Autorisations bloquées par les stratégies de limite d'accès des comptes principaux

Lorsque des comptes principaux tentent d'accéder à une ressource à laquelle ils ne sont pas autorisés, les stratégies de limite d'accès des comptes principaux les empêchent d'utiliser certaines autorisations IAM (Identity and Access Management), mais pas toutes, pour accéder à la ressource.

Si une stratégie de limite d'accès des comptes principaux bloque une autorisation, IAM applique les stratégies de limite d'accès des comptes principaux pour cette autorisation. En d'autres termes, il empêche les comptes principaux qui ne sont pas autorisés à accéder à une ressource d'utiliser cette autorisation pour y accéder.

Si une stratégie de limite d'accès des comptes principaux ne bloque pas une autorisation, elle n'a aucun effet sur la possibilité pour les comptes principaux d'utiliser cette autorisation.

De temps en temps, IAM ajoute de nouvelles versions d'application des limites d'accès des comptes principaux qui peuvent bloquer des autorisations supplémentaires. Chaque nouvelle version peut également bloquer toutes les autorisations de la version précédente.

Cette page répertorie les autorisations que chaque version d'application peut bloquer.

Pour en savoir plus sur les numéros de version des stratégies de limite d'accès des comptes principaux, consultez la présentation des stratégies de limite d'accès des comptes principaux.

Version d'application 2

Les règles avec la version d'application 2 peuvent bloquer toutes les autorisations listées dans la section Version d'application 1. De plus, les règles avec la version d'application 2 peuvent également bloquer toutes les autorisations listées dans le tableau suivant.

Chaque ligne contient les informations suivantes:

  • Nom d'un service avec des autorisations que les stratégies de limite d'accès des comptes principaux peuvent bloquer.

  • Autorisations de ce service que les stratégies de limite d'accès des comptes principaux peuvent bloquer.

    Dans certains cas, une section d'un nom d'autorisation est remplacée par un caractère générique (*). Ce format indique que les stratégies de limite d'accès des comptes principaux peuvent bloquer toutes les autorisations correspondant à ce modèle.

Service Autorisations Exceptions
Access Context Manager
  • accesscontextmanager.googleapis.com/*
 Aucun
Artifact Analysis
  • containeranalysis.googleapis.com/*
 Aucun
BigQuery
  • bigquery.googleapis.com/datasets.*
  • bigquery.googleapis.com/jobs.*
  • bigquery.googleapis.com/models.*
  • bigquery.googleapis.com/routines.*
  • bigquery.googleapis.com/rowAccessPolicies.*
  • bigquery.googleapis.com/tables.*
 Aucun
Règles de données BigQuery
  • bigquerydatapolicy.googleapis.com/*
 Aucun
Service de transfert de données BigQuery
  • bigquerydatatransfer.googleapis.com/transfers.*
 Aucun
Chrome Enterprise Premium
  • beyondcorp.googleapis.com/*
 Aucun
Inventaire des éléments cloud
  • cloudasset.googleapis.com/*
 Aucun
Cloud Billing
  • billing.googleapis.com/budgets.*
 Aucun
Cloud Build
  • cloudbuild.googleapis.com/*
 Aucun
Cloud Monitoring
  • monitoring.googleapis.com/*
  • monitoring.googleapis.com/timeSeries.list
  • monitoring.googleapis.com/metricsScopes.link
Cloud Service Mesh
  • meshconfig.googleapis.com/*
 Aucun
Cloud Storage
  • storage.googleapis.com/bucketOperations.*
  • storage.googleapis.com/buckets.*
  • storage.googleapis.com/folders.*
  • storage.googleapis.com/hmacKeys.*
  • storage.googleapis.com/managedFolders.*
  • storage.googleapis.com/multipartUploads.*
  • storage.googleapis.com/objects.*
 Aucun
Cloud Trace
  • cloudtrace.googleapis.com/*
 Aucun
Compute Engine
  • compute.googleapis.com/networkAttachments.*
  • compute.googleapis.com/networkEdgeSecurityServices.*
  • compute.googleapis.com/regionSecurityPolicies.*
  • compute.googleapis.com/routers.*
  • compute.googleapis.com/serviceAttachments.*
  • compute.googleapis.com/securityPolicies.*
 Aucun
Firebase Rules
  • firebaserules.googleapis.com/*
 Aucun
GKE Multi-cloud
  • gkemulticloud.googleapis.com/*
 Aucun
Identity-Aware Proxy
  • iap.googleapis.com/*
 Aucun
Memorystore pour Redis
  • redis.googleapis.com/*
 Aucun
API Network Management
  • networkmanagement.googleapis.com/*
 Aucun
API de services réseau
  • networkservices.googleapis.com/edgeCacheOrigins.*
  • networkservices.googleapis.com/edgeCacheKeysets.*
  • networkservices.googleapis.com/edgeCacheServices.*
 Aucun
reCAPTCHA
  • recaptchaenterprise.googleapis.com/*
 Aucun
Resource Manager
  • cloudresourcemanager.googleapis.com/*
  • cloudresourcemanager.googleapis.com/*.createPolicyBinding
  • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
  • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
  • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
API Video Stitcher
  • videostitcher.googleapis.com/*
 Aucun

Version d'application 1

Le tableau suivant liste les autorisations que les stratégies de limite d'accès des comptes principaux avec la version d'application 1 peuvent bloquer.

Chaque ligne contient les informations suivantes:

  • Nom d'un service avec des autorisations que les stratégies de limite d'accès des comptes principaux peuvent bloquer.

  • Autorisations de ce service que les stratégies de limite d'accès des comptes principaux peuvent bloquer.

    Dans certains cas, une section d'un nom d'autorisation est remplacée par un caractère générique (*). Ce format indique que les stratégies de limite d'accès des comptes principaux peuvent bloquer toutes les autorisations correspondant à ce modèle.

  • Autorisations du service que la limite d'accès des comptes principaux ne peut pas bloquer, même si elles correspondent à l'un des modèles d'autorisations compatibles.

Service Autorisations Exceptions
Access Approval
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 Aucun
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 Aucun
Autorisation binaire
  • binaryauthorization.googleapis.com/*
 Aucun
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 Aucun
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 Aucun
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 Aucun
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 Aucun
Règles de sécurité Firebase
  • firebaserules.googleapis.com/*
 Aucun
GKE Hub
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • gkehub.googleapis.com/*.createTagBinding
  • gkehub.googleapis.com/*.deleteTagBinding
  • gkehub.googleapis.com/*.listEffectiveTags
  • gkehub.googleapis.com/*.listTagBindings
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • pubsub.googleapis.com/*.getIamPolicy
  • pubsub.googleapis.com/*.setIamPolicy
Memorystore pour Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 Aucun
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*