Permisos que bloquean las Políticas de Límite de Acceso de las Principales

Cuando las principales intentan acceder a un recurso al que no son aptas, las políticas de límite de acceso de las principales les impiden usar algunos, pero no todos, los permisos de Identity and Access Management (IAM) para acceder al recurso.

Si una política de límite de acceso de las principales bloquea un permiso, IAM aplica las políticas de límite de acceso de las principales para ese permiso. En otras palabras, evita que los principales que no son aptos para acceder a un recurso usen ese permiso para acceder al recurso.

Si una política de límite de acceso de las principales no bloquea un permiso, entonces las políticas de límite de acceso de las principales no tienen efecto en si las principales pueden usar el permiso.

De forma periódica, IAM agrega nuevas versiones de aplicación de límites de acceso de las principales que pueden bloquear permisos adicionales. Cada versión nueva también puede bloquear todos los permisos de la versión anterior.

En esta página, se enumeran los permisos que puede bloquear cada versión de aplicación forzosa.

Para obtener más información sobre los números de versión de las políticas de límite de acceso de las principales, consulta la descripción general de las políticas de límite de acceso de las principales.

Versión de aplicación de política 1

En la siguiente tabla, se enumeran los permisos que pueden bloquear las políticas de límite de acceso de las principales con la versión de aplicación 1.

Cada fila contiene la siguiente información:

• Es el nombre de un servicio con permisos que las políticas de límite de acceso de las principales pueden bloquear.

• Los permisos de ese servicio que las políticas de límite de acceso de las principales pueden bloquear

  En algunos casos, una sección de un nombre de permiso se reemplaza por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de las principales pueden bloquear todos los permisos que coincidan con ese patrón.

• Los permisos del servicio que el límite de acceso de las principales no puede bloquear, incluso si esos permisos coinciden con uno de los patrones de permisos admitidos.

Servicio	Permisos	Excepciones
Aprobación de acceso	accessapproval.googleapis.com/serviceaccounts.get accessapproval.googleapis.com/settings.* accessapproval.googleapis.com/requests.list	Ninguno
Access Context Manager	accesscontextmanager.googleapis.com/*	accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
Vertex AI	aiplatform.googleapis.com/*	aiplatform.googleapis.com/operations.*
BigQuery	bigquery.googleapis.com/datasets.create bigquery.googleapis.com/datasets.delete bigquery.googleapis.com/datasets.get bigquery.googleapis.com/datasets.update bigquery.googleapis.com/datasets.setIamPolicy bigquery.googleapis.com/jobs.get bigquery.googleapis.com/jobs.create bigquery.googleapis.com/jobs.delete bigquery.googleapis.com/jobs.list bigquery.googleapis.com/models.create bigquery.googleapis.com/models.delete bigquery.googleapis.com/models.list bigquery.googleapis.com/models.updateMetadata bigquery.googleapis.com/routines.create bigquery.googleapis.com/routines.delete bigquery.googleapis.com/routines.list bigquery.googleapis.com/routines.update	Ninguna
Autorización binaria	binaryauthorization.googleapis.com/*	Ninguna
Dataflow	dataflow.googleapis.com/jobs.* dataflow.googleapis.com/metrics.get dataflow.googleapis.com/workItems.* dataflow.googleapis.com/messages.list dataflow.googleapis.com/snapshots.list	dataflow.googleapis.com/jobs.snapshot
Datastore	datastore.googleapis.com/databases.get datastore.googleapis.com/databases.getMetadata datastore.googleapis.com/databases.create datastore.googleapis.com/databases.delete datastore.googleapis.com/databases.list	Ninguna
Reglas de seguridad de Firebase	firebaserules.googleapis.com/*	Ninguna
GKE Hub	gkehub.googleapis.com/features.* gkehub.googleapis.com/fleet.create gkehub.googleapis.com/fleet.get gkehub.googleapis.com/fleet.patch gkehub.googleapis.com/locations.* gkehub.googleapis.com/membershipbindings.* gkehub.googleapis.com/memberships.* gkehub.googleapis.com/rbacrolebindings.* gkehub.googleapis.com/scopes.*	Permisos que terminan en createTagBinding Permisos que terminan en deleteTagBinding Permisos que terminan en listEffectiveTags Permisos que terminan en listTagBindings
Cloud Logging	logging.googleapis.com/logEntries.create logging.googleapis.com/logMetrics.*	Ninguna
Pub/Sub	pubsub.googleapis.com/*	pubsub.googleapis.com/schemas.delete pubsub.googleapis.com/schemas.validate pubsub.googleapis.com/subscriptions.consume Permisos que terminan en getIamPolicy Permisos que terminan en setIamPolicy
Memorystore for Redis	redis.googleapis.com/instances.create redis.googleapis.com/instances.delete redis.googleapis.com/instances.get redis.googleapis.com/instances.failover redis.googleapis.com/instances.getAuthString redis.googleapis.com/instances.list redis.googleapis.com/instances.upgrade redis.googleapis.com/instances.update	Ninguna
Cloud Run	run.googleapis.com/authorizeddomains.* run.googleapis.com/configurations.get run.googleapis.com/configurations.list run.googleapis.com/domainmappings.* run.googleapis.com/executions.* run.googleapis.com/jobs.create run.googleapis.com/jobs.delete run.googleapis.com/jobs.get run.googleapis.com/jobs.list run.googleapis.com/jobs.run run.googleapis.com/revisions.* run.googleapis.com/routes.get run.googleapis.com/routes.list run.googleapis.com/services.create run.googleapis.com/services.delete run.googleapis.com/services.get run.googleapis.com/services.list run.googleapis.com/services.update run.googleapis.com/tasks.*	Ninguna
Cloud Storage	storage.googleapis.com/buckets.get storage.googleapis.com/buckets.update storage.googleapis.com/buckets.list storage.googleapis.com/buckets.getIamPolicy storage.googleapis.com/buckets.setIamPolicy storage.googleapis.com/hmacKeys.update storage.googleapis.com/objects.get storage.googleapis.com/objects.setRetention storage.googleapis.com/objects.delete	Ninguna