プリンシパルアクセス境界ポリシーによってブロックされる権限

プリンシパルがアクセス権のないリソースにアクセスしようとすると、プリンシパルアクセス境界ポリシーにより、プリンシパルは、リソースにアクセスするための Identity and Access Management（IAM）権限の一部（すべてではありません）を使用できなくなります。

プリンシパルアクセス境界ポリシーが権限をブロックすると、IAM はその権限に対してプリンシパルアクセス境界ポリシーを適用します。つまり、リソースにアクセスする資格のないプリンシパルが、その権限を使用してリソースにアクセスできないようにします。

プリンシパルアクセス境界ポリシーが権限をブロックしない場合、プリンシパルアクセス境界ポリシーは、プリンシパルが権限を使用できるかどうかに影響しません。

IAM では、追加の権限をブロックできる新しいプリンシパルアクセス境界適用バージョンが定期的に追加されています。新しいバージョンでは、以前のバージョンの権限をすべてブロックすることもできます。

このページでは、各適用バージョンでブロックできる権限の一覧を示します。

プリンシパルアクセス境界ポリシーのバージョン番号の詳細については、プリンシパルアクセス境界ポリシーの概要をご覧ください。

適用バージョン `3`

適用バージョンが 3 のポリシーは、次の適用バージョンに記載されているすべての権限をブロックできます。

適用バージョン 1
適用バージョン 2

また、適用バージョンが 3 のポリシーでは、次の表に示すすべての権限をブロックすることもできます。

各行には次の情報が含まれています。

プリンシパルアクセス境界ポリシーでブロックできる権限を持つサービスの名前。
プリンシパルアクセス境界ポリシーでブロックできるサービスの権限。

権限名のセクションがワイルドカード文字（*）に置き換えられている場合があります。この形式は、プリンシパルアクセス境界ポリシーで、そのパターンに一致するすべての権限をブロックできることを示します。

サービス	権限	例外
重要な連絡先	`essentialcontacts.googleapis.com/contacts.*`	なし
Identity and Access Management	`iam.googleapis.com/serviceAccounts.` `iam.googleapis.com/serviceAccountKeys.` `iam.googleapis.com/roles.` `iam.googleapis.com/denypolicies.`	`iam.googleapis.com/serviceAccounts.createTagBinding` `iam.googleapis.com/serviceAccounts.deleteTagBinding` `iam.googleapis.com/serviceAccounts.listTagBindings` `iam.googleapis.com/serviceAccounts.listEffectiveTags` `iam.googleapis.com/serviceAccounts.getCertificateAs`
Dataproc	`dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/batches.` `dataproc.googleapis.com/operations.` `dataproc.googleapis.com/sessionTemplates.` `dataproc.googleapis.com/sessions.` `dataproc.googleapis.com/workflowTemplates.` `dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/clusters.` `dataproc.googleapis.com/jobs.*`	なし
サービス管理	`servicemanagement.googleapis.com/services.check` `servicemanagement.googleapis.com/services.report`	なし
Bigtable	`bigtable.googleapis.com/.`	なし
Cloud Bigtable 管理 API	`bigtableadmin.googleapis.com/.`	なし
Cloud SQL	`cloudsql.googleapis.com/.`	なし
ネットワークサービス	`networkservices.googleapis.com/endpointPolicies.` `networkservices.googleapis.com/gateways.` `networkservices.googleapis.com/grpcRoutes.` `networkservices.googleapis.com/httpfilters.` `networkservices.googleapis.com/httpRoutes.` `networkservices.googleapis.com/meshes.` `networkservices.googleapis.com/route_views.` `networkservices.googleapis.com/serviceBindings.` `networkservices.googleapis.com/tcpRoutes.` `networkservices.googleapis.com/tlsRoutes.` `networkservices.googleapis.com/serviceLbPolicies.*`	なし
Cloud Service Mesh	`trafficdirector.googleapis.com/.`	なし
ネットワーク管理 API	`networkmanagement.googleapis.com/.`	なし
Compute Engine	`compute.googleapis.com/healthChecks.` `compute.googleapis.com/regionHealthChecks.` `compute.googleapis.com/httpHealthChecks.` `compute.googleapis.com/httpsHealthChecks.` `compute.googleapis.com/forwardingRules.` `compute.googleapis.com/globalForwardingRules.` `compute.googleapis.com/regionBackendServices.` `compute.googleapis.com/targetInstances.` `compute.googleapis.com/targetPools.` `compute.googleapis.com/firewallPolicies.` `compute.googleapis.com/firewalls.` `compute.googleapis.com/regionFirewallPolicies.` `compute.googleapis.com/backendBuckets.` `compute.googleapis.com/backendServices.` `compute.googleapis.com/regionSslPolicies.` `compute.googleapis.com/regionTargetHttpProxies.` `compute.googleapis.com/regionTargetTcpProxies.` `compute.googleapis.com/regionUrlMaps.` `compute.googleapis.com/sslPolicies.` `compute.googleapis.com/targetGrpcProxies.` `compute.googleapis.com/targetHttpProxies.` `compute.googleapis.com/targetHttpsProxies.` `compute.googleapis.com/targetSslProxies.` `compute.googleapis.com/targetTcpProxies.` `compute.googleapis.com/urlMaps.` `compute.googleapis.com/addresses.` `compute.googleapis.com/globalAddresses.` `compute.googleapis.com/networks.` `compute.googleapis.com/packetMirrorings.` `compute.googleapis.com/publicAdvertisedPrefixes.` `compute.googleapis.com/publicDelegatedPrefixes.` `compute.googleapis.com/routes.` `compute.googleapis.com/subnetworks.` `compute.googleapis.com/externalVpnGateways.` `compute.googleapis.com/targetVpnGateways.` `compute.googleapis.com/vpnGateways.` `compute.googleapis.com/interconnectAttachments.` `compute.googleapis.com/interconnectLocations.` `compute.googleapis.com/interconnectRemoteLocations.` `compute.googleapis.com/interconnects.`	なし
Artifact Registry	`artifactregistry.googleapis.com/.`	なし
Pub/Sub	`pubsub.googleapis.com/.`	なし
ワークフロー	`workflows.googleapis.com/.`	なし
Google Distributed Cloud	`gkeonprem.googleapis.com/.`	なし
API キー	`apikeys.googleapis.com/apikeys.` 注: IAM v1 API では、これらの権限の名前は `serviceusage.apiKeys.` です。 `apikeys.googleapis.com/keys.*`	なし
Cloud DNS	`dns.googleapis.com/.`	なし
Datastore	`datastore.googleapis.com/backupSchedules.` `datastore.googleapis.com/databases.` `datastore.googleapis.com/indexes.` `datastore.googleapis.com/entities.` `datastore.googleapis.com/operations.` `datastore.googleapis.com/userCreds.` `datastore.googleapis.com/backups.get` `datastore.googleapis.com/backups.list` `datastore.googleapis.com/backups.delete` `datastore.googleapis.com/locations.*`	なし
Cloud Key Management Service	`cloudkms.googleapis.com/ekmConfigs.` `cloudkms.googleapis.com/keyRings.` `cloudkms.googleapis.com/importJobs.` `cloudkms.googleapis.com/cryptoKeyVersions.create` `cloudkms.googleapis.com/cryptoKeyVersions.get` `cloudkms.googleapis.com/cryptoKeyVersions.list` `cloudkms.googleapis.com/cryptoKeyVersions.update` `cloudkms.googleapis.com/cryptoKeyVersions.restore` `cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToSign` `cloudkms.googleapis.com/cryptoKeyVersions.useToVerify` `cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey` `cloudkms.googleapis.com/cryptoKeyVersions.destroy` `cloudkms.googleapis.com/keyHandles.` `cloudkms.googleapis.com/autokeyConfigs.*`	`cloudkms.googleapis.com/importJobs.useToImport`
組織ポリシーサービス	`orgpolicy.googleapis.com/.`	なし
Dataplex Universal Catalog	`dataplex.googleapis.com/aspectTypes.` `dataplex.googleapis.com/datascans.` `dataplex.googleapis.com/entries.` `dataplex.googleapis.com/entryTypes.` `dataplex.googleapis.com/metadataJobs.*` `dataplex.googleapis.com/entryGroups.import` `dataplex.googleapis.com/entryGroups.getIamPolicy` `dataplex.googleapis.com/entryGroups.setIamPolicy` `dataplex.googleapis.com/entryGroups.create` `dataplex.googleapis.com/entryGroups.get` `dataplex.googleapis.com/entryGroups.update` `dataplex.googleapis.com/entryGroups.delete` `dataplex.googleapis.com/entryGroups.list` `dataplex.googleapis.com/entryGroups.useGenericAspect` `dataplex.googleapis.com/entryGroups.useContactsAspect` `dataplex.googleapis.com/entryGroups.useOverviewAspect` `dataplex.googleapis.com/entryGroups.useSchemaAspect` `dataplex.googleapis.com/entryGroups.useGenericEntry`	なし
Data Lineage API	`datalineage.googleapis.com/locations.` `datalineage.googleapis.com/operations.` `datalineage.googleapis.com/processes.` `datalineage.googleapis.com/runs.` `datalineage.googleapis.com/events.*`	なし
GKE Hub	`gkehub.googleapis.com/fleets.*`	なし
Cloud Run functions	`cloudfunctions.googleapis.com/.`	なし
Spanner	`spanner.googleapis.com/.`	なし
Google Kubernetes Engine	`container.googleapis.com/.`	なし

適用バージョン `2`

適用バージョンが 2 のポリシーは、適用バージョン 1 に一覧表示されているすべての権限をブロックできます。また、適用バージョンが 2 のポリシーでは、次の表に示すすべての権限をブロックすることもできます。

各行には次の情報が含まれています。

プリンシパルアクセス境界ポリシーでブロックできる権限を持つサービスの名前。
プリンシパルアクセス境界ポリシーでブロックできるサービスの権限。

権限名のセクションがワイルドカード文字（*）に置き換えられている場合があります。この形式は、プリンシパルアクセス境界ポリシーで、そのパターンに一致するすべての権限をブロックできることを示します。

サービス	権限	例外
Access Context Manager	`accesscontextmanager.googleapis.com/*`	なし
Artifact Analysis	`containeranalysis.googleapis.com/*`	なし
BigQuery	`bigquery.googleapis.com/datasets.` `bigquery.googleapis.com/jobs.` `bigquery.googleapis.com/models.` `bigquery.googleapis.com/routines.` `bigquery.googleapis.com/rowAccessPolicies.` `bigquery.googleapis.com/tables.`	なし
BigQuery Data Policy	`bigquerydatapolicy.googleapis.com/*`	なし
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com/transfers.*`	なし
Chrome Enterprise Premium	`beyondcorp.googleapis.com/*`	なし
Cloud Asset Inventory	`cloudasset.googleapis.com/*`	なし
Cloud Billing	`billing.googleapis.com/budgets.*`	なし
Cloud Build	`cloudbuild.googleapis.com/*`	なし
Cloud Monitoring	`monitoring.googleapis.com/*`	`monitoring.googleapis.com/timeSeries.list` `monitoring.googleapis.com/metricsScopes.link`
Cloud Service Mesh	`meshconfig.googleapis.com/*`	なし
Cloud Storage	`storage.googleapis.com/bucketOperations.` `storage.googleapis.com/buckets.` `storage.googleapis.com/folders.` `storage.googleapis.com/hmacKeys.` `storage.googleapis.com/managedFolders.` `storage.googleapis.com/multipartUploads.` `storage.googleapis.com/objects.*`	なし
Cloud Trace	`cloudtrace.googleapis.com/*`	なし
Compute Engine	`compute.googleapis.com/networkAttachments.` `compute.googleapis.com/networkEdgeSecurityServices.` `compute.googleapis.com/regionSecurityPolicies.` `compute.googleapis.com/routers.` `compute.googleapis.com/serviceAttachments.` `compute.googleapis.com/securityPolicies.`	なし
Firebase ルール	`firebaserules.googleapis.com/*`	なし
GKE Multi-Cloud	`gkemulticloud.googleapis.com/*`	なし
Identity-Aware Proxy	`iap.googleapis.com/*`	なし
Memorystore for Redis	`redis.googleapis.com/*`	なし
ネットワーク管理 API	`networkmanagement.googleapis.com/*`	なし
Network Services API	`networkservices.googleapis.com/edgeCacheOrigins.` `networkservices.googleapis.com/edgeCacheKeysets.` `networkservices.googleapis.com/edgeCacheServices.*`	なし
reCAPTCHA	`recaptchaenterprise.googleapis.com/*`	なし
Resource Manager	`cloudresourcemanager.googleapis.com/*`	`cloudresourcemanager.googleapis.com/.createPolicyBinding` `cloudresourcemanager.googleapis.com/.updatePolicyBinding` `cloudresourcemanager.googleapis.com/.deletePolicyBinding` `cloudresourcemanager.googleapis.com/.searchPolicyBindings`
Video Stitcher API	`videostitcher.googleapis.com/*`	なし

適用バージョン `1`

次の表に、適用バージョン 1 のプリンシパルアクセス境界ポリシーでブロックできる権限を示します。

各行には次の情報が含まれています。

プリンシパルアクセス境界ポリシーでブロックできる権限を持つサービスの名前。
プリンシパルアクセス境界ポリシーでブロックできるサービスの権限。

権限名のセクションがワイルドカード文字（*）に置き換えられている場合があります。この形式は、プリンシパルアクセス境界ポリシーで、そのパターンに一致するすべての権限をブロックできることを示します。
プリンシパルアクセス境界でブロックできないサービスの権限。サポートされている権限パターンのいずれかに一致する場合でも、これらの権限はブロックできません。

サービス	権限	例外
アクセス承認	`accessapproval.googleapis.com/serviceaccounts.get` `accessapproval.googleapis.com/settings.*` `accessapproval.googleapis.com/requests.list`	なし
Access Context Manager	`accesscontextmanager.googleapis.com/*`	`accesscontextmanager.googleapis.com/gcpUserAccessBindings.*`
BigQuery	`bigquery.googleapis.com/datasets.create` `bigquery.googleapis.com/datasets.delete` `bigquery.googleapis.com/datasets.get` `bigquery.googleapis.com/datasets.update` `bigquery.googleapis.com/datasets.setIamPolicy` `bigquery.googleapis.com/jobs.get` `bigquery.googleapis.com/jobs.create` `bigquery.googleapis.com/jobs.delete` `bigquery.googleapis.com/jobs.list` `bigquery.googleapis.com/models.create` `bigquery.googleapis.com/models.delete` `bigquery.googleapis.com/models.list` `bigquery.googleapis.com/models.updateMetadata` `bigquery.googleapis.com/routines.create` `bigquery.googleapis.com/routines.delete` `bigquery.googleapis.com/routines.list` `bigquery.googleapis.com/routines.update`	なし
Binary Authorization	`binaryauthorization.googleapis.com/*`	なし
Cloud Logging	`logging.googleapis.com/logEntries.create` `logging.googleapis.com/logMetrics.*`	なし
Cloud Run	`run.googleapis.com/authorizeddomains.` `run.googleapis.com/configurations.get` `run.googleapis.com/configurations.list` `run.googleapis.com/domainmappings.` `run.googleapis.com/executions.` `run.googleapis.com/jobs.create` `run.googleapis.com/jobs.delete` `run.googleapis.com/jobs.get` `run.googleapis.com/jobs.list` `run.googleapis.com/jobs.run` `run.googleapis.com/revisions.` `run.googleapis.com/routes.get` `run.googleapis.com/routes.list` `run.googleapis.com/services.create` `run.googleapis.com/services.delete` `run.googleapis.com/services.get` `run.googleapis.com/services.list` `run.googleapis.com/services.update` `run.googleapis.com/tasks.*`	なし
Cloud Storage	`storage.googleapis.com/buckets.get` `storage.googleapis.com/buckets.update` `storage.googleapis.com/buckets.list` `storage.googleapis.com/buckets.getIamPolicy` `storage.googleapis.com/buckets.setIamPolicy` `storage.googleapis.com/hmacKeys.update` `storage.googleapis.com/objects.get` `storage.googleapis.com/objects.setRetention` `storage.googleapis.com/objects.delete`	なし
Dataflow	`dataflow.googleapis.com/jobs.` `dataflow.googleapis.com/metrics.get` `dataflow.googleapis.com/workItems.` `dataflow.googleapis.com/messages.list` `dataflow.googleapis.com/snapshots.list`	`dataflow.googleapis.com/jobs.snapshot`
Datastore	`datastore.googleapis.com/databases.get` `datastore.googleapis.com/databases.getMetadata` `datastore.googleapis.com/databases.create` `datastore.googleapis.com/databases.delete` `datastore.googleapis.com/databases.list`	なし
Firebase セキュリティルール	`firebaserules.googleapis.com/*`	なし
GKE Hub	`gkehub.googleapis.com/features.` `gkehub.googleapis.com/fleet.create` `gkehub.googleapis.com/fleet.get` `gkehub.googleapis.com/fleet.patch` `gkehub.googleapis.com/locations.` `gkehub.googleapis.com/membershipbindings.` `gkehub.googleapis.com/memberships.` `gkehub.googleapis.com/rbacrolebindings.` `gkehub.googleapis.com/scopes.`	`gkehub.googleapis.com/.createTagBinding` `gkehub.googleapis.com/.deleteTagBinding` `gkehub.googleapis.com/.listEffectiveTags` `gkehub.googleapis.com/.listTagBindings`
Pub/Sub	`pubsub.googleapis.com/*`	`pubsub.googleapis.com/schemas.delete` `pubsub.googleapis.com/schemas.validate` `pubsub.googleapis.com/subscriptions.consume` `pubsub.googleapis.com/.getIamPolicy` `pubsub.googleapis.com/.setIamPolicy`
Memorystore for Redis	`redis.googleapis.com/instances.create` `redis.googleapis.com/instances.delete` `redis.googleapis.com/instances.get` `redis.googleapis.com/instances.failover` `redis.googleapis.com/instances.getAuthString` `redis.googleapis.com/instances.list` `redis.googleapis.com/instances.upgrade` `redis.googleapis.com/instances.update`	なし
Vertex AI	`aiplatform.googleapis.com/*`	`aiplatform.googleapis.com/operations.*`

プリンシパル アクセス境界ポリシーによってブロックされる権限

適用バージョン 3

適用バージョン 2

適用バージョン 1

プリンシパルアクセス境界ポリシーによってブロックされる権限

適用バージョン `3`

適用バージョン `2`

適用バージョン `1`