Permisos que bloquean las Políticas de Límite de Acceso de las Principales

Cuando las principales intentan acceder a un recurso al que no son aptas, las políticas de límite de acceso de las principales les impiden usar algunos, pero no todos, los permisos de Identity and Access Management (IAM) para acceder al recurso.

Si una política de límite de acceso de las principales bloquea un permiso, IAM aplica las políticas de límite de acceso de las principales para ese permiso. En otras palabras, impide que los principales que no son aptos para acceder a un recurso usen ese permiso para acceder al recurso.

Si una política de límite de acceso de las principales no bloquea un permiso, las políticas de límite de acceso de las principales no tienen efecto en si las principales pueden usar el permiso.

De forma periódica, IAM agrega nuevas versiones de aplicación de límites de acceso de las principales que pueden bloquear permisos adicionales. Cada versión nueva también puede bloquear todos los permisos de la versión anterior.

En esta página, se enumeran los permisos que puede bloquear cada versión de aplicación forzosa.

Para obtener más información sobre los números de versión de las políticas de límite de acceso de las principales, consulta la descripción general de las políticas de límite de acceso de las principales.

Versión de aplicación de política 2

Las políticas con la versión de aplicación forzosa 2 pueden bloquear todos los permisos que se indican en Versión de aplicación forzosa 1. Además, las políticas con la versión de aplicación forzosa 2 también pueden bloquear todos los permisos que se indican en la siguiente tabla.

Cada fila contiene la siguiente información:

  • Es el nombre de un servicio con permisos que las políticas de límite de acceso de las principales pueden bloquear.

  • Los permisos de ese servicio que pueden bloquear las políticas de límite de acceso de las principales

    En algunos casos, una sección de un nombre de permiso se reemplaza por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de las principales pueden bloquear todos los permisos que coincidan con ese patrón.

Servicio Permisos Excepciones
Access Context Manager
  • accesscontextmanager.googleapis.com/*
 Ninguno
Artifact Analysis
  • containeranalysis.googleapis.com/*
 Ninguno
BigQuery
  • bigquery.googleapis.com/datasets.*
  • bigquery.googleapis.com/jobs.*
  • bigquery.googleapis.com/models.*
  • bigquery.googleapis.com/routines.*
  • bigquery.googleapis.com/rowAccessPolicies.*
  • bigquery.googleapis.com/tables.*
 Ninguno
Política de datos de BigQuery
  • bigquerydatapolicy.googleapis.com/*
 Ninguno
Servicio de transferencia de datos de BigQuery
  • bigquerydatatransfer.googleapis.com/transfers.*
 Ninguno
Chrome Enterprise Premium
  • beyondcorp.googleapis.com/*
 Ninguno
Cloud Asset Inventory
  • cloudasset.googleapis.com/*
 Ninguno
Facturación de Cloud
  • billing.googleapis.com/budgets.*
 Ninguno
Cloud Build
  • cloudbuild.googleapis.com/*
 Ninguno
Cloud Monitoring
  • monitoring.googleapis.com/*
  • monitoring.googleapis.com/timeSeries.list
  • monitoring.googleapis.com/metricsScopes.link
Cloud Service Mesh
  • meshconfig.googleapis.com/*
 Ninguno
Cloud Storage
  • storage.googleapis.com/bucketOperations.*
  • storage.googleapis.com/buckets.*
  • storage.googleapis.com/folders.*
  • storage.googleapis.com/hmacKeys.*
  • storage.googleapis.com/managedFolders.*
  • storage.googleapis.com/multipartUploads.*
  • storage.googleapis.com/objects.*
 Ninguno
Cloud Trace
  • cloudtrace.googleapis.com/*
 Ninguno
Compute Engine
  • compute.googleapis.com/networkAttachments.*
  • compute.googleapis.com/networkEdgeSecurityServices.*
  • compute.googleapis.com/regionSecurityPolicies.*
  • compute.googleapis.com/routers.*
  • compute.googleapis.com/serviceAttachments.*
  • compute.googleapis.com/securityPolicies.*
 Ninguno
Reglas de Firebase
  • firebaserules.googleapis.com/*
 Ninguno
GKE Multi-Cloud
  • gkemulticloud.googleapis.com/*
 Ninguno
Identity-Aware Proxy
  • iap.googleapis.com/*
 Ninguno
Memorystore for Redis
  • redis.googleapis.com/*
 Ninguno
API de administración de redes
  • networkmanagement.googleapis.com/*
 Ninguno
API de servicios de red
  • networkservices.googleapis.com/edgeCacheOrigins.*
  • networkservices.googleapis.com/edgeCacheKeysets.*
  • networkservices.googleapis.com/edgeCacheServices.*
 Ninguno
reCAPTCHA
  • recaptchaenterprise.googleapis.com/*
 Ninguno
Resource Manager
  • cloudresourcemanager.googleapis.com/*
  • cloudresourcemanager.googleapis.com/*.createPolicyBinding
  • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
  • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
  • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
API de Video Stitcher
  • videostitcher.googleapis.com/*
 Ninguno

Versión de aplicación de política 1

En la siguiente tabla, se enumeran los permisos que pueden bloquear las políticas de límite de acceso de las principales con la versión de aplicación 1.

Cada fila contiene la siguiente información:

  • Es el nombre de un servicio con permisos que las políticas de límite de acceso de las principales pueden bloquear.

  • Los permisos de ese servicio que pueden bloquear las políticas de límite de acceso de las principales

    En algunos casos, una sección de un nombre de permiso se reemplaza por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de las principales pueden bloquear todos los permisos que coincidan con ese patrón.

  • Los permisos del servicio que el límite de acceso de las principales no puede bloquear, incluso si esos permisos coinciden con uno de los patrones de permisos admitidos

Servicio Permisos Excepciones
Aprobación de acceso
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 Ninguno
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 Ninguno
Autorización binaria
  • binaryauthorization.googleapis.com/*
 Ninguno
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 Ninguno
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 Ninguno
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 Ninguno
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 Ninguno
Reglas de seguridad de Firebase
  • firebaserules.googleapis.com/*
 Ninguno
GKE Hub
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • gkehub.googleapis.com/*.createTagBinding
  • gkehub.googleapis.com/*.deleteTagBinding
  • gkehub.googleapis.com/*.listEffectiveTags
  • gkehub.googleapis.com/*.listTagBindings
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • pubsub.googleapis.com/*.getIamPolicy
  • pubsub.googleapis.com/*.setIamPolicy
Memorystore for Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 Ninguno
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*