Izin yang diblokir oleh kebijakan batas akses akun utama

Saat akun utama mencoba mengakses resource yang tidak memenuhi syarat untuk diakses, kebijakan batas akses akun utama mencegahnya menggunakan beberapa, tetapi tidak semua, izin Identity and Access Management (IAM) untuk mengakses resource.

Jika kebijakan batas akses akun utama memblokir izin, maka IAM menerapkan kebijakan batas akses akun utama untuk izin tersebut. Dengan kata lain, kebijakan ini mencegah akun utama yang tidak memenuhi syarat untuk mengakses resource menggunakan izin tersebut untuk mengakses resource.

Jika kebijakan batas akses akun utama tidak memblokir izin, maka kebijakan batas akses akun utama tidak akan memengaruhi apakah akun utama dapat menggunakan izin tersebut.

Secara berkala, IAM menambahkan versi penerapan batas akses akun utama baru yang dapat memblokir izin tambahan. Setiap versi baru juga dapat memblokir semua izin di versi sebelumnya.

Halaman ini mencantumkan izin yang dapat diblokir oleh setiap versi penegakan.

Untuk mempelajari lebih lanjut nomor versi kebijakan batas akses prinsipal, lihat ringkasan kebijakan batas akses prinsipal.

Versi penegakan 3

Kebijakan dengan versi penerapan 3 dapat memblokir semua izin yang tercantum dalam versi penerapan berikut:

Selain itu, kebijakan dengan versi penerapan 3 juga dapat memblokir semua izin yang tercantum dalam tabel berikut.

Setiap baris berisi informasi berikut:

  • Nama layanan dengan izin yang dapat diblokir oleh kebijakan batas akses akun utama.

  • Izin untuk layanan yang dapat diblokir oleh kebijakan batas akses akun utama.

    Dalam beberapa kasus, bagian dari nama izin diganti dengan karakter wildcard (*). Format ini menunjukkan bahwa kebijakan batas akses akun utama dapat memblokir semua izin yang cocok dengan pola tersebut.

Layanan Izin Pengecualian
Kontak Penting
  • essentialcontacts.googleapis.com/contacts.*
    		•  Tidak ada
    Identity and Access Management
  • iam.googleapis.com/serviceAccounts.*
  • iam.googleapis.com/serviceAccountKeys.*
  • iam.googleapis.com/roles.*
  • iam.googleapis.com/denypolicies.*
    		•
  • iam.googleapis.com/serviceAccounts.createTagBinding
  • iam.googleapis.com/serviceAccounts.deleteTagBinding
  • iam.googleapis.com/serviceAccounts.listTagBindings
  • iam.googleapis.com/serviceAccounts.listEffectiveTags
  • iam.googleapis.com/serviceAccounts.getCertificateAs
    		•
    Dataproc
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/batches.*
  • dataproc.googleapis.com/operations.*
  • dataproc.googleapis.com/sessionTemplates.*
  • dataproc.googleapis.com/sessions.*
  • dataproc.googleapis.com/workflowTemplates.*
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/clusters.*
  • dataproc.googleapis.com/jobs.*
    		•  Tidak ada
    Pengelolaan Layanan
  • servicemanagement.googleapis.com/services.check
  • servicemanagement.googleapis.com/services.report
    		•  Tidak ada
    Bigtable
  • bigtable.googleapis.com/*.*
    		•  Tidak ada
    Cloud Bigtable Admin API
  • bigtableadmin.googleapis.com/*.*
    		•  Tidak ada
    Cloud SQL
  • cloudsql.googleapis.com/*.*
    		•  Tidak ada
    Layanan Jaringan
  • networkservices.googleapis.com/endpointPolicies.*
  • networkservices.googleapis.com/gateways.*
  • networkservices.googleapis.com/grpcRoutes.*
  • networkservices.googleapis.com/httpfilters.*
  • networkservices.googleapis.com/httpRoutes.*
  • networkservices.googleapis.com/meshes.*
  • networkservices.googleapis.com/route_views.*
  • networkservices.googleapis.com/serviceBindings.*
  • networkservices.googleapis.com/tcpRoutes.*
  • networkservices.googleapis.com/tlsRoutes.*
  • networkservices.googleapis.com/serviceLbPolicies.*
    		•  Tidak ada
    Mesh Layanan Cloud
  • trafficdirector.googleapis.com/*.*
    		•  Tidak ada
    Network Management API
  • networkmanagement.googleapis.com/*.*
    		•  Tidak ada
    Compute Engine
  • compute.googleapis.com/healthChecks.*
  • compute.googleapis.com/regionHealthChecks.*
  • compute.googleapis.com/httpHealthChecks.*
  • compute.googleapis.com/httpsHealthChecks.*
  • compute.googleapis.com/forwardingRules.*
  • compute.googleapis.com/globalForwardingRules.*
  • compute.googleapis.com/regionBackendServices.*
  • compute.googleapis.com/targetInstances.*
  • compute.googleapis.com/targetPools.*
  • compute.googleapis.com/firewallPolicies.*
  • compute.googleapis.com/firewalls.*
  • compute.googleapis.com/regionFirewallPolicies.*
  • compute.googleapis.com/backendBuckets.*
  • compute.googleapis.com/backendServices.*
  • compute.googleapis.com/regionSslPolicies.*
  • compute.googleapis.com/regionTargetHttpProxies.*
  • compute.googleapis.com/regionTargetTcpProxies.*
  • compute.googleapis.com/regionUrlMaps.*
  • compute.googleapis.com/sslPolicies.*
  • compute.googleapis.com/targetGrpcProxies.*
  • compute.googleapis.com/targetHttpProxies.*
  • compute.googleapis.com/targetHttpsProxies.*
  • compute.googleapis.com/targetSslProxies.*
  • compute.googleapis.com/targetTcpProxies.*
  • compute.googleapis.com/urlMaps.*
  • compute.googleapis.com/addresses.*
  • compute.googleapis.com/globalAddresses.*
  • compute.googleapis.com/networks.*
  • compute.googleapis.com/packetMirrorings.*
  • compute.googleapis.com/publicAdvertisedPrefixes.*
  • compute.googleapis.com/publicDelegatedPrefixes.*
  • compute.googleapis.com/routes.*
  • compute.googleapis.com/subnetworks.*
  • compute.googleapis.com/externalVpnGateways.*
  • compute.googleapis.com/targetVpnGateways.*
  • compute.googleapis.com/vpnGateways.*
  • compute.googleapis.com/interconnectAttachments.*
  • compute.googleapis.com/interconnectLocations.*
  • compute.googleapis.com/interconnectRemoteLocations.*
  • compute.googleapis.com/interconnects.*
    		•  Tidak ada
    Artifact Registry
  • artifactregistry.googleapis.com/*.*
    		•  Tidak ada
    Pub/Sub
  • pubsub.googleapis.com/*.*
    		•  Tidak ada
    Workflows
  • workflows.googleapis.com/*.*
    		•  Tidak ada
    Google Distributed Cloud
  • gkeonprem.googleapis.com/*.*
    		•  Tidak ada
    Kunci API

  • apikeys.googleapis.com/apikeys.*

  • apikeys.googleapis.com/keys.*
    		•  Tidak ada
    Cloud DNS
  • dns.googleapis.com/*.*
    		•  Tidak ada
    Datastore
  • datastore.googleapis.com/backupSchedules.*
  • datastore.googleapis.com/databases.*
  • datastore.googleapis.com/indexes.*
  • datastore.googleapis.com/entities.*
  • datastore.googleapis.com/operations.*
  • datastore.googleapis.com/userCreds.*
  • datastore.googleapis.com/backups.get
  • datastore.googleapis.com/backups.list
  • datastore.googleapis.com/backups.delete
  • datastore.googleapis.com/locations.*
    		•  Tidak ada
    Cloud Key Management Service
  • cloudkms.googleapis.com/ekmConfigs.*
  • cloudkms.googleapis.com/keyRings.*
  • cloudkms.googleapis.com/importJobs.*
  • cloudkms.googleapis.com/cryptoKeyVersions.create
  • cloudkms.googleapis.com/cryptoKeyVersions.get
  • cloudkms.googleapis.com/cryptoKeyVersions.list
  • cloudkms.googleapis.com/cryptoKeyVersions.update
  • cloudkms.googleapis.com/cryptoKeyVersions.restore
  • cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToSign
  • cloudkms.googleapis.com/cryptoKeyVersions.useToVerify
  • cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey
  • cloudkms.googleapis.com/cryptoKeyVersions.destroy
  • cloudkms.googleapis.com/keyHandles.*
  • cloudkms.googleapis.com/autokeyConfigs.*
    		•
  • cloudkms.googleapis.com/importJobs.useToImport
    		•
    Organization Policy Service
  • orgpolicy.googleapis.com/*.*
    		•  Tidak ada
    Katalog Universal Dataplex
  • dataplex.googleapis.com/aspectTypes.*
  • dataplex.googleapis.com/datascans.*
  • dataplex.googleapis.com/entries.*
  • dataplex.googleapis.com/entryTypes.*
  • dataplex.googleapis.com/metadataJobs.*
  • dataplex.googleapis.com/entryGroups.import
  • dataplex.googleapis.com/entryGroups.getIamPolicy
  • dataplex.googleapis.com/entryGroups.setIamPolicy
  • dataplex.googleapis.com/entryGroups.create
  • dataplex.googleapis.com/entryGroups.get
  • dataplex.googleapis.com/entryGroups.update
  • dataplex.googleapis.com/entryGroups.delete
  • dataplex.googleapis.com/entryGroups.list
  • dataplex.googleapis.com/entryGroups.useGenericAspect
  • dataplex.googleapis.com/entryGroups.useContactsAspect
  • dataplex.googleapis.com/entryGroups.useOverviewAspect
  • dataplex.googleapis.com/entryGroups.useSchemaAspect
  • dataplex.googleapis.com/entryGroups.useGenericEntry
    		•  Tidak ada
    Data Lineage API
  • datalineage.googleapis.com/locations.*
  • datalineage.googleapis.com/operations.*
  • datalineage.googleapis.com/processes.*
  • datalineage.googleapis.com/runs.*
  • datalineage.googleapis.com/events.*
    		•  Tidak ada
    GKE Hub
  • gkehub.googleapis.com/fleets.*
    		•  Tidak ada
    Cloud Run Functions
  • cloudfunctions.googleapis.com/*.*
    		•  Tidak ada
    Spanner
  • spanner.googleapis.com/*.*
    		•  Tidak ada
    Google Kubernetes Engine
  • container.googleapis.com/*.*
    		•  Tidak ada

    Versi penegakan 2

    Kebijakan dengan versi penerapan 2 dapat memblokir semua izin yang tercantum dalam Versi penerapan 1. Selain itu, kebijakan dengan versi penerapan 2 juga dapat memblokir semua izin yang tercantum dalam tabel berikut.

    Setiap baris berisi informasi berikut:

    • Nama layanan dengan izin yang dapat diblokir oleh kebijakan batas akses akun utama.

    • Izin untuk layanan yang dapat diblokir oleh kebijakan batas akses akun utama.

      Dalam beberapa kasus, bagian dari nama izin diganti dengan karakter wildcard (*). Format ini menunjukkan bahwa kebijakan batas akses akun utama dapat memblokir semua izin yang cocok dengan pola tersebut.

    Layanan Izin Pengecualian
    Access Context Manager
    • accesscontextmanager.googleapis.com/*
    		 Tidak ada
    Artifact Analysis
    • containeranalysis.googleapis.com/*
    		 Tidak ada
    BigQuery
    • bigquery.googleapis.com/datasets.*
    • bigquery.googleapis.com/jobs.*
    • bigquery.googleapis.com/models.*
    • bigquery.googleapis.com/routines.*
    • bigquery.googleapis.com/rowAccessPolicies.*
    • bigquery.googleapis.com/tables.*
    		 Tidak ada
    Kebijakan Data BigQuery
    • bigquerydatapolicy.googleapis.com/*
    		 Tidak ada
    BigQuery Data Transfer Service
    • bigquerydatatransfer.googleapis.com/transfers.*
    		 Tidak ada
    Chrome Enterprise Premium
    • beyondcorp.googleapis.com/*
    		 Tidak ada
    Inventaris Aset Cloud
    • cloudasset.googleapis.com/*
    		 Tidak ada
    Penagihan Cloud
    • billing.googleapis.com/budgets.*
    		 Tidak ada
    Cloud Build
    • cloudbuild.googleapis.com/*
    		 Tidak ada
    Cloud Monitoring
    • monitoring.googleapis.com/*
    • monitoring.googleapis.com/timeSeries.list
    • monitoring.googleapis.com/metricsScopes.link
    Mesh Layanan Cloud
    • meshconfig.googleapis.com/*
    		 Tidak ada
    Cloud Storage
    • storage.googleapis.com/bucketOperations.*
    • storage.googleapis.com/buckets.*
    • storage.googleapis.com/folders.*
    • storage.googleapis.com/hmacKeys.*
    • storage.googleapis.com/managedFolders.*
    • storage.googleapis.com/multipartUploads.*
    • storage.googleapis.com/objects.*
    		 Tidak ada
    Cloud Trace
    • cloudtrace.googleapis.com/*
    		 Tidak ada
    Compute Engine
    • compute.googleapis.com/networkAttachments.*
    • compute.googleapis.com/networkEdgeSecurityServices.*
    • compute.googleapis.com/regionSecurityPolicies.*
    • compute.googleapis.com/routers.*
    • compute.googleapis.com/serviceAttachments.*
    • compute.googleapis.com/securityPolicies.*
    		 Tidak ada
    Aturan Firebase
    • firebaserules.googleapis.com/*
    		 Tidak ada
    GKE Multi-Cloud
    • gkemulticloud.googleapis.com/*
    		 Tidak ada
    Identity-Aware Proxy
    • iap.googleapis.com/*
    		 Tidak ada
    Memorystore for Redis
    • redis.googleapis.com/*
    		 Tidak ada
    Network Management API
    • networkmanagement.googleapis.com/*
    		 Tidak ada
    Network Services API
    • networkservices.googleapis.com/edgeCacheOrigins.*
    • networkservices.googleapis.com/edgeCacheKeysets.*
    • networkservices.googleapis.com/edgeCacheServices.*
    		 Tidak ada
    reCAPTCHA
    • recaptchaenterprise.googleapis.com/*
    		 Tidak ada
    Resource Manager
    • cloudresourcemanager.googleapis.com/*
    • cloudresourcemanager.googleapis.com/*.createPolicyBinding
    • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
    • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
    • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
    Video Stitcher API
    • videostitcher.googleapis.com/*
    		 Tidak ada

    Versi penegakan 1

    Tabel berikut mencantumkan izin yang dapat diblokir oleh kebijakan batas akses utama dengan versi penerapan 1.

    Setiap baris berisi informasi berikut:

    • Nama layanan dengan izin yang dapat diblokir oleh kebijakan batas akses akun utama.

    • Izin untuk layanan yang dapat diblokir oleh kebijakan batas akses akun utama.

      Dalam beberapa kasus, bagian dari nama izin diganti dengan karakter wildcard (*). Format ini menunjukkan bahwa kebijakan batas akses akun utama dapat memblokir semua izin yang cocok dengan pola tersebut.

    • Izin untuk layanan yang tidak dapat diblokir oleh batas akses utama, meskipun izin tersebut cocok dengan salah satu pola izin yang didukung.

    Layanan Izin Pengecualian
    Access Approval
    • accessapproval.googleapis.com/serviceaccounts.get
    • accessapproval.googleapis.com/settings.*
    • accessapproval.googleapis.com/requests.list
    		 Tidak ada
    Access Context Manager
    • accesscontextmanager.googleapis.com/*
    • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
    BigQuery
    • bigquery.googleapis.com/datasets.create
    • bigquery.googleapis.com/datasets.delete
    • bigquery.googleapis.com/datasets.get
    • bigquery.googleapis.com/datasets.update
    • bigquery.googleapis.com/datasets.setIamPolicy
    • bigquery.googleapis.com/jobs.get
    • bigquery.googleapis.com/jobs.create
    • bigquery.googleapis.com/jobs.delete
    • bigquery.googleapis.com/jobs.list
    • bigquery.googleapis.com/models.create
    • bigquery.googleapis.com/models.delete
    • bigquery.googleapis.com/models.list
    • bigquery.googleapis.com/models.updateMetadata
    • bigquery.googleapis.com/routines.create
    • bigquery.googleapis.com/routines.delete
    • bigquery.googleapis.com/routines.list
    • bigquery.googleapis.com/routines.update
    		 Tidak ada
    Otorisasi Biner
    • binaryauthorization.googleapis.com/*
    		 Tidak ada
    Cloud Logging
    • logging.googleapis.com/logEntries.create
    • logging.googleapis.com/logMetrics.*
    		 Tidak ada
    Cloud Run
    • run.googleapis.com/authorizeddomains.*
    • run.googleapis.com/configurations.get
    • run.googleapis.com/configurations.list
    • run.googleapis.com/domainmappings.*
    • run.googleapis.com/executions.*
    • run.googleapis.com/jobs.create
    • run.googleapis.com/jobs.delete
    • run.googleapis.com/jobs.get
    • run.googleapis.com/jobs.list
    • run.googleapis.com/jobs.run
    • run.googleapis.com/revisions.*
    • run.googleapis.com/routes.get
    • run.googleapis.com/routes.list
    • run.googleapis.com/services.create
    • run.googleapis.com/services.delete
    • run.googleapis.com/services.get
    • run.googleapis.com/services.list
    • run.googleapis.com/services.update
    • run.googleapis.com/tasks.*
    		 Tidak ada
    Cloud Storage
    • storage.googleapis.com/buckets.get
    • storage.googleapis.com/buckets.update
    • storage.googleapis.com/buckets.list
    • storage.googleapis.com/buckets.getIamPolicy
    • storage.googleapis.com/buckets.setIamPolicy
    • storage.googleapis.com/hmacKeys.update
    • storage.googleapis.com/objects.get
    • storage.googleapis.com/objects.setRetention
    • storage.googleapis.com/objects.delete
    		 Tidak ada
    Dataflow
    • dataflow.googleapis.com/jobs.*
    • dataflow.googleapis.com/metrics.get
    • dataflow.googleapis.com/workItems.*
    • dataflow.googleapis.com/messages.list
    • dataflow.googleapis.com/snapshots.list
    • dataflow.googleapis.com/jobs.snapshot
    Datastore
    • datastore.googleapis.com/databases.get
    • datastore.googleapis.com/databases.getMetadata
    • datastore.googleapis.com/databases.create
    • datastore.googleapis.com/databases.delete
    • datastore.googleapis.com/databases.list
    		 Tidak ada
    Aturan Keamanan Firebase
    • firebaserules.googleapis.com/*
    		 Tidak ada
    GKE Hub
    • gkehub.googleapis.com/features.*
    • gkehub.googleapis.com/fleet.create
    • gkehub.googleapis.com/fleet.get
    • gkehub.googleapis.com/fleet.patch
    • gkehub.googleapis.com/locations.*
    • gkehub.googleapis.com/membershipbindings.*
    • gkehub.googleapis.com/memberships.*
    • gkehub.googleapis.com/rbacrolebindings.*
    • gkehub.googleapis.com/scopes.*
    • gkehub.googleapis.com/*.createTagBinding
    • gkehub.googleapis.com/*.deleteTagBinding
    • gkehub.googleapis.com/*.listEffectiveTags
    • gkehub.googleapis.com/*.listTagBindings
    Pub/Sub
    • pubsub.googleapis.com/*
    • pubsub.googleapis.com/schemas.delete
    • pubsub.googleapis.com/schemas.validate
    • pubsub.googleapis.com/subscriptions.consume
    • pubsub.googleapis.com/*.getIamPolicy
    • pubsub.googleapis.com/*.setIamPolicy
    Memorystore for Redis
    • redis.googleapis.com/instances.create
    • redis.googleapis.com/instances.delete
    • redis.googleapis.com/instances.get
    • redis.googleapis.com/instances.failover
    • redis.googleapis.com/instances.getAuthString
    • redis.googleapis.com/instances.list
    • redis.googleapis.com/instances.upgrade
    • redis.googleapis.com/instances.update
    		 Tidak ada
    Vertex AI
    • aiplatform.googleapis.com/*
    • aiplatform.googleapis.com/operations.*