当主账号尝试访问它们没有资格访问的资源时,主账号访问边界政策会阻止其使用某些(但不是所有)Identity and Access Management (IAM) 权限来访问该资源。
如果主账号访问边界政策阻止某项权限,IAM 会针对该权限强制执行主账号访问边界政策。换言之,它会阻止任何没有资格访问资源的主账号使用该权限访问资源。
如果主账号访问边界政策不阻止某项权限,则主账号访问边界政策对主账号能否使用该权限没有任何影响。
IAM 会定期添加新的主账号访问边界强制执行版本,以阻止其他权限。每个新版本还可以阻止上一个版本中的所有权限。
本页面列出了每个强制执行版本可以阻止的权限。
如需详细了解主账号访问边界政策版本号,请参阅主账号访问权限边界政策概览。
强制执行版本 2
强制执行版本为 2
的政策可以屏蔽强制执行版本 1
中列出的所有权限。此外,强制执行版本为 2
的政策还可以阻止下表中列出的所有权限。
每行都包含以下信息:
- 具有主账号访问边界政策可以阻止的权限的服务名称。
主账号访问边界政策可以阻止的该服务的权限。
在某些情况下,权限名称的一部分会替换为通配符字符 (
*
)。此格式表示主账号访问边界政策可以阻止与该模式匹配的所有权限。
服务 | 权限 | 例外情况 |
---|---|---|
Access Context Manager |
|
无 |
Artifact Analysis |
|
无 |
BigQuery |
|
无 |
BigQuery 数据政策 |
|
无 |
BigQuery Data Transfer Service |
|
无 |
Chrome Enterprise Premium |
|
无 |
Cloud Asset Inventory |
|
无 |
Cloud Billing |
|
无 |
Cloud Build |
|
无 |
Cloud Monitoring |
|
|
Cloud Service Mesh |
|
无 |
Cloud Storage |
|
无 |
Cloud Trace |
|
无 |
Compute Engine |
|
无 |
Firebase Rules |
|
无 |
GKE Multi-cloud |
|
无 |
Identity-Aware Proxy |
|
无 |
Memorystore for Redis |
|
无 |
Network Management API |
|
无 |
Network Services API |
|
无 |
reCAPTCHA |
|
无 |
Resource Manager |
|
|
Video Stitcher API |
|
无 |
强制执行版本 1
下表列出了强制执行版本为 1
的主账号访问边界政策可以阻止的权限。
每行都包含以下信息:
- 具有主账号访问边界政策可以阻止的权限的服务名称。
主账号访问边界政策可以阻止的该服务的权限。
在某些情况下,权限名称的一部分会替换为通配符字符 (
*
)。此格式表示主账号访问边界政策可以阻止与该模式匹配的所有权限。主账号访问边界无法阻止的服务权限,即使这些权限与某种受支持的权限模式匹配也是如此。
服务 | 权限 | 异常 |
---|---|---|
Access Approval |
|
无 |
Access Context Manager |
|
|
BigQuery |
|
无 |
Binary Authorization |
|
无 |
Cloud Logging |
|
无 |
Cloud Run |
|
无 |
Cloud Storage |
|
无 |
Dataflow |
|
|
Datastore |
|
无 |
Firebase 安全规则 |
|
无 |
GKE Hub |
|
|
Pub/Sub |
|
|
Memorystore for Redis |
|
无 |
Vertex AI |
|
|