Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Autorizações que as políticas de limite de acesso da entidade de confiança bloqueiam

Quando os principais tentam aceder a um recurso ao qual não são elegíveis, as políticas de limite de acesso principal impedem-nos de usar algumas, mas não todas, as autorizações da gestão de identidade e de acesso (IAM) para aceder ao recurso.

Se uma política de limite de acesso principal bloquear uma autorização, o IAM aplica políticas de limite de acesso principal para essa autorização. Por outras palavras, impede que quaisquer responsáveis que não sejam elegíveis para aceder a um recurso usem essa autorização para aceder ao recurso.

Se uma política de limite de acesso principal não bloquear uma autorização, as políticas de limite de acesso principal não têm efeito sobre se os principais podem usar a autorização.

Periodicamente, o IAM adiciona novas versões de aplicação de limites de acesso de entidades que podem bloquear autorizações adicionais. Cada nova versão também pode bloquear todas as autorizações na versão anterior.

Esta página apresenta as autorizações que cada versão de aplicação pode bloquear.

Para saber mais sobre os números das versões das políticas de limites de acesso principais, consulte a vista geral das políticas de limites de acesso principais.

Versão de aplicação `3`

As políticas com a versão de aplicação 3 podem bloquear todas as autorizações indicadas nas seguintes versões de aplicação:

Versão de aplicação 1
Versão de aplicação 2

Além disso, as políticas com a versão de aplicação 3 também podem bloquear todas as autorizações indicadas na tabela seguinte.

Cada linha contém as seguintes informações:

O nome de um serviço com autorizações que as políticas de limite de acesso principal podem bloquear.
As autorizações para esse serviço que as políticas de limite de acesso principal podem bloquear.

Em alguns casos, uma secção de um nome de autorização é substituída por um caráter universal (*). Este formato indica que as políticas de limite de acesso principal podem bloquear todas as autorizações que correspondam a esse padrão.

Serviço	Autorizações	Exceções
Contactos essenciais	`essentialcontacts.googleapis.com/contacts.*`	Nenhum
Gestão de identidade e de acesso	`iam.googleapis.com/serviceAccounts.` `iam.googleapis.com/serviceAccountKeys.` `iam.googleapis.com/roles.` `iam.googleapis.com/denypolicies.`	`iam.googleapis.com/serviceAccounts.createTagBinding` `iam.googleapis.com/serviceAccounts.deleteTagBinding` `iam.googleapis.com/serviceAccounts.listTagBindings` `iam.googleapis.com/serviceAccounts.listEffectiveTags` `iam.googleapis.com/serviceAccounts.getCertificateAs`
Dataproc	`dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/batches.` `dataproc.googleapis.com/operations.` `dataproc.googleapis.com/sessionTemplates.` `dataproc.googleapis.com/sessions.` `dataproc.googleapis.com/workflowTemplates.` `dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/clusters.` `dataproc.googleapis.com/jobs.*`	Nenhum
Gestão de serviços	`servicemanagement.googleapis.com/services.check` `servicemanagement.googleapis.com/services.report`	Nenhum
Bigtable	`bigtable.googleapis.com/.`	Nenhum
Cloud Bigtable Admin API	`bigtableadmin.googleapis.com/.`	Nenhum
Cloud SQL	`cloudsql.googleapis.com/.`	Nenhum
Serviços de rede	`networkservices.googleapis.com/endpointPolicies.` `networkservices.googleapis.com/gateways.` `networkservices.googleapis.com/grpcRoutes.` `networkservices.googleapis.com/httpfilters.` `networkservices.googleapis.com/httpRoutes.` `networkservices.googleapis.com/meshes.` `networkservices.googleapis.com/route_views.` `networkservices.googleapis.com/serviceBindings.` `networkservices.googleapis.com/tcpRoutes.` `networkservices.googleapis.com/tlsRoutes.` `networkservices.googleapis.com/serviceLbPolicies.*`	Nenhum
Cloud Service Mesh	`trafficdirector.googleapis.com/.`	Nenhum
API Network Management	`networkmanagement.googleapis.com/.`	Nenhum
Compute Engine	`compute.googleapis.com/healthChecks.` `compute.googleapis.com/regionHealthChecks.` `compute.googleapis.com/httpHealthChecks.` `compute.googleapis.com/httpsHealthChecks.` `compute.googleapis.com/forwardingRules.` `compute.googleapis.com/globalForwardingRules.` `compute.googleapis.com/regionBackendServices.` `compute.googleapis.com/targetInstances.` `compute.googleapis.com/targetPools.` `compute.googleapis.com/firewallPolicies.` `compute.googleapis.com/firewalls.` `compute.googleapis.com/regionFirewallPolicies.` `compute.googleapis.com/backendBuckets.` `compute.googleapis.com/backendServices.` `compute.googleapis.com/regionSslPolicies.` `compute.googleapis.com/regionTargetHttpProxies.` `compute.googleapis.com/regionTargetTcpProxies.` `compute.googleapis.com/regionUrlMaps.` `compute.googleapis.com/sslPolicies.` `compute.googleapis.com/targetGrpcProxies.` `compute.googleapis.com/targetHttpProxies.` `compute.googleapis.com/targetHttpsProxies.` `compute.googleapis.com/targetSslProxies.` `compute.googleapis.com/targetTcpProxies.` `compute.googleapis.com/urlMaps.` `compute.googleapis.com/addresses.` `compute.googleapis.com/globalAddresses.` `compute.googleapis.com/networks.` `compute.googleapis.com/packetMirrorings.` `compute.googleapis.com/publicAdvertisedPrefixes.` `compute.googleapis.com/publicDelegatedPrefixes.` `compute.googleapis.com/routes.` `compute.googleapis.com/subnetworks.` `compute.googleapis.com/externalVpnGateways.` `compute.googleapis.com/targetVpnGateways.` `compute.googleapis.com/vpnGateways.` `compute.googleapis.com/interconnectAttachments.` `compute.googleapis.com/interconnectLocations.` `compute.googleapis.com/interconnectRemoteLocations.` `compute.googleapis.com/interconnects.`	Nenhum
Artifact Registry	`artifactregistry.googleapis.com/.`	Nenhum
Pub/Sub	`pubsub.googleapis.com/.`	Nenhum
Workflows	`workflows.googleapis.com/.`	Nenhum
Google Distributed Cloud	`gkeonprem.googleapis.com/.`	Nenhum
Chaves da API	`apikeys.googleapis.com/apikeys.` Nota:* na API IAM v1, estas autorizações têm o nome `serviceusage.apiKeys.`. `apikeys.googleapis.com/keys.`	Nenhum
Cloud DNS	`dns.googleapis.com/.`	Nenhum
Armazenamento de dados	`datastore.googleapis.com/backupSchedules.` `datastore.googleapis.com/databases.` `datastore.googleapis.com/indexes.` `datastore.googleapis.com/entities.` `datastore.googleapis.com/operations.` `datastore.googleapis.com/userCreds.` `datastore.googleapis.com/backups.get` `datastore.googleapis.com/backups.list` `datastore.googleapis.com/backups.delete` `datastore.googleapis.com/locations.*`	Nenhum
Cloud Key Management Service	`cloudkms.googleapis.com/ekmConfigs.` `cloudkms.googleapis.com/keyRings.` `cloudkms.googleapis.com/importJobs.` `cloudkms.googleapis.com/cryptoKeyVersions.create` `cloudkms.googleapis.com/cryptoKeyVersions.get` `cloudkms.googleapis.com/cryptoKeyVersions.list` `cloudkms.googleapis.com/cryptoKeyVersions.update` `cloudkms.googleapis.com/cryptoKeyVersions.restore` `cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToSign` `cloudkms.googleapis.com/cryptoKeyVersions.useToVerify` `cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey` `cloudkms.googleapis.com/cryptoKeyVersions.destroy` `cloudkms.googleapis.com/keyHandles.` `cloudkms.googleapis.com/autokeyConfigs.*`	`cloudkms.googleapis.com/importJobs.useToImport`
Serviço de políticas da organização	`orgpolicy.googleapis.com/.`	Nenhum
Dataplex Universal Catalog	`dataplex.googleapis.com/aspectTypes.` `dataplex.googleapis.com/datascans.` `dataplex.googleapis.com/entries.` `dataplex.googleapis.com/entryTypes.` `dataplex.googleapis.com/metadataJobs.*` `dataplex.googleapis.com/entryGroups.import` `dataplex.googleapis.com/entryGroups.getIamPolicy` `dataplex.googleapis.com/entryGroups.setIamPolicy` `dataplex.googleapis.com/entryGroups.create` `dataplex.googleapis.com/entryGroups.get` `dataplex.googleapis.com/entryGroups.update` `dataplex.googleapis.com/entryGroups.delete` `dataplex.googleapis.com/entryGroups.list` `dataplex.googleapis.com/entryGroups.useGenericAspect` `dataplex.googleapis.com/entryGroups.useContactsAspect` `dataplex.googleapis.com/entryGroups.useOverviewAspect` `dataplex.googleapis.com/entryGroups.useSchemaAspect` `dataplex.googleapis.com/entryGroups.useGenericEntry`	Nenhum
API Data Lineage	`datalineage.googleapis.com/locations.` `datalineage.googleapis.com/operations.` `datalineage.googleapis.com/processes.` `datalineage.googleapis.com/runs.` `datalineage.googleapis.com/events.*`	Nenhum
GKE Hub	`gkehub.googleapis.com/fleets.*`	Nenhum
Funções do Cloud Run	`cloudfunctions.googleapis.com/.`	Nenhum
Spanner	`spanner.googleapis.com/.`	Nenhum
Google Kubernetes Engine	`container.googleapis.com/.`	Nenhum

Versão de aplicação `2`

As políticas com a versão de aplicação 2 podem bloquear todas as autorizações indicadas na versão de aplicação 1. Além disso, as políticas com a versão de aplicação 2 também podem bloquear todas as autorizações indicadas na tabela seguinte.

Cada linha contém as seguintes informações:

O nome de um serviço com autorizações que as políticas de limite de acesso principal podem bloquear.
As autorizações para esse serviço que as políticas de limite de acesso principal podem bloquear.

Em alguns casos, uma secção de um nome de autorização é substituída por um caráter universal (*). Este formato indica que as políticas de limite de acesso principal podem bloquear todas as autorizações que correspondam a esse padrão.

Serviço	Autorizações	Exceções
Gestor de acesso sensível ao contexto	`accesscontextmanager.googleapis.com/*`	Nenhum
Artifact Analysis	`containeranalysis.googleapis.com/*`	Nenhum
BigQuery	`bigquery.googleapis.com/datasets.` `bigquery.googleapis.com/jobs.` `bigquery.googleapis.com/models.` `bigquery.googleapis.com/routines.` `bigquery.googleapis.com/rowAccessPolicies.` `bigquery.googleapis.com/tables.`	Nenhum
Política de dados do BigQuery	`bigquerydatapolicy.googleapis.com/*`	Nenhum
Serviço de transferência de dados do BigQuery	`bigquerydatatransfer.googleapis.com/transfers.*`	Nenhum
Chrome Enterprise Premium	`beyondcorp.googleapis.com/*`	Nenhum
Cloud Asset Inventory	`cloudasset.googleapis.com/*`	Nenhum
Cloud Billing	`billing.googleapis.com/budgets.*`	Nenhum
Cloud Build	`cloudbuild.googleapis.com/*`	Nenhum
Cloud Monitoring	`monitoring.googleapis.com/*`	`monitoring.googleapis.com/timeSeries.list` `monitoring.googleapis.com/metricsScopes.link`
Cloud Service Mesh	`meshconfig.googleapis.com/*`	Nenhum
Cloud Storage	`storage.googleapis.com/bucketOperations.` `storage.googleapis.com/buckets.` `storage.googleapis.com/folders.` `storage.googleapis.com/hmacKeys.` `storage.googleapis.com/managedFolders.` `storage.googleapis.com/multipartUploads.` `storage.googleapis.com/objects.*`	Nenhum
Cloud Trace	`cloudtrace.googleapis.com/*`	Nenhum
Compute Engine	`compute.googleapis.com/networkAttachments.` `compute.googleapis.com/networkEdgeSecurityServices.` `compute.googleapis.com/regionSecurityPolicies.` `compute.googleapis.com/routers.` `compute.googleapis.com/serviceAttachments.` `compute.googleapis.com/securityPolicies.`	Nenhum
Regras do Firebase	`firebaserules.googleapis.com/*`	Nenhum
GKE Multi-Cloud	`gkemulticloud.googleapis.com/*`	Nenhum
Identity-Aware Proxy	`iap.googleapis.com/*`	Nenhum
Memorystore para Redis	`redis.googleapis.com/*`	Nenhum
API Network Management	`networkmanagement.googleapis.com/*`	Nenhum
API Network Services	`networkservices.googleapis.com/edgeCacheOrigins.` `networkservices.googleapis.com/edgeCacheKeysets.` `networkservices.googleapis.com/edgeCacheServices.*`	Nenhum
reCAPTCHA	`recaptchaenterprise.googleapis.com/*`	Nenhum
Resource Manager	`cloudresourcemanager.googleapis.com/*`	`cloudresourcemanager.googleapis.com/.createPolicyBinding` `cloudresourcemanager.googleapis.com/.updatePolicyBinding` `cloudresourcemanager.googleapis.com/.deletePolicyBinding` `cloudresourcemanager.googleapis.com/.searchPolicyBindings`
API Video Stitcher	`videostitcher.googleapis.com/*`	Nenhum

Versão de aplicação `1`

A tabela seguinte indica as autorizações que as políticas de limite de acesso principal com a versão de aplicação 1 podem bloquear.

Cada linha contém as seguintes informações:

O nome de um serviço com autorizações que as políticas de limite de acesso principal podem bloquear.
As autorizações para esse serviço que as políticas de limite de acesso principal podem bloquear.

Em alguns casos, uma secção de um nome de autorização é substituída por um caráter universal (*). Este formato indica que as políticas de limite de acesso principal podem bloquear todas as autorizações que correspondam a esse padrão.
As autorizações para o serviço que o limite de acesso principal não pode bloquear, mesmo que essas autorizações correspondam a um dos padrões de autorizações suportados.

Serviço	Autorizações	Exceções
Aprovação de acesso	`accessapproval.googleapis.com/serviceaccounts.get` `accessapproval.googleapis.com/settings.*` `accessapproval.googleapis.com/requests.list`	Nenhum
Gestor de acesso sensível ao contexto	`accesscontextmanager.googleapis.com/*`	`accesscontextmanager.googleapis.com/gcpUserAccessBindings.*`
BigQuery	`bigquery.googleapis.com/datasets.create` `bigquery.googleapis.com/datasets.delete` `bigquery.googleapis.com/datasets.get` `bigquery.googleapis.com/datasets.update` `bigquery.googleapis.com/datasets.setIamPolicy` `bigquery.googleapis.com/jobs.get` `bigquery.googleapis.com/jobs.create` `bigquery.googleapis.com/jobs.delete` `bigquery.googleapis.com/jobs.list` `bigquery.googleapis.com/models.create` `bigquery.googleapis.com/models.delete` `bigquery.googleapis.com/models.list` `bigquery.googleapis.com/models.updateMetadata` `bigquery.googleapis.com/routines.create` `bigquery.googleapis.com/routines.delete` `bigquery.googleapis.com/routines.list` `bigquery.googleapis.com/routines.update`	Nenhum
Autorização binária	`binaryauthorization.googleapis.com/*`	Nenhum
Cloud Logging	`logging.googleapis.com/logEntries.create` `logging.googleapis.com/logMetrics.*`	Nenhum
Cloud Run	`run.googleapis.com/authorizeddomains.` `run.googleapis.com/configurations.get` `run.googleapis.com/configurations.list` `run.googleapis.com/domainmappings.` `run.googleapis.com/executions.` `run.googleapis.com/jobs.create` `run.googleapis.com/jobs.delete` `run.googleapis.com/jobs.get` `run.googleapis.com/jobs.list` `run.googleapis.com/jobs.run` `run.googleapis.com/revisions.` `run.googleapis.com/routes.get` `run.googleapis.com/routes.list` `run.googleapis.com/services.create` `run.googleapis.com/services.delete` `run.googleapis.com/services.get` `run.googleapis.com/services.list` `run.googleapis.com/services.update` `run.googleapis.com/tasks.*`	Nenhum
Cloud Storage	`storage.googleapis.com/buckets.get` `storage.googleapis.com/buckets.update` `storage.googleapis.com/buckets.list` `storage.googleapis.com/buckets.getIamPolicy` `storage.googleapis.com/buckets.setIamPolicy` `storage.googleapis.com/hmacKeys.update` `storage.googleapis.com/objects.get` `storage.googleapis.com/objects.setRetention` `storage.googleapis.com/objects.delete`	Nenhum
Dataflow	`dataflow.googleapis.com/jobs.` `dataflow.googleapis.com/metrics.get` `dataflow.googleapis.com/workItems.` `dataflow.googleapis.com/messages.list` `dataflow.googleapis.com/snapshots.list`	`dataflow.googleapis.com/jobs.snapshot`
Armazenamento de dados	`datastore.googleapis.com/databases.get` `datastore.googleapis.com/databases.getMetadata` `datastore.googleapis.com/databases.create` `datastore.googleapis.com/databases.delete` `datastore.googleapis.com/databases.list`	Nenhum
Regras de segurança do Firebase	`firebaserules.googleapis.com/*`	Nenhum
GKE Hub	`gkehub.googleapis.com/features.` `gkehub.googleapis.com/fleet.create` `gkehub.googleapis.com/fleet.get` `gkehub.googleapis.com/fleet.patch` `gkehub.googleapis.com/locations.` `gkehub.googleapis.com/membershipbindings.` `gkehub.googleapis.com/memberships.` `gkehub.googleapis.com/rbacrolebindings.` `gkehub.googleapis.com/scopes.`	`gkehub.googleapis.com/.createTagBinding` `gkehub.googleapis.com/.deleteTagBinding` `gkehub.googleapis.com/.listEffectiveTags` `gkehub.googleapis.com/.listTagBindings`
Pub/Sub	`pubsub.googleapis.com/*`	`pubsub.googleapis.com/schemas.delete` `pubsub.googleapis.com/schemas.validate` `pubsub.googleapis.com/subscriptions.consume` `pubsub.googleapis.com/.getIamPolicy` `pubsub.googleapis.com/.setIamPolicy`
Memorystore para Redis	`redis.googleapis.com/instances.create` `redis.googleapis.com/instances.delete` `redis.googleapis.com/instances.get` `redis.googleapis.com/instances.failover` `redis.googleapis.com/instances.getAuthString` `redis.googleapis.com/instances.list` `redis.googleapis.com/instances.upgrade` `redis.googleapis.com/instances.update`	Nenhum
Vertex AI	`aiplatform.googleapis.com/*`	`aiplatform.googleapis.com/operations.*`

Autorizações que as políticas de limite de acesso da entidade de confiança bloqueiam

Versão de aplicação 3

Versão de aplicação 2

Versão de aplicação 1

Versão de aplicação `3`

Versão de aplicação `2`

Versão de aplicação `1`