、修补、更新和删除
  • HealthCheck:获取、观看、列出、创建、修补、更新和删除
  • BackendService:获取、观看、列出、创建、修补、更新和删除
  • ForwardingRuleExternal:获取、观看、列出、创建、修补、更新和删除
  • ForwardingRuleInternal:获取、观看、列出、创建、修补、更新和删除
 不适用
LoggingRule Creator LoggingRule 自定义资源:创建、读取、更新、删除和修补 不适用 不适用
LoggingRule 编辑器 LoggingRule 自定义资源:创建、读取、更新、删除和修补 不适用 不适用
LoggingRule 查看者 LoggingRule 自定义资源:读取 不适用 不适用
LoggingTarget 创建者 LoggingTarget 自定义资源:创建、读取、更新、删除和修补 不适用 不适用
LoggingTarget 编辑器 LoggingTarget 自定义资源:创建、读取、更新、删除和修补 不适用 不适用
LoggingTarget 查看器 LoggingTarget 自定义资源:读取 不适用 不适用
Marketplace 编辑器 不适用 服务实例:创建、更新和删除 不适用
MonitoringRule 编辑器 MonitoringRule 自定义资源:创建、读取、更新、删除和修补 不适用 不适用
MonitoringRule 查看器 MonitoringRule 自定义资源:读取 不适用 不适用
MonitoringTarget 编辑器 MonitoringTarget 自定义资源:创建、读取、更新、删除和修补 不适用 不适用
MonitoringTarget 查看器 MonitoringTarget 自定义资源:读取 不适用 不适用
Namespace Admin 不适用 所有资源:项目命名空间中的读写权限 不适用
NAT 查看器 不适用 部署:获取和读取 不适用
ObservabilityPipeline Editor ObservabilityPipeline 资源:获取、读取、创建、更新、删除和修补 不适用 不适用
ObservabilityPipeline Viewer ObservabilityPipeline 资源:获取并阅读 不适用 不适用
项目级存储分区管理员 存储分区:在项目命名空间中读取和写入 不适用 不适用
Project Bucket Object Admin
  • 存储分区:读取
  • 对象:读取和写入
 不适用 不适用
Project Bucket Object Viewer 存储分区和对象:读取 不适用 不适用
Project IAM Admin
  • IAMRoleBindingIAMRole:创建、读取、更新、删除和绑定
  • ProjectServiceAccount:创建、读取、更新和删除
  • 列出项目命名空间
 不适用 所有其他 AO 角色
项目 NetworkPolicy 管理员 项目网络政策:在项目命名空间中读取和写入 不适用 不适用
项目数据库管理员
  • 数据库版本、标志、维护政策、软件库和数据库项目属性:读取
  • 备份方案和数据库集群:创建、读取、更新和删除
  • 导入、导出和恢复:创建、读取和删除
  • Secret:创建、删除和更新
  • 迁移和外部服务器:创建、读取、更新、删除和修补
 不适用 不适用
项目数据库编辑器
  • 数据库版本、标志、维护政策、软件库、备份计划和恢复:读取
  • 导入:创建、读取和删除
  • 数据库集群:读取和更新
  • 密文:创建和删除
 不适用 不适用
Project DB Viewer 数据库版本、标志、维护政策、软件库、备份计划、恢复、导入、导出、数据库集群和故障转移:读取 不适用 不适用
Project Viewer 项目命名空间中的所有资源:读取 不适用 不适用
项目虚拟机管理员
  • 虚拟机、磁盘、访问请求、外部访问、备份请求、备份、恢复请求、删除备份请求、恢复和密码重置请求:读取、创建、更新和删除
  • 虚拟机重启:放置
  • 虚拟机映像、备份方案和备份方案模板:读取
 不适用 不适用
Project VirtualMachine Image Admin
  • 虚拟机映像:读取
  • 虚拟机映像导入:读取和写入
  • 存储分区:创建
  • “vm-images-bucket”存储桶:读取和写入
 不适用 不适用
Secret Admin Kubernetes Secret:读取、创建、更新、删除和修补 不适用 不适用
Secret Viewer Kubernetes Secret:读取 不适用 不适用
Service Configuration Admin ServiceConfigurations:读取和写入 不适用 不适用
Service Configuration Viewer ServiceConfigurations:已读 不适用 不适用
Standard Cluster Admin 不适用 Standard 集群生命周期资源:创建、读取、更新和删除。 不适用
子网项目管理员 子网:创建、读取、更新和删除。 不适用 不适用
子网项目运算符 子网:创建、读取、更新和删除。 不适用 不适用
Vertex AI Prediction User 在线预测:读取和写入 不适用 不适用
卷复制管理员 Volume failovers, volume relationship replicas: 创建、获取、列出、观看、删除 不适用 不适用
Workbench Notebooks Admin 不适用
  • 项目命名空间中的笔记本自定义资源 (CR):创建、读取、更新和删除
  • ClusterInfo 个对象:读取
 不适用
Workbench Notebooks 查看器 不适用
  • 项目命名空间中的笔记本自定义资源 (CR):读取
 不适用
工作负载查看器 不适用
  • 项目命名空间中的 Pod 自定义资源:读取
  • 项目命名空间中的部署自定义资源:读取
 不适用

常见的预定义身份和访问权限角色

常见角色
名称 Kubernetes 资源名称 初始管理员 级别
AI Platform Viewer ai-platform-viewer 错误 项目
DB UI 查看器 db-ui-viewer 错误 项目
数据库选项查看器 db-options-viewer 错误 项目
DNS 后缀查看器 dnssuffix-viewer 错误 组织
流日志管理员 flowlog-admin 错误 组织
流日志查看器 flowlog-viewer 错误 项目
Marketplace Viewer marketplace-viewer 错误 项目
价格计算器用户 pricingcalculator-user 错误 项目
Project Discovery Viewer projectdiscovery-viewer 错误 项目
公共图片查看器 public-image-viewer 错误 组织
虚拟机类型查看器 virtualmachinetype-viewer 正确 组织
VM Type Viewer vmtype-viewer 错误 组织

常见的预定义身份和访问权限角色

常见角色
名称 管理员集群权限 用户集群权限 升级为
AI Platform Viewer 预训练服务:读取 不适用 不适用
数据库选项查看器 DBS 配置:读取 不适用 不适用
DB UI 查看器 DBS 界面配置:读取 不适用 不适用
DNS 后缀查看器 DNS 后缀配置映射:读取 不适用 不适用
流日志管理员 流日志资源:获取和读取 流日志资源:获取和读取 不适用
流日志查看器 流日志资源:创建、获取、读取、修补、更新和删除 流日志资源:创建、获取、读取、修补、更新和删除 不适用
Marketplace Viewer 服务版本:读取 不适用 不适用
价格计算器用户 不适用 SkuDescriptions:已读 不适用
Project Discovery Viewer 项目:读取 不适用 不适用
公共图片查看器 虚拟机映像:读取 不适用 不适用
VM Type Viewer 虚拟机类型:读取 不适用 不适用