Von Principal Access Boundary-Richtlinien blockierte Berechtigungen

Wenn Hauptkonten versuchen, auf eine Ressource zuzugreifen, auf die sie keinen Zugriff haben, verhindern Principal Access Boundary-Richtlinien, dass sie einige, aber nicht alle IAM-Berechtigungen (Identity and Access Management) für den Zugriff auf die Ressource verwenden.

Wenn eine Principal Access Boundary-Richtlinie eine Berechtigung blockiert, erzwingt IAM Principal Access Boundary-Richtlinien für diese Berechtigung. Mit anderen Worten: Es wird verhindert, dass Hauptkonten, die keinen Zugriff auf eine Ressource haben, diese Berechtigung für den Zugriff auf die Ressource verwenden.

Wenn eine Principal Access Boundary-Richtlinie eine Berechtigung nicht blockiert, haben Principal Access Boundary-Richtlinien keine Auswirkungen darauf, ob Hauptkonten die Berechtigung verwenden können.

In regelmäßigen Abständen werden in IAM neue Versionen der Principal Access Boundary-Erzwingung hinzugefügt, die zusätzliche Berechtigungen blockieren können. Jede neue Version kann auch alle Berechtigungen der vorherigen Version blockieren.

Auf dieser Seite sind die Berechtigungen aufgeführt, die mit jeder Erzwingungsversion blockiert werden können.

Weitere Informationen zu Versionsnummern von Principal Access Boundary-Richtlinien finden Sie in der Übersicht über Principal Access Boundary-Richtlinien.

Erzwingungsversion 2

Richtlinien mit der Erzwingungsversion 2 können alle Berechtigungen blockieren, die unter Erzwingungsversion 1 aufgeführt sind. Außerdem können Richtlinien mit der Erzwingungsversion 2 alle in der folgenden Tabelle aufgeführten Berechtigungen blockieren.

Jede Zeile enthält die folgenden Informationen:

  • Der Name eines Dienstes mit Berechtigungen, die von Principal Access Boundary-Richtlinien blockiert werden können.

  • Die Berechtigungen für diesen Dienst, die von Principal Access Boundary-Richtlinien blockiert werden können.

    In einigen Fällen wird ein Abschnitt eines Berechtigungsnamens durch einen Platzhalter (*) ersetzt. Dieses Format gibt an, dass Principal Access Boundary-Richtlinien alle Berechtigungen blockieren können, die diesem Muster entsprechen.

Dienst Berechtigungen Ausnahmen
Access Context Manager
  • accesscontextmanager.googleapis.com/*
 Keine
Artefaktanalyse
  • containeranalysis.googleapis.com/*
 Keine
BigQuery
  • bigquery.googleapis.com/datasets.*
  • bigquery.googleapis.com/jobs.*
  • bigquery.googleapis.com/models.*
  • bigquery.googleapis.com/routines.*
  • bigquery.googleapis.com/rowAccessPolicies.*
  • bigquery.googleapis.com/tables.*
 Keine
BigQuery-Datenrichtlinie
  • bigquerydatapolicy.googleapis.com/*
 Keine
BigQuery Data Transfer Service
  • bigquerydatatransfer.googleapis.com/transfers.*
 Keine
Chrome Enterprise Premium
  • beyondcorp.googleapis.com/*
 Keine
Cloud Asset Inventory
  • cloudasset.googleapis.com/*
 Keine
Cloud Billing
  • billing.googleapis.com/budgets.*
 Keine
Cloud Build
  • cloudbuild.googleapis.com/*
 Keine
Cloud Monitoring
  • monitoring.googleapis.com/*
  • monitoring.googleapis.com/timeSeries.list
  • monitoring.googleapis.com/metricsScopes.link
Cloud Service Mesh
  • meshconfig.googleapis.com/*
 Keine
Cloud Storage
  • storage.googleapis.com/bucketOperations.*
  • storage.googleapis.com/buckets.*
  • storage.googleapis.com/folders.*
  • storage.googleapis.com/hmacKeys.*
  • storage.googleapis.com/managedFolders.*
  • storage.googleapis.com/multipartUploads.*
  • storage.googleapis.com/objects.*
 Keine
Cloud Trace
  • cloudtrace.googleapis.com/*
 Keine
Compute Engine
  • compute.googleapis.com/networkAttachments.*
  • compute.googleapis.com/networkEdgeSecurityServices.*
  • compute.googleapis.com/regionSecurityPolicies.*
  • compute.googleapis.com/routers.*
  • compute.googleapis.com/serviceAttachments.*
  • compute.googleapis.com/securityPolicies.*
 Keine
Firebase-Regeln
  • firebaserules.googleapis.com/*
 Keine
GKE Multi-Cloud
  • gkemulticloud.googleapis.com/*
 Keine
Identity-Aware Proxy
  • iap.googleapis.com/*
 Keine
Memorystore for Redis
  • redis.googleapis.com/*
 Keine
Network Management API
  • networkmanagement.googleapis.com/*
 Keine
Network Services API
  • networkservices.googleapis.com/edgeCacheOrigins.*
  • networkservices.googleapis.com/edgeCacheKeysets.*
  • networkservices.googleapis.com/edgeCacheServices.*
 Keine
reCAPTCHA
  • recaptchaenterprise.googleapis.com/*
 Keine
Resource Manager
  • cloudresourcemanager.googleapis.com/*
  • cloudresourcemanager.googleapis.com/*.createPolicyBinding
  • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
  • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
  • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
Video Stitcher API
  • videostitcher.googleapis.com/*
 Keine

Erzwingungsversion 1

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die von Principal Access Boundary-Richtlinien mit der Erzwingungsversion 1 blockiert werden können.

Jede Zeile enthält die folgenden Informationen:

  • Der Name eines Dienstes mit Berechtigungen, die von Principal Access Boundary-Richtlinien blockiert werden können.

  • Die Berechtigungen für diesen Dienst, die von Principal Access Boundary-Richtlinien blockiert werden können.

    In einigen Fällen wird ein Abschnitt eines Berechtigungsnamens durch einen Platzhalter (*) ersetzt. Dieses Format gibt an, dass Principal Access Boundary-Richtlinien alle Berechtigungen blockieren können, die diesem Muster entsprechen.

  • Die Berechtigungen für den Dienst, die von Principal Access Boundary-Richtlinien nicht blockiert werden können, auch wenn diese Berechtigungen einem der unterstützten Berechtigungsmuster entsprechen.

Dienst Berechtigungen Ausnahmen
Zugriffsgenehmigung
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 Keine
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 Keine
Binärautorisierung
  • binaryauthorization.googleapis.com/*
 Keine
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 Keine
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 Keine
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 Keine
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 Keine
Firebase-Sicherheitsregeln
  • firebaserules.googleapis.com/*
 Keine
GKE Hub
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • gkehub.googleapis.com/*.createTagBinding
  • gkehub.googleapis.com/*.deleteTagBinding
  • gkehub.googleapis.com/*.listEffectiveTags
  • gkehub.googleapis.com/*.listTagBindings
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • pubsub.googleapis.com/*.getIamPolicy
  • pubsub.googleapis.com/*.setIamPolicy
Memorystore for Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 Keine
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*