이 페이지는 Cloud Translation API를 통해 번역되었습니다.

주 구성원 액세스 경계 정책에서 차단하는 권한

주 구성원이 액세스 자격이 없는 리소스에 액세스하려고 시도할 때 주 구성원 액세스 경계 정책은 전체는 아니지만 일부 Identity and Access Management(IAM) 권한을 사용해서 리소스에 액세스하지 못하도록 합니다.

주 구성원 액세스 경계 정책에서 권한을 차단하면 IAM은 해당 권한에 대해 주 구성원 액세스 경계 정책을 적용합니다. 즉, 리소스에 액세스 자격이 없는 주 구성원이 권한을 이용해서 리소스에 액세스하지 못하도록 합니다.

주 구성원 액세스 경계 정책에서 권한을 차단하지 않으면 주 구성원 액세스 경계 정책은 주 구성원이 권한을 사용할 수 있는지 여부에 영향을 미치지 않습니다.

IAM은 추가 권한을 차단할 수 있는 새로운 주 구성원 액세스 경계 적용 버전을 주기적으로 추가합니다. 각 새 버전은 이전 버전의 모든 권한도 차단할 수 있습니다.

이 페이지에서는 각 적용 버전이 차단할 수 있는 권한을 보여줍니다.

주 구성원 액세스 경계 정책 버전 번호에 대한 자세한 내용은 주 구성원 액세스 경계 정책 개요를 참조하세요.

적용 버전 `3`

적용 버전이 3인 정책은 다음 적용 버전에 나열된 모든 권한을 차단할 수 있습니다.

시행 버전 1
시행 버전 2

또한 적용 버전이 3인 정책은 다음 표에 나열된 모든 권한을 차단할 수도 있습니다.

각 행에는 다음 정보가 포함되어 있습니다.

주 구성원 액세스 경계 정책에서 차단할 수 있는 권한이 있는 서비스의 이름
주 구성원 액세스 경계 정책에서 차단할 수 있는 서비스의 권한.

일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책에서 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 나타냅니다.

서비스	권한	예외
필수 연락처	`essentialcontacts.googleapis.com/contacts.*`	없음
Identity and Access Management	`iam.googleapis.com/serviceAccounts.` `iam.googleapis.com/serviceAccountKeys.` `iam.googleapis.com/roles.` `iam.googleapis.com/denypolicies.`	`iam.googleapis.com/serviceAccounts.createTagBinding` `iam.googleapis.com/serviceAccounts.deleteTagBinding` `iam.googleapis.com/serviceAccounts.listTagBindings` `iam.googleapis.com/serviceAccounts.listEffectiveTags` `iam.googleapis.com/serviceAccounts.getCertificateAs`
Dataproc	`dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/batches.` `dataproc.googleapis.com/operations.` `dataproc.googleapis.com/sessionTemplates.` `dataproc.googleapis.com/sessions.` `dataproc.googleapis.com/workflowTemplates.` `dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/clusters.` `dataproc.googleapis.com/jobs.*`	없음
서비스 관리	`servicemanagement.googleapis.com/services.check` `servicemanagement.googleapis.com/services.report`	없음
Bigtable	`bigtable.googleapis.com/.`	없음
Cloud Bigtable Admin API	`bigtableadmin.googleapis.com/.`	없음
Cloud SQL	`cloudsql.googleapis.com/.`	없음
네트워크 서비스	`networkservices.googleapis.com/endpointPolicies.` `networkservices.googleapis.com/gateways.` `networkservices.googleapis.com/grpcRoutes.` `networkservices.googleapis.com/httpfilters.` `networkservices.googleapis.com/httpRoutes.` `networkservices.googleapis.com/meshes.` `networkservices.googleapis.com/route_views.` `networkservices.googleapis.com/serviceBindings.` `networkservices.googleapis.com/tcpRoutes.` `networkservices.googleapis.com/tlsRoutes.` `networkservices.googleapis.com/serviceLbPolicies.*`	없음
Cloud Service Mesh	`trafficdirector.googleapis.com/.`	없음
Network Management API	`networkmanagement.googleapis.com/.`	없음
Compute Engine	`compute.googleapis.com/healthChecks.` `compute.googleapis.com/regionHealthChecks.` `compute.googleapis.com/httpHealthChecks.` `compute.googleapis.com/httpsHealthChecks.` `compute.googleapis.com/forwardingRules.` `compute.googleapis.com/globalForwardingRules.` `compute.googleapis.com/regionBackendServices.` `compute.googleapis.com/targetInstances.` `compute.googleapis.com/targetPools.` `compute.googleapis.com/firewallPolicies.` `compute.googleapis.com/firewalls.` `compute.googleapis.com/regionFirewallPolicies.` `compute.googleapis.com/backendBuckets.` `compute.googleapis.com/backendServices.` `compute.googleapis.com/regionSslPolicies.` `compute.googleapis.com/regionTargetHttpProxies.` `compute.googleapis.com/regionTargetTcpProxies.` `compute.googleapis.com/regionUrlMaps.` `compute.googleapis.com/sslPolicies.` `compute.googleapis.com/targetGrpcProxies.` `compute.googleapis.com/targetHttpProxies.` `compute.googleapis.com/targetHttpsProxies.` `compute.googleapis.com/targetSslProxies.` `compute.googleapis.com/targetTcpProxies.` `compute.googleapis.com/urlMaps.` `compute.googleapis.com/addresses.` `compute.googleapis.com/globalAddresses.` `compute.googleapis.com/networks.` `compute.googleapis.com/packetMirrorings.` `compute.googleapis.com/publicAdvertisedPrefixes.` `compute.googleapis.com/publicDelegatedPrefixes.` `compute.googleapis.com/routes.` `compute.googleapis.com/subnetworks.` `compute.googleapis.com/externalVpnGateways.` `compute.googleapis.com/targetVpnGateways.` `compute.googleapis.com/vpnGateways.` `compute.googleapis.com/interconnectAttachments.` `compute.googleapis.com/interconnectLocations.` `compute.googleapis.com/interconnectRemoteLocations.` `compute.googleapis.com/interconnects.`	없음
Artifact Registry	`artifactregistry.googleapis.com/.`	없음
Pub/Sub	`pubsub.googleapis.com/.`	없음
워크플로	`workflows.googleapis.com/.`	없음
Google Distributed Cloud	`gkeonprem.googleapis.com/.`	없음
API 키	`apikeys.googleapis.com/apikeys.` 참고:* IAM v1 API에서 이 권한의 이름은 `serviceusage.apiKeys.`입니다. `apikeys.googleapis.com/keys.`	없음
Cloud DNS	`dns.googleapis.com/.`	없음
Datastore	`datastore.googleapis.com/backupSchedules.` `datastore.googleapis.com/databases.` `datastore.googleapis.com/indexes.` `datastore.googleapis.com/entities.` `datastore.googleapis.com/operations.` `datastore.googleapis.com/userCreds.` `datastore.googleapis.com/backups.get` `datastore.googleapis.com/backups.list` `datastore.googleapis.com/backups.delete` `datastore.googleapis.com/locations.*`	없음
Cloud Key Management Service	`cloudkms.googleapis.com/ekmConfigs.` `cloudkms.googleapis.com/keyRings.` `cloudkms.googleapis.com/importJobs.` `cloudkms.googleapis.com/cryptoKeyVersions.create` `cloudkms.googleapis.com/cryptoKeyVersions.get` `cloudkms.googleapis.com/cryptoKeyVersions.list` `cloudkms.googleapis.com/cryptoKeyVersions.update` `cloudkms.googleapis.com/cryptoKeyVersions.restore` `cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToSign` `cloudkms.googleapis.com/cryptoKeyVersions.useToVerify` `cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey` `cloudkms.googleapis.com/cryptoKeyVersions.destroy` `cloudkms.googleapis.com/keyHandles.` `cloudkms.googleapis.com/autokeyConfigs.*`	`cloudkms.googleapis.com/importJobs.useToImport`
조직 정책 서비스	`orgpolicy.googleapis.com/.`	없음
Dataplex 범용 카탈로그	`dataplex.googleapis.com/aspectTypes.` `dataplex.googleapis.com/datascans.` `dataplex.googleapis.com/entries.` `dataplex.googleapis.com/entryTypes.` `dataplex.googleapis.com/metadataJobs.*` `dataplex.googleapis.com/entryGroups.import` `dataplex.googleapis.com/entryGroups.getIamPolicy` `dataplex.googleapis.com/entryGroups.setIamPolicy` `dataplex.googleapis.com/entryGroups.create` `dataplex.googleapis.com/entryGroups.get` `dataplex.googleapis.com/entryGroups.update` `dataplex.googleapis.com/entryGroups.delete` `dataplex.googleapis.com/entryGroups.list` `dataplex.googleapis.com/entryGroups.useGenericAspect` `dataplex.googleapis.com/entryGroups.useContactsAspect` `dataplex.googleapis.com/entryGroups.useOverviewAspect` `dataplex.googleapis.com/entryGroups.useSchemaAspect` `dataplex.googleapis.com/entryGroups.useGenericEntry`	없음
Data Lineage API	`datalineage.googleapis.com/locations.` `datalineage.googleapis.com/operations.` `datalineage.googleapis.com/processes.` `datalineage.googleapis.com/runs.` `datalineage.googleapis.com/events.*`	없음
GKE 허브	`gkehub.googleapis.com/fleets.*`	없음
Cloud Run Functions	`cloudfunctions.googleapis.com/.`	없음
Spanner	`spanner.googleapis.com/.`	없음
Google Kubernetes Engine	`container.googleapis.com/.`	없음

적용 버전 `2`

적용 버전이 2인 정책은 적용 버전 1에 나열된 모든 권한을 차단할 수 있습니다. 또한 적용 버전이 2인 정책은 다음 표에 나열된 모든 권한을 차단할 수도 있습니다.

각 행에는 다음 정보가 포함되어 있습니다.

주 구성원 액세스 경계 정책에서 차단할 수 있는 권한이 있는 서비스의 이름
주 구성원 액세스 경계 정책에서 차단할 수 있는 서비스의 권한.

일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책에서 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 나타냅니다.

서비스	권한	예외
Access Context Manager	`accesscontextmanager.googleapis.com/*`	없음
Artifact Analysis	`containeranalysis.googleapis.com/*`	없음
BigQuery	`bigquery.googleapis.com/datasets.` `bigquery.googleapis.com/jobs.` `bigquery.googleapis.com/models.` `bigquery.googleapis.com/routines.` `bigquery.googleapis.com/rowAccessPolicies.` `bigquery.googleapis.com/tables.`	없음
BigQuery 데이터 정책	`bigquerydatapolicy.googleapis.com/*`	없음
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com/transfers.*`	없음
Chrome Enterprise Premium	`beyondcorp.googleapis.com/*`	없음
Cloud 애셋 인벤토리	`cloudasset.googleapis.com/*`	없음
Cloud Billing	`billing.googleapis.com/budgets.*`	없음
Cloud Build	`cloudbuild.googleapis.com/*`	없음
Cloud Monitoring	`monitoring.googleapis.com/*`	`monitoring.googleapis.com/timeSeries.list` `monitoring.googleapis.com/metricsScopes.link`
Cloud Service Mesh	`meshconfig.googleapis.com/*`	없음
Cloud Storage	`storage.googleapis.com/bucketOperations.` `storage.googleapis.com/buckets.` `storage.googleapis.com/folders.` `storage.googleapis.com/hmacKeys.` `storage.googleapis.com/managedFolders.` `storage.googleapis.com/multipartUploads.` `storage.googleapis.com/objects.*`	없음
Cloud Trace	`cloudtrace.googleapis.com/*`	없음
Compute Engine	`compute.googleapis.com/networkAttachments.` `compute.googleapis.com/networkEdgeSecurityServices.` `compute.googleapis.com/regionSecurityPolicies.` `compute.googleapis.com/routers.` `compute.googleapis.com/serviceAttachments.` `compute.googleapis.com/securityPolicies.`	없음
Firebase 규칙	`firebaserules.googleapis.com/*`	없음
GKE Multi-Cloud	`gkemulticloud.googleapis.com/*`	없음
IAP(Identity-Aware Proxy)	`iap.googleapis.com/*`	없음
Redis용 Memorystore	`redis.googleapis.com/*`	없음
Network Management API	`networkmanagement.googleapis.com/*`	없음
Network Services API	`networkservices.googleapis.com/edgeCacheOrigins.` `networkservices.googleapis.com/edgeCacheKeysets.` `networkservices.googleapis.com/edgeCacheServices.*`	없음
reCAPTCHA	`recaptchaenterprise.googleapis.com/*`	없음
Resource Manager	`cloudresourcemanager.googleapis.com/*`	`cloudresourcemanager.googleapis.com/.createPolicyBinding` `cloudresourcemanager.googleapis.com/.updatePolicyBinding` `cloudresourcemanager.googleapis.com/.deletePolicyBinding` `cloudresourcemanager.googleapis.com/.searchPolicyBindings`
Video Stitcher API	`videostitcher.googleapis.com/*`	없음

적용 버전 `1`

다음 표에는 적용 버전이 1인 주 구성원 액세스 경계 정책에서 차단할 수 있는 권한이 나와 있습니다.

각 행에는 다음 정보가 포함되어 있습니다.

주 구성원 액세스 경계 정책에서 차단할 수 있는 권한이 있는 서비스의 이름
주 구성원 액세스 경계 정책에서 차단할 수 있는 서비스의 권한.

일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책에서 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 나타냅니다.
해당 권한이 지원되는 권한 패턴 중 하나와 일치하더라도 주 구성원 액세스 경계에서 차단할 수 없는 서비스의 권한

서비스	권한	예외
액세스 승인	`accessapproval.googleapis.com/serviceaccounts.get` `accessapproval.googleapis.com/settings.*` `accessapproval.googleapis.com/requests.list`	없음
Access Context Manager	`accesscontextmanager.googleapis.com/*`	`accesscontextmanager.googleapis.com/gcpUserAccessBindings.*`
BigQuery	`bigquery.googleapis.com/datasets.create` `bigquery.googleapis.com/datasets.delete` `bigquery.googleapis.com/datasets.get` `bigquery.googleapis.com/datasets.update` `bigquery.googleapis.com/datasets.setIamPolicy` `bigquery.googleapis.com/jobs.get` `bigquery.googleapis.com/jobs.create` `bigquery.googleapis.com/jobs.delete` `bigquery.googleapis.com/jobs.list` `bigquery.googleapis.com/models.create` `bigquery.googleapis.com/models.delete` `bigquery.googleapis.com/models.list` `bigquery.googleapis.com/models.updateMetadata` `bigquery.googleapis.com/routines.create` `bigquery.googleapis.com/routines.delete` `bigquery.googleapis.com/routines.list` `bigquery.googleapis.com/routines.update`	없음
Binary Authorization	`binaryauthorization.googleapis.com/*`	없음
Cloud Logging	`logging.googleapis.com/logEntries.create` `logging.googleapis.com/logMetrics.*`	없음
Cloud Run	`run.googleapis.com/authorizeddomains.` `run.googleapis.com/configurations.get` `run.googleapis.com/configurations.list` `run.googleapis.com/domainmappings.` `run.googleapis.com/executions.` `run.googleapis.com/jobs.create` `run.googleapis.com/jobs.delete` `run.googleapis.com/jobs.get` `run.googleapis.com/jobs.list` `run.googleapis.com/jobs.run` `run.googleapis.com/revisions.` `run.googleapis.com/routes.get` `run.googleapis.com/routes.list` `run.googleapis.com/services.create` `run.googleapis.com/services.delete` `run.googleapis.com/services.get` `run.googleapis.com/services.list` `run.googleapis.com/services.update` `run.googleapis.com/tasks.*`	없음
Cloud Storage	`storage.googleapis.com/buckets.get` `storage.googleapis.com/buckets.update` `storage.googleapis.com/buckets.list` `storage.googleapis.com/buckets.getIamPolicy` `storage.googleapis.com/buckets.setIamPolicy` `storage.googleapis.com/hmacKeys.update` `storage.googleapis.com/objects.get` `storage.googleapis.com/objects.setRetention` `storage.googleapis.com/objects.delete`	없음
Dataflow	`dataflow.googleapis.com/jobs.` `dataflow.googleapis.com/metrics.get` `dataflow.googleapis.com/workItems.` `dataflow.googleapis.com/messages.list` `dataflow.googleapis.com/snapshots.list`	`dataflow.googleapis.com/jobs.snapshot`
Datastore	`datastore.googleapis.com/databases.get` `datastore.googleapis.com/databases.getMetadata` `datastore.googleapis.com/databases.create` `datastore.googleapis.com/databases.delete` `datastore.googleapis.com/databases.list`	없음
Firebase 보안 규칙	`firebaserules.googleapis.com/*`	없음
GKE 허브	`gkehub.googleapis.com/features.` `gkehub.googleapis.com/fleet.create` `gkehub.googleapis.com/fleet.get` `gkehub.googleapis.com/fleet.patch` `gkehub.googleapis.com/locations.` `gkehub.googleapis.com/membershipbindings.` `gkehub.googleapis.com/memberships.` `gkehub.googleapis.com/rbacrolebindings.` `gkehub.googleapis.com/scopes.`	`gkehub.googleapis.com/.createTagBinding` `gkehub.googleapis.com/.deleteTagBinding` `gkehub.googleapis.com/.listEffectiveTags` `gkehub.googleapis.com/.listTagBindings`
Pub/Sub	`pubsub.googleapis.com/*`	`pubsub.googleapis.com/schemas.delete` `pubsub.googleapis.com/schemas.validate` `pubsub.googleapis.com/subscriptions.consume` `pubsub.googleapis.com/.getIamPolicy` `pubsub.googleapis.com/.setIamPolicy`
Redis용 Memorystore	`redis.googleapis.com/instances.create` `redis.googleapis.com/instances.delete` `redis.googleapis.com/instances.get` `redis.googleapis.com/instances.failover` `redis.googleapis.com/instances.getAuthString` `redis.googleapis.com/instances.list` `redis.googleapis.com/instances.upgrade` `redis.googleapis.com/instances.update`	없음
Vertex AI	`aiplatform.googleapis.com/*`	`aiplatform.googleapis.com/operations.*`

주 구성원 액세스 경계 정책에서 차단하는 권한

적용 버전 3

적용 버전 2

적용 버전 1

적용 버전 `3`

적용 버전 `2`

적용 버전 `1`