Izin yang diblokir oleh kebijakan batas akses utama

Ketika akun utama mencoba mengakses resource yang tidak dapat mereka akses, kebijakan batas akses utama mencegah mereka menggunakan sebagian, tetapi tidak semua, Izin Identity and Access Management (IAM) untuk mengakses resource.

Jika kebijakan batas akses utama memblokir izin, IAM menerapkan kebijakan batas akses utama untuk izin tersebut. Dengan kata lain, mencegah akun utama yang tidak memenuhi syarat untuk mengakses resource agar tidak izin akses tersebut untuk mengakses sumber daya.

Jika kebijakan batas akses utama tidak memblokir izin, maka kebijakan batas akses utama tidak berpengaruh pada apakah akun utama dapat menggunakan izin akses.

Secara berkala, IAM menambahkan penerapan batas akses utama yang baru yang dapat memblokir izin tambahan. Setiap versi baru juga dapat memblokir semua izin di versi sebelumnya.

Halaman ini mencantumkan izin yang dapat diblokir oleh setiap versi penerapan.

Untuk mempelajari lebih lanjut nomor versi kebijakan batas akses utama, lihat dokumen ringkasan kebijakan batas akses utama.

Versi penerapan 1

Tabel berikut berisi daftar izin yang dimiliki kebijakan batas akses utama dengan penerapan versi 1 dapat memblokir.

Setiap baris berisi informasi berikut:

  • Nama layanan dengan izin yang dapat diblokir oleh kebijakan batas akses akun utama.

  • Izin untuk layanan tersebut yang dapat diblokir oleh kebijakan batas akses utama.

    Dalam beberapa kasus, bagian nama izin diganti dengan karakter karakter pengganti (*). Format ini menunjukkan bahwa kebijakan batas akses akun utama dapat memblokir semua izin yang cocok dengan pola tersebut.

  • Izin untuk layanan yang tidak dapat diblokir oleh batas akses akun utama, meskipun izin tersebut cocok dengan salah satu pola izin yang didukung.

Layanan Izin Pengecualian
Access Approval
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 Tidak ada
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 Tidak ada
Otorisasi Biner
  • binaryauthorization.googleapis.com/*
 Tidak ada
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 Tidak ada
Aturan Keamanan Firebase
  • firebaserules.googleapis.com/*
 Tidak ada
GKE Hub
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • Izin yang diakhiri dengan createTagBinding
  • Izin yang diakhiri dengan deleteTagBinding
  • Izin yang berakhiran listEffectiveTags
  • Izin yang diakhiri dengan listTagBindings
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 Tidak ada
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • Izin yang diakhiri dengan getIamPolicy
  • Izin yang diakhiri dengan setIamPolicy
Memorystore for Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 Tidak ada
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 Tidak ada
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 Tidak ada