プリンシパル アクセス境界ポリシーによってブロックされる権限

プリンシパルがアクセス権のないリソースにアクセスしようとすると、プリンシパル アクセス境界ポリシーにより、プリンシパルは、リソースにアクセスするための Identity and Access Management(IAM)権限の一部(すべてではありません)を使用できなくなります。

プリンシパル アクセス境界ポリシーが権限をブロックすると、IAM はその権限に対してプリンシパル アクセス境界ポリシーを適用します。つまり、リソースにアクセスする資格のないプリンシパルが、その権限を使用してリソースにアクセスできないようにします。

プリンシパル アクセス境界ポリシーが権限をブロックしない場合、プリンシパル アクセス境界ポリシーは、プリンシパルが権限を使用できるかどうかに影響しません。

IAM では、追加の権限をブロックできる新しいプリンシパル アクセス境界適用バージョンが定期的に追加されています。新しいバージョンでは、以前のバージョンの権限をすべてブロックすることもできます。

このページでは、各適用バージョンでブロックできる権限の一覧を示します。

プリンシパル アクセス境界ポリシーのバージョン番号の詳細については、プリンシパル アクセス境界ポリシーの概要をご覧ください。

適用バージョン 2

適用バージョンが 2 のポリシーは、適用バージョン 1 に一覧表示されているすべての権限をブロックできます。また、適用バージョンが 2 のポリシーでは、次の表に示すすべての権限をブロックすることもできます。

各行には次の情報が含まれています。

  • プリンシパル アクセス境界ポリシーでブロックできる権限を持つサービスの名前。

  • プリンシパル アクセス境界ポリシーでブロックできるサービスの権限。

    権限名のセクションがワイルドカード文字(*)に置き換えられている場合があります。この形式は、プリンシパル アクセス境界ポリシーで、そのパターンに一致するすべての権限をブロックできることを示します。

サービス 権限 例外
Access Context Manager
  • accesscontextmanager.googleapis.com/*
 なし
Artifact Analysis
  • containeranalysis.googleapis.com/*
 なし
BigQuery
  • bigquery.googleapis.com/datasets.*
  • bigquery.googleapis.com/jobs.*
  • bigquery.googleapis.com/models.*
  • bigquery.googleapis.com/routines.*
  • bigquery.googleapis.com/rowAccessPolicies.*
  • bigquery.googleapis.com/tables.*
 なし
BigQuery Data Policy
  • bigquerydatapolicy.googleapis.com/*
 なし
BigQuery Data Transfer Service
  • bigquerydatatransfer.googleapis.com/transfers.*
 なし
Chrome Enterprise Premium
  • beyondcorp.googleapis.com/*
 なし
Cloud Asset Inventory
  • cloudasset.googleapis.com/*
 なし
Cloud Billing
  • billing.googleapis.com/budgets.*
 なし
Cloud Build
  • cloudbuild.googleapis.com/*
 なし
Cloud Monitoring
  • monitoring.googleapis.com/*
  • monitoring.googleapis.com/timeSeries.list
  • monitoring.googleapis.com/metricsScopes.link
Cloud Service Mesh
  • meshconfig.googleapis.com/*
 なし
Cloud Storage
  • storage.googleapis.com/bucketOperations.*
  • storage.googleapis.com/buckets.*
  • storage.googleapis.com/folders.*
  • storage.googleapis.com/hmacKeys.*
  • storage.googleapis.com/managedFolders.*
  • storage.googleapis.com/multipartUploads.*
  • storage.googleapis.com/objects.*
 なし
Cloud Trace
  • cloudtrace.googleapis.com/*
 なし
Compute Engine
  • compute.googleapis.com/networkAttachments.*
  • compute.googleapis.com/networkEdgeSecurityServices.*
  • compute.googleapis.com/regionSecurityPolicies.*
  • compute.googleapis.com/routers.*
  • compute.googleapis.com/serviceAttachments.*
  • compute.googleapis.com/securityPolicies.*
 なし
Firebase ルール
  • firebaserules.googleapis.com/*
 なし
GKE Multi-Cloud
  • gkemulticloud.googleapis.com/*
 なし
Identity-Aware Proxy
  • iap.googleapis.com/*
 なし
Memorystore for Redis
  • redis.googleapis.com/*
 なし
ネットワーク管理 API
  • networkmanagement.googleapis.com/*
 なし
Network Services API
  • networkservices.googleapis.com/edgeCacheOrigins.*
  • networkservices.googleapis.com/edgeCacheKeysets.*
  • networkservices.googleapis.com/edgeCacheServices.*
 なし
reCAPTCHA
  • recaptchaenterprise.googleapis.com/*
 なし
Resource Manager
  • cloudresourcemanager.googleapis.com/*
  • cloudresourcemanager.googleapis.com/*.createPolicyBinding
  • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
  • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
  • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
Video Stitcher API
  • videostitcher.googleapis.com/*
 なし

適用バージョン 1

次の表に、適用バージョン 1 のプリンシパル アクセス境界ポリシーでブロックできる権限を示します。

各行には次の情報が含まれています。

  • プリンシパル アクセス境界ポリシーでブロックできる権限を持つサービスの名前。

  • プリンシパル アクセス境界ポリシーでブロックできるサービスの権限。

    権限名のセクションがワイルドカード文字(*)に置き換えられている場合があります。この形式は、プリンシパル アクセス境界ポリシーで、そのパターンに一致するすべての権限をブロックできることを示します。

  • プリンシパル アクセス境界でブロックできないサービスの権限。サポートされている権限パターンのいずれかに一致する場合でも、これらの権限はブロックできません。

サービス 権限 例外
アクセス承認
  • accessapproval.googleapis.com/serviceaccounts.get
  • accessapproval.googleapis.com/settings.*
  • accessapproval.googleapis.com/requests.list
 なし
Access Context Manager
  • accesscontextmanager.googleapis.com/*
  • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
BigQuery
  • bigquery.googleapis.com/datasets.create
  • bigquery.googleapis.com/datasets.delete
  • bigquery.googleapis.com/datasets.get
  • bigquery.googleapis.com/datasets.update
  • bigquery.googleapis.com/datasets.setIamPolicy
  • bigquery.googleapis.com/jobs.get
  • bigquery.googleapis.com/jobs.create
  • bigquery.googleapis.com/jobs.delete
  • bigquery.googleapis.com/jobs.list
  • bigquery.googleapis.com/models.create
  • bigquery.googleapis.com/models.delete
  • bigquery.googleapis.com/models.list
  • bigquery.googleapis.com/models.updateMetadata
  • bigquery.googleapis.com/routines.create
  • bigquery.googleapis.com/routines.delete
  • bigquery.googleapis.com/routines.list
  • bigquery.googleapis.com/routines.update
 なし
Binary Authorization
  • binaryauthorization.googleapis.com/*
 なし
Cloud Logging
  • logging.googleapis.com/logEntries.create
  • logging.googleapis.com/logMetrics.*
 なし
Cloud Run
  • run.googleapis.com/authorizeddomains.*
  • run.googleapis.com/configurations.get
  • run.googleapis.com/configurations.list
  • run.googleapis.com/domainmappings.*
  • run.googleapis.com/executions.*
  • run.googleapis.com/jobs.create
  • run.googleapis.com/jobs.delete
  • run.googleapis.com/jobs.get
  • run.googleapis.com/jobs.list
  • run.googleapis.com/jobs.run
  • run.googleapis.com/revisions.*
  • run.googleapis.com/routes.get
  • run.googleapis.com/routes.list
  • run.googleapis.com/services.create
  • run.googleapis.com/services.delete
  • run.googleapis.com/services.get
  • run.googleapis.com/services.list
  • run.googleapis.com/services.update
  • run.googleapis.com/tasks.*
 なし
Cloud Storage
  • storage.googleapis.com/buckets.get
  • storage.googleapis.com/buckets.update
  • storage.googleapis.com/buckets.list
  • storage.googleapis.com/buckets.getIamPolicy
  • storage.googleapis.com/buckets.setIamPolicy
  • storage.googleapis.com/hmacKeys.update
  • storage.googleapis.com/objects.get
  • storage.googleapis.com/objects.setRetention
  • storage.googleapis.com/objects.delete
 なし
Dataflow
  • dataflow.googleapis.com/jobs.*
  • dataflow.googleapis.com/metrics.get
  • dataflow.googleapis.com/workItems.*
  • dataflow.googleapis.com/messages.list
  • dataflow.googleapis.com/snapshots.list
  • dataflow.googleapis.com/jobs.snapshot
Datastore
  • datastore.googleapis.com/databases.get
  • datastore.googleapis.com/databases.getMetadata
  • datastore.googleapis.com/databases.create
  • datastore.googleapis.com/databases.delete
  • datastore.googleapis.com/databases.list
 なし
Firebase セキュリティ ルール
  • firebaserules.googleapis.com/*
 なし
GKE Hub
  • gkehub.googleapis.com/features.*
  • gkehub.googleapis.com/fleet.create
  • gkehub.googleapis.com/fleet.get
  • gkehub.googleapis.com/fleet.patch
  • gkehub.googleapis.com/locations.*
  • gkehub.googleapis.com/membershipbindings.*
  • gkehub.googleapis.com/memberships.*
  • gkehub.googleapis.com/rbacrolebindings.*
  • gkehub.googleapis.com/scopes.*
  • gkehub.googleapis.com/*.createTagBinding
  • gkehub.googleapis.com/*.deleteTagBinding
  • gkehub.googleapis.com/*.listEffectiveTags
  • gkehub.googleapis.com/*.listTagBindings
Pub/Sub
  • pubsub.googleapis.com/*
  • pubsub.googleapis.com/schemas.delete
  • pubsub.googleapis.com/schemas.validate
  • pubsub.googleapis.com/subscriptions.consume
  • pubsub.googleapis.com/*.getIamPolicy
  • pubsub.googleapis.com/*.setIamPolicy
Memorystore for Redis
  • redis.googleapis.com/instances.create
  • redis.googleapis.com/instances.delete
  • redis.googleapis.com/instances.get
  • redis.googleapis.com/instances.failover
  • redis.googleapis.com/instances.getAuthString
  • redis.googleapis.com/instances.list
  • redis.googleapis.com/instances.upgrade
  • redis.googleapis.com/instances.update
 なし
Vertex AI
  • aiplatform.googleapis.com/*
  • aiplatform.googleapis.com/operations.*