Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Permisos que bloquean las políticas de límites de acceso de principales

Cuando las entidades intentan acceder a un recurso al que no pueden acceder, las políticas de límite de acceso de la entidad les impiden usar algunos, pero no todos, los permisos de Gestión de Identidades y Accesos (IAM) para acceder al recurso.

Si una política de límites de acceso de principales bloquea un permiso, IAM aplica políticas de límites de acceso de principales para ese permiso. Es decir, impide que las entidades que no cumplan los requisitos para acceder a un recurso utilicen ese permiso para acceder al recurso.

Si una política de límites de acceso de principales no bloquea un permiso, las políticas de límites de acceso de principales no influyen en si los principales pueden usar el permiso.

Periódicamente, Gestión de identidades y accesos añade nuevas versiones de la aplicación de límites de acceso de principales que pueden bloquear permisos adicionales. Cada nueva versión también puede bloquear todos los permisos de la versión anterior.

En esta página se enumeran los permisos que puede bloquear cada versión de la medida.

Para obtener más información sobre los números de versión de la política de límites de acceso de principales, consulta el resumen de la política de límites de acceso de principales.

Versión de cumplimiento `3`

Las políticas con la versión de aplicación 3 pueden bloquear todos los permisos que se indican en las siguientes versiones de aplicación:

Versión de la implementación obligatoria 1
Versión de la implementación obligatoria 2

Además, las políticas con la versión de aplicación 3 también pueden bloquear todos los permisos que se indican en la siguiente tabla.

Cada fila contiene la siguiente información:

Nombre de un servicio con permisos que las políticas de límites de acceso de principales pueden bloquear.
Los permisos de ese servicio que pueden bloquear las políticas de límites de acceso de principales.

En algunos casos, una sección de un nombre de permiso se sustituye por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de la entidad de seguridad pueden bloquear todos los permisos que coincidan con ese patrón.

Servicio	Permisos	Excepciones
Contactos esenciales	`essentialcontacts.googleapis.com/contacts.*`	Ninguno
Gestión de Identidades y Accesos	`iam.googleapis.com/serviceAccounts.` `iam.googleapis.com/serviceAccountKeys.` `iam.googleapis.com/roles.` `iam.googleapis.com/denypolicies.`	`iam.googleapis.com/serviceAccounts.createTagBinding` `iam.googleapis.com/serviceAccounts.deleteTagBinding` `iam.googleapis.com/serviceAccounts.listTagBindings` `iam.googleapis.com/serviceAccounts.listEffectiveTags` `iam.googleapis.com/serviceAccounts.getCertificateAs`
Dataproc	`dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/batches.` `dataproc.googleapis.com/operations.` `dataproc.googleapis.com/sessionTemplates.` `dataproc.googleapis.com/sessions.` `dataproc.googleapis.com/workflowTemplates.` `dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/clusters.` `dataproc.googleapis.com/jobs.*`	Ninguno
Service Management	`servicemanagement.googleapis.com/services.check` `servicemanagement.googleapis.com/services.report`	Ninguno
Bigtable	`bigtable.googleapis.com/.`	Ninguno
API Admin de Cloud Bigtable	`bigtableadmin.googleapis.com/.`	Ninguno
Cloud SQL	`cloudsql.googleapis.com/.`	Ninguno
Servicios de red	`networkservices.googleapis.com/endpointPolicies.` `networkservices.googleapis.com/gateways.` `networkservices.googleapis.com/grpcRoutes.` `networkservices.googleapis.com/httpfilters.` `networkservices.googleapis.com/httpRoutes.` `networkservices.googleapis.com/meshes.` `networkservices.googleapis.com/route_views.` `networkservices.googleapis.com/serviceBindings.` `networkservices.googleapis.com/tcpRoutes.` `networkservices.googleapis.com/tlsRoutes.` `networkservices.googleapis.com/serviceLbPolicies.*`	Ninguno
Cloud Service Mesh	`trafficdirector.googleapis.com/.`	Ninguno
API Network Management	`networkmanagement.googleapis.com/.`	Ninguno
Compute Engine	`compute.googleapis.com/healthChecks.` `compute.googleapis.com/regionHealthChecks.` `compute.googleapis.com/httpHealthChecks.` `compute.googleapis.com/httpsHealthChecks.` `compute.googleapis.com/forwardingRules.` `compute.googleapis.com/globalForwardingRules.` `compute.googleapis.com/regionBackendServices.` `compute.googleapis.com/targetInstances.` `compute.googleapis.com/targetPools.` `compute.googleapis.com/firewallPolicies.` `compute.googleapis.com/firewalls.` `compute.googleapis.com/regionFirewallPolicies.` `compute.googleapis.com/backendBuckets.` `compute.googleapis.com/backendServices.` `compute.googleapis.com/regionSslPolicies.` `compute.googleapis.com/regionTargetHttpProxies.` `compute.googleapis.com/regionTargetTcpProxies.` `compute.googleapis.com/regionUrlMaps.` `compute.googleapis.com/sslPolicies.` `compute.googleapis.com/targetGrpcProxies.` `compute.googleapis.com/targetHttpProxies.` `compute.googleapis.com/targetHttpsProxies.` `compute.googleapis.com/targetSslProxies.` `compute.googleapis.com/targetTcpProxies.` `compute.googleapis.com/urlMaps.` `compute.googleapis.com/addresses.` `compute.googleapis.com/globalAddresses.` `compute.googleapis.com/networks.` `compute.googleapis.com/packetMirrorings.` `compute.googleapis.com/publicAdvertisedPrefixes.` `compute.googleapis.com/publicDelegatedPrefixes.` `compute.googleapis.com/routes.` `compute.googleapis.com/subnetworks.` `compute.googleapis.com/externalVpnGateways.` `compute.googleapis.com/targetVpnGateways.` `compute.googleapis.com/vpnGateways.` `compute.googleapis.com/interconnectAttachments.` `compute.googleapis.com/interconnectLocations.` `compute.googleapis.com/interconnectRemoteLocations.` `compute.googleapis.com/interconnects.`	Ninguno
Artifact Registry	`artifactregistry.googleapis.com/.`	Ninguno
Pub/Sub	`pubsub.googleapis.com/.`	Ninguno
Flujos de trabajo	`workflows.googleapis.com/.`	Ninguno
Google Distributed Cloud	`gkeonprem.googleapis.com/.`	Ninguno
Claves de API	`apikeys.googleapis.com/apikeys.` Nota:* En la API IAM v1, estos permisos se denominan `serviceusage.apiKeys.`. `apikeys.googleapis.com/keys.`	Ninguno
Cloud DNS	`dns.googleapis.com/.`	Ninguno
Datastore	`datastore.googleapis.com/backupSchedules.` `datastore.googleapis.com/databases.` `datastore.googleapis.com/indexes.` `datastore.googleapis.com/entities.` `datastore.googleapis.com/operations.` `datastore.googleapis.com/userCreds.` `datastore.googleapis.com/backups.get` `datastore.googleapis.com/backups.list` `datastore.googleapis.com/backups.delete` `datastore.googleapis.com/locations.*`	Ninguno
Cloud Key Management Service	`cloudkms.googleapis.com/ekmConfigs.` `cloudkms.googleapis.com/keyRings.` `cloudkms.googleapis.com/importJobs.` `cloudkms.googleapis.com/cryptoKeyVersions.create` `cloudkms.googleapis.com/cryptoKeyVersions.get` `cloudkms.googleapis.com/cryptoKeyVersions.list` `cloudkms.googleapis.com/cryptoKeyVersions.update` `cloudkms.googleapis.com/cryptoKeyVersions.restore` `cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToSign` `cloudkms.googleapis.com/cryptoKeyVersions.useToVerify` `cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey` `cloudkms.googleapis.com/cryptoKeyVersions.destroy` `cloudkms.googleapis.com/keyHandles.` `cloudkms.googleapis.com/autokeyConfigs.*`	`cloudkms.googleapis.com/importJobs.useToImport`
Servicio de política de organización	`orgpolicy.googleapis.com/.`	Ninguno
Dataplex Universal Catalog	`dataplex.googleapis.com/aspectTypes.` `dataplex.googleapis.com/datascans.` `dataplex.googleapis.com/entries.` `dataplex.googleapis.com/entryTypes.` `dataplex.googleapis.com/metadataJobs.*` `dataplex.googleapis.com/entryGroups.import` `dataplex.googleapis.com/entryGroups.getIamPolicy` `dataplex.googleapis.com/entryGroups.setIamPolicy` `dataplex.googleapis.com/entryGroups.create` `dataplex.googleapis.com/entryGroups.get` `dataplex.googleapis.com/entryGroups.update` `dataplex.googleapis.com/entryGroups.delete` `dataplex.googleapis.com/entryGroups.list` `dataplex.googleapis.com/entryGroups.useGenericAspect` `dataplex.googleapis.com/entryGroups.useContactsAspect` `dataplex.googleapis.com/entryGroups.useOverviewAspect` `dataplex.googleapis.com/entryGroups.useSchemaAspect` `dataplex.googleapis.com/entryGroups.useGenericEntry`	Ninguno
API Data Lineage	`datalineage.googleapis.com/locations.` `datalineage.googleapis.com/operations.` `datalineage.googleapis.com/processes.` `datalineage.googleapis.com/runs.` `datalineage.googleapis.com/events.*`	Ninguno
Hub de GKE	`gkehub.googleapis.com/fleets.*`	Ninguno
Cloud Run Functions	`cloudfunctions.googleapis.com/.`	Ninguno
Spanner	`spanner.googleapis.com/.`	Ninguno
Google Kubernetes Engine	`container.googleapis.com/.`	Ninguno

Versión de cumplimiento `2`

Las políticas con la versión de implementación 2 pueden bloquear todos los permisos que se indican en la versión de implementación 1. Además, las políticas con la versión de aplicación 2 también pueden bloquear todos los permisos que se indican en la siguiente tabla.

Cada fila contiene la siguiente información:

Nombre de un servicio con permisos que las políticas de límites de acceso de principales pueden bloquear.
Los permisos de ese servicio que pueden bloquear las políticas de límites de acceso de principales.

En algunos casos, una sección de un nombre de permiso se sustituye por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de la entidad de seguridad pueden bloquear todos los permisos que coincidan con ese patrón.

Servicio	Permisos	Excepciones
Administrador de contextos de acceso	`accesscontextmanager.googleapis.com/*`	Ninguno
Artifact Analysis	`containeranalysis.googleapis.com/*`	Ninguno
BigQuery	`bigquery.googleapis.com/datasets.` `bigquery.googleapis.com/jobs.` `bigquery.googleapis.com/models.` `bigquery.googleapis.com/routines.` `bigquery.googleapis.com/rowAccessPolicies.` `bigquery.googleapis.com/tables.`	Ninguno
Política de datos de BigQuery	`bigquerydatapolicy.googleapis.com/*`	Ninguno
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com/transfers.*`	Ninguno
Chrome Enterprise Premium	`beyondcorp.googleapis.com/*`	Ninguno
Inventario de Recursos de Cloud	`cloudasset.googleapis.com/*`	Ninguno
Facturación de Google Cloud	`billing.googleapis.com/budgets.*`	Ninguno
Cloud Build	`cloudbuild.googleapis.com/*`	Ninguno
Cloud Monitoring	`monitoring.googleapis.com/*`	`monitoring.googleapis.com/timeSeries.list` `monitoring.googleapis.com/metricsScopes.link`
Cloud Service Mesh	`meshconfig.googleapis.com/*`	Ninguno
Cloud Storage	`storage.googleapis.com/bucketOperations.` `storage.googleapis.com/buckets.` `storage.googleapis.com/folders.` `storage.googleapis.com/hmacKeys.` `storage.googleapis.com/managedFolders.` `storage.googleapis.com/multipartUploads.` `storage.googleapis.com/objects.*`	Ninguno
Cloud Trace	`cloudtrace.googleapis.com/*`	Ninguno
Compute Engine	`compute.googleapis.com/networkAttachments.` `compute.googleapis.com/networkEdgeSecurityServices.` `compute.googleapis.com/regionSecurityPolicies.` `compute.googleapis.com/routers.` `compute.googleapis.com/serviceAttachments.` `compute.googleapis.com/securityPolicies.`	Ninguno
Reglas de Firebase	`firebaserules.googleapis.com/*`	Ninguno
GKE Multi-cloud	`gkemulticloud.googleapis.com/*`	Ninguno
Identity-Aware Proxy	`iap.googleapis.com/*`	Ninguno
Memorystore para Redis	`redis.googleapis.com/*`	Ninguno
API Network Management	`networkmanagement.googleapis.com/*`	Ninguno
API Network Services	`networkservices.googleapis.com/edgeCacheOrigins.` `networkservices.googleapis.com/edgeCacheKeysets.` `networkservices.googleapis.com/edgeCacheServices.*`	Ninguno
reCAPTCHA	`recaptchaenterprise.googleapis.com/*`	Ninguno
Resource Manager	`cloudresourcemanager.googleapis.com/*`	`cloudresourcemanager.googleapis.com/.createPolicyBinding` `cloudresourcemanager.googleapis.com/.updatePolicyBinding` `cloudresourcemanager.googleapis.com/.deletePolicyBinding` `cloudresourcemanager.googleapis.com/.searchPolicyBindings`
API Video Stitcher	`videostitcher.googleapis.com/*`	Ninguno

Versión de cumplimiento `1`

En la siguiente tabla se indican los permisos que pueden bloquear las políticas de límites de acceso de principales con la versión de aplicación 1.

Cada fila contiene la siguiente información:

Nombre de un servicio con permisos que las políticas de límites de acceso de principales pueden bloquear.
Los permisos de ese servicio que pueden bloquear las políticas de límites de acceso de principales.

En algunos casos, una sección de un nombre de permiso se sustituye por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de la entidad de seguridad pueden bloquear todos los permisos que coincidan con ese patrón.
Los permisos del servicio que el límite de acceso principal no puede bloquear, aunque esos permisos coincidan con uno de los patrones de permisos admitidos.

Servicio	Permisos	Excepciones
Aprobación de acceso	`accessapproval.googleapis.com/serviceaccounts.get` `accessapproval.googleapis.com/settings.*` `accessapproval.googleapis.com/requests.list`	Ninguno
Administrador de contextos de acceso	`accesscontextmanager.googleapis.com/*`	`accesscontextmanager.googleapis.com/gcpUserAccessBindings.*`
BigQuery	`bigquery.googleapis.com/datasets.create` `bigquery.googleapis.com/datasets.delete` `bigquery.googleapis.com/datasets.get` `bigquery.googleapis.com/datasets.update` `bigquery.googleapis.com/datasets.setIamPolicy` `bigquery.googleapis.com/jobs.get` `bigquery.googleapis.com/jobs.create` `bigquery.googleapis.com/jobs.delete` `bigquery.googleapis.com/jobs.list` `bigquery.googleapis.com/models.create` `bigquery.googleapis.com/models.delete` `bigquery.googleapis.com/models.list` `bigquery.googleapis.com/models.updateMetadata` `bigquery.googleapis.com/routines.create` `bigquery.googleapis.com/routines.delete` `bigquery.googleapis.com/routines.list` `bigquery.googleapis.com/routines.update`	Ninguno
Autorización binaria	`binaryauthorization.googleapis.com/*`	Ninguno
Cloud Logging	`logging.googleapis.com/logEntries.create` `logging.googleapis.com/logMetrics.*`	Ninguno
Cloud Run	`run.googleapis.com/authorizeddomains.` `run.googleapis.com/configurations.get` `run.googleapis.com/configurations.list` `run.googleapis.com/domainmappings.` `run.googleapis.com/executions.` `run.googleapis.com/jobs.create` `run.googleapis.com/jobs.delete` `run.googleapis.com/jobs.get` `run.googleapis.com/jobs.list` `run.googleapis.com/jobs.run` `run.googleapis.com/revisions.` `run.googleapis.com/routes.get` `run.googleapis.com/routes.list` `run.googleapis.com/services.create` `run.googleapis.com/services.delete` `run.googleapis.com/services.get` `run.googleapis.com/services.list` `run.googleapis.com/services.update` `run.googleapis.com/tasks.*`	Ninguno
Cloud Storage	`storage.googleapis.com/buckets.get` `storage.googleapis.com/buckets.update` `storage.googleapis.com/buckets.list` `storage.googleapis.com/buckets.getIamPolicy` `storage.googleapis.com/buckets.setIamPolicy` `storage.googleapis.com/hmacKeys.update` `storage.googleapis.com/objects.get` `storage.googleapis.com/objects.setRetention` `storage.googleapis.com/objects.delete`	Ninguno
Dataflow	`dataflow.googleapis.com/jobs.` `dataflow.googleapis.com/metrics.get` `dataflow.googleapis.com/workItems.` `dataflow.googleapis.com/messages.list` `dataflow.googleapis.com/snapshots.list`	`dataflow.googleapis.com/jobs.snapshot`
Datastore	`datastore.googleapis.com/databases.get` `datastore.googleapis.com/databases.getMetadata` `datastore.googleapis.com/databases.create` `datastore.googleapis.com/databases.delete` `datastore.googleapis.com/databases.list`	Ninguno
Reglas de seguridad de Firebase	`firebaserules.googleapis.com/*`	Ninguno
Hub de GKE	`gkehub.googleapis.com/features.` `gkehub.googleapis.com/fleet.create` `gkehub.googleapis.com/fleet.get` `gkehub.googleapis.com/fleet.patch` `gkehub.googleapis.com/locations.` `gkehub.googleapis.com/membershipbindings.` `gkehub.googleapis.com/memberships.` `gkehub.googleapis.com/rbacrolebindings.` `gkehub.googleapis.com/scopes.`	`gkehub.googleapis.com/.createTagBinding` `gkehub.googleapis.com/.deleteTagBinding` `gkehub.googleapis.com/.listEffectiveTags` `gkehub.googleapis.com/.listTagBindings`
Pub/Sub	`pubsub.googleapis.com/*`	`pubsub.googleapis.com/schemas.delete` `pubsub.googleapis.com/schemas.validate` `pubsub.googleapis.com/subscriptions.consume` `pubsub.googleapis.com/.getIamPolicy` `pubsub.googleapis.com/.setIamPolicy`
Memorystore para Redis	`redis.googleapis.com/instances.create` `redis.googleapis.com/instances.delete` `redis.googleapis.com/instances.get` `redis.googleapis.com/instances.failover` `redis.googleapis.com/instances.getAuthString` `redis.googleapis.com/instances.list` `redis.googleapis.com/instances.upgrade` `redis.googleapis.com/instances.update`	Ninguno
Vertex AI	`aiplatform.googleapis.com/*`	`aiplatform.googleapis.com/operations.*`

Permisos que bloquean las políticas de límites de acceso de principales

Versión de cumplimiento 3

Versión de cumplimiento 2

Versión de cumplimiento 1

Versión de cumplimiento `3`

Versión de cumplimiento `2`

Versión de cumplimiento `1`