주 구성원 액세스 경계 정책으로 차단되는 권한

주 구성원이 액세스 자격이 없는 리소스에 액세스하려고 시도할 때 주 구성원 액세스 경계 정책은 전체는 아니지만 일부 Identity and Access Management(IAM) 권한을 사용해서 리소스에 액세스하지 못하도록 방지합니다.

주 구성원 액세스 경계 정책으로 권한이 차단될 때 IAM은 해당 권한에 대해 주 구성원 액세스 경계 정책을 적용합니다. 즉, 리소스에 액세스 자격이 없는 주 구성원이 권한을 이용해서 리소스에 액세스하지 못하도록 방지합니다.

주 구성원 액세스 경계 정책이 권한을 차단하지 않을 경우 주 구성원 액세스 경계 정책은 주 구성원이 그러한 권한을 사용할 수 있는지 여부에 영향을 미치지 않습니다.

IAM은 추가 권한을 차단할 수 있는 새로운 주 구성원 액세스 경계 시행 버전을 주기적으로 추가합니다. 또한 각 새 버전은 이전 버전의 모든 권한을 차단할 수 있습니다.

이 페이지에서는 각 시행 버전이 차단할 수 있는 권한을 보여줍니다.

주 구성원 액세스 경계 정책 버전 번호에 대한 자세한 내용은 주 구성원 액세스 경계 정책 개요를 참조하세요.

시행 버전 2

시행 버전이 2인 정책은 시행 버전 1에 나열된 모든 권한을 차단할 수 있습니다. 또한 시행 버전이 2인 정책은 다음 표에 나열된 모든 권한을 차단할 수도 있습니다.

각 행에는 다음 정보가 포함되어 있습니다.

  • 주 구성원 액세스 경계 정책으로 차단할 수 있는 권한이 있는 서비스의 이름입니다.
  • 주 구성원 액세스 경계 정책이 차단할 수 있는 서비스의 권한입니다.

    일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책이 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 의미합니다.

서비스 권한 예외
Access Context Manager
  • accesscontextmanager.googleapis.com/*
없음
Artifact Analysis
  • containeranalysis.googleapis.com/*
없음
BigQuery
  • bigquery.googleapis.com/datasets.*
  • bigquery.googleapis.com/jobs.*
  • bigquery.googleapis.com/models.*
  • bigquery.googleapis.com/routines.*
  • bigquery.googleapis.com/rowAccessPolicies.*
  • bigquery.googleapis.com/tables.*
없음
BigQuery 데이터 정책
  • bigquerydatapolicy.googleapis.com/*
없음
BigQuery Data Transfer Service
  • bigquerydatatransfer.googleapis.com/transfers.*
없음
Chrome Enterprise Premium
  • beyondcorp.googleapis.com/*
없음
Cloud 애셋 인벤토리
  • cloudasset.googleapis.com/*
없음
Cloud Billing
  • billing.googleapis.com/budgets.*
없음
Cloud Build
  • cloudbuild.googleapis.com/*
없음
Cloud Monitoring
  • monitoring.googleapis.com/*
  • monitoring.googleapis.com/timeSeries.list
  • monitoring.googleapis.com/metricsScopes.link
Cloud Service Mesh
  • meshconfig.googleapis.com/*
없음
Cloud Storage
  • storage.googleapis.com/bucketOperations.*
  • storage.googleapis.com/buckets.*
  • storage.googleapis.com/folders.*
  • storage.googleapis.com/hmacKeys.*
  • storage.googleapis.com/managedFolders.*
  • storage.googleapis.com/multipartUploads.*
  • storage.googleapis.com/objects.*
없음
Cloud Trace
  • cloudtrace.googleapis.com/*
없음
Compute Engine
  • compute.googleapis.com/networkAttachments.*
  • compute.googleapis.com/networkEdgeSecurityServices.*
  • compute.googleapis.com/regionSecurityPolicies.*
  • compute.googleapis.com/routers.*
  • compute.googleapis.com/serviceAttachments.*
  • compute.googleapis.com/securityPolicies.*
없음
Firebase 규칙
  • firebaserules.googleapis.com/*
없음
GKE Multi-Cloud
  • gkemulticloud.googleapis.com/*
없음
IAP(Identity-Aware Proxy)
  • iap.googleapis.com/*
없음
Redis용 Memorystore
  • redis.googleapis.com/*
없음
Network Management API
  • networkmanagement.googleapis.com/*
없음
Network Services API
  • networkservices.googleapis.com/edgeCacheOrigins.*
  • networkservices.googleapis.com/edgeCacheKeysets.*
  • networkservices.googleapis.com/edgeCacheServices.*
없음
reCAPTCHA
  • recaptchaenterprise.googleapis.com/*
없음
Resource Manager
  • cloudresourcemanager.googleapis.com/*
  • cloudresourcemanager.googleapis.com/*.createPolicyBinding
  • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
  • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
  • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
Video Stitcher API
  • videostitcher.googleapis.com/*
없음

시행 버전 1

다음 표에서는 시행 버전이 1인 주 구성원 액세스 경계 정책이 차단할 수 있는 권한을 보여줍니다.

각 행에는 다음 정보가 포함되어 있습니다.

  • 주 구성원 액세스 경계 정책으로 차단할 수 있는 권한이 있는 서비스의 이름입니다.
  • 주 구성원 액세스 경계 정책이 차단할 수 있는 서비스의 권한입니다.

    일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책이 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 의미합니다.

  • 해당 권한이 지원되는 권한 패턴 중 하나와 일치하더라도 주 구성원 액세스 경계로 차단할 수 없는 서비스의 권한입니다.

서비스 권한 예외
액세스 승인
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
없음
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
없음
Binary Authorization
  • binaryauthorization.googleapis.com/*
없음
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
없음
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
없음
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
없음
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
없음
Firebase 보안 규칙
  • firebaserules.googleapis.com/*
없음
GKE 허브
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • gkehub.googleapis.com/*.createTagBinding
  • gkehub.googleapis.com/*.deleteTagBinding
  • gkehub.googleapis.com/*.listEffectiveTags
  • gkehub.googleapis.com/*.listTagBindings
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • pubsub.googleapis.com/*.getIamPolicy
  • pubsub.googleapis.com/*.setIamPolicy
Redis용 Memorystore
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
없음
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*