Permissões bloqueadas pelas políticas de limite de acesso principal

Quando os principais tentam acessar um recurso que não é permitido, as políticas de limite de acesso principal impedem que eles usem algumas, mas não todas, as permissões de gerenciamento de identidade e acesso (IAM) para acessar o recurso.

Se uma política de limite de acesso principal bloquear uma permissão, o IAM aplica as políticas de limite de acesso principal para essa permissão. Em outras palavras, ele impede que os principais que não estão qualificados para acessar um recurso usem essa permissão.

Se uma política de limite de acesso principal não bloquear uma permissão, ela não terá efeito sobre a possibilidade de os principais usarem a permissão.

Periodicamente, o IAM adiciona novas versões de aplicação de limite de acesso principal que podem bloquear outras permissões. Cada nova versão também pode bloquear todas as permissões da versão anterior.

Esta página lista as permissões que cada versão de aplicação pode bloquear.

Para saber mais sobre os números de versão da política de limite de acesso principal, consulte a visão geral da política de limite de acesso principal.

Versão de aplicação 1

A tabela a seguir lista as permissões que as políticas de limite de acesso principal com a versão de aplicação 1 podem bloquear.

Cada linha contém as seguintes informações:

  • O nome de um serviço com permissões que as políticas de limite de acesso principal podem bloquear.

  • As permissões para esse serviço que as políticas de limite de acesso principal podem bloquear.

    Em alguns casos, uma seção de um nome de permissão é substituída por um caractere curinga (*). Esse formato indica que as políticas de limite de acesso principal podem bloquear todas as permissões que correspondem a esse padrão.

  • As permissões do serviço que o limite de acesso principal não pode bloquear, mesmo que elas correspondam a um dos padrões de permissão aceitos.

Serviço Permissões Exceções
Aprovação de acesso
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 Nenhum
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 Nenhum
Autorização binária
  • binaryauthorization.googleapis.com/*
 Nenhum
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 Nenhum
Regras de segurança do Firebase
  • firebaserules.googleapis.com/*
 Nenhum
Hub do GKE
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • Permissões que terminam em createTagBinding
  • Permissões que terminam em deleteTagBinding
  • Permissões que terminam em listEffectiveTags
  • Permissões que terminam em listTagBindings
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 Nenhum
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • Permissões que terminam em getIamPolicy
  • Permissões que terminam em setIamPolicy
Memorystore for Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 Nenhum
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 Nenhum
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 Nenhum