Von Principal Access Boundary-Richtlinien blockierte Berechtigungen

Wenn Hauptkonten versuchen, auf eine Ressource zuzugreifen, auf die sie keinen Zugriff haben, verhindern Principal Access Boundary-Richtlinien, dass sie einige, aber nicht alle IAM-Berechtigungen (Identity and Access Management) für den Zugriff auf die Ressource verwenden.

Wenn eine Principal Access Boundary-Richtlinie eine Berechtigung blockiert, erzwingt IAM Principal Access Boundary-Richtlinien für diese Berechtigung. Mit anderen Worten: Sie verhindert, dass Hauptkonten, die keinen Zugriff auf eine Ressource haben, diese Berechtigung für den Zugriff auf die Ressource verwenden.

Wenn eine Principal Access Boundary-Richtlinie eine Berechtigung nicht blockiert, haben Principal Access Boundary-Richtlinien keine Auswirkungen darauf, ob Hauptkonten die Berechtigung verwenden können.

In regelmäßigen Abständen werden in IAM neue Versionen der Principal Access Boundary-Erzwingung hinzugefügt, die zusätzliche Berechtigungen blockieren können. Jede neue Version kann auch alle Berechtigungen der vorherigen Version blockieren.

Auf dieser Seite sind die Berechtigungen aufgeführt, die von den einzelnen Erzwingungsversionen blockiert werden können.

Weitere Informationen zu Versionsnummern von Principal Access Boundary-Richtlinien finden Sie in der Übersicht über Principal Access Boundary-Richtlinien.

Erzwingungsversion 3

Richtlinien mit der Erzwingungsversion 3 können alle Berechtigungen blockieren, die in den folgenden Erzwingungsversionen aufgeführt sind:

Außerdem können Richtlinien mit der Erzwingungsversion 3 auch alle in der folgenden Tabelle aufgeführten Berechtigungen blockieren.

Jede Zeile enthält die folgenden Informationen:

  • Der Name eines Dienstes mit Berechtigungen, die von Principal Access Boundary-Richtlinien blockiert werden können.

  • Die Berechtigungen für diesen Dienst, die von Principal Access Boundary-Richtlinien blockiert werden können.

    In einigen Fällen wird ein Abschnitt eines Berechtigungsnamens durch einen Platzhalter (*) ersetzt. Dieses Format gibt an, dass Principal Access Boundary-Richtlinien alle Berechtigungen blockieren können, die diesem Muster entsprechen.

Dienst Berechtigungen Ausnahmen
Wichtige Kontakte
  • essentialcontacts.googleapis.com/contacts.*
    		•  Keine
    Identity and Access Management
  • iam.googleapis.com/serviceAccounts.*
  • iam.googleapis.com/serviceAccountKeys.*
  • iam.googleapis.com/roles.*
  • iam.googleapis.com/denypolicies.*
    		•
  • iam.googleapis.com/serviceAccounts.createTagBinding
  • iam.googleapis.com/serviceAccounts.deleteTagBinding
  • iam.googleapis.com/serviceAccounts.listTagBindings
  • iam.googleapis.com/serviceAccounts.listEffectiveTags
  • iam.googleapis.com/serviceAccounts.getCertificateAs
    		•
    Dataproc
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/batches.*
  • dataproc.googleapis.com/operations.*
  • dataproc.googleapis.com/sessionTemplates.*
  • dataproc.googleapis.com/sessions.*
  • dataproc.googleapis.com/workflowTemplates.*
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/clusters.*
  • dataproc.googleapis.com/jobs.*
    		•  Keine
    Dienstverwaltung
  • servicemanagement.googleapis.com/services.check
  • servicemanagement.googleapis.com/services.report
    		•  Keine
    Bigtable
  • bigtable.googleapis.com/*.*
    		•  Keine
    Cloud Bigtable Admin API
  • bigtableadmin.googleapis.com/*.*
    		•  Keine
    Cloud SQL
  • cloudsql.googleapis.com/*.*
    		•  Keine
    Netzwerkdienste
  • networkservices.googleapis.com/endpointPolicies.*
  • networkservices.googleapis.com/gateways.*
  • networkservices.googleapis.com/grpcRoutes.*
  • networkservices.googleapis.com/httpfilters.*
  • networkservices.googleapis.com/httpRoutes.*
  • networkservices.googleapis.com/meshes.*
  • networkservices.googleapis.com/route_views.*
  • networkservices.googleapis.com/serviceBindings.*
  • networkservices.googleapis.com/tcpRoutes.*
  • networkservices.googleapis.com/tlsRoutes.*
  • networkservices.googleapis.com/serviceLbPolicies.*
    		•  Keine
    Cloud Service Mesh
  • trafficdirector.googleapis.com/*.*
    		•  Keine
    Network Management API
  • networkmanagement.googleapis.com/*.*
    		•  Keine
    Compute Engine
  • compute.googleapis.com/healthChecks.*
  • compute.googleapis.com/regionHealthChecks.*
  • compute.googleapis.com/httpHealthChecks.*
  • compute.googleapis.com/httpsHealthChecks.*
  • compute.googleapis.com/forwardingRules.*
  • compute.googleapis.com/globalForwardingRules.*
  • compute.googleapis.com/regionBackendServices.*
  • compute.googleapis.com/targetInstances.*
  • compute.googleapis.com/targetPools.*
  • compute.googleapis.com/firewallPolicies.*
  • compute.googleapis.com/firewalls.*
  • compute.googleapis.com/regionFirewallPolicies.*
  • compute.googleapis.com/backendBuckets.*
  • compute.googleapis.com/backendServices.*
  • compute.googleapis.com/regionSslPolicies.*
  • compute.googleapis.com/regionTargetHttpProxies.*
  • compute.googleapis.com/regionTargetTcpProxies.*
  • compute.googleapis.com/regionUrlMaps.*
  • compute.googleapis.com/sslPolicies.*
  • compute.googleapis.com/targetGrpcProxies.*
  • compute.googleapis.com/targetHttpProxies.*
  • compute.googleapis.com/targetHttpsProxies.*
  • compute.googleapis.com/targetSslProxies.*
  • compute.googleapis.com/targetTcpProxies.*
  • compute.googleapis.com/urlMaps.*
  • compute.googleapis.com/addresses.*
  • compute.googleapis.com/globalAddresses.*
  • compute.googleapis.com/networks.*
  • compute.googleapis.com/packetMirrorings.*
  • compute.googleapis.com/publicAdvertisedPrefixes.*
  • compute.googleapis.com/publicDelegatedPrefixes.*
  • compute.googleapis.com/routes.*
  • compute.googleapis.com/subnetworks.*
  • compute.googleapis.com/externalVpnGateways.*
  • compute.googleapis.com/targetVpnGateways.*
  • compute.googleapis.com/vpnGateways.*
  • compute.googleapis.com/interconnectAttachments.*
  • compute.googleapis.com/interconnectLocations.*
  • compute.googleapis.com/interconnectRemoteLocations.*
  • compute.googleapis.com/interconnects.*
    		•  Keine
    Artifact Registry
  • artifactregistry.googleapis.com/*.*
    		•  Keine
    Pub/Sub
  • pubsub.googleapis.com/*.*
    		•  Keine
    Workflows
  • workflows.googleapis.com/*.*
    		•  Keine
    Google Distributed Cloud
  • gkeonprem.googleapis.com/*.*
    		•  Keine
    API-Schlüssel

  • apikeys.googleapis.com/apikeys.*

  • apikeys.googleapis.com/keys.*
    		•  Keine
    Cloud DNS
  • dns.googleapis.com/*.*
    		•  Keine
    Datastore
  • datastore.googleapis.com/backupSchedules.*
  • datastore.googleapis.com/databases.*
  • datastore.googleapis.com/indexes.*
  • datastore.googleapis.com/entities.*
  • datastore.googleapis.com/operations.*
  • datastore.googleapis.com/userCreds.*
  • datastore.googleapis.com/backups.get
  • datastore.googleapis.com/backups.list
  • datastore.googleapis.com/backups.delete
  • datastore.googleapis.com/locations.*
    		•  Keine
    Cloud Key Management Service
  • cloudkms.googleapis.com/ekmConfigs.*
  • cloudkms.googleapis.com/keyRings.*
  • cloudkms.googleapis.com/importJobs.*
  • cloudkms.googleapis.com/cryptoKeyVersions.create
  • cloudkms.googleapis.com/cryptoKeyVersions.get
  • cloudkms.googleapis.com/cryptoKeyVersions.list
  • cloudkms.googleapis.com/cryptoKeyVersions.update
  • cloudkms.googleapis.com/cryptoKeyVersions.restore
  • cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToSign
  • cloudkms.googleapis.com/cryptoKeyVersions.useToVerify
  • cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey
  • cloudkms.googleapis.com/cryptoKeyVersions.destroy
  • cloudkms.googleapis.com/keyHandles.*
  • cloudkms.googleapis.com/autokeyConfigs.*
    		•
  • cloudkms.googleapis.com/importJobs.useToImport
    		•
    Organisationsrichtliniendienst
  • orgpolicy.googleapis.com/*.*
    		•  Keine
    Dataplex Universal Catalog
  • dataplex.googleapis.com/aspectTypes.*
  • dataplex.googleapis.com/datascans.*
  • dataplex.googleapis.com/entries.*
  • dataplex.googleapis.com/entryTypes.*
  • dataplex.googleapis.com/metadataJobs.*
  • dataplex.googleapis.com/entryGroups.import
  • dataplex.googleapis.com/entryGroups.getIamPolicy
  • dataplex.googleapis.com/entryGroups.setIamPolicy
  • dataplex.googleapis.com/entryGroups.create
  • dataplex.googleapis.com/entryGroups.get
  • dataplex.googleapis.com/entryGroups.update
  • dataplex.googleapis.com/entryGroups.delete
  • dataplex.googleapis.com/entryGroups.list
  • dataplex.googleapis.com/entryGroups.useGenericAspect
  • dataplex.googleapis.com/entryGroups.useContactsAspect
  • dataplex.googleapis.com/entryGroups.useOverviewAspect
  • dataplex.googleapis.com/entryGroups.useSchemaAspect
  • dataplex.googleapis.com/entryGroups.useGenericEntry
    		•  Keine
    Data Lineage API
  • datalineage.googleapis.com/locations.*
  • datalineage.googleapis.com/operations.*
  • datalineage.googleapis.com/processes.*
  • datalineage.googleapis.com/runs.*
  • datalineage.googleapis.com/events.*
    		•  Keine
    GKE Hub
  • gkehub.googleapis.com/fleets.*
    		•  Keine
    Cloud Run-Funktionen
  • cloudfunctions.googleapis.com/*.*
    		•  Keine
    Spanner
  • spanner.googleapis.com/*.*
    		•  Keine
    Google Kubernetes Engine
  • container.googleapis.com/*.*
    		•  Keine

    Erzwingungsversion 2

    Richtlinien mit der Erzwingungsversion 2 können alle in Erzwingungsversion 1 aufgeführten Berechtigungen blockieren. Außerdem können Richtlinien mit der Erzwingungsversion 2 auch alle in der folgenden Tabelle aufgeführten Berechtigungen blockieren.

    Jede Zeile enthält die folgenden Informationen:

    • Der Name eines Dienstes mit Berechtigungen, die von Principal Access Boundary-Richtlinien blockiert werden können.

    • Die Berechtigungen für diesen Dienst, die von Principal Access Boundary-Richtlinien blockiert werden können.

      In einigen Fällen wird ein Abschnitt eines Berechtigungsnamens durch einen Platzhalter (*) ersetzt. Dieses Format gibt an, dass Principal Access Boundary-Richtlinien alle Berechtigungen blockieren können, die diesem Muster entsprechen.

    Dienst Berechtigungen Ausnahmen
    Access Context Manager
    • accesscontextmanager.googleapis.com/*
    		 Keine
    Artefaktanalyse
    • containeranalysis.googleapis.com/*
    		 Keine
    BigQuery
    • bigquery.googleapis.com/datasets.*
    • bigquery.googleapis.com/jobs.*
    • bigquery.googleapis.com/models.*
    • bigquery.googleapis.com/routines.*
    • bigquery.googleapis.com/rowAccessPolicies.*
    • bigquery.googleapis.com/tables.*
    		 Keine
    BigQuery-Datenrichtlinie
    • bigquerydatapolicy.googleapis.com/*
    		 Keine
    BigQuery Data Transfer Service
    • bigquerydatatransfer.googleapis.com/transfers.*
    		 Keine
    Chrome Enterprise Premium
    • beyondcorp.googleapis.com/*
    		 Keine
    Cloud Asset Inventory
    • cloudasset.googleapis.com/*
    		 Keine
    Cloud Billing
    • billing.googleapis.com/budgets.*
    		 Keine
    Cloud Build
    • cloudbuild.googleapis.com/*
    		 Keine
    Cloud Monitoring
    • monitoring.googleapis.com/*
    • monitoring.googleapis.com/timeSeries.list
    • monitoring.googleapis.com/metricsScopes.link
    Cloud Service Mesh
    • meshconfig.googleapis.com/*
    		 Keine
    Cloud Storage
    • storage.googleapis.com/bucketOperations.*
    • storage.googleapis.com/buckets.*
    • storage.googleapis.com/folders.*
    • storage.googleapis.com/hmacKeys.*
    • storage.googleapis.com/managedFolders.*
    • storage.googleapis.com/multipartUploads.*
    • storage.googleapis.com/objects.*
    		 Keine
    Cloud Trace
    • cloudtrace.googleapis.com/*
    		 Keine
    Compute Engine
    • compute.googleapis.com/networkAttachments.*
    • compute.googleapis.com/networkEdgeSecurityServices.*
    • compute.googleapis.com/regionSecurityPolicies.*
    • compute.googleapis.com/routers.*
    • compute.googleapis.com/serviceAttachments.*
    • compute.googleapis.com/securityPolicies.*
    		 Keine
    Firebase-Regeln
    • firebaserules.googleapis.com/*
    		 Keine
    GKE Multi-Cloud
    • gkemulticloud.googleapis.com/*
    		 Keine
    Identity-Aware Proxy
    • iap.googleapis.com/*
    		 Keine
    Memorystore for Redis
    • redis.googleapis.com/*
    		 Keine
    Network Management API
    • networkmanagement.googleapis.com/*
    		 Keine
    Network Services API
    • networkservices.googleapis.com/edgeCacheOrigins.*
    • networkservices.googleapis.com/edgeCacheKeysets.*
    • networkservices.googleapis.com/edgeCacheServices.*
    		 Keine
    reCAPTCHA
    • recaptchaenterprise.googleapis.com/*
    		 Keine
    Resource Manager
    • cloudresourcemanager.googleapis.com/*
    • cloudresourcemanager.googleapis.com/*.createPolicyBinding
    • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
    • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
    • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
    Video Stitcher API
    • videostitcher.googleapis.com/*
    		 Keine

    Erzwingungsversion 1

    In der folgenden Tabelle sind die Berechtigungen aufgeführt, die von Principal Access Boundary-Richtlinien mit der Erzwingungsversion 1 blockiert werden können.

    Jede Zeile enthält die folgenden Informationen:

    • Der Name eines Dienstes mit Berechtigungen, die von Principal Access Boundary-Richtlinien blockiert werden können.

    • Die Berechtigungen für diesen Dienst, die von Principal Access Boundary-Richtlinien blockiert werden können.

      In einigen Fällen wird ein Abschnitt eines Berechtigungsnamens durch einen Platzhalter (*) ersetzt. Dieses Format gibt an, dass Principal Access Boundary-Richtlinien alle Berechtigungen blockieren können, die diesem Muster entsprechen.

    • Die Berechtigungen für den Dienst, die von Principal Access Boundary-Richtlinien nicht blockiert werden können, auch wenn diese Berechtigungen einem der unterstützten Berechtigungsmuster entsprechen.

    Dienst Berechtigungen Ausnahmen
    Zugriffsgenehmigung
    • accessapproval.googleapis.com/serviceaccounts.get
    • accessapproval.googleapis.com/settings.*
    • accessapproval.googleapis.com/requests.list
    		 Keine
    Access Context Manager
    • accesscontextmanager.googleapis.com/*
    • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
    BigQuery
    • bigquery.googleapis.com/datasets.create
    • bigquery.googleapis.com/datasets.delete
    • bigquery.googleapis.com/datasets.get
    • bigquery.googleapis.com/datasets.update
    • bigquery.googleapis.com/datasets.setIamPolicy
    • bigquery.googleapis.com/jobs.get
    • bigquery.googleapis.com/jobs.create
    • bigquery.googleapis.com/jobs.delete
    • bigquery.googleapis.com/jobs.list
    • bigquery.googleapis.com/models.create
    • bigquery.googleapis.com/models.delete
    • bigquery.googleapis.com/models.list
    • bigquery.googleapis.com/models.updateMetadata
    • bigquery.googleapis.com/routines.create
    • bigquery.googleapis.com/routines.delete
    • bigquery.googleapis.com/routines.list
    • bigquery.googleapis.com/routines.update
    		 Keine
    Binärautorisierung
    • binaryauthorization.googleapis.com/*
    		 Keine
    Cloud Logging
    • logging.googleapis.com/logEntries.create
    • logging.googleapis.com/logMetrics.*
    		 Keine
    Cloud Run
    • run.googleapis.com/authorizeddomains.*
    • run.googleapis.com/configurations.get
    • run.googleapis.com/configurations.list
    • run.googleapis.com/domainmappings.*
    • run.googleapis.com/executions.*
    • run.googleapis.com/jobs.create
    • run.googleapis.com/jobs.delete
    • run.googleapis.com/jobs.get
    • run.googleapis.com/jobs.list
    • run.googleapis.com/jobs.run
    • run.googleapis.com/revisions.*
    • run.googleapis.com/routes.get
    • run.googleapis.com/routes.list
    • run.googleapis.com/services.create
    • run.googleapis.com/services.delete
    • run.googleapis.com/services.get
    • run.googleapis.com/services.list
    • run.googleapis.com/services.update
    • run.googleapis.com/tasks.*
    		 Keine
    Cloud Storage
    • storage.googleapis.com/buckets.get
    • storage.googleapis.com/buckets.update
    • storage.googleapis.com/buckets.list
    • storage.googleapis.com/buckets.getIamPolicy
    • storage.googleapis.com/buckets.setIamPolicy
    • storage.googleapis.com/hmacKeys.update
    • storage.googleapis.com/objects.get
    • storage.googleapis.com/objects.setRetention
    • storage.googleapis.com/objects.delete
    		 Keine
    Dataflow
    • dataflow.googleapis.com/jobs.*
    • dataflow.googleapis.com/metrics.get
    • dataflow.googleapis.com/workItems.*
    • dataflow.googleapis.com/messages.list
    • dataflow.googleapis.com/snapshots.list
    • dataflow.googleapis.com/jobs.snapshot
    Datastore
    • datastore.googleapis.com/databases.get
    • datastore.googleapis.com/databases.getMetadata
    • datastore.googleapis.com/databases.create
    • datastore.googleapis.com/databases.delete
    • datastore.googleapis.com/databases.list
    		 Keine
    Firebase-Sicherheitsregeln
    • firebaserules.googleapis.com/*
    		 Keine
    GKE Hub
    • gkehub.googleapis.com/features.*
    • gkehub.googleapis.com/fleet.create
    • gkehub.googleapis.com/fleet.get
    • gkehub.googleapis.com/fleet.patch
    • gkehub.googleapis.com/locations.*
    • gkehub.googleapis.com/membershipbindings.*
    • gkehub.googleapis.com/memberships.*
    • gkehub.googleapis.com/rbacrolebindings.*
    • gkehub.googleapis.com/scopes.*
    • gkehub.googleapis.com/*.createTagBinding
    • gkehub.googleapis.com/*.deleteTagBinding
    • gkehub.googleapis.com/*.listEffectiveTags
    • gkehub.googleapis.com/*.listTagBindings
    Pub/Sub
    • pubsub.googleapis.com/*
    • pubsub.googleapis.com/schemas.delete
    • pubsub.googleapis.com/schemas.validate
    • pubsub.googleapis.com/subscriptions.consume
    • pubsub.googleapis.com/*.getIamPolicy
    • pubsub.googleapis.com/*.setIamPolicy
    Memorystore for Redis
    • redis.googleapis.com/instances.create
    • redis.googleapis.com/instances.delete
    • redis.googleapis.com/instances.get
    • redis.googleapis.com/instances.failover
    • redis.googleapis.com/instances.getAuthString
    • redis.googleapis.com/instances.list
    • redis.googleapis.com/instances.upgrade
    • redis.googleapis.com/instances.update
    		 Keine
    Vertex AI
    • aiplatform.googleapis.com/*
    • aiplatform.googleapis.com/operations.*