プリンシパル アクセス境界ポリシーによってブロックされる権限
コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
プリンシパルがアクセス権のないリソースにアクセスしようとすると、プリンシパル アクセス境界ポリシーにより、プリンシパルは、リソースにアクセスするための Identity and Access Management(IAM)権限の一部(すべてではありません)を使用できなくなります。
プリンシパル アクセス境界ポリシーが権限をブロックすると、IAM はその権限に対してプリンシパル アクセス境界ポリシーを適用します。つまり、リソースにアクセスする資格のないプリンシパルが、その権限を使用してリソースにアクセスできないようにします。
プリンシパル アクセス境界ポリシーが権限をブロックしない場合、プリンシパル アクセス境界ポリシーは、プリンシパルが権限を使用できるかどうかに影響しません。
IAM では、追加の権限をブロックできる新しいプリンシパル アクセス境界適用バージョンが定期的に追加されています。新しいバージョンでは、以前のバージョンの権限をすべてブロックすることもできます。
このページでは、各適用バージョンでブロックできる権限の一覧を示します。
プリンシパル アクセス境界ポリシーのバージョン番号の詳細については、プリンシパル アクセス境界ポリシーの概要をご覧ください。
適用バージョン 1
次の表に、適用バージョン 1 のプリンシパル アクセス境界ポリシーでブロックできる権限を示します。
各行には次の情報が含まれています。
- プリンシパル アクセス境界ポリシーでブロックできる権限を持つサービスの名前。
プリンシパル アクセス境界ポリシーでブロックできるサービスの権限。
権限名のセクションがワイルドカード文字(*)に置き換えられている場合があります。この形式は、プリンシパル アクセス境界ポリシーで、そのパターンに一致するすべての権限をブロックできることを示します。
プリンシパル アクセス境界でブロックできないサービスの権限。サポートされている権限パターンのいずれかに一致する場合でも、これらの権限はブロックできません。
| サービス |
権限 |
例外 |
| アクセス承認 |
- accessapproval.googleapis.com/serviceaccounts.get
- accessapproval.googleapis.com/settings.*
- accessapproval.googleapis.com/requests.list
|
なし |
| Access Context Manager |
- accesscontextmanager.googleapis.com/*
|
- accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
|
| Vertex AI |
- aiplatform.googleapis.com/*
|
- aiplatform.googleapis.com/operations.*
|
| BigQuery |
- bigquery.googleapis.com/datasets.create
- bigquery.googleapis.com/datasets.delete
- bigquery.googleapis.com/datasets.get
- bigquery.googleapis.com/datasets.update
- bigquery.googleapis.com/datasets.setIamPolicy
- bigquery.googleapis.com/jobs.get
- bigquery.googleapis.com/jobs.create
- bigquery.googleapis.com/jobs.delete
- bigquery.googleapis.com/jobs.list
- bigquery.googleapis.com/models.create
- bigquery.googleapis.com/models.delete
- bigquery.googleapis.com/models.list
- bigquery.googleapis.com/models.updateMetadata
- bigquery.googleapis.com/routines.create
- bigquery.googleapis.com/routines.delete
- bigquery.googleapis.com/routines.list
- bigquery.googleapis.com/routines.update
|
なし |
| Binary Authorization |
- binaryauthorization.googleapis.com/*
|
なし |
| Dataflow |
- dataflow.googleapis.com/jobs.*
- dataflow.googleapis.com/metrics.get
- dataflow.googleapis.com/workItems.*
- dataflow.googleapis.com/messages.list
- dataflow.googleapis.com/snapshots.list
|
- dataflow.googleapis.com/jobs.snapshot
|
| Datastore |
- datastore.googleapis.com/databases.get
- datastore.googleapis.com/databases.getMetadata
- datastore.googleapis.com/databases.create
- datastore.googleapis.com/databases.delete
- datastore.googleapis.com/databases.list
|
なし |
| Firebase セキュリティ ルール |
- firebaserules.googleapis.com/*
|
なし |
| GKE Hub |
- gkehub.googleapis.com/features.*
- gkehub.googleapis.com/fleet.create
- gkehub.googleapis.com/fleet.get
- gkehub.googleapis.com/fleet.patch
- gkehub.googleapis.com/locations.*
- gkehub.googleapis.com/membershipbindings.*
- gkehub.googleapis.com/memberships.*
- gkehub.googleapis.com/rbacrolebindings.*
- gkehub.googleapis.com/scopes.*
|
createTagBinding で終わる権限deleteTagBinding で終わる権限listEffectiveTags で終わる権限listTagBindings で終わる権限
|
| Cloud Logging |
- logging.googleapis.com/logEntries.create
- logging.googleapis.com/logMetrics.*
|
なし |
| Pub/Sub |
|
- pubsub.googleapis.com/schemas.delete
- pubsub.googleapis.com/schemas.validate
- pubsub.googleapis.com/subscriptions.consume
getIamPolicy で終わる権限setIamPolicy で終わる権限
|
| Memorystore for Redis |
- redis.googleapis.com/instances.create
- redis.googleapis.com/instances.delete
- redis.googleapis.com/instances.get
- redis.googleapis.com/instances.failover
- redis.googleapis.com/instances.getAuthString
- redis.googleapis.com/instances.list
- redis.googleapis.com/instances.upgrade
- redis.googleapis.com/instances.update
|
なし |
| Cloud Run |
- run.googleapis.com/authorizeddomains.*
- run.googleapis.com/configurations.get
- run.googleapis.com/configurations.list
- run.googleapis.com/domainmappings.*
- run.googleapis.com/executions.*
- run.googleapis.com/jobs.create
- run.googleapis.com/jobs.delete
- run.googleapis.com/jobs.get
- run.googleapis.com/jobs.list
- run.googleapis.com/jobs.run
- run.googleapis.com/revisions.*
- run.googleapis.com/routes.get
- run.googleapis.com/routes.list
- run.googleapis.com/services.create
- run.googleapis.com/services.delete
- run.googleapis.com/services.get
- run.googleapis.com/services.list
- run.googleapis.com/services.update
- run.googleapis.com/tasks.*
|
なし |
| Cloud Storage |
- storage.googleapis.com/buckets.get
- storage.googleapis.com/buckets.update
- storage.googleapis.com/buckets.list
- storage.googleapis.com/buckets.getIamPolicy
- storage.googleapis.com/buckets.setIamPolicy
- storage.googleapis.com/hmacKeys.update
- storage.googleapis.com/objects.get
- storage.googleapis.com/objects.setRetention
- storage.googleapis.com/objects.delete
|
なし |
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-02-14 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["わかりにくい","hardToUnderstand","thumb-down"],["情報またはサンプルコードが不正確","incorrectInformationOrSampleCode","thumb-down"],["必要な情報 / サンプルがない","missingTheInformationSamplesINeed","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-02-14 UTC。"],[],[]]
