Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הרשאות שנחסמות על ידי מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

כשחשבונות משתמש מנסים לגשת למשאב שאין להם הרשאה לגשת אליו, כללי מדיניות של גבולות גישה לחשבונות משתמש מונעים מהם להשתמש בחלק מההרשאות של ניהול זהויות והרשאות גישה (IAM) כדי לגשת למשאב, אבל לא בכולן.

אם מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) חוסמת הרשאה, מערכת IAM אוכפת את המדיניות הזו לגבי ההרשאה. במילים אחרות, מדיניות הדחייה מונעת מחשבונות משתמש שלא עומדים בדרישות לגשת למשאב, להשתמש בהרשאה הזו כדי לגשת למשאב.

אם מדיניות לקביעת גבול הגישה לחשבונות משתמשים לא חוסמת הרשאה, אז למדיניות לקביעת גבול הגישה לחשבונות משתמשים אין השפעה על היכולת של חשבונות משתמשים להשתמש בהרשאה.

מעת לעת, IAM מוסיף גרסאות חדשות של אכיפת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שיכולות לחסום הרשאות נוספות. כל גרסה חדשה יכולה גם לחסום את כל ההרשאות בגרסה הקודמת.

בדף הזה מפורטות ההרשאות שכל גרסת אכיפה יכולה לחסום.

מידע נוסף על מספרי הגרסאות של המדיניות לקביעת גבול הגישה לחשבונות משתמשים זמין במאמר סקירה כללית של המדיניות לקביעת גבול הגישה לחשבונות משתמשים.

גרסת האכיפה `3`

כללי מדיניות עם גרסת אכיפה 3 יכולים לחסום את כל ההרשאות שמפורטות בגרסאות האכיפה הבאות:

גרסת האכיפה 1
גרסת האכיפה 2

בנוסף, כללי מדיניות עם גרסת האכיפה 3 יכולים גם לחסום את כל ההרשאות שמפורטות בטבלה הבאה.

כל שורה מכילה את הפרטים הבאים:

שם של שירות עם הרשאות שהמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום.
ההרשאות לשירות הזה שהמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום.

במקרים מסוימים, חלק משם ההרשאה מוחלף בתו כללי (*). הפורמט הזה מציין שמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום את כל ההרשאות שתואמות לדפוס הזה.

שירות	הרשאות	חריגים
אנשי קשר חיוניים	`essentialcontacts.googleapis.com/contacts.*`	ללא
ניהול זהויות והרשאות גישה	`iam.googleapis.com/serviceAccounts.` `iam.googleapis.com/serviceAccountKeys.` `iam.googleapis.com/roles.` `iam.googleapis.com/denypolicies.`	`iam.googleapis.com/serviceAccounts.createTagBinding` `iam.googleapis.com/serviceAccounts.deleteTagBinding` `iam.googleapis.com/serviceAccounts.listTagBindings` `iam.googleapis.com/serviceAccounts.listEffectiveTags` `iam.googleapis.com/serviceAccounts.getCertificateAs`
Dataproc	`dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/batches.` `dataproc.googleapis.com/operations.` `dataproc.googleapis.com/sessionTemplates.` `dataproc.googleapis.com/sessions.` `dataproc.googleapis.com/workflowTemplates.` `dataproc.googleapis.com/autoscalingPolicies.` `dataproc.googleapis.com/clusters.` `dataproc.googleapis.com/jobs.*`	ללא
ניהול השירות	`servicemanagement.googleapis.com/services.check` `servicemanagement.googleapis.com/services.report`	ללא
Bigtable	`bigtable.googleapis.com/.`	ללא
Cloud Bigtable Admin API	`bigtableadmin.googleapis.com/.`	ללא
Cloud SQL	`cloudsql.googleapis.com/.`	ללא
שירותי רשת	`networkservices.googleapis.com/endpointPolicies.` `networkservices.googleapis.com/gateways.` `networkservices.googleapis.com/grpcRoutes.` `networkservices.googleapis.com/httpfilters.` `networkservices.googleapis.com/httpRoutes.` `networkservices.googleapis.com/meshes.` `networkservices.googleapis.com/route_views.` `networkservices.googleapis.com/serviceBindings.` `networkservices.googleapis.com/tcpRoutes.` `networkservices.googleapis.com/tlsRoutes.` `networkservices.googleapis.com/serviceLbPolicies.*`	ללא
Cloud Service Mesh	`trafficdirector.googleapis.com/.`	ללא
Network Management API	`networkmanagement.googleapis.com/.`	ללא
Compute Engine	`compute.googleapis.com/healthChecks.` `compute.googleapis.com/regionHealthChecks.` `compute.googleapis.com/httpHealthChecks.` `compute.googleapis.com/httpsHealthChecks.` `compute.googleapis.com/forwardingRules.` `compute.googleapis.com/globalForwardingRules.` `compute.googleapis.com/regionBackendServices.` `compute.googleapis.com/targetInstances.` `compute.googleapis.com/targetPools.` `compute.googleapis.com/firewallPolicies.` `compute.googleapis.com/firewalls.` `compute.googleapis.com/regionFirewallPolicies.` `compute.googleapis.com/backendBuckets.` `compute.googleapis.com/backendServices.` `compute.googleapis.com/regionSslPolicies.` `compute.googleapis.com/regionTargetHttpProxies.` `compute.googleapis.com/regionTargetTcpProxies.` `compute.googleapis.com/regionUrlMaps.` `compute.googleapis.com/sslPolicies.` `compute.googleapis.com/targetGrpcProxies.` `compute.googleapis.com/targetHttpProxies.` `compute.googleapis.com/targetHttpsProxies.` `compute.googleapis.com/targetSslProxies.` `compute.googleapis.com/targetTcpProxies.` `compute.googleapis.com/urlMaps.` `compute.googleapis.com/addresses.` `compute.googleapis.com/globalAddresses.` `compute.googleapis.com/networks.` `compute.googleapis.com/packetMirrorings.` `compute.googleapis.com/publicAdvertisedPrefixes.` `compute.googleapis.com/publicDelegatedPrefixes.` `compute.googleapis.com/routes.` `compute.googleapis.com/subnetworks.` `compute.googleapis.com/externalVpnGateways.` `compute.googleapis.com/targetVpnGateways.` `compute.googleapis.com/vpnGateways.` `compute.googleapis.com/interconnectAttachments.` `compute.googleapis.com/interconnectLocations.` `compute.googleapis.com/interconnectRemoteLocations.` `compute.googleapis.com/interconnects.`	ללא
Artifact Registry	`artifactregistry.googleapis.com/.`	ללא
Pub/Sub	`pubsub.googleapis.com/.`	ללא
Workflows	`workflows.googleapis.com/.`	ללא
Google Distributed Cloud	`gkeonprem.googleapis.com/.`	ללא
מפתחות API	`apikeys.googleapis.com/apikeys.` הערה:* ב-IAM v1 API, ההרשאות האלה נקראות `serviceusage.apiKeys.`. `apikeys.googleapis.com/keys.`	ללא
Cloud DNS	`dns.googleapis.com/.`	ללא
Datastore	`datastore.googleapis.com/backupSchedules.` `datastore.googleapis.com/databases.` `datastore.googleapis.com/indexes.` `datastore.googleapis.com/entities.` `datastore.googleapis.com/operations.` `datastore.googleapis.com/userCreds.` `datastore.googleapis.com/backups.get` `datastore.googleapis.com/backups.list` `datastore.googleapis.com/backups.delete` `datastore.googleapis.com/locations.*`	ללא
Cloud Key Management Service	`cloudkms.googleapis.com/ekmConfigs.` `cloudkms.googleapis.com/keyRings.` `cloudkms.googleapis.com/importJobs.` `cloudkms.googleapis.com/cryptoKeyVersions.create` `cloudkms.googleapis.com/cryptoKeyVersions.get` `cloudkms.googleapis.com/cryptoKeyVersions.list` `cloudkms.googleapis.com/cryptoKeyVersions.update` `cloudkms.googleapis.com/cryptoKeyVersions.restore` `cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt` `cloudkms.googleapis.com/cryptoKeyVersions.useToSign` `cloudkms.googleapis.com/cryptoKeyVersions.useToVerify` `cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey` `cloudkms.googleapis.com/cryptoKeyVersions.destroy` `cloudkms.googleapis.com/keyHandles.` `cloudkms.googleapis.com/autokeyConfigs.*`	`cloudkms.googleapis.com/importJobs.useToImport`
Organization Policy Service	`orgpolicy.googleapis.com/.`	ללא
Dataplex Universal Catalog	`dataplex.googleapis.com/aspectTypes.` `dataplex.googleapis.com/datascans.` `dataplex.googleapis.com/entries.` `dataplex.googleapis.com/entryTypes.` `dataplex.googleapis.com/metadataJobs.*` `dataplex.googleapis.com/entryGroups.import` `dataplex.googleapis.com/entryGroups.getIamPolicy` `dataplex.googleapis.com/entryGroups.setIamPolicy` `dataplex.googleapis.com/entryGroups.create` `dataplex.googleapis.com/entryGroups.get` `dataplex.googleapis.com/entryGroups.update` `dataplex.googleapis.com/entryGroups.delete` `dataplex.googleapis.com/entryGroups.list` `dataplex.googleapis.com/entryGroups.useGenericAspect` `dataplex.googleapis.com/entryGroups.useContactsAspect` `dataplex.googleapis.com/entryGroups.useOverviewAspect` `dataplex.googleapis.com/entryGroups.useSchemaAspect` `dataplex.googleapis.com/entryGroups.useGenericEntry`	ללא
Data Lineage API	`datalineage.googleapis.com/locations.` `datalineage.googleapis.com/operations.` `datalineage.googleapis.com/processes.` `datalineage.googleapis.com/runs.` `datalineage.googleapis.com/events.*`	ללא
GKE Hub	`gkehub.googleapis.com/fleets.*`	ללא
פונקציות Cloud Run	`cloudfunctions.googleapis.com/.`	ללא
Spanner	`spanner.googleapis.com/.`	ללא
Google Kubernetes Engine	`container.googleapis.com/.`	ללא

גרסת האכיפה `2`

כללי מדיניות עם גרסת אכיפה 2 יכולים לחסום את כל ההרשאות שמפורטות בגרסת אכיפה 1. בנוסף, כללי מדיניות עם גרסת האכיפה 2 יכולים גם לחסום את כל ההרשאות שמפורטות בטבלה הבאה.

כל שורה מכילה את הפרטים הבאים:

שם של שירות עם הרשאות שהמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום.
ההרשאות לשירות הזה שהמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום.

במקרים מסוימים, חלק משם ההרשאה מוחלף בתו כללי (*). הפורמט הזה מציין שמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום את כל ההרשאות שתואמות לדפוס הזה.

שירות	הרשאות	חריגים
Access Context Manager	`accesscontextmanager.googleapis.com/*`	ללא
Artifact Analysis	`containeranalysis.googleapis.com/*`	ללא
BigQuery	`bigquery.googleapis.com/datasets.` `bigquery.googleapis.com/jobs.` `bigquery.googleapis.com/models.` `bigquery.googleapis.com/routines.` `bigquery.googleapis.com/rowAccessPolicies.` `bigquery.googleapis.com/tables.`	ללא
מדיניות בנושא נתונים ב-BigQuery	`bigquerydatapolicy.googleapis.com/*`	ללא
שירות העברת נתונים ל-BigQuery	`bigquerydatatransfer.googleapis.com/transfers.*`	ללא
Chrome Enterprise Premium	`beyondcorp.googleapis.com/*`	ללא
מאגר משאבי ענן	`cloudasset.googleapis.com/*`	ללא
חיוב ב-Cloud	`billing.googleapis.com/budgets.*`	ללא
Cloud Build	`cloudbuild.googleapis.com/*`	ללא
Cloud Monitoring	`monitoring.googleapis.com/*`	`monitoring.googleapis.com/timeSeries.list` `monitoring.googleapis.com/metricsScopes.link`
Cloud Service Mesh	`meshconfig.googleapis.com/*`	ללא
Cloud Storage	`storage.googleapis.com/bucketOperations.` `storage.googleapis.com/buckets.` `storage.googleapis.com/folders.` `storage.googleapis.com/hmacKeys.` `storage.googleapis.com/managedFolders.` `storage.googleapis.com/multipartUploads.` `storage.googleapis.com/objects.*`	ללא
Cloud Trace	`cloudtrace.googleapis.com/*`	ללא
Compute Engine	`compute.googleapis.com/networkAttachments.` `compute.googleapis.com/networkEdgeSecurityServices.` `compute.googleapis.com/regionSecurityPolicies.` `compute.googleapis.com/routers.` `compute.googleapis.com/serviceAttachments.` `compute.googleapis.com/securityPolicies.`	ללא
כללים של Firebase	`firebaserules.googleapis.com/*`	ללא
GKE Multi-cloud	`gkemulticloud.googleapis.com/*`	ללא
שרת proxy לאימות זהויות (IAP)	`iap.googleapis.com/*`	ללא
Memorystore ל-Redis	`redis.googleapis.com/*`	ללא
Network Management API	`networkmanagement.googleapis.com/*`	ללא
Network Services API	`networkservices.googleapis.com/edgeCacheOrigins.` `networkservices.googleapis.com/edgeCacheKeysets.` `networkservices.googleapis.com/edgeCacheServices.*`	ללא
reCAPTCHA	`recaptchaenterprise.googleapis.com/*`	ללא
מנהל המשאבים	`cloudresourcemanager.googleapis.com/*`	`cloudresourcemanager.googleapis.com/.createPolicyBinding` `cloudresourcemanager.googleapis.com/.updatePolicyBinding` `cloudresourcemanager.googleapis.com/.deletePolicyBinding` `cloudresourcemanager.googleapis.com/.searchPolicyBindings`
Video Stitcher API	`videostitcher.googleapis.com/*`	ללא

גרסת האכיפה `1`

בטבלה הבאה מפורטות ההרשאות שמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) עם גרסת אכיפה 1 יכולה לחסום.

כל שורה מכילה את הפרטים הבאים:

שם של שירות עם הרשאות שהמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום.
ההרשאות לשירות הזה שהמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום.

במקרים מסוימים, חלק משם ההרשאה מוחלף בתו כללי (*). הפורמט הזה מציין שמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) יכולה לחסום את כל ההרשאות שתואמות לדפוס הזה.
ההרשאות לשירות שגבול הגישה לחשבונות משתמשים לא יכול לחסום, גם אם ההרשאות האלה תואמות לאחת מתבניות ההרשאות הנתמכות.

שירות	הרשאות	חריגים
Access Approval	`accessapproval.googleapis.com/serviceaccounts.get` `accessapproval.googleapis.com/settings.*` `accessapproval.googleapis.com/requests.list`	ללא
Access Context Manager	`accesscontextmanager.googleapis.com/*`	`accesscontextmanager.googleapis.com/gcpUserAccessBindings.*`
BigQuery	`bigquery.googleapis.com/datasets.create` `bigquery.googleapis.com/datasets.delete` `bigquery.googleapis.com/datasets.get` `bigquery.googleapis.com/datasets.update` `bigquery.googleapis.com/datasets.setIamPolicy` `bigquery.googleapis.com/jobs.get` `bigquery.googleapis.com/jobs.create` `bigquery.googleapis.com/jobs.delete` `bigquery.googleapis.com/jobs.list` `bigquery.googleapis.com/models.create` `bigquery.googleapis.com/models.delete` `bigquery.googleapis.com/models.list` `bigquery.googleapis.com/models.updateMetadata` `bigquery.googleapis.com/routines.create` `bigquery.googleapis.com/routines.delete` `bigquery.googleapis.com/routines.list` `bigquery.googleapis.com/routines.update`	ללא
Binary Authorization	`binaryauthorization.googleapis.com/*`	ללא
Cloud Logging	`logging.googleapis.com/logEntries.create` `logging.googleapis.com/logMetrics.*`	ללא
Cloud Run	`run.googleapis.com/authorizeddomains.` `run.googleapis.com/configurations.get` `run.googleapis.com/configurations.list` `run.googleapis.com/domainmappings.` `run.googleapis.com/executions.` `run.googleapis.com/jobs.create` `run.googleapis.com/jobs.delete` `run.googleapis.com/jobs.get` `run.googleapis.com/jobs.list` `run.googleapis.com/jobs.run` `run.googleapis.com/revisions.` `run.googleapis.com/routes.get` `run.googleapis.com/routes.list` `run.googleapis.com/services.create` `run.googleapis.com/services.delete` `run.googleapis.com/services.get` `run.googleapis.com/services.list` `run.googleapis.com/services.update` `run.googleapis.com/tasks.*`	ללא
Cloud Storage	`storage.googleapis.com/buckets.get` `storage.googleapis.com/buckets.update` `storage.googleapis.com/buckets.list` `storage.googleapis.com/buckets.getIamPolicy` `storage.googleapis.com/buckets.setIamPolicy` `storage.googleapis.com/hmacKeys.update` `storage.googleapis.com/objects.get` `storage.googleapis.com/objects.setRetention` `storage.googleapis.com/objects.delete`	ללא
Dataflow	`dataflow.googleapis.com/jobs.` `dataflow.googleapis.com/metrics.get` `dataflow.googleapis.com/workItems.` `dataflow.googleapis.com/messages.list` `dataflow.googleapis.com/snapshots.list`	`dataflow.googleapis.com/jobs.snapshot`
Datastore	`datastore.googleapis.com/databases.get` `datastore.googleapis.com/databases.getMetadata` `datastore.googleapis.com/databases.create` `datastore.googleapis.com/databases.delete` `datastore.googleapis.com/databases.list`	ללא
כללי אבטחה של Firebase	`firebaserules.googleapis.com/*`	ללא
GKE Hub	`gkehub.googleapis.com/features.` `gkehub.googleapis.com/fleet.create` `gkehub.googleapis.com/fleet.get` `gkehub.googleapis.com/fleet.patch` `gkehub.googleapis.com/locations.` `gkehub.googleapis.com/membershipbindings.` `gkehub.googleapis.com/memberships.` `gkehub.googleapis.com/rbacrolebindings.` `gkehub.googleapis.com/scopes.`	`gkehub.googleapis.com/.createTagBinding` `gkehub.googleapis.com/.deleteTagBinding` `gkehub.googleapis.com/.listEffectiveTags` `gkehub.googleapis.com/.listTagBindings`
Pub/Sub	`pubsub.googleapis.com/*`	`pubsub.googleapis.com/schemas.delete` `pubsub.googleapis.com/schemas.validate` `pubsub.googleapis.com/subscriptions.consume` `pubsub.googleapis.com/.getIamPolicy` `pubsub.googleapis.com/.setIamPolicy`
Memorystore ל-Redis	`redis.googleapis.com/instances.create` `redis.googleapis.com/instances.delete` `redis.googleapis.com/instances.get` `redis.googleapis.com/instances.failover` `redis.googleapis.com/instances.getAuthString` `redis.googleapis.com/instances.list` `redis.googleapis.com/instances.upgrade` `redis.googleapis.com/instances.update`	ללא
Vertex AI	`aiplatform.googleapis.com/*`	`aiplatform.googleapis.com/operations.*`

הרשאות שנחסמות על ידי מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

גרסת האכיפה 3

גרסת האכיפה 2

גרסת האכיפה 1

הרשאות שנחסמות על ידי מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

גרסת האכיפה `3`

גרסת האכיפה `2`

גרסת האכיפה `1`