Permisos que bloquean las Políticas de Límite de Acceso de las Principales

Cuando las principales intentan acceder a un recurso al que no son aptas, las políticas de límite de acceso de las principales les impiden usar algunos, pero no todos, los permisos de Identity and Access Management (IAM) para acceder al recurso.

Si una política de límite de acceso de la principal bloquea un permiso, IAM aplica las políticas de límite de acceso de la principal para ese permiso. En otras palabras, impide que los principales que no son aptos para acceder a un recurso usen ese permiso para acceder a él.

Si una política de límite de acceso de las principales no bloquea un permiso, entonces las políticas de límite de acceso de las principales no tienen ningún efecto sobre si las principales pueden usar el permiso.

Periódicamente, IAM agrega nuevas versiones de aplicación de límites de acceso de principales que pueden bloquear permisos adicionales. Cada versión nueva también puede bloquear todos los permisos de la versión anterior.

En esta página, se enumeran los permisos que puede bloquear cada versión de aplicación de la política.

Para obtener más información sobre los números de versión de las Políticas de Límite de Acceso de las Principales, consulta la descripción general de las Políticas de Límite de Acceso de las Principales.

Versión de aplicación de política 3

Las políticas con la versión de aplicación 3 pueden bloquear todos los permisos que se indican en las siguientes versiones de aplicación:

Además, las políticas con la versión de aplicación 3 también pueden bloquear todos los permisos que se indican en la siguiente tabla.

Cada fila contiene la siguiente información:

  • Es el nombre de un servicio con permisos que las políticas de límite de acceso de las principales pueden bloquear.

  • Son los permisos para ese servicio que las políticas de límite de acceso de las principales pueden bloquear.

    En algunos casos, una sección de un nombre de permiso se reemplaza por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de la principal pueden bloquear todos los permisos que coincidan con ese patrón.

Servicio Permisos Excepciones
Contactos esenciales
  • essentialcontacts.googleapis.com/contacts.*
    		•  Ninguno
    Identity and Access Management
  • iam.googleapis.com/serviceAccounts.*
  • iam.googleapis.com/serviceAccountKeys.*
  • iam.googleapis.com/roles.*
  • iam.googleapis.com/denypolicies.*
    		•
  • iam.googleapis.com/serviceAccounts.createTagBinding
  • iam.googleapis.com/serviceAccounts.deleteTagBinding
  • iam.googleapis.com/serviceAccounts.listTagBindings
  • iam.googleapis.com/serviceAccounts.listEffectiveTags
  • iam.googleapis.com/serviceAccounts.getCertificateAs
    		•
    Dataproc
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/batches.*
  • dataproc.googleapis.com/operations.*
  • dataproc.googleapis.com/sessionTemplates.*
  • dataproc.googleapis.com/sessions.*
  • dataproc.googleapis.com/workflowTemplates.*
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/clusters.*
  • dataproc.googleapis.com/jobs.*
    		•  Ninguno
    Administración de servicio
  • servicemanagement.googleapis.com/services.check
  • servicemanagement.googleapis.com/services.report
    		•  Ninguno
    Bigtable
  • bigtable.googleapis.com/*.*
    		•  Ninguno
    API de Cloud Bigtable Admin
  • bigtableadmin.googleapis.com/*.*
    		•  Ninguno
    Cloud SQL
  • cloudsql.googleapis.com/*.*
    		•  Ninguno
    Servicios de red
  • networkservices.googleapis.com/endpointPolicies.*
  • networkservices.googleapis.com/gateways.*
  • networkservices.googleapis.com/grpcRoutes.*
  • networkservices.googleapis.com/httpfilters.*
  • networkservices.googleapis.com/httpRoutes.*
  • networkservices.googleapis.com/meshes.*
  • networkservices.googleapis.com/route_views.*
  • networkservices.googleapis.com/serviceBindings.*
  • networkservices.googleapis.com/tcpRoutes.*
  • networkservices.googleapis.com/tlsRoutes.*
  • networkservices.googleapis.com/serviceLbPolicies.*
    		•  Ninguno
    Cloud Service Mesh
  • trafficdirector.googleapis.com/*.*
    		•  Ninguno
    API de administración de redes
  • networkmanagement.googleapis.com/*.*
    		•  Ninguno
    Compute Engine
  • compute.googleapis.com/healthChecks.*
  • compute.googleapis.com/regionHealthChecks.*
  • compute.googleapis.com/httpHealthChecks.*
  • compute.googleapis.com/httpsHealthChecks.*
  • compute.googleapis.com/forwardingRules.*
  • compute.googleapis.com/globalForwardingRules.*
  • compute.googleapis.com/regionBackendServices.*
  • compute.googleapis.com/targetInstances.*
  • compute.googleapis.com/targetPools.*
  • compute.googleapis.com/firewallPolicies.*
  • compute.googleapis.com/firewalls.*
  • compute.googleapis.com/regionFirewallPolicies.*
  • compute.googleapis.com/backendBuckets.*
  • compute.googleapis.com/backendServices.*
  • compute.googleapis.com/regionSslPolicies.*
  • compute.googleapis.com/regionTargetHttpProxies.*
  • compute.googleapis.com/regionTargetTcpProxies.*
  • compute.googleapis.com/regionUrlMaps.*
  • compute.googleapis.com/sslPolicies.*
  • compute.googleapis.com/targetGrpcProxies.*
  • compute.googleapis.com/targetHttpProxies.*
  • compute.googleapis.com/targetHttpsProxies.*
  • compute.googleapis.com/targetSslProxies.*
  • compute.googleapis.com/targetTcpProxies.*
  • compute.googleapis.com/urlMaps.*
  • compute.googleapis.com/addresses.*
  • compute.googleapis.com/globalAddresses.*
  • compute.googleapis.com/networks.*
  • compute.googleapis.com/packetMirrorings.*
  • compute.googleapis.com/publicAdvertisedPrefixes.*
  • compute.googleapis.com/publicDelegatedPrefixes.*
  • compute.googleapis.com/routes.*
  • compute.googleapis.com/subnetworks.*
  • compute.googleapis.com/externalVpnGateways.*
  • compute.googleapis.com/targetVpnGateways.*
  • compute.googleapis.com/vpnGateways.*
  • compute.googleapis.com/interconnectAttachments.*
  • compute.googleapis.com/interconnectLocations.*
  • compute.googleapis.com/interconnectRemoteLocations.*
  • compute.googleapis.com/interconnects.*
    		•  Ninguno
    Artifact Registry
  • artifactregistry.googleapis.com/*.*
    		•  Ninguno
    Pub/Sub
  • pubsub.googleapis.com/*.*
    		•  Ninguno
    Workflows
  • workflows.googleapis.com/*.*
    		•  Ninguno
    Google Distributed Cloud
  • gkeonprem.googleapis.com/*.*
    		•  Ninguno
    Claves de API

  • apikeys.googleapis.com/apikeys.*

  • apikeys.googleapis.com/keys.*
    		•  Ninguno
    Cloud DNS
  • dns.googleapis.com/*.*
    		•  Ninguno
    Datastore
  • datastore.googleapis.com/backupSchedules.*
  • datastore.googleapis.com/databases.*
  • datastore.googleapis.com/indexes.*
  • datastore.googleapis.com/entities.*
  • datastore.googleapis.com/operations.*
  • datastore.googleapis.com/userCreds.*
  • datastore.googleapis.com/backups.get
  • datastore.googleapis.com/backups.list
  • datastore.googleapis.com/backups.delete
  • datastore.googleapis.com/locations.*
    		•  Ninguno
    Cloud Key Management Service
  • cloudkms.googleapis.com/ekmConfigs.*
  • cloudkms.googleapis.com/keyRings.*
  • cloudkms.googleapis.com/importJobs.*
  • cloudkms.googleapis.com/cryptoKeyVersions.create
  • cloudkms.googleapis.com/cryptoKeyVersions.get
  • cloudkms.googleapis.com/cryptoKeyVersions.list
  • cloudkms.googleapis.com/cryptoKeyVersions.update
  • cloudkms.googleapis.com/cryptoKeyVersions.restore
  • cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToSign
  • cloudkms.googleapis.com/cryptoKeyVersions.useToVerify
  • cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey
  • cloudkms.googleapis.com/cryptoKeyVersions.destroy
  • cloudkms.googleapis.com/keyHandles.*
  • cloudkms.googleapis.com/autokeyConfigs.*
    		•
  • cloudkms.googleapis.com/importJobs.useToImport
    		•
    Servicio de políticas de la organización
  • orgpolicy.googleapis.com/*.*
    		•  Ninguno
    Dataplex Universal Catalog
  • dataplex.googleapis.com/aspectTypes.*
  • dataplex.googleapis.com/datascans.*
  • dataplex.googleapis.com/entries.*
  • dataplex.googleapis.com/entryTypes.*
  • dataplex.googleapis.com/metadataJobs.*
  • dataplex.googleapis.com/entryGroups.import
  • dataplex.googleapis.com/entryGroups.getIamPolicy
  • dataplex.googleapis.com/entryGroups.setIamPolicy
  • dataplex.googleapis.com/entryGroups.create
  • dataplex.googleapis.com/entryGroups.get
  • dataplex.googleapis.com/entryGroups.update
  • dataplex.googleapis.com/entryGroups.delete
  • dataplex.googleapis.com/entryGroups.list
  • dataplex.googleapis.com/entryGroups.useGenericAspect
  • dataplex.googleapis.com/entryGroups.useContactsAspect
  • dataplex.googleapis.com/entryGroups.useOverviewAspect
  • dataplex.googleapis.com/entryGroups.useSchemaAspect
  • dataplex.googleapis.com/entryGroups.useGenericEntry
    		•  Ninguno
    API de Data Lineage
  • datalineage.googleapis.com/locations.*
  • datalineage.googleapis.com/operations.*
  • datalineage.googleapis.com/processes.*
  • datalineage.googleapis.com/runs.*
  • datalineage.googleapis.com/events.*
    		•  Ninguno
    GKE Hub
  • gkehub.googleapis.com/fleets.*
    		•  Ninguno
    Funciones de Cloud Run
  • cloudfunctions.googleapis.com/*.*
    		•  Ninguno
    Spanner
  • spanner.googleapis.com/*.*
    		•  Ninguno
    Google Kubernetes Engine
  • container.googleapis.com/*.*
    		•  Ninguno

    Versión de aplicación de política 2

    Las políticas con la versión de aplicación 2 pueden bloquear todos los permisos que se indican en la versión de aplicación 1. Además, las políticas con la versión de aplicación 2 también pueden bloquear todos los permisos que se indican en la siguiente tabla.

    Cada fila contiene la siguiente información:

    • Es el nombre de un servicio con permisos que las políticas de límite de acceso de las principales pueden bloquear.

    • Son los permisos para ese servicio que las políticas de límite de acceso de las principales pueden bloquear.

      En algunos casos, una sección de un nombre de permiso se reemplaza por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de la principal pueden bloquear todos los permisos que coincidan con ese patrón.

    Servicio Permisos Excepciones
    Access Context Manager
    • accesscontextmanager.googleapis.com/*
    		 Ninguno
    Artifact Analysis
    • containeranalysis.googleapis.com/*
    		 Ninguno
    BigQuery
    • bigquery.googleapis.com/datasets.*
    • bigquery.googleapis.com/jobs.*
    • bigquery.googleapis.com/models.*
    • bigquery.googleapis.com/routines.*
    • bigquery.googleapis.com/rowAccessPolicies.*
    • bigquery.googleapis.com/tables.*
    		 Ninguno
    Política de datos de BigQuery
    • bigquerydatapolicy.googleapis.com/*
    		 Ninguno
    Servicio de transferencia de datos de BigQuery
    • bigquerydatatransfer.googleapis.com/transfers.*
    		 Ninguno
    Chrome Enterprise Premium
    • beyondcorp.googleapis.com/*
    		 Ninguno
    Cloud Asset Inventory
    • cloudasset.googleapis.com/*
    		 Ninguno
    Facturación de Cloud
    • billing.googleapis.com/budgets.*
    		 Ninguno
    Cloud Build
    • cloudbuild.googleapis.com/*
    		 Ninguno
    Cloud Monitoring
    • monitoring.googleapis.com/*
    • monitoring.googleapis.com/timeSeries.list
    • monitoring.googleapis.com/metricsScopes.link
    Cloud Service Mesh
    • meshconfig.googleapis.com/*
    		 Ninguno
    Cloud Storage
    • storage.googleapis.com/bucketOperations.*
    • storage.googleapis.com/buckets.*
    • storage.googleapis.com/folders.*
    • storage.googleapis.com/hmacKeys.*
    • storage.googleapis.com/managedFolders.*
    • storage.googleapis.com/multipartUploads.*
    • storage.googleapis.com/objects.*
    		 Ninguno
    Cloud Trace
    • cloudtrace.googleapis.com/*
    		 Ninguno
    Compute Engine
    • compute.googleapis.com/networkAttachments.*
    • compute.googleapis.com/networkEdgeSecurityServices.*
    • compute.googleapis.com/regionSecurityPolicies.*
    • compute.googleapis.com/routers.*
    • compute.googleapis.com/serviceAttachments.*
    • compute.googleapis.com/securityPolicies.*
    		 Ninguno
    Reglas de Firebase
    • firebaserules.googleapis.com/*
    		 Ninguno
    GKE Multi-Cloud
    • gkemulticloud.googleapis.com/*
    		 Ninguno
    Identity-Aware Proxy
    • iap.googleapis.com/*
    		 Ninguno
    Memorystore for Redis
    • redis.googleapis.com/*
    		 Ninguno
    API de administración de redes
    • networkmanagement.googleapis.com/*
    		 Ninguno
    API de servicios de red
    • networkservices.googleapis.com/edgeCacheOrigins.*
    • networkservices.googleapis.com/edgeCacheKeysets.*
    • networkservices.googleapis.com/edgeCacheServices.*
    		 Ninguno
    reCAPTCHA
    • recaptchaenterprise.googleapis.com/*
    		 Ninguno
    Resource Manager
    • cloudresourcemanager.googleapis.com/*
    • cloudresourcemanager.googleapis.com/*.createPolicyBinding
    • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
    • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
    • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
    API de Video Stitcher
    • videostitcher.googleapis.com/*
    		 Ninguno

    Versión de aplicación de política 1

    En la siguiente tabla, se enumeran los permisos que pueden bloquear las políticas de límite de acceso de las principales con la versión de aplicación 1.

    Cada fila contiene la siguiente información:

    • Es el nombre de un servicio con permisos que las políticas de límite de acceso de las principales pueden bloquear.

    • Son los permisos para ese servicio que las políticas de límite de acceso de las principales pueden bloquear.

      En algunos casos, una sección de un nombre de permiso se reemplaza por un carácter comodín (*). Este formato indica que las políticas de límite de acceso de la principal pueden bloquear todos los permisos que coincidan con ese patrón.

    • Son los permisos del servicio que el límite de acceso de la principal no puede bloquear, incluso si coinciden con uno de los patrones de permisos admitidos.

    Servicio Permisos Excepciones
    Aprobación de acceso
    • accessapproval.googleapis.com/serviceaccounts.get
    • accessapproval.googleapis.com/settings.*
    • accessapproval.googleapis.com/requests.list
    		 Ninguno
    Access Context Manager
    • accesscontextmanager.googleapis.com/*
    • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
    BigQuery
    • bigquery.googleapis.com/datasets.create
    • bigquery.googleapis.com/datasets.delete
    • bigquery.googleapis.com/datasets.get
    • bigquery.googleapis.com/datasets.update
    • bigquery.googleapis.com/datasets.setIamPolicy
    • bigquery.googleapis.com/jobs.get
    • bigquery.googleapis.com/jobs.create
    • bigquery.googleapis.com/jobs.delete
    • bigquery.googleapis.com/jobs.list
    • bigquery.googleapis.com/models.create
    • bigquery.googleapis.com/models.delete
    • bigquery.googleapis.com/models.list
    • bigquery.googleapis.com/models.updateMetadata
    • bigquery.googleapis.com/routines.create
    • bigquery.googleapis.com/routines.delete
    • bigquery.googleapis.com/routines.list
    • bigquery.googleapis.com/routines.update
    		 Ninguno
    Autorización binaria
    • binaryauthorization.googleapis.com/*
    		 Ninguno
    Cloud Logging
    • logging.googleapis.com/logEntries.create
    • logging.googleapis.com/logMetrics.*
    		 Ninguno
    Cloud Run
    • run.googleapis.com/authorizeddomains.*
    • run.googleapis.com/configurations.get
    • run.googleapis.com/configurations.list
    • run.googleapis.com/domainmappings.*
    • run.googleapis.com/executions.*
    • run.googleapis.com/jobs.create
    • run.googleapis.com/jobs.delete
    • run.googleapis.com/jobs.get
    • run.googleapis.com/jobs.list
    • run.googleapis.com/jobs.run
    • run.googleapis.com/revisions.*
    • run.googleapis.com/routes.get
    • run.googleapis.com/routes.list
    • run.googleapis.com/services.create
    • run.googleapis.com/services.delete
    • run.googleapis.com/services.get
    • run.googleapis.com/services.list
    • run.googleapis.com/services.update
    • run.googleapis.com/tasks.*
    		 Ninguno
    Cloud Storage
    • storage.googleapis.com/buckets.get
    • storage.googleapis.com/buckets.update
    • storage.googleapis.com/buckets.list
    • storage.googleapis.com/buckets.getIamPolicy
    • storage.googleapis.com/buckets.setIamPolicy
    • storage.googleapis.com/hmacKeys.update
    • storage.googleapis.com/objects.get
    • storage.googleapis.com/objects.setRetention
    • storage.googleapis.com/objects.delete
    		 Ninguno
    Dataflow
    • dataflow.googleapis.com/jobs.*
    • dataflow.googleapis.com/metrics.get
    • dataflow.googleapis.com/workItems.*
    • dataflow.googleapis.com/messages.list
    • dataflow.googleapis.com/snapshots.list
    • dataflow.googleapis.com/jobs.snapshot
    Datastore
    • datastore.googleapis.com/databases.get
    • datastore.googleapis.com/databases.getMetadata
    • datastore.googleapis.com/databases.create
    • datastore.googleapis.com/databases.delete
    • datastore.googleapis.com/databases.list
    		 Ninguno
    Reglas de seguridad de Firebase
    • firebaserules.googleapis.com/*
    		 Ninguno
    GKE Hub
    • gkehub.googleapis.com/features.*
    • gkehub.googleapis.com/fleet.create
    • gkehub.googleapis.com/fleet.get
    • gkehub.googleapis.com/fleet.patch
    • gkehub.googleapis.com/locations.*
    • gkehub.googleapis.com/membershipbindings.*
    • gkehub.googleapis.com/memberships.*
    • gkehub.googleapis.com/rbacrolebindings.*
    • gkehub.googleapis.com/scopes.*
    • gkehub.googleapis.com/*.createTagBinding
    • gkehub.googleapis.com/*.deleteTagBinding
    • gkehub.googleapis.com/*.listEffectiveTags
    • gkehub.googleapis.com/*.listTagBindings
    Pub/Sub
    • pubsub.googleapis.com/*
    • pubsub.googleapis.com/schemas.delete
    • pubsub.googleapis.com/schemas.validate
    • pubsub.googleapis.com/subscriptions.consume
    • pubsub.googleapis.com/*.getIamPolicy
    • pubsub.googleapis.com/*.setIamPolicy
    Memorystore for Redis
    • redis.googleapis.com/instances.create
    • redis.googleapis.com/instances.delete
    • redis.googleapis.com/instances.get
    • redis.googleapis.com/instances.failover
    • redis.googleapis.com/instances.getAuthString
    • redis.googleapis.com/instances.list
    • redis.googleapis.com/instances.upgrade
    • redis.googleapis.com/instances.update
    		 Ninguno
    Vertex AI
    • aiplatform.googleapis.com/*
    • aiplatform.googleapis.com/operations.*