주 구성원 액세스 경계 정책에서 차단하는 권한

주 구성원이 액세스 자격이 없는 리소스에 액세스하려고 시도할 때 주 구성원 액세스 경계 정책은 전체는 아니지만 일부 Identity and Access Management(IAM) 권한을 사용해서 리소스에 액세스하지 못하도록 합니다.

주 구성원 액세스 경계 정책에서 권한을 차단하면 IAM은 해당 권한에 대해 주 구성원 액세스 경계 정책을 적용합니다. 즉, 리소스에 액세스 자격이 없는 주 구성원이 권한을 이용해서 리소스에 액세스하지 못하도록 합니다.

주 구성원 액세스 경계 정책에서 권한을 차단하지 않으면 주 구성원 액세스 경계 정책은 주 구성원이 권한을 사용할 수 있는지 여부에 영향을 미치지 않습니다.

IAM은 추가 권한을 차단할 수 있는 새로운 주 구성원 액세스 경계 적용 버전을 주기적으로 추가합니다. 각 새 버전은 이전 버전의 모든 권한도 차단할 수 있습니다.

이 페이지에서는 각 적용 버전이 차단할 수 있는 권한을 보여줍니다.

주 구성원 액세스 경계 정책 버전 번호에 대한 자세한 내용은 주 구성원 액세스 경계 정책 개요를 참조하세요.

적용 버전 3

적용 버전이 3인 정책은 다음 적용 버전에 나열된 모든 권한을 차단할 수 있습니다.

또한 적용 버전이 3인 정책은 다음 표에 나열된 모든 권한을 차단할 수도 있습니다.

각 행에는 다음 정보가 포함되어 있습니다.

  • 주 구성원 액세스 경계 정책에서 차단할 수 있는 권한이 있는 서비스의 이름

  • 주 구성원 액세스 경계 정책에서 차단할 수 있는 서비스의 권한.

    일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책에서 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 나타냅니다.

서비스 권한 예외
필수 연락처
  • essentialcontacts.googleapis.com/contacts.*
    		•  없음
    Identity and Access Management
  • iam.googleapis.com/serviceAccounts.*
  • iam.googleapis.com/serviceAccountKeys.*
  • iam.googleapis.com/roles.*
  • iam.googleapis.com/denypolicies.*
    		•
  • iam.googleapis.com/serviceAccounts.createTagBinding
  • iam.googleapis.com/serviceAccounts.deleteTagBinding
  • iam.googleapis.com/serviceAccounts.listTagBindings
  • iam.googleapis.com/serviceAccounts.listEffectiveTags
  • iam.googleapis.com/serviceAccounts.getCertificateAs
    		•
    Dataproc
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/batches.*
  • dataproc.googleapis.com/operations.*
  • dataproc.googleapis.com/sessionTemplates.*
  • dataproc.googleapis.com/sessions.*
  • dataproc.googleapis.com/workflowTemplates.*
  • dataproc.googleapis.com/autoscalingPolicies.*
  • dataproc.googleapis.com/clusters.*
  • dataproc.googleapis.com/jobs.*
    		•  없음
    서비스 관리
  • servicemanagement.googleapis.com/services.check
  • servicemanagement.googleapis.com/services.report
    		•  없음
    Bigtable
  • bigtable.googleapis.com/*.*
    		•  없음
    Cloud Bigtable Admin API
  • bigtableadmin.googleapis.com/*.*
    		•  없음
    Cloud SQL
  • cloudsql.googleapis.com/*.*
    		•  없음
    네트워크 서비스
  • networkservices.googleapis.com/endpointPolicies.*
  • networkservices.googleapis.com/gateways.*
  • networkservices.googleapis.com/grpcRoutes.*
  • networkservices.googleapis.com/httpfilters.*
  • networkservices.googleapis.com/httpRoutes.*
  • networkservices.googleapis.com/meshes.*
  • networkservices.googleapis.com/route_views.*
  • networkservices.googleapis.com/serviceBindings.*
  • networkservices.googleapis.com/tcpRoutes.*
  • networkservices.googleapis.com/tlsRoutes.*
  • networkservices.googleapis.com/serviceLbPolicies.*
    		•  없음
    Cloud Service Mesh
  • trafficdirector.googleapis.com/*.*
    		•  없음
    Network Management API
  • networkmanagement.googleapis.com/*.*
    		•  없음
    Compute Engine
  • compute.googleapis.com/healthChecks.*
  • compute.googleapis.com/regionHealthChecks.*
  • compute.googleapis.com/httpHealthChecks.*
  • compute.googleapis.com/httpsHealthChecks.*
  • compute.googleapis.com/forwardingRules.*
  • compute.googleapis.com/globalForwardingRules.*
  • compute.googleapis.com/regionBackendServices.*
  • compute.googleapis.com/targetInstances.*
  • compute.googleapis.com/targetPools.*
  • compute.googleapis.com/firewallPolicies.*
  • compute.googleapis.com/firewalls.*
  • compute.googleapis.com/regionFirewallPolicies.*
  • compute.googleapis.com/backendBuckets.*
  • compute.googleapis.com/backendServices.*
  • compute.googleapis.com/regionSslPolicies.*
  • compute.googleapis.com/regionTargetHttpProxies.*
  • compute.googleapis.com/regionTargetTcpProxies.*
  • compute.googleapis.com/regionUrlMaps.*
  • compute.googleapis.com/sslPolicies.*
  • compute.googleapis.com/targetGrpcProxies.*
  • compute.googleapis.com/targetHttpProxies.*
  • compute.googleapis.com/targetHttpsProxies.*
  • compute.googleapis.com/targetSslProxies.*
  • compute.googleapis.com/targetTcpProxies.*
  • compute.googleapis.com/urlMaps.*
  • compute.googleapis.com/addresses.*
  • compute.googleapis.com/globalAddresses.*
  • compute.googleapis.com/networks.*
  • compute.googleapis.com/packetMirrorings.*
  • compute.googleapis.com/publicAdvertisedPrefixes.*
  • compute.googleapis.com/publicDelegatedPrefixes.*
  • compute.googleapis.com/routes.*
  • compute.googleapis.com/subnetworks.*
  • compute.googleapis.com/externalVpnGateways.*
  • compute.googleapis.com/targetVpnGateways.*
  • compute.googleapis.com/vpnGateways.*
  • compute.googleapis.com/interconnectAttachments.*
  • compute.googleapis.com/interconnectLocations.*
  • compute.googleapis.com/interconnectRemoteLocations.*
  • compute.googleapis.com/interconnects.*
    		•  없음
    Artifact Registry
  • artifactregistry.googleapis.com/*.*
    		•  없음
    Pub/Sub
  • pubsub.googleapis.com/*.*
    		•  없음
    워크플로
  • workflows.googleapis.com/*.*
    		•  없음
    Google Distributed Cloud
  • gkeonprem.googleapis.com/*.*
    		•  없음
    API 키

  • apikeys.googleapis.com/apikeys.*

  • apikeys.googleapis.com/keys.*
    		•  없음
    Cloud DNS
  • dns.googleapis.com/*.*
    		•  없음
    Datastore
  • datastore.googleapis.com/backupSchedules.*
  • datastore.googleapis.com/databases.*
  • datastore.googleapis.com/indexes.*
  • datastore.googleapis.com/entities.*
  • datastore.googleapis.com/operations.*
  • datastore.googleapis.com/userCreds.*
  • datastore.googleapis.com/backups.get
  • datastore.googleapis.com/backups.list
  • datastore.googleapis.com/backups.delete
  • datastore.googleapis.com/locations.*
    		•  없음
    Cloud Key Management Service
  • cloudkms.googleapis.com/ekmConfigs.*
  • cloudkms.googleapis.com/keyRings.*
  • cloudkms.googleapis.com/importJobs.*
  • cloudkms.googleapis.com/cryptoKeyVersions.create
  • cloudkms.googleapis.com/cryptoKeyVersions.get
  • cloudkms.googleapis.com/cryptoKeyVersions.list
  • cloudkms.googleapis.com/cryptoKeyVersions.update
  • cloudkms.googleapis.com/cryptoKeyVersions.restore
  • cloudkms.googleapis.com/cryptoKeyVersions.useToEncrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToDecrypt
  • cloudkms.googleapis.com/cryptoKeyVersions.useToSign
  • cloudkms.googleapis.com/cryptoKeyVersions.useToVerify
  • cloudkms.googleapis.com/cryptoKeyVersions.viewPublicKey
  • cloudkms.googleapis.com/cryptoKeyVersions.destroy
  • cloudkms.googleapis.com/keyHandles.*
  • cloudkms.googleapis.com/autokeyConfigs.*
    		•
  • cloudkms.googleapis.com/importJobs.useToImport
    		•
    조직 정책 서비스
  • orgpolicy.googleapis.com/*.*
    		•  없음
    Dataplex 범용 카탈로그
  • dataplex.googleapis.com/aspectTypes.*
  • dataplex.googleapis.com/datascans.*
  • dataplex.googleapis.com/entries.*
  • dataplex.googleapis.com/entryTypes.*
  • dataplex.googleapis.com/metadataJobs.*
  • dataplex.googleapis.com/entryGroups.import
  • dataplex.googleapis.com/entryGroups.getIamPolicy
  • dataplex.googleapis.com/entryGroups.setIamPolicy
  • dataplex.googleapis.com/entryGroups.create
  • dataplex.googleapis.com/entryGroups.get
  • dataplex.googleapis.com/entryGroups.update
  • dataplex.googleapis.com/entryGroups.delete
  • dataplex.googleapis.com/entryGroups.list
  • dataplex.googleapis.com/entryGroups.useGenericAspect
  • dataplex.googleapis.com/entryGroups.useContactsAspect
  • dataplex.googleapis.com/entryGroups.useOverviewAspect
  • dataplex.googleapis.com/entryGroups.useSchemaAspect
  • dataplex.googleapis.com/entryGroups.useGenericEntry
    		•  없음
    Data Lineage API
  • datalineage.googleapis.com/locations.*
  • datalineage.googleapis.com/operations.*
  • datalineage.googleapis.com/processes.*
  • datalineage.googleapis.com/runs.*
  • datalineage.googleapis.com/events.*
    		•  없음
    GKE 허브
  • gkehub.googleapis.com/fleets.*
    		•  없음
    Cloud Run Functions
  • cloudfunctions.googleapis.com/*.*
    		•  없음
    Spanner
  • spanner.googleapis.com/*.*
    		•  없음
    Google Kubernetes Engine
  • container.googleapis.com/*.*
    		•  없음

    적용 버전 2

    적용 버전이 2인 정책은 적용 버전 1에 나열된 모든 권한을 차단할 수 있습니다. 또한 적용 버전이 2인 정책은 다음 표에 나열된 모든 권한을 차단할 수도 있습니다.

    각 행에는 다음 정보가 포함되어 있습니다.

    • 주 구성원 액세스 경계 정책에서 차단할 수 있는 권한이 있는 서비스의 이름

    • 주 구성원 액세스 경계 정책에서 차단할 수 있는 서비스의 권한.

      일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책에서 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 나타냅니다.

    서비스 권한 예외
    Access Context Manager
    • accesscontextmanager.googleapis.com/*
    		 없음
    Artifact Analysis
    • containeranalysis.googleapis.com/*
    		 없음
    BigQuery
    • bigquery.googleapis.com/datasets.*
    • bigquery.googleapis.com/jobs.*
    • bigquery.googleapis.com/models.*
    • bigquery.googleapis.com/routines.*
    • bigquery.googleapis.com/rowAccessPolicies.*
    • bigquery.googleapis.com/tables.*
    		 없음
    BigQuery 데이터 정책
    • bigquerydatapolicy.googleapis.com/*
    		 없음
    BigQuery Data Transfer Service
    • bigquerydatatransfer.googleapis.com/transfers.*
    		 없음
    Chrome Enterprise Premium
    • beyondcorp.googleapis.com/*
    		 없음
    Cloud 애셋 인벤토리
    • cloudasset.googleapis.com/*
    		 없음
    Cloud Billing
    • billing.googleapis.com/budgets.*
    		 없음
    Cloud Build
    • cloudbuild.googleapis.com/*
    		 없음
    Cloud Monitoring
    • monitoring.googleapis.com/*
    • monitoring.googleapis.com/timeSeries.list
    • monitoring.googleapis.com/metricsScopes.link
    Cloud Service Mesh
    • meshconfig.googleapis.com/*
    		 없음
    Cloud Storage
    • storage.googleapis.com/bucketOperations.*
    • storage.googleapis.com/buckets.*
    • storage.googleapis.com/folders.*
    • storage.googleapis.com/hmacKeys.*
    • storage.googleapis.com/managedFolders.*
    • storage.googleapis.com/multipartUploads.*
    • storage.googleapis.com/objects.*
    		 없음
    Cloud Trace
    • cloudtrace.googleapis.com/*
    		 없음
    Compute Engine
    • compute.googleapis.com/networkAttachments.*
    • compute.googleapis.com/networkEdgeSecurityServices.*
    • compute.googleapis.com/regionSecurityPolicies.*
    • compute.googleapis.com/routers.*
    • compute.googleapis.com/serviceAttachments.*
    • compute.googleapis.com/securityPolicies.*
    		 없음
    Firebase 규칙
    • firebaserules.googleapis.com/*
    		 없음
    GKE Multi-Cloud
    • gkemulticloud.googleapis.com/*
    		 없음
    IAP(Identity-Aware Proxy)
    • iap.googleapis.com/*
    		 없음
    Redis용 Memorystore
    • redis.googleapis.com/*
    		 없음
    Network Management API
    • networkmanagement.googleapis.com/*
    		 없음
    Network Services API
    • networkservices.googleapis.com/edgeCacheOrigins.*
    • networkservices.googleapis.com/edgeCacheKeysets.*
    • networkservices.googleapis.com/edgeCacheServices.*
    		 없음
    reCAPTCHA
    • recaptchaenterprise.googleapis.com/*
    		 없음
    Resource Manager
    • cloudresourcemanager.googleapis.com/*
    • cloudresourcemanager.googleapis.com/*.createPolicyBinding
    • cloudresourcemanager.googleapis.com/*.updatePolicyBinding
    • cloudresourcemanager.googleapis.com/*.deletePolicyBinding
    • cloudresourcemanager.googleapis.com/*.searchPolicyBindings
    Video Stitcher API
    • videostitcher.googleapis.com/*
    		 없음

    적용 버전 1

    다음 표에는 적용 버전이 1인 주 구성원 액세스 경계 정책에서 차단할 수 있는 권한이 나와 있습니다.

    각 행에는 다음 정보가 포함되어 있습니다.

    • 주 구성원 액세스 경계 정책에서 차단할 수 있는 권한이 있는 서비스의 이름

    • 주 구성원 액세스 경계 정책에서 차단할 수 있는 서비스의 권한.

      일부 경우에는 권한 이름 섹션이 와일드 카드 문자(*)로 대체됩니다. 이 형식은 주 구성원 액세스 경계 정책에서 해당 패턴과 일치하는 모든 권한을 차단할 수 있음을 나타냅니다.

    • 해당 권한이 지원되는 권한 패턴 중 하나와 일치하더라도 주 구성원 액세스 경계에서 차단할 수 없는 서비스의 권한

    서비스 권한 예외
    액세스 승인
    • accessapproval.googleapis.com/serviceaccounts.get
    • accessapproval.googleapis.com/settings.*
    • accessapproval.googleapis.com/requests.list
    		 없음
    Access Context Manager
    • accesscontextmanager.googleapis.com/*
    • accesscontextmanager.googleapis.com/gcpUserAccessBindings.*
    BigQuery
    • bigquery.googleapis.com/datasets.create
    • bigquery.googleapis.com/datasets.delete
    • bigquery.googleapis.com/datasets.get
    • bigquery.googleapis.com/datasets.update
    • bigquery.googleapis.com/datasets.setIamPolicy
    • bigquery.googleapis.com/jobs.get
    • bigquery.googleapis.com/jobs.create
    • bigquery.googleapis.com/jobs.delete
    • bigquery.googleapis.com/jobs.list
    • bigquery.googleapis.com/models.create
    • bigquery.googleapis.com/models.delete
    • bigquery.googleapis.com/models.list
    • bigquery.googleapis.com/models.updateMetadata
    • bigquery.googleapis.com/routines.create
    • bigquery.googleapis.com/routines.delete
    • bigquery.googleapis.com/routines.list
    • bigquery.googleapis.com/routines.update
    		 없음
    Binary Authorization
    • binaryauthorization.googleapis.com/*
    		 없음
    Cloud Logging
    • logging.googleapis.com/logEntries.create
    • logging.googleapis.com/logMetrics.*
    		 없음
    Cloud Run
    • run.googleapis.com/authorizeddomains.*
    • run.googleapis.com/configurations.get
    • run.googleapis.com/configurations.list
    • run.googleapis.com/domainmappings.*
    • run.googleapis.com/executions.*
    • run.googleapis.com/jobs.create
    • run.googleapis.com/jobs.delete
    • run.googleapis.com/jobs.get
    • run.googleapis.com/jobs.list
    • run.googleapis.com/jobs.run
    • run.googleapis.com/revisions.*
    • run.googleapis.com/routes.get
    • run.googleapis.com/routes.list
    • run.googleapis.com/services.create
    • run.googleapis.com/services.delete
    • run.googleapis.com/services.get
    • run.googleapis.com/services.list
    • run.googleapis.com/services.update
    • run.googleapis.com/tasks.*
    		 없음
    Cloud Storage
    • storage.googleapis.com/buckets.get
    • storage.googleapis.com/buckets.update
    • storage.googleapis.com/buckets.list
    • storage.googleapis.com/buckets.getIamPolicy
    • storage.googleapis.com/buckets.setIamPolicy
    • storage.googleapis.com/hmacKeys.update
    • storage.googleapis.com/objects.get
    • storage.googleapis.com/objects.setRetention
    • storage.googleapis.com/objects.delete
    		 없음
    Dataflow
    • dataflow.googleapis.com/jobs.*
    • dataflow.googleapis.com/metrics.get
    • dataflow.googleapis.com/workItems.*
    • dataflow.googleapis.com/messages.list
    • dataflow.googleapis.com/snapshots.list
    • dataflow.googleapis.com/jobs.snapshot
    Datastore
    • datastore.googleapis.com/databases.get
    • datastore.googleapis.com/databases.getMetadata
    • datastore.googleapis.com/databases.create
    • datastore.googleapis.com/databases.delete
    • datastore.googleapis.com/databases.list
    		 없음
    Firebase 보안 규칙
    • firebaserules.googleapis.com/*
    		 없음
    GKE 허브
    • gkehub.googleapis.com/features.*
    • gkehub.googleapis.com/fleet.create
    • gkehub.googleapis.com/fleet.get
    • gkehub.googleapis.com/fleet.patch
    • gkehub.googleapis.com/locations.*
    • gkehub.googleapis.com/membershipbindings.*
    • gkehub.googleapis.com/memberships.*
    • gkehub.googleapis.com/rbacrolebindings.*
    • gkehub.googleapis.com/scopes.*
    • gkehub.googleapis.com/*.createTagBinding
    • gkehub.googleapis.com/*.deleteTagBinding
    • gkehub.googleapis.com/*.listEffectiveTags
    • gkehub.googleapis.com/*.listTagBindings
    Pub/Sub
    • pubsub.googleapis.com/*
    • pubsub.googleapis.com/schemas.delete
    • pubsub.googleapis.com/schemas.validate
    • pubsub.googleapis.com/subscriptions.consume
    • pubsub.googleapis.com/*.getIamPolicy
    • pubsub.googleapis.com/*.setIamPolicy
    Redis용 Memorystore
    • redis.googleapis.com/instances.create
    • redis.googleapis.com/instances.delete
    • redis.googleapis.com/instances.get
    • redis.googleapis.com/instances.failover
    • redis.googleapis.com/instances.getAuthString
    • redis.googleapis.com/instances.list
    • redis.googleapis.com/instances.upgrade
    • redis.googleapis.com/instances.update
    		 없음
    Vertex AI
    • aiplatform.googleapis.com/*
    • aiplatform.googleapis.com/operations.*