Permissões bloqueadas pelas políticas de limite de acesso principal

Quando os principais tentam acessar um recurso que não estão qualificados para acessar, as políticas de limite de acesso de principal impedem que eles usem algumas, mas não todas, as permissões do Identity and Access Management (IAM) para acessar o recurso.

Se uma política de limite de acesso de principal bloquear uma permissão, o IAM aplica políticas de limite de acesso de principal para essa permissão. Em outras palavras, ela impede que os principais que não estão qualificados para acessar um recurso usem essa permissão.

Se uma política de limite de acesso principal não bloquear uma permissão, ela não terá efeito sobre a possibilidade de os principais usarem a permissão.

Periodicamente, o IAM adiciona novas versões de aplicação de limite de acesso de principal que podem bloquear outras permissões. Cada nova versão também pode bloquear todas as permissões da versão anterior.

Esta página lista as permissões que cada versão de aplicação pode bloquear.

Para saber mais sobre os números de versão da política de limite de acesso principal, consulte a visão geral da política de limite de acesso principal.

Versão de aplicação 2

Políticas com a versão de aplicação 2 podem bloquear todas as permissões listadas na versão de aplicação 1. Além disso, as políticas com a versão de aplicação 2 também podem bloquear todas as permissões listadas na tabela a seguir.

Cada linha contém as seguintes informações:

  • O nome de um serviço com permissões que as políticas de limite de acesso principal podem bloquear.

  • As permissões para esse serviço que as políticas de limite de acesso principal podem bloquear.

    Em alguns casos, uma seção de um nome de permissão é substituída por um caractere curinga (*). Esse formato indica que as políticas de limite de acesso de principal podem bloquear todas as permissões que correspondem a esse padrão.

Serviço Permissões Exceções
Access Context Manager
  • accesscontextmanager.googleapis.com/*
 Nenhum
Artifact Analysis
  • containeranalysis.googleapis.com/*
 Nenhum
BigQuery
  • bigquery.googleapis.com/datasets.*
  • bigquery.googleapis.com/jobs.*
  • bigquery.googleapis.com/models.*
  • bigquery.googleapis.com/routines.*
  • bigquery.googleapis.com/rowAccessPolicies.*
  • bigquery.googleapis.com/tables.*
 Nenhum
Política de dados do BigQuery
  • bigquerydatapolicy.googleapis.com/*
 Nenhum
Serviço de transferência de dados do BigQuery
  • bigquerydatatransfer.googleapis.com/transfers.*
 Nenhum
Chrome Enterprise Premium
  • beyondcorp.googleapis.com/*
 Nenhum
Inventário de recursos do Cloud
  • cloudasset.googleapis.com/*
 Nenhum
Cloud Billing
  • billing.googleapis.com/budgets.*
 Nenhum
Cloud Build
  • cloudbuild.googleapis.com/*
 Nenhum
Cloud Monitoring
  • monitoring.googleapis.com/*
  • monitoring.googleapis.com/timeSeries.list
  • monitoring.googleapis.com/metricsScopes.link
Cloud Service Mesh
  • meshconfig.googleapis.com/*
 Nenhum
Cloud Storage
  • storage.googleapis.com/bucketOperations.*
  • storage.googleapis.com/buckets.*
  • storage.googleapis.com/folders.*
  • storage.googleapis.com/hmacKeys.*
  • storage.googleapis.com/managedFolders.*
  • storage.googleapis.com/multipartUploads.*
  • storage.googleapis.com/objects.*
 Nenhum
Cloud Trace
  • cloudtrace.googleapis.com/*
 Nenhum
Compute Engine
  • compute.googleapis.com/networkAttachments.*
  • compute.googleapis.com/networkEdgeSecurityServices.*
  • compute.googleapis.com/regionSecurityPolicies.*
  • compute.googleapis.com/routers.*
  • compute.googleapis.com/serviceAttachments.*
  • compute.googleapis.com/securityPolicies.*
 Nenhum
Regras do Firebase
  • firebaserules.googleapis.com/*
 Nenhum
GKE Multi-cloud
  • gkemulticloud.googleapis.com/*
 Nenhum
Identity-Aware Proxy
  • iap.googleapis.com/*
 Nenhum
Memorystore for Redis
  • redis.googleapis.com/*
 Nenhum
API Network Management
  • networkmanagement.googleapis.com/*
 Nenhum
API Network Services
  • networkservices.googleapis.com/edgeCacheOrigins.*
  • networkservices.googleapis.com/edgeCacheKeysets.*
  • networkservices.googleapis.com/edgeCacheServices.*
 Nenhum
reCAPTCHA
  • recaptchaenterprise.googleapis.com/*
 Nenhum
Resource Manager
  • cloudresourcemanager.googleapis.com/*
  • cloudresourcemanager.googleapis.com/*.createPolicyBinding
  • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
  • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
  • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
API Video Stitcher
  • videostitcher.googleapis.com/*
 Nenhum

Versão de aplicação 1

A tabela a seguir lista as permissões que as políticas de limite de acesso de principal com a versão de aplicação 1 podem bloquear.

Cada linha contém as seguintes informações:

  • O nome de um serviço com permissões que as políticas de limite de acesso principal podem bloquear.

  • As permissões para esse serviço que as políticas de limite de acesso principal podem bloquear.

    Em alguns casos, uma seção de um nome de permissão é substituída por um caractere curinga (*). Esse formato indica que as políticas de limite de acesso de principal podem bloquear todas as permissões que correspondem a esse padrão.

  • As permissões do serviço que o limite de acesso principal não pode bloquear, mesmo que elas correspondam a um dos padrões de permissão aceitos.

Serviço Permissões Exceções
Aprovação de acesso
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 Nenhum
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 Nenhum
Autorização binária
  • binaryauthorization.googleapis.com/*
 Nenhum
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 Nenhum
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 Nenhum
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 Nenhum
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 Nenhum
Regras de segurança do Firebase
  • firebaserules.googleapis.com/*
 Nenhum
Hub do GKE
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • gkehub.googleapis.com/*.createTagBinding
  • gkehub.googleapis.com/*.deleteTagBinding
  • gkehub.googleapis.com/*.listEffectiveTags
  • gkehub.googleapis.com/*.listTagBindings
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • pubsub.googleapis.com/*.getIamPolicy
  • pubsub.googleapis.com/*.setIamPolicy
Memorystore for Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 Nenhum
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*