Autorizzazioni bloccate dai criteri di Principal Access Boundary

Quando le entità tentano di accedere a una risorsa a cui non possono accedere, i criteri di Principal Access Boundary impediscono loro di utilizzare alcune, ma non tutte, le autorizzazioni Identity and Access Management (IAM) per accedere alla risorsa.

Se un criterio di Principal Access Boundary blocca un'autorizzazione, IAM applica i criteri di Principal Access Boundary per quell'autorizzazione. In altre parole, impedisce a qualsiasi entità che non ha l'idoneità per accedere a una risorsa di utilizzare questa autorizzazione per accedere alla risorsa.

Se una policy di Principal Access Boundary non blocca un'autorizzazione, le policy di Principal Access Boundary non influiscono sulla possibilità delle entità di utilizzare l'autorizzazione.

Periodicamente, IAM aggiunge nuove versioni dell'applicazione dei limiti di accesso all'entità che possono bloccare autorizzazioni aggiuntive. Ogni nuova versione può anche bloccare tutte le autorizzazioni della versione precedente.

Questa pagina elenca le autorizzazioni che ogni versione di applicazione può bloccare.

Per scoprire di più sui numeri di versione delle policy di Principal Access Boundary, consulta la panoramica delle policy di Principal Access Boundary.

Versione di applicazione 3

I criteri con la versione di applicazione 3 possono bloccare tutte le autorizzazioni elencate nelle seguenti versioni di applicazione:

Inoltre, i criteri con la versione di applicazione 3 possono anche bloccare tutte le autorizzazioni elencate nella tabella seguente.

Ogni riga contiene le seguenti informazioni:

  • Il nome di un servizio con autorizzazioni che i criteri di Principal Access Boundary possono bloccare.

  • Le autorizzazioni per il servizio che le policy di Principal Access Boundary possono bloccare.

    In alcuni casi, una sezione del nome di un'autorizzazione viene sostituita da un carattere jolly (*). Questo formato indica che i criteri dei limiti di accesso all'entità possono bloccare tutte le autorizzazioni che corrispondono a questo pattern.

Servizio Autorizzazioni Eccezioni
Contatti fondamentali
  • essentialcontacts.googleapis.com/contacts.*
    		•  Nessuno
    Identity and Access Management
  • iam.googleapis.com/serviceAccounts.*
  • iam.googleapis.com/serviceAccountKeys.*
  • iam.googleapis.com/roles.*
  • iam.googleapis.com/denypolicies.*
    		•
  • iam.googleapis.com/serviceAccounts.createTagBinding
  • iam.googleapis.com/serviceAccounts.deleteTagBinding
  • iam.googleapis.com/serviceAccounts.listTagBindings
  • iam.googleapis.com/serviceAccounts.listEffectiveTags
  • iam.googleapis.com/serviceAccounts.getCertificateAs
    		•
    Dataproc
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/batches.*
  • dataproc.googleapis.com/operations.*
  • dataproc.googleapis.com/sessionTemplates.*
  • dataproc.googleapis.com/sessions.*
  • dataproc.googleapis.com/workflowTemplates.*
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/clusters.*
  • dataproc.googleapis.com/jobs.*
    		•  Nessuno
    Gestione del servizio
  • servicemanagement.googleapis.com/services.check
  • servicemanagement.googleapis.com/services.report
    		•  Nessuno
    Bigtable
  • bigtable.googleapis.com/*.*
    		•  Nessuno
    API Cloud Bigtable Admin
  • bigtableadmin.googleapis.com/*.*
    		•  Nessuno
    Cloud SQL
  • cloudsql.googleapis.com/*.*
    		•  Nessuno
    Servizi di rete
  • networkservices.googleapis.com/endpointPolicies.*
  • networkservices.googleapis.com/gateways.*
  • networkservices.googleapis.com/grpcRoutes.*
  • networkservices.googleapis.com/httpfilters.*
  • networkservices.googleapis.com/httpRoutes.*
  • networkservices.googleapis.com/meshes.*
  • networkservices.googleapis.com/route_views.*
  • networkservices.googleapis.com/serviceBindings.*
  • networkservices.googleapis.com/tcpRoutes.*
  • networkservices.googleapis.com/tlsRoutes.*
  • networkservices.googleapis.com/serviceLbPolicies.*
    		•  Nessuno
    Cloud Service Mesh
  • trafficdirector.googleapis.com/*.*
    		•  Nessuno
    API Network Management
  • networkmanagement.googleapis.com/*.*
    		•  Nessuno
    Compute Engine
  • compute.googleapis.com/healthChecks.*
  • compute.googleapis.com/regionHealthChecks.*
  • compute.googleapis.com/httpHealthChecks.*
  • compute.googleapis.com/httpsHealthChecks.*
  • compute.googleapis.com/forwardingRules.*
  • compute.googleapis.com/globalForwardingRules.*
  • compute.googleapis.com/regionBackendServices.*
  • compute.googleapis.com/targetInstances.*
  • compute.googleapis.com/targetPools.*
  • compute.googleapis.com/firewallPolicies.*
  • compute.googleapis.com/firewalls.*
  • compute.googleapis.com/regionFirewallPolicies.*
  • compute.googleapis.com/backendBuckets.*
  • compute.googleapis.com/backendServices.*
  • compute.googleapis.com/regionSslPolicies.*
  • compute.googleapis.com/regionTargetHttpProxies.*
  • compute.googleapis.com/regionTargetTcpProxies.*
  • compute.googleapis.com/regionUrlMaps.*
  • compute.googleapis.com/sslPolicies.*
  • compute.googleapis.com/targetGrpcProxies.*
  • compute.googleapis.com/targetHttpProxies.*
  • compute.googleapis.com/targetHttpsProxies.*
  • compute.googleapis.com/targetSslProxies.*
  • compute.googleapis.com/targetTcpProxies.*
  • compute.googleapis.com/urlMaps.*
  • compute.googleapis.com/addresses.*
  • compute.googleapis.com/globalAddresses.*
  • compute.googleapis.com/networks.*
  • compute.googleapis.com/packetMirrorings.*
  • compute.googleapis.com/publicAdvertisedPrefixes.*
  • compute.googleapis.com/publicDelegatedPrefixes.*
  • compute.googleapis.com/routes.*
  • compute.googleapis.com/subnetworks.*
  • compute.googleapis.com/externalVpnGateways.*
  • compute.googleapis.com/targetVpnGateways.*
  • compute.googleapis.com/vpnGateways.*
  • compute.googleapis.com/interconnectAttachments.*
  • compute.googleapis.com/interconnectLocations.*
  • compute.googleapis.com/interconnectRemoteLocations.*
  • compute.googleapis.com/interconnects.*
    		•  Nessuno
    Artifact Registry
  • artifactregistry.googleapis.com/*.*
    		•  Nessuno
    Pub/Sub
  • pubsub.googleapis.com/*.*
    		•  Nessuno
    Workflow
  • workflows.googleapis.com/*.*
    		•  Nessuno
    Google Distributed Cloud
  • gkeonprem.googleapis.com/*.*
    		•  Nessuno
    Chiavi API

  • apikeys.googleapis.com/apikeys.*

  • apikeys.googleapis.com/keys.*
    		•  Nessuno
    Cloud DNS
  • dns.googleapis.com/*.*
    		•  Nessuno
    Datastore
  • datastore.googleapis.com/backupSchedules.*
  • datastore.googleapis.com/databases.*
  • datastore.googleapis.com/indexes.*
  • datastore.googleapis.com/entities.*
  • datastore.googleapis.com/operations.*
  • datastore.googleapis.com/userCreds.*
  • datastore.googleapis.com/backups.get
  • datastore.googleapis.com/backups.list
  • datastore.googleapis.com/backups.delete
  • datastore.googleapis.com/locations.*
    		•  Nessuno
    Cloud Key Management Service
  • cloudkms.googleapis.com/ekmConfigs.*
  • cloudkms.googleapis.com/keyRings.*
  • cloudkms.googleapis.com/importJobs.*
  • cloudkms.googleapis.com/cryptoKeyVersions.create
  • cloudkms.googleapis.com/cryptoKeyVersions.get
  • cloudkms.googleapis.com/cryptoKeyVersions.list
  • cloudkms.googleapis.com/cryptoKeyVersions.update
  • cloudkms.googleapis.com/cryptoKeyVersions.restore
  • cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToSign
  • cloudkms.googleapis.com/cryptoKeyVersions.useToVerify
  • cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey
  • cloudkms.googleapis.com/cryptoKeyVersions.destroy
  • cloudkms.googleapis.com/keyHandles.*
  • cloudkms.googleapis.com/autokeyConfigs.*
    		•
  • cloudkms.googleapis.com/importJobs.useToImport
    		•
    Servizio Criteri dell'organizzazione
  • orgpolicy.googleapis.com/*.*
    		•  Nessuno
    Dataplex Universal Catalog
  • dataplex.googleapis.com/aspectTypes.*
  • dataplex.googleapis.com/datascans.*
  • dataplex.googleapis.com/entries.*
  • dataplex.googleapis.com/entryTypes.*
  • dataplex.googleapis.com/metadataJobs.*
  • dataplex.googleapis.com/entryGroups.import
  • dataplex.googleapis.com/entryGroups.getIamPolicy
  • dataplex.googleapis.com/entryGroups.setIamPolicy
  • dataplex.googleapis.com/entryGroups.create
  • dataplex.googleapis.com/entryGroups.get
  • dataplex.googleapis.com/entryGroups.update
  • dataplex.googleapis.com/entryGroups.delete
  • dataplex.googleapis.com/entryGroups.list
  • dataplex.googleapis.com/entryGroups.useGenericAspect
  • dataplex.googleapis.com/entryGroups.useContactsAspect
  • dataplex.googleapis.com/entryGroups.useOverviewAspect
  • dataplex.googleapis.com/entryGroups.useSchemaAspect
  • dataplex.googleapis.com/entryGroups.useGenericEntry
    		•  Nessuno
    API Data Lineage
  • datalineage.googleapis.com/locations.*
  • datalineage.googleapis.com/operations.*
  • datalineage.googleapis.com/processes.*
  • datalineage.googleapis.com/runs.*
  • datalineage.googleapis.com/events.*
    		•  Nessuno
    GKE Hub
  • gkehub.googleapis.com/fleets.*
    		•  Nessuno
    Cloud Run Functions
  • cloudfunctions.googleapis.com/*.*
    		•  Nessuno
    Spanner
  • spanner.googleapis.com/*.*
    		•  Nessuno
    Google Kubernetes Engine
  • container.googleapis.com/*.*
    		•  Nessuno

    Versione di applicazione 2

    I criteri con la versione di applicazione 2 possono bloccare tutte le autorizzazioni elencate in Versione di applicazione 1. Inoltre, i criteri con la versione di applicazione 2 possono anche bloccare tutte le autorizzazioni elencate nella tabella seguente.

    Ogni riga contiene le seguenti informazioni:

    • Il nome di un servizio con autorizzazioni che i criteri di Principal Access Boundary possono bloccare.

    • Le autorizzazioni per il servizio che le policy di Principal Access Boundary possono bloccare.

      In alcuni casi, una sezione del nome di un'autorizzazione viene sostituita da un carattere jolly (*). Questo formato indica che i criteri dei limiti di accesso all'entità possono bloccare tutte le autorizzazioni che corrispondono a questo pattern.

    Servizio Autorizzazioni Eccezioni
    Gestore contesto accesso
    • accesscontextmanager.googleapis.com/*
    		 Nessuno
    Artifact Analysis
    • containeranalysis.googleapis.com/*
    		 Nessuno
    BigQuery
    • bigquery.googleapis.com/datasets.*
    • bigquery.googleapis.com/jobs.*
    • bigquery.googleapis.com/models.*
    • bigquery.googleapis.com/routines.*
    • bigquery.googleapis.com/rowAccessPolicies.*
    • bigquery.googleapis.com/tables.*
    		 Nessuno
    BigQuery Data Policy
    • bigquerydatapolicy.googleapis.com/*
    		 Nessuno
    BigQuery Data Transfer Service
    • bigquerydatatransfer.googleapis.com/transfers.*
    		 Nessuno
    Chrome Enterprise Premium
    • beyondcorp.googleapis.com/*
    		 Nessuno
    Cloud Asset Inventory
    • cloudasset.googleapis.com/*
    		 Nessuno
    Cloud Billing
    • billing.googleapis.com/budgets.*
    		 Nessuno
    Cloud Build
    • cloudbuild.googleapis.com/*
    		 Nessuno
    Cloud Monitoring
    • monitoring.googleapis.com/*
    • monitoring.googleapis.com/timeSeries.list
    • monitoring.googleapis.com/metricsScopes.link
    Cloud Service Mesh
    • meshconfig.googleapis.com/*
    		 Nessuno
    Cloud Storage
    • storage.googleapis.com/bucketOperations.*
    • storage.googleapis.com/buckets.*
    • storage.googleapis.com/folders.*
    • storage.googleapis.com/hmacKeys.*
    • storage.googleapis.com/managedFolders.*
    • storage.googleapis.com/multipartUploads.*
    • storage.googleapis.com/objects.*
    		 Nessuno
    Cloud Trace
    • cloudtrace.googleapis.com/*
    		 Nessuno
    Compute Engine
    • compute.googleapis.com/networkAttachments.*
    • compute.googleapis.com/networkEdgeSecurityServices.*
    • compute.googleapis.com/regionSecurityPolicies.*
    • compute.googleapis.com/routers.*
    • compute.googleapis.com/serviceAttachments.*
    • compute.googleapis.com/securityPolicies.*
    		 Nessuno
    Regole Firebase
    • firebaserules.googleapis.com/*
    		 Nessuno
    GKE Multi-cloud
    • gkemulticloud.googleapis.com/*
    		 Nessuno
    Identity-Aware Proxy
    • iap.googleapis.com/*
    		 Nessuno
    Memorystore for Redis
    • redis.googleapis.com/*
    		 Nessuno
    API Network Management
    • networkmanagement.googleapis.com/*
    		 Nessuno
    API Network Services
    • networkservices.googleapis.com/edgeCacheOrigins.*
    • networkservices.googleapis.com/edgeCacheKeysets.*
    • networkservices.googleapis.com/edgeCacheServices.*
    		 Nessuno
    reCAPTCHA
    • recaptchaenterprise.googleapis.com/*
    		 Nessuno
    Resource Manager
    • cloudresourcemanager.googleapis.com/*
    • cloudresourcemanager.googleapis.com/*.createPolicyBinding
    • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
    • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
    • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
    API Video Stitcher
    • videostitcher.googleapis.com/*
    		 Nessuno

    Versione di applicazione 1

    La seguente tabella elenca le autorizzazioni che i criteri di Principal Access Boundary con la versione di applicazione 1 possono bloccare.

    Ogni riga contiene le seguenti informazioni:

    • Il nome di un servizio con autorizzazioni che i criteri di Principal Access Boundary possono bloccare.

    • Le autorizzazioni per il servizio che le policy di Principal Access Boundary possono bloccare.

      In alcuni casi, una sezione del nome di un'autorizzazione viene sostituita da un carattere jolly (*). Questo formato indica che i criteri dei limiti di accesso all'entità possono bloccare tutte le autorizzazioni che corrispondono a questo pattern.

    • Le autorizzazioni per il servizio che il perimetro di accesso principale non può bloccare, anche se corrispondono a uno dei pattern di autorizzazione supportati.

    Servizio Autorizzazioni Eccezioni
    Approvazione accesso
    • accessapproval.googleapis.com/serviceaccounts.get
    • accessapproval.googleapis.com/settings.*
    • accessapproval.googleapis.com/requests.list
    		 Nessuno
    Gestore contesto accesso
    • accesscontextmanager.googleapis.com/*
    • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
    BigQuery
    • bigquery.googleapis.com/datasets.create
    • bigquery.googleapis.com/datasets.delete
    • bigquery.googleapis.com/datasets.get
    • bigquery.googleapis.com/datasets.update
    • bigquery.googleapis.com/datasets.setIamPolicy
    • bigquery.googleapis.com/jobs.get
    • bigquery.googleapis.com/jobs.create
    • bigquery.googleapis.com/jobs.delete
    • bigquery.googleapis.com/jobs.list
    • bigquery.googleapis.com/models.create
    • bigquery.googleapis.com/models.delete
    • bigquery.googleapis.com/models.list
    • bigquery.googleapis.com/models.updateMetadata
    • bigquery.googleapis.com/routines.create
    • bigquery.googleapis.com/routines.delete
    • bigquery.googleapis.com/routines.list
    • bigquery.googleapis.com/routines.update
    		 Nessuno
    Autorizzazione binaria
    • binaryauthorization.googleapis.com/*
    		 Nessuno
    Cloud Logging
    • logging.googleapis.com/logEntries.create
    • logging.googleapis.com/logMetrics.*
    		 Nessuno
    Cloud Run
    • run.googleapis.com/authorizeddomains.*
    • run.googleapis.com/configurations.get
    • run.googleapis.com/configurations.list
    • run.googleapis.com/domainmappings.*
    • run.googleapis.com/executions.*
    • run.googleapis.com/jobs.create
    • run.googleapis.com/jobs.delete
    • run.googleapis.com/jobs.get
    • run.googleapis.com/jobs.list
    • run.googleapis.com/jobs.run
    • run.googleapis.com/revisions.*
    • run.googleapis.com/routes.get
    • run.googleapis.com/routes.list
    • run.googleapis.com/services.create
    • run.googleapis.com/services.delete
    • run.googleapis.com/services.get
    • run.googleapis.com/services.list
    • run.googleapis.com/services.update
    • run.googleapis.com/tasks.*
    		 Nessuno
    Cloud Storage
    • storage.googleapis.com/buckets.get
    • storage.googleapis.com/buckets.update
    • storage.googleapis.com/buckets.list
    • storage.googleapis.com/buckets.getIamPolicy
    • storage.googleapis.com/buckets.setIamPolicy
    • storage.googleapis.com/hmacKeys.update
    • storage.googleapis.com/objects.get
    • storage.googleapis.com/objects.setRetention
    • storage.googleapis.com/objects.delete
    		 Nessuno
    Dataflow
    • dataflow.googleapis.com/jobs.*
    • dataflow.googleapis.com/metrics.get
    • dataflow.googleapis.com/workItems.*
    • dataflow.googleapis.com/messages.list
    • dataflow.googleapis.com/snapshots.list
    • dataflow.googleapis.com/jobs.snapshot
    Datastore
    • datastore.googleapis.com/databases.get
    • datastore.googleapis.com/databases.getMetadata
    • datastore.googleapis.com/databases.create
    • datastore.googleapis.com/databases.delete
    • datastore.googleapis.com/databases.list
    		 Nessuno
    Regole di sicurezza Firebase
    • firebaserules.googleapis.com/*
    		 Nessuno
    GKE Hub
    • gkehub.googleapis.com/features.*
    • gkehub.googleapis.com/fleet.create
    • gkehub.googleapis.com/fleet.get
    • gkehub.googleapis.com/fleet.patch
    • gkehub.googleapis.com/locations.*
    • gkehub.googleapis.com/membershipbindings.*
    • gkehub.googleapis.com/memberships.*
    • gkehub.googleapis.com/rbacrolebindings.*
    • gkehub.googleapis.com/scopes.*
    • gkehub.googleapis.com/*.createTagBinding
    • gkehub.googleapis.com/*.deleteTagBinding
    • gkehub.googleapis.com/*.listEffectiveTags
    • gkehub.googleapis.com/*.listTagBindings
    Pub/Sub
    • pubsub.googleapis.com/*
    • pubsub.googleapis.com/schemas.delete
    • pubsub.googleapis.com/schemas.validate
    • pubsub.googleapis.com/subscriptions.consume
    • pubsub.googleapis.com/*.getIamPolicy
    • pubsub.googleapis.com/*.setIamPolicy
    Memorystore for Redis
    • redis.googleapis.com/instances.create
    • redis.googleapis.com/instances.delete
    • redis.googleapis.com/instances.get
    • redis.googleapis.com/instances.failover
    • redis.googleapis.com/instances.getAuthString
    • redis.googleapis.com/instances.list
    • redis.googleapis.com/instances.upgrade
    • redis.googleapis.com/instances.update
    		 Nessuno
    Vertex AI
    • aiplatform.googleapis.com/*
    • aiplatform.googleapis.com/operations.*