주 구성원 액세스 경계 정책으로 차단되는 권한

주 구성원이 액세스 자격이 없는 리소스에 액세스하려고 시도할 때 주 구성원 액세스 경계 정책은 전체는 아니지만 일부 Identity and Access Management(IAM) 권한을 사용해서 리소스에 액세스하지 못하도록 합니다.

주 구성원 액세스 경계 정책으로 권한이 차단될 때 IAM은 해당 권한에 대해 주 구성원 액세스 경계 정책을 적용합니다. 즉, 리소스에 액세스 자격이 없는 주 구성원이 권한을 이용해서 리소스에 액세스하지 못하도록 합니다.

주 구성원 액세스 경계 정책이 권한을 차단하지 않을 경우 주 구성원 액세스 경계 정책은 주 구성원이 그러한 권한을 사용할 수 있는지 여부에 영향을 미치지 않습니다.

IAM은 추가 권한을 차단할 수 있는 새로운 주 구성원 액세스 경계 시행 버전을 주기적으로 추가합니다. 또한 각 새 버전은 이전 버전의 모든 권한을 차단할 수 있습니다.

이 페이지에서는 각 시행 버전이 차단할 수 있는 권한을 보여줍니다.

주 구성원 액세스 경계 정책 버전 번호에 대한 자세한 내용은 주 구성원 액세스 경계 정책 개요를 참조하세요.

적용 버전 1

다음 표에서는 시행 버전이 1인 주 구성원 액세스 경계 정책이 차단할 수 있는 권한을 보여줍니다.

각 행에는 다음 정보가 포함되어 있습니다.

  • 주 구성원 액세스 경계 정책으로 차단할 수 있는 권한이 있는 서비스의 이름입니다.

  • 주 구성원 액세스 경계 정책이 차단할 수 있는 서비스의 권한입니다.

    일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책이 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 의미합니다.

  • 해당 권한이 지원되는 권한 패턴 중 하나와 일치하더라도 주 구성원 액세스 경계로 차단할 수 없는 서비스의 권한입니다.

서비스 권한 예외
액세스 승인
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 없음
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 없음
Binary Authorization
  • binaryauthorization.googleapis.com/*
 없음
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 없음
Firebase 보안 규칙
  • firebaserules.googleapis.com/*
 없음
GKE 허브
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • createTagBinding으로 끝나는 권한
  • deleteTagBinding으로 끝나는 권한
  • listEffectiveTags로 끝나는 권한
  • listTagBindings로 끝나는 권한
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 없음
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • getIamPolicy로 끝나는 권한
  • setIamPolicy로 끝나는 권한
Redis용 Memorystore
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 없음
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 없음
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 없음