Autorizzazioni bloccate dai criteri di Principal Access Boundary

Quando le entità tentano di accedere a una risorsa a cui non sono idonee, i criteri di confine di accesso delle entità impediscono loro di utilizzare alcune, ma non tutte, le autorizzazioni IAM (Identity and Access Management) per accedere alla risorsa.

Se un criterio di Principal Access Boundary blocca un'autorizzazione, IAM applica i criteri di Principal Access Boundary per quell'autorizzazione. In altre parole, impedisce a qualsiasi entità non idonea ad accedere a una risorsa di utilizzare quell'autorizzazione per accedere alla risorsa.

Se un criterio di Principal Access Boundary non blocca un'autorizzazione, I criteri di Principal Access Boundary non hanno alcun effetto sulla possibilità o meno di utilizzare autorizzazione.

Periodicamente, IAM aggiunge nuove versioni di applicazione dei limiti di accesso all'entità che possono bloccare autorizzazioni aggiuntive. Ogni nuova versione può anche bloccare tutte le autorizzazioni nella versione precedente.

Questa pagina elenca le autorizzazioni che ogni versione di applicazione può bloccare.

Per scoprire di più sui numeri di versione dei criteri di Principal Access Boundary, consulta la panoramica dei criteri di Principal Access Boundary.

Versione di applicazione 1

La tabella seguente elenca le autorizzazioni dei criteri di Principal Access Boundary con la versione di applicazione 1 può bloccare.

Ogni riga contiene le seguenti informazioni:

• Il nome di un servizio con le autorizzazioni che possono essere concesse dai criteri di Principal Access Boundary bloccare.

• Le autorizzazioni per il servizio che i criteri di Principal Access Boundary possono bloccare.

  In alcuni casi, una sezione del nome di un'autorizzazione viene sostituita con un carattere jolly (*). Questo formato indica che i criteri di confine di accesso principale possono bloccare tutte le autorizzazioni corrispondenti a quel pattern.

• Le autorizzazioni per il servizio che il confine di accesso principale non può bloccare, anche se queste autorizzazioni corrispondono a uno dei pattern di autorizzazione supportati.

Servizio	Autorizzazioni	Eccezioni
Approvazione accesso	accessapproval.googleapis.com/serviceaccounts.get accessapproval.googleapis.com/settings.* accessapproval.googleapis.com/requests.list	Nessuno
Gestore contesto accesso	accesscontextmanager.googleapis.com/*	accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
Vertex AI	aiplatform.googleapis.com/*	aiplatform.googleapis.com/operations.*
BigQuery	bigquery.googleapis.com/datasets.create bigquery.googleapis.com/datasets.delete bigquery.googleapis.com/datasets.get bigquery.googleapis.com/datasets.update bigquery.googleapis.com/datasets.setIamPolicy bigquery.googleapis.com/jobs.get bigquery.googleapis.com/jobs.create bigquery.googleapis.com/jobs.delete bigquery.googleapis.com/jobs.list bigquery.googleapis.com/models.create bigquery.googleapis.com/models.delete bigquery.googleapis.com/models.list bigquery.googleapis.com/models.updateMetadata bigquery.googleapis.com/routines.create bigquery.googleapis.com/routines.delete bigquery.googleapis.com/routines.list bigquery.googleapis.com/routines.update	Nessuno
Autorizzazione binaria	binaryauthorization.googleapis.com/*	Nessuno
Dataflow	dataflow.googleapis.com/jobs.* dataflow.googleapis.com/metrics.get dataflow.googleapis.com/workItems.* dataflow.googleapis.com/messages.list dataflow.googleapis.com/snapshots.list	dataflow.googleapis.com/jobs.snapshot
Datastore	datastore.googleapis.com/databases.get datastore.googleapis.com/databases.getMetadata datastore.googleapis.com/databases.create datastore.googleapis.com/databases.delete datastore.googleapis.com/databases.list	Nessuno
Regole di sicurezza Firebase	firebaserules.googleapis.com/*	Nessuno
GKE Hub	gkehub.googleapis.com/features.* gkehub.googleapis.com/fleet.create gkehub.googleapis.com/fleet.get gkehub.googleapis.com/fleet.patch gkehub.googleapis.com/locations.* gkehub.googleapis.com/membershipbindings.* gkehub.googleapis.com/memberships.* gkehub.googleapis.com/rbacrolebindings.* gkehub.googleapis.com/scopes.*	Autorizzazioni che terminano con createTagBinding Autorizzazioni che terminano con deleteTagBinding Autorizzazioni che terminano con listEffectiveTags Autorizzazioni che terminano con listTagBindings
Cloud Logging	logging.googleapis.com/logEntries.create logging.googleapis.com/logMetrics.*	Nessuno
Pub/Sub	pubsub.googleapis.com/*	pubsub.googleapis.com/schemas.delete pubsub.googleapis.com/schemas.validate pubsub.googleapis.com/subscriptions.consume Autorizzazioni che terminano con getIamPolicy Autorizzazioni che terminano con setIamPolicy
Memorystore for Redis	redis.googleapis.com/instances.create redis.googleapis.com/instances.delete redis.googleapis.com/instances.get redis.googleapis.com/instances.failover redis.googleapis.com/instances.getAuthString redis.googleapis.com/instances.list redis.googleapis.com/instances.upgrade redis.googleapis.com/instances.update	Nessuno
Cloud Run	run.googleapis.com/authorizeddomains.* run.googleapis.com/configurations.get run.googleapis.com/configurations.list run.googleapis.com/domainmappings.* run.googleapis.com/executions.* run.googleapis.com/jobs.create run.googleapis.com/jobs.delete run.googleapis.com/jobs.get run.googleapis.com/jobs.list run.googleapis.com/jobs.run run.googleapis.com/revisions.* run.googleapis.com/routes.get run.googleapis.com/routes.list run.googleapis.com/services.create run.googleapis.com/services.delete run.googleapis.com/services.get run.googleapis.com/services.list run.googleapis.com/services.update run.googleapis.com/tasks.*	Nessuno
Cloud Storage	storage.googleapis.com/buckets.get storage.googleapis.com/buckets.update storage.googleapis.com/buckets.list storage.googleapis.com/buckets.getIamPolicy storage.googleapis.com/buckets.setIamPolicy storage.googleapis.com/hmacKeys.update storage.googleapis.com/objects.get storage.googleapis.com/objects.setRetention storage.googleapis.com/objects.delete	Nessuno