Autorisations bloquées par les stratégies de limite d'accès des comptes principaux

Lorsque les comptes principaux tentent d'accéder à une ressource à laquelle ils ne sont pas autorisés, les règles de limite d'accès des comptes principaux les empêchent d'utiliser certaines autorisations IAM (Identity and Access Management), mais pas toutes, pour accéder à la ressource.

Si une stratégie de limite d'accès des comptes principaux bloque une autorisation, IAM applique les stratégies de limite d'accès des comptes principaux pour cette autorisation. En d'autres termes, cela empêche les comptes principaux qui ne sont pas éligibles à l'accès à une ressource d'utiliser cette autorisation pour y accéder.

Si une stratégie de limite d'accès des comptes principaux ne bloque pas une autorisation, elle n'a aucune incidence sur la possibilité pour les comptes principaux d'utiliser cette autorisation.

De temps en temps, IAM ajoute de nouvelles versions d'application des limites d'accès de compte principal qui peuvent bloquer des autorisations supplémentaires. Chaque nouvelle version peut également bloquer toutes les autorisations de la version précédente.

Cette page liste les autorisations que chaque version d'application peut bloquer.

Pour en savoir plus sur les numéros de version des règles de limite d'accès des comptes principaux, consultez la présentation des règles de limite d'accès des comptes principaux.

Version d'application 1

Le tableau suivant liste les autorisations que les règles de limite d'accès de compte principal avec la version d'application 1 peuvent bloquer.

Chaque ligne contient les informations suivantes :

• Nom d'un service disposant d'autorisations que les règles de limite d'accès de compte principal peuvent bloquer.

• Autorisations pour ce service que les stratégies de limite d'accès des comptes principaux peuvent bloquer

  Dans certains cas, une section d'un nom d'autorisation est remplacée par un caractère générique (*). Ce format indique que les règles de limite d'accès principal peuvent bloquer toutes les autorisations correspondant à ce modèle.

• Les autorisations du service que la limite d'accès principale ne peut pas bloquer, même si elles correspondent à l'un des modèles d'autorisation pris en charge.

Service	Autorisations	Exceptions
Access Approval	accessapproval.googleapis.com/serviceaccounts.get accessapproval.googleapis.com/settings.* accessapproval.googleapis.com/requests.list	Aucun
Access Context Manager	accesscontextmanager.googleapis.com/*	accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
Vertex AI	aiplatform.googleapis.com/*	aiplatform.googleapis.com/operations.*
BigQuery	bigquery.googleapis.com/datasets.create bigquery.googleapis.com/datasets.delete bigquery.googleapis.com/datasets.get bigquery.googleapis.com/datasets.update bigquery.googleapis.com/datasets.setIamPolicy bigquery.googleapis.com/jobs.get bigquery.googleapis.com/jobs.create bigquery.googleapis.com/jobs.delete bigquery.googleapis.com/jobs.list bigquery.googleapis.com/models.create bigquery.googleapis.com/models.delete bigquery.googleapis.com/models.list bigquery.googleapis.com/models.updateMetadata bigquery.googleapis.com/routines.create bigquery.googleapis.com/routines.delete bigquery.googleapis.com/routines.list bigquery.googleapis.com/routines.update	Aucune
Autorisation binaire	binaryauthorization.googleapis.com/*	Aucune
Dataflow	dataflow.googleapis.com/jobs.* dataflow.googleapis.com/metrics.get dataflow.googleapis.com/workItems.* dataflow.googleapis.com/messages.list dataflow.googleapis.com/snapshots.list	dataflow.googleapis.com/jobs.snapshot
Datastore	datastore.googleapis.com/databases.get datastore.googleapis.com/databases.getMetadata datastore.googleapis.com/databases.create datastore.googleapis.com/databases.delete datastore.googleapis.com/databases.list	Aucune
Règles de sécurité Firebase	firebaserules.googleapis.com/*	Aucune
GKE Hub	gkehub.googleapis.com/features.* gkehub.googleapis.com/fleet.create gkehub.googleapis.com/fleet.get gkehub.googleapis.com/fleet.patch gkehub.googleapis.com/locations.* gkehub.googleapis.com/membershipbindings.* gkehub.googleapis.com/memberships.* gkehub.googleapis.com/rbacrolebindings.* gkehub.googleapis.com/scopes.*	Autorisations se terminant par createTagBinding Autorisations se terminant par deleteTagBinding Autorisations se terminant par listEffectiveTags Autorisations se terminant par listTagBindings
Cloud Logging	logging.googleapis.com/logEntries.create logging.googleapis.com/logMetrics.*	Aucune
Pub/Sub	pubsub.googleapis.com/*	pubsub.googleapis.com/schemas.delete pubsub.googleapis.com/schemas.validate pubsub.googleapis.com/subscriptions.consume Autorisations se terminant par getIamPolicy Autorisations se terminant par setIamPolicy
Memorystore pour Redis	redis.googleapis.com/instances.create redis.googleapis.com/instances.delete redis.googleapis.com/instances.get redis.googleapis.com/instances.failover redis.googleapis.com/instances.getAuthString redis.googleapis.com/instances.list redis.googleapis.com/instances.upgrade redis.googleapis.com/instances.update	Aucune
Cloud Run	run.googleapis.com/authorizeddomains.* run.googleapis.com/configurations.get run.googleapis.com/configurations.list run.googleapis.com/domainmappings.* run.googleapis.com/executions.* run.googleapis.com/jobs.create run.googleapis.com/jobs.delete run.googleapis.com/jobs.get run.googleapis.com/jobs.list run.googleapis.com/jobs.run run.googleapis.com/revisions.* run.googleapis.com/routes.get run.googleapis.com/routes.list run.googleapis.com/services.create run.googleapis.com/services.delete run.googleapis.com/services.get run.googleapis.com/services.list run.googleapis.com/services.update run.googleapis.com/tasks.*	Aucune
Cloud Storage	storage.googleapis.com/buckets.get storage.googleapis.com/buckets.update storage.googleapis.com/buckets.list storage.googleapis.com/buckets.getIamPolicy storage.googleapis.com/buckets.setIamPolicy storage.googleapis.com/hmacKeys.update storage.googleapis.com/objects.get storage.googleapis.com/objects.setRetention storage.googleapis.com/objects.delete	Aucune