Saat akun utama mencoba mengakses resource yang tidak memenuhi syarat untuk diakses,
kebijakan batas akses akun utama akan mencegahnya menggunakan beberapa, tetapi tidak semua,
izin Identity and Access Management (IAM) untuk mengakses resource.
Jika kebijakan batas akses akun utama memblokir izin, IAM
akan menerapkan kebijakan batas akses akun utama untuk izin tersebut. Dengan kata lain, kebijakan ini
mencegah akun utama yang tidak memenuhi syarat untuk mengakses resource agar tidak menggunakan
izin tersebut untuk mengakses resource.
Jika kebijakan batas akses akun utama tidak memblokir izin, maka
kebijakan batas akses akun utama tidak akan memengaruhi apakah akun utama dapat menggunakan
izin tersebut.
Secara berkala, IAM menambahkan versi penegakan batas akses akun utama
baru yang dapat memblokir izin tambahan. Setiap versi baru juga dapat memblokir
semua izin di versi sebelumnya.
Halaman ini mencantumkan izin yang dapat diblokir oleh setiap versi penerapan.
Untuk mempelajari lebih lanjut nomor versi kebijakan batas akses akun utama, lihat
ringkasan kebijakan batas akses akun utama.
Versi penegakan 2
Kebijakan dengan versi penerapan 2 dapat memblokir semua izin yang tercantum dalam
Versi penerapan 1. Selain itu, kebijakan dengan versi penerapan
2 juga dapat memblokir semua izin yang tercantum dalam tabel berikut.
Setiap baris berisi informasi berikut:
- Nama layanan dengan izin yang dapat diblokir oleh kebijakan batas akses akun utama.
Izin untuk layanan tersebut yang dapat diblokir oleh kebijakan batas akses akun utama.
Dalam beberapa kasus, bagian nama izin diganti dengan karakter
karakter pengganti (*). Format ini menunjukkan bahwa kebijakan batas akses akun utama dapat
memblokir semua izin yang cocok dengan pola tersebut.
| Layanan |
Izin |
Pengecualian |
| Access Context Manager |
accesscontextmanager.googleapis.com/*
|
Tidak ada |
| Artifact Analysis |
containeranalysis.googleapis.com/*
|
Tidak ada |
| BigQuery |
bigquery.googleapis.com/datasets.*bigquery.googleapis.com/jobs.*bigquery.googleapis.com/models.*bigquery.googleapis.com/routines.*bigquery.googleapis.com/rowAccessPolicies.*bigquery.googleapis.com/tables.*
|
Tidak ada |
| Kebijakan Data BigQuery |
bigquerydatapolicy.googleapis.com/*
|
Tidak ada |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com/transfers.*
|
Tidak ada |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com/*
|
Tidak ada |
| Inventaris Aset Cloud |
cloudasset.googleapis.com/*
|
Tidak ada |
| Penagihan Cloud |
billing.googleapis.com/budgets.*
|
Tidak ada |
| Cloud Build |
cloudbuild.googleapis.com/*
|
Tidak ada |
| Cloud Monitoring |
monitoring.googleapis.com/*
|
monitoring.googleapis.com/timeSeries.listmonitoring.googleapis.com/metricsScopes.link
|
| Mesh Layanan Cloud |
meshconfig.googleapis.com/*
|
Tidak ada |
| Cloud Storage |
storage.googleapis.com/bucketOperations.*storage.googleapis.com/buckets.*storage.googleapis.com/folders.*storage.googleapis.com/hmacKeys.*storage.googleapis.com/managedFolders.*storage.googleapis.com/multipartUploads.*storage.googleapis.com/objects.*
|
Tidak ada |
| Cloud Trace |
cloudtrace.googleapis.com/*
|
Tidak ada |
| Compute Engine |
compute.googleapis.com/networkAttachments.*compute.googleapis.com/networkEdgeSecurityServices.*compute.googleapis.com/regionSecurityPolicies.*compute.googleapis.com/routers.*compute.googleapis.com/serviceAttachments.*compute.googleapis.com/securityPolicies.*
|
Tidak ada |
| Firebase Rules |
firebaserules.googleapis.com/*
|
Tidak ada |
| GKE Multi-Cloud |
gkemulticloud.googleapis.com/*
|
Tidak ada |
| Identity-Aware Proxy |
|
Tidak ada |
| Memorystore for Redis |
|
Tidak ada |
| Network Management API |
networkmanagement.googleapis.com/*
|
Tidak ada |
| Network Services API |
networkservices.googleapis.com/edgeCacheOrigins.*networkservices.googleapis.com/edgeCacheKeysets.*networkservices.googleapis.com/edgeCacheServices.*
|
Tidak ada |
| reCAPTCHA |
recaptchaenterprise.googleapis.com/*
|
Tidak ada |
| Resource Manager |
cloudresourcemanager.googleapis.com/*
|
cloudresourcemanager.googleapis.com/*.createPolicyBindingcloudresourcemanager.googleapis.com/*.updatePolicyBindingcloudresourcemanager.googleapis.com/*.deletePolicyBindingcloudresourcemanager.googleapis.com/*.searchPolicyBindings
|
| Video Stitcher API |
videostitcher.googleapis.com/*
|
Tidak ada |
Versi penegakan 1
Tabel berikut mencantumkan izin yang dapat diblokir oleh kebijakan batas akses akun utama
dengan versi penerapan 1.
Setiap baris berisi informasi berikut:
- Nama layanan dengan izin yang dapat diblokir oleh kebijakan batas akses akun utama.
Izin untuk layanan tersebut yang dapat diblokir oleh kebijakan batas akses akun utama.
Dalam beberapa kasus, bagian nama izin diganti dengan karakter
karakter pengganti (*). Format ini menunjukkan bahwa kebijakan batas akses akun utama dapat
memblokir semua izin yang cocok dengan pola tersebut.
Izin untuk layanan yang tidak dapat diblokir oleh batas akses akun utama, meskipun
izin tersebut cocok dengan salah satu pola izin yang didukung.
| Layanan |
Izin |
Pengecualian |
| Access Approval |
accessapproval.googleapis.com/serviceaccounts.getaccessapproval.googleapis.com/settings.*accessapproval.googleapis.com/requests.list
|
Tidak ada
|
| Access Context Manager |
accesscontextmanager.googleapis.com/*
|
accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
|
| BigQuery |
bigquery.googleapis.com/datasets.createbigquery.googleapis.com/datasets.deletebigquery.googleapis.com/datasets.getbigquery.googleapis.com/datasets.updatebigquery.googleapis.com/datasets.setIamPolicybigquery.googleapis.com/jobs.getbigquery.googleapis.com/jobs.createbigquery.googleapis.com/jobs.deletebigquery.googleapis.com/jobs.listbigquery.googleapis.com/models.createbigquery.googleapis.com/models.deletebigquery.googleapis.com/models.listbigquery.googleapis.com/models.updateMetadatabigquery.googleapis.com/routines.createbigquery.googleapis.com/routines.deletebigquery.googleapis.com/routines.listbigquery.googleapis.com/routines.update
|
Tidak ada |
| Otorisasi Biner |
binaryauthorization.googleapis.com/*
|
Tidak ada |
| Cloud Logging |
logging.googleapis.com/logEntries.createlogging.googleapis.com/logMetrics.*
|
Tidak ada |
| Cloud Run |
run.googleapis.com/authorizeddomains.*run.googleapis.com/configurations.getrun.googleapis.com/configurations.listrun.googleapis.com/domainmappings.*run.googleapis.com/executions.*run.googleapis.com/jobs.createrun.googleapis.com/jobs.deleterun.googleapis.com/jobs.getrun.googleapis.com/jobs.listrun.googleapis.com/jobs.runrun.googleapis.com/revisions.*run.googleapis.com/routes.getrun.googleapis.com/routes.listrun.googleapis.com/services.createrun.googleapis.com/services.deleterun.googleapis.com/services.getrun.googleapis.com/services.listrun.googleapis.com/services.updaterun.googleapis.com/tasks.*
|
Tidak ada |
| Cloud Storage |
storage.googleapis.com/buckets.getstorage.googleapis.com/buckets.updatestorage.googleapis.com/buckets.liststorage.googleapis.com/buckets.getIamPolicystorage.googleapis.com/buckets.setIamPolicystorage.googleapis.com/hmacKeys.updatestorage.googleapis.com/objects.getstorage.googleapis.com/objects.setRetentionstorage.googleapis.com/objects.delete
|
Tidak ada |
| Dataflow |
dataflow.googleapis.com/jobs.*dataflow.googleapis.com/metrics.getdataflow.googleapis.com/workItems.*dataflow.googleapis.com/messages.listdataflow.googleapis.com/snapshots.list
|
dataflow.googleapis.com/jobs.snapshot
|
| Datastore |
datastore.googleapis.com/databases.getdatastore.googleapis.com/databases.getMetadatadatastore.googleapis.com/databases.createdatastore.googleapis.com/databases.deletedatastore.googleapis.com/databases.list
|
Tidak ada |
| Aturan Keamanan Firebase |
firebaserules.googleapis.com/*
|
Tidak ada |
| GKE Hub |
gkehub.googleapis.com/features.*gkehub.googleapis.com/fleet.creategkehub.googleapis.com/fleet.getgkehub.googleapis.com/fleet.patchgkehub.googleapis.com/locations.*gkehub.googleapis.com/membershipbindings.*gkehub.googleapis.com/memberships.*gkehub.googleapis.com/rbacrolebindings.*gkehub.googleapis.com/scopes.*
|
gkehub.googleapis.com/*.createTagBindinggkehub.googleapis.com/*.deleteTagBindinggkehub.googleapis.com/*.listEffectiveTagsgkehub.googleapis.com/*.listTagBindings
|
| Pub/Sub |
|
pubsub.googleapis.com/schemas.deletepubsub.googleapis.com/schemas.validatepubsub.googleapis.com/subscriptions.consumepubsub.googleapis.com/*.getIamPolicypubsub.googleapis.com/*.setIamPolicy
|
| Memorystore for Redis |
redis.googleapis.com/instances.createredis.googleapis.com/instances.deleteredis.googleapis.com/instances.getredis.googleapis.com/instances.failoverredis.googleapis.com/instances.getAuthStringredis.googleapis.com/instances.listredis.googleapis.com/instances.upgraderedis.googleapis.com/instances.update
|
Tidak ada |
| Vertex AI |
aiplatform.googleapis.com/*
|
aiplatform.googleapis.com/operations.*
|
