Autorizzazioni bloccate dai criteri di Principal Access Boundary

Quando le entità tentano di accedere a una risorsa a cui non sono idonee, i criteri di confine di accesso delle entità impediscono loro di utilizzare alcune, ma non tutte, le autorizzazioni IAM (Identity and Access Management) per accedere alla risorsa.

Se un criterio di Principal Access Boundary blocca un'autorizzazione, IAM applica i criteri di Principal Access Boundary per quell'autorizzazione. In altre parole, impedisce a qualsiasi entità non idonea ad accedere a una risorsa di utilizzare quell'autorizzazione per accedere alla risorsa.

Se un criterio di confine di accesso delle entità non blocca un'autorizzazione, i criteri di confine di accesso delle entità non influiscono sulla possibilità per le entità di utilizzare l'autorizzazione.

Periodicamente, IAM aggiunge nuove versioni di applicazione dei limiti di accesso all'entità che possono bloccare autorizzazioni aggiuntive. Ogni nuova versione può anche bloccare tutte le autorizzazioni della versione precedente.

Questa pagina elenca le autorizzazioni che ogni versione di applicazione può bloccare.

Per scoprire di più sui numeri di versione dei criteri di Principal Access Boundary, consulta la panoramica dei criteri di Principal Access Boundary.

Versione di applicazione 2

I criteri con versione di applicazione 2 possono bloccare tutte le autorizzazioni elencate in Versione di applicazione 1. Inoltre, i criteri con la versione di applicazione 2 possono anche bloccare tutte le autorizzazioni elencate nella tabella seguente.

Ogni riga contiene le seguenti informazioni:

  • Il nome di un servizio con autorizzazioni che i criteri di Principal Access Boundary possono bloccare.
  • Le autorizzazioni per il servizio che i criteri di Principal Access Boundary possono bloccare.

    In alcuni casi, una sezione del nome di un'autorizzazione viene sostituita con un carattere jolly (*). Questo formato indica che i criteri di confine di accesso principale possono bloccare tutte le autorizzazioni corrispondenti a quel pattern.

Servizio Autorizzazioni Eccezioni
Gestore contesto accesso
  • accesscontextmanager.googleapis.com/*
Nessuno
Artifact Analysis
  • containeranalysis.googleapis.com/*
Nessuno
BigQuery
  • bigquery.googleapis.com/datasets.*
  • bigquery.googleapis.com/jobs.*
  • bigquery.googleapis.com/models.*
  • bigquery.googleapis.com/routines.*
  • bigquery.googleapis.com/rowAccessPolicies.*
  • bigquery.googleapis.com/tables.*
Nessuno
BigQuery Data Policy
  • bigquerydatapolicy.googleapis.com/*
Nessuno
BigQuery Data Transfer Service
  • bigquerydatatransfer.googleapis.com/transfers.*
Nessuno
Chrome Enterprise Premium
  • beyondcorp.googleapis.com/*
Nessuno
Cloud Asset Inventory
  • cloudasset.googleapis.com/*
Nessuno
Cloud Billing
  • billing.googleapis.com/budgets.*
Nessuno
Cloud Build
  • cloudbuild.googleapis.com/*
Nessuno
Cloud Monitoring
  • monitoring.googleapis.com/*
  • monitoring.googleapis.com/timeSeries.list
  • monitoring.googleapis.com/metricsScopes.link
Cloud Service Mesh
  • meshconfig.googleapis.com/*
Nessuno
Cloud Storage
  • storage.googleapis.com/bucketOperations.*
  • storage.googleapis.com/buckets.*
  • storage.googleapis.com/folders.*
  • storage.googleapis.com/hmacKeys.*
  • storage.googleapis.com/managedFolders.*
  • storage.googleapis.com/multipartUploads.*
  • storage.googleapis.com/objects.*
Nessuno
Cloud Trace
  • cloudtrace.googleapis.com/*
Nessuno
Compute Engine
  • compute.googleapis.com/networkAttachments.*
  • compute.googleapis.com/networkEdgeSecurityServices.*
  • compute.googleapis.com/regionSecurityPolicies.*
  • compute.googleapis.com/routers.*
  • compute.googleapis.com/serviceAttachments.*
  • compute.googleapis.com/securityPolicies.*
Nessuno
Firebase Rules
  • firebaserules.googleapis.com/*
Nessuno
GKE Multi-cloud
  • gkemulticloud.googleapis.com/*
Nessuno
Identity-Aware Proxy
  • iap.googleapis.com/*
Nessuno
Memorystore for Redis
  • redis.googleapis.com/*
Nessuno
API Network Management
  • networkmanagement.googleapis.com/*
Nessuno
API Network Services
  • networkservices.googleapis.com/edgeCacheOrigins.*
  • networkservices.googleapis.com/edgeCacheKeysets.*
  • networkservices.googleapis.com/edgeCacheServices.*
Nessuno
reCAPTCHA
  • recaptchaenterprise.googleapis.com/*
Nessuno
Resource Manager
  • cloudresourcemanager.googleapis.com/*
  • cloudresourcemanager.googleapis.com/*.createPolicyBinding
  • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
  • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
  • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
API Video Stitcher
  • videostitcher.googleapis.com/*
Nessuno

Versione di applicazione 1

La tabella seguente elenca le autorizzazioni che i criteri di limiti di accesso all'entità con la versione di applicazione 1 possono bloccare.

Ogni riga contiene le seguenti informazioni:

  • Il nome di un servizio con autorizzazioni che i criteri di Principal Access Boundary possono bloccare.
  • Le autorizzazioni per il servizio che i criteri di Principal Access Boundary possono bloccare.

    In alcuni casi, una sezione del nome di un'autorizzazione viene sostituita con un carattere jolly (*). Questo formato indica che i criteri di confine di accesso principale possono bloccare tutte le autorizzazioni corrispondenti a quel pattern.

  • Le autorizzazioni per il servizio che il confine di accesso principale non può bloccare, anche se queste autorizzazioni corrispondono a uno dei pattern di autorizzazione supportati.

Servizio Autorizzazioni Eccezioni
Approvazione accesso
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
Nessuno
Gestore contesto accesso
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
Nessuno
Autorizzazione binaria
  • binaryauthorization.googleapis.com/*
Nessuno
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
Nessuno
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
Nessuno
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
Nessuno
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
Nessuno
Regole di sicurezza Firebase
  • firebaserules.googleapis.com/*
Nessuno
GKE Hub
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • gkehub.googleapis.com/*.createTagBinding
  • gkehub.googleapis.com/*.deleteTagBinding
  • gkehub.googleapis.com/*.listEffectiveTags
  • gkehub.googleapis.com/*.listTagBindings
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • pubsub.googleapis.com/*.getIamPolicy
  • pubsub.googleapis.com/*.setIamPolicy
Memorystore for Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
Nessuno
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*