Izin yang diblokir oleh kebijakan batas akses akun utama

Saat akun utama mencoba mengakses resource yang tidak memenuhi syarat untuk diakses, kebijakan batas akses akun utama akan mencegahnya menggunakan beberapa, tetapi tidak semua, izin Identity and Access Management (IAM) untuk mengakses resource.

Jika kebijakan batas akses akun utama memblokir izin, IAM akan menerapkan kebijakan batas akses akun utama untuk izin tersebut. Dengan kata lain, kebijakan ini mencegah akun utama yang tidak memenuhi syarat untuk mengakses resource agar tidak menggunakan izin tersebut untuk mengakses resource.

Jika kebijakan batas akses akun utama tidak memblokir izin, maka kebijakan batas akses akun utama tidak akan memengaruhi apakah akun utama dapat menggunakan izin tersebut.

Secara berkala, IAM menambahkan versi penegakan batas akses akun utama baru yang dapat memblokir izin tambahan. Setiap versi baru juga dapat memblokir semua izin di versi sebelumnya.

Halaman ini mencantumkan izin yang dapat diblokir oleh setiap versi penerapan.

Untuk mempelajari lebih lanjut nomor versi kebijakan batas akses akun utama, lihat ringkasan kebijakan batas akses akun utama.

Versi penegakan 2

Kebijakan dengan versi penerapan 2 dapat memblokir semua izin yang tercantum dalam Versi penerapan 1. Selain itu, kebijakan dengan versi penerapan 2 juga dapat memblokir semua izin yang tercantum dalam tabel berikut.

Setiap baris berisi informasi berikut:

  • Nama layanan dengan izin yang dapat diblokir oleh kebijakan batas akses akun utama.

  • Izin untuk layanan tersebut yang dapat diblokir oleh kebijakan batas akses akun utama.

    Dalam beberapa kasus, bagian nama izin diganti dengan karakter karakter pengganti (*). Format ini menunjukkan bahwa kebijakan batas akses akun utama dapat memblokir semua izin yang cocok dengan pola tersebut.

Layanan Izin Pengecualian
Access Context Manager
  • accesscontextmanager.googleapis.com/*
 Tidak ada
Artifact Analysis
  • containeranalysis.googleapis.com/*
 Tidak ada
BigQuery
  • bigquery.googleapis.com/datasets.*
  • bigquery.googleapis.com/jobs.*
  • bigquery.googleapis.com/models.*
  • bigquery.googleapis.com/routines.*
  • bigquery.googleapis.com/rowAccessPolicies.*
  • bigquery.googleapis.com/tables.*
 Tidak ada
Kebijakan Data BigQuery
  • bigquerydatapolicy.googleapis.com/*
 Tidak ada
BigQuery Data Transfer Service
  • bigquerydatatransfer.googleapis.com/transfers.*
 Tidak ada
Chrome Enterprise Premium
  • beyondcorp.googleapis.com/*
 Tidak ada
Inventaris Aset Cloud
  • cloudasset.googleapis.com/*
 Tidak ada
Penagihan Cloud
  • billing.googleapis.com/budgets.*
 Tidak ada
Cloud Build
  • cloudbuild.googleapis.com/*
 Tidak ada
Cloud Monitoring
  • monitoring.googleapis.com/*
  • monitoring.googleapis.com/timeSeries.list
  • monitoring.googleapis.com/metricsScopes.link
Cloud Service Mesh
  • meshconfig.googleapis.com/*
 Tidak ada
Cloud Storage
  • storage.googleapis.com/bucketOperations.*
  • storage.googleapis.com/buckets.*
  • storage.googleapis.com/folders.*
  • storage.googleapis.com/hmacKeys.*
  • storage.googleapis.com/managedFolders.*
  • storage.googleapis.com/multipartUploads.*
  • storage.googleapis.com/objects.*
 Tidak ada
Cloud Trace
  • cloudtrace.googleapis.com/*
 Tidak ada
Compute Engine
  • compute.googleapis.com/networkAttachments.*
  • compute.googleapis.com/networkEdgeSecurityServices.*
  • compute.googleapis.com/regionSecurityPolicies.*
  • compute.googleapis.com/routers.*
  • compute.googleapis.com/serviceAttachments.*
  • compute.googleapis.com/securityPolicies.*
 Tidak ada
Firebase Rules
  • firebaserules.googleapis.com/*
 Tidak ada
GKE Multi-Cloud
  • gkemulticloud.googleapis.com/*
 Tidak ada
Identity-Aware Proxy
  • iap.googleapis.com/*
 Tidak ada
Memorystore for Redis
  • redis.googleapis.com/*
 Tidak ada
Network Management API
  • networkmanagement.googleapis.com/*
 Tidak ada
Network Services API
  • networkservices.googleapis.com/edgeCacheOrigins.*
  • networkservices.googleapis.com/edgeCacheKeysets.*
  • networkservices.googleapis.com/edgeCacheServices.*
 Tidak ada
reCAPTCHA
  • recaptchaenterprise.googleapis.com/*
 Tidak ada
Resource Manager
  • cloudresourcemanager.googleapis.com/*
  • cloudresourcemanager.googleapis.com/*.createPolicyBinding
  • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
  • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
  • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
Video Stitcher API
  • videostitcher.googleapis.com/*
 Tidak ada

Versi penegakan 1

Tabel berikut mencantumkan izin yang dapat diblokir oleh kebijakan batas akses akun utama dengan versi penerapan 1.

Setiap baris berisi informasi berikut:

  • Nama layanan dengan izin yang dapat diblokir oleh kebijakan batas akses akun utama.

  • Izin untuk layanan tersebut yang dapat diblokir oleh kebijakan batas akses akun utama.

    Dalam beberapa kasus, bagian nama izin diganti dengan karakter karakter pengganti (*). Format ini menunjukkan bahwa kebijakan batas akses akun utama dapat memblokir semua izin yang cocok dengan pola tersebut.

  • Izin untuk layanan yang tidak dapat diblokir oleh batas akses akun utama, meskipun izin tersebut cocok dengan salah satu pola izin yang didukung.

Layanan Izin Pengecualian
Access Approval
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 Tidak ada
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 Tidak ada
Otorisasi Biner
  • binaryauthorization.googleapis.com/*
 Tidak ada
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 Tidak ada
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 Tidak ada
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 Tidak ada
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 Tidak ada
Aturan Keamanan Firebase
  • firebaserules.googleapis.com/*
 Tidak ada
GKE Hub
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • gkehub.googleapis.com/*.createTagBinding
  • gkehub.googleapis.com/*.deleteTagBinding
  • gkehub.googleapis.com/*.listEffectiveTags
  • gkehub.googleapis.com/*.listTagBindings
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • pubsub.googleapis.com/*.getIamPolicy
  • pubsub.googleapis.com/*.setIamPolicy
Memorystore for Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 Tidak ada
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*