Identity-Föderation: Produkte und Einschränkungen

• Zusammenfassungskarten für Leistung und Sicherungen
• Daten in der Clustertabelle, z. B. verfügbarer CPU-Prozentsatz und Arbeitsspeicher

• Funktionen in der Vorschau werden für Nutzer der Mitarbeiteridentitätsföderation nicht unterstützt. Dazu gehören die folgenden Funktionen:

  • Data Studio-Integration
  • Risikobewertung
  • Erkennung von Schatten-APIs

• Die lokale Entwicklung mit Apigee in Cloud Code wird für Nutzer der Mitarbeiteridentitätsföderation nicht unterstützt.

• API Management APIs unterstützen keine Nutzer der Mitarbeiteridentitätsföderation.

• Apigee Connect APIs unterstützen keine Nutzer der Mitarbeiteridentitätsföderation.

• Die Verwaltung von OAuth-Marken wird nicht unterstützt.
• Die Verwaltung von OAuth-Marken wird nicht unterstützt.

• Container Registry unterstützt keine Identitätsföderation. Auf der Seite „Einstellungen“ befindet sich ein Info-Banner in der Container Registry-Umstellung.

• Die folgenden Features unterstützen die Workload Identity-Föderation mit BigQuery nicht:
  • Verbundene Tabellenblätter
  • Google Drive
  • Empfehlungen
  • Slot-Schätzer
• Die folgenden Vorgänge unterstützen die Workload Identity-Föderation nicht:
  • Daten aus Amazon S3 , Apache Spark oder Azure Blob Storage über die Connection API laden
  • Daten aus Google Drive laden

analyzeMove wird von der Identitätsföderation nicht unterstützt.

• Nur Rechnungskonten mit monatlicher Abrechnung werden unterstützt.

• Nur Rechnungskonten mit monatlicher Abrechnung unterstützen die Identitätsföderation.

• Managed Airflow unterstützt die Mitarbeiteridentitätsföderation nur für Umgebungen, die in Composer-Version 2.1.11 oder höher und in Airflow-Version 2.4.3 oder höher erstellt wurden. Durch das Upgrade einer Umgebung von einer früheren Version wird die Workforce Identity Federation-Unterstützung nicht aktiviert.
• Von Airflow gesendete E-Mails enthalten nur den Link zur Airflow-Benutzeroberfläche, auf den Google-Konten zugreifen können. Für den Zugriff auf die Airflow-UI als Nutzer der Mitarbeiteridentitätsföderation muss der Link manuell aktualisiert werden (in die URL für Nutzer der Mitarbeiteridentitätsföderation geändert werden).
• Für den Bucket der Managed Airflow-Umgebung gelten die Cloud Storage-Einschränkungen.

• Die Spracheinstellung wird bei der Anmeldung gewählt und kann nicht in der Console aktualisiert werden.
• Produktbenachrichtigungen, Aktualisierungen und Angebote können nicht auf der Seite Kommunikationseinstellungen aktiviert werden.
• Die Personalisierung auf Grundlage Ihrer Cloud de Confiance Console-Aktivitäten wird nicht unterstützt.
• Die Seite Zentrum für Transparenz und Kontrolle ist nicht verfügbar.

• Aufgrund der Einschränkungen von Cloud Billing für die Mitarbeiteridentitätsföderation ist der Support für die Abrechnung nur für den Administrator der Organisation über das Cloud de Confiance -Konto zugänglich, das zum Einrichten des Rechnungskonto verwendet wurde.
• Nutzer von Identitätsföderationen können Dateien mit Supportfall hochladen, aber nicht herunterladen. Diese Dateien sind für die Supporttechniker sichtbar, die Ihre Fälle bearbeiten.
• Kontaktdaten (z. B. E-Mail-Adresse) können für Nutzer von Identitäts-Föderationen nicht mehr geändert werden, sobald die Interaktion mit dem Support begonnen hat.
• Nutzer der Mitarbeiteridentitätsföderation können keine Fälle über den Livechat-Supportkanal erstellen.

• Die IAM-Berechtigung run.routes.invoke , mit der der Zugriff auf Cloud Run-Dienstendpunkte verwaltet werden kann, unterstützt die Mitarbeiteridentitätsföderation nicht. Aktivieren Sie Identity-Aware Proxy für Cloud Run , um es zu verwenden.
• Cloud Run unterstützt keinen direkten Ressourcenzugriff über die Workload Identity-Föderation. Um Zugriff zu gewähren, verwenden Sie die Identitätsübernahme des Dienstkontos .

• Die IAM-Berechtigung run.routes.invoke , die den Zugriff auf Cloud Run-Dienstendpunkte verwaltet, unterstützt die Mitarbeiteridentitätsföderation nicht. Aktivieren Sie Identity-Aware Proxy für Cloud Run , um es zu verwenden.
• Cloud Run unterstützt keine Workload Identity-Föderation. Um Zugriff zu gewähren, verwenden Sie die Identitätsübernahme des Dienstkontos .

• Der Tab „App Engine-Cronjobs“ ist für Nutzer der Workforce Identity-Föderation nicht verfügbar.
• Die App Engine-Option in der Zieltypkonfiguration ist für Nutzer der Workforce Identity-Föderation nicht verfügbar.

• Der Hilfeassistent wird nicht unterstützt.
• Die IAM-Datenbankauthentifizierung für Nutzeranmeldungen wird für Datenbanken von Cloud SQL for MySQL oder Cloud SQL for PostgreSQL nicht unterstützt.
• Query Insights wird nicht unterstützt.

• Zum Aufrufen von Objektdetails muss ein einheitlicher Zugriff auf Bucket-Ebene für den Bucket aktiviert sein.
• Die Verarbeitung mit Cloud Run Functions wird nicht unterstützt.
• Das Scannen mit Cloud Data Loss Prevention wird nicht unterstützt.

• Die Identitätsföderation mit allen Cloud Storage APIs wird nur für Buckets mit einheitlichem Zugriff auf Bucket-Ebene unterstützt. Der Zugriff im Rahmen der Identitätsföderation auf Buckets mit detaillierten Zugriffssteuerungslisten (Access Control Lists, ACLs) wird verweigert.
• Alle Nutzer und Arbeitslasten können vorhandene signierte URLs verwenden. Nutzer und Arbeitslasten der Identitätsföderation können jedoch keine signierten URLs generieren.

• App Engine-Warteschlangen: Da App Engine-Warteschlangen (Warteschlangen, die mithilfe einer queue.yaml or queue.xml -Datei) nur Aufgaben mit App Engine-Zielen enthalten, werden Aufgaben in diesen Warteschlangen nicht unterstützt.
• Reguläre Warteschlangen: Für reguläre Cloud Tasks-Warteschlangen werden Aufgaben mit HTTP-Zielen unterstützt. Aufgaben mit App Engine-Zielen werden nicht unterstützt, obwohl die Warteschlange keine App Engine-Warteschlange ist.

• Für den Image-Import und -Export in/aus einen Cloud Storage-Bucket muss der einheitliche Zugriff auf Bucket-Ebene für den Bucket aktiviert sein.
• Bare-Metal-Lösung wird nicht unterstützt.

• In Hauptkonten der Cloud de Confiance Console und den APIs hinzufügen unterstützt das Textfeld Gruppen-ID keine automatische Vervollständigung oder Validierung für Nutzer der Mitarbeiteridentitätsföderation.
• Gruppen der Mitarbeiteridentitätsföderation werden anhand ihrer IDs anstelle ihrer Namen identifiziert.

• Dataplex Explore Workbench unterstützt nicht die Workforce Identity-Föderation.
• Geplante Skripts und Notebooks über die Workbench unterstützen nicht die Mitarbeiteridentitätsföderation.
• Die Sichere Ansicht unterstützt nicht die Mitarbeiteridentitätsföderation.

• Nutzer von Identitätsföderationen für Mitarbeiter können Vorgänge zum Erstellen, Aufrufen, Aktualisieren und Löschen auf Seiten der Cluster-, Job- und Batch-Liste ausführen. Workflows, Autoscaling-Richtlinien und Komponentenaustausch sind für Nutzer von Identitätsföderationen nicht verfügbar.
• Die Funktion zur Clustererstellung ist verfügbar, mit Ausnahme von Managed Service for Apache Spark in GKE-Clustererstellung, Managed Service for Apache Spark Compute Engine-Cluster mit persönlicher Authentifizierung oder mit aktiviertem Component Gateway.
• Der Bereich Ausgabe auf der Seite „Batch- und Jobdetails“ ist für Nutzer von Workforce Identity Federation nicht verfügbar.
• Der Abschnitt Benachrichtigung empfehlen auf der Seite "Cluster und Jobliste" ist für Nutzer von Workforce Identity Federation nicht verfügbar.

• Dataproc auf GKE
• Authentifizierung für persönliche Cluster im Managed Service for Apache Spark
• Managed Service for Apache Spark-Dienstkonto – sichere Mehrmandantenfähigkeit

• Cloud Marketplace enthält Links zu Google-Domains, die möglicherweise keine Mitarbeiteridentitätsföderation unterstützen.
• Der Button Starten ist für alle VM-Produkte deaktiviert, die Deployment Manager verwenden, da Deployment Manager die Workforce Identity-Föderation nicht unterstützt.
• Die SaaS-Registrierung und die SSO-Anmeldung unterstützen keine Workforce Identity Federation.
• Producer Portal unterstützt keine Mitarbeiteridentitätsföderation.
• Beschaffung anfordern unterstützt keine Mitarbeiteridentitätsföderation.
• Service Catalog unterstützt keine Mitarbeiteridentitätsföderation.

• Das Exportieren der Gesamtbetriebskostenberichte (TCO Berichte) wird für Nutzer der Mitarbeiteridentitätsföderation nicht unterstützt.
• Das Exportieren von Assets wird für Nutzer der Mitarbeiteridentitätsföderation nicht unterstützt.

• Das Exportieren von Daten in Google Drive über Earth Engine APIs wird für die Mitarbeiteridentitätsföderation nicht unterstützt.
• Alte Earth Engine-Assets, die nicht von Cloud de Confiance -Projekten verwaltet werden, werden für Nutzer der Mitarbeiteridentitätsföderation nicht unterstützt.

• Wenn Sie sich bei einem angehängten Cluster, einem GKE on AWS-Cluster, einem GKE on Azure-Cluster oder einem GDC-Software-only-Cluster für Bare Metal anmelden, ist die Option Google-Identität verwenden nicht für die Mitarbeiteridentitätsföderation verfügbar.
• Wenn Sie einen angehängten Cluster, einen GKE on AWS-Cluster, einen GKE on Azure-Cluster oder einen GDC-Software-only-Cluster für Bare Metal erstellen oder anhängen, werden Sie nicht automatisch als Administrator für die Mitarbeiteridentitätsföderation hinzugefügt.

• In der Spalte Name der IAM-Tabelle werden keine Anzeigenamen für Google-Identitäten angezeigt.
• Wenn Sie neue Hauptkonten hinzufügen, um Richtlinien zuzulassen, unterstützt das Textfeld Hauptkonten hinzufügen nur die automatische Vervollständigung von Dienstkonten.
• Das Textfeld Ausgenommenes Hauptkonto hinzufügen auf der Seite Audit-Logs unterstützt Automatische Vervollständigung von Dienstkonten

• Auf dem Tab "Anwendungen" ist die Spalte Methode deaktiviert, sodass Nutzer keine externen Identitäten für die Autorisierung verwenden können.
• Auf dem Tab "Anwendungen" können App Engine-Ressourcen nicht aufgelistet werden.
• Der Menüpunkt Zur OAuth-Konfiguration im Aktionsmenü  more_vert ist nicht verfügbar.
• Auf dem Tab Anwendungen können lokale Connectors nicht hinzugefügt oder aufgelistet werden.

• Die kontinuierliche Bereitstellung mit Cloud Build unterstützt nicht die Mitarbeiteridentitätsföderation.
• Die Registrierung einer Domain bei Cloud Domains unterstützt nicht die Mitarbeiteridentitätsföderation.

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

Die folgenden Policy Intelligence-Features haben Einschränkungen für Nutzer der Mitarbeiteridentitätsföderation, die die Cloud de Confiance by S3NS Workforce Identity Federation-Konsole verwenden:

• Richtlinien-Fehlerbehebung : Nutzer der Mitarbeiteridentitätsföderation können den Zugriff in der Console (föderiert) nicht beheben.
• Policy Analyzer : Nutzer der Mitarbeiteridentitätsföderation können den Zugriff in der Console (föderiert) nicht analysieren.
• Richtliniensimulator : Nutzer der Mitarbeiteridentitätsföderation können keine Änderungen an einer Zulassungsrichtlinie in der Console (föderiert) simulieren.
• IAM Recommender : Nutzer der Mitarbeiteridentitätsföderation können keine Empfehlungen in der Console (föderiert) ansehen.

Die folgenden Policy Intelligence-Features haben API-Einschränkungen für föderierte Identitäten:

• Richtlinien-Fehlerbehebung : Föderierte Identitäten können nicht die Mitgliedschaft von Google-Gruppen in Zulassungs- und Ablehnungsrichtlinien oder die Mitgliedschaft von Cloud Identity-Konten (Domains) in Ablehnungsrichtlinien prüfen. 101} Wenn föderierte Identitäten die iam.troubleshoot Methoden aufrufen, haben Rollenbindungen und Ablehnungsregeln, die Gruppen oder Domänen enthalten, ein Zugriffsergebnis von Unbekannt , es sei denn, die Rollenbindung oder Ablehnungsregel schließt das Hauptkonto ausdrücklich ein.

• Policy Analyzer : Beim Aufrufen der analyzeIamPolicy oder analyzeIamPolicyLongrunning -Methode erhalten föderierte Identitäten aus folgenden Gründen unvollständige Analyseergebnisse:

  • Föderierte Identitäten können nicht die Mitgliedschaft von Google-Gruppen in Zulassungsrichtlinien prüfen. Wenn föderierte Identitäten den Zugriff für ein Hauptkonto analysieren, enthalten die Abfrageergebnisse daher keine Berechtigungen und Rollen, die das Hauptkonto aufgrund seiner Mitgliedschaft in einer Gruppe hat.
  • Bei der Analyse des Zugriffs können föderierte Identitäten die Option expand-groups nicht aktivieren.

  Föderierte Identitäten können die folgenden API-Methoden nicht verwenden:

  • analyzeMove
• Policy Simulator : Föderierte Identitäten können die Policy Simulator API ( policysimulator.googleapis.com ) nicht verwenden.
• Activity Analyzer : Föderierte Identitäten können die Policy Analyzer API ( policyanalyzer.googleapis.com ) nicht verwenden.
• IAM Recommender : Föderierte Identitäten können die Recommender API ( recommender.googleapis.com ) nicht verwenden.

• Die Multi-Faktor-Authentifizierung per E-Mail kann von Nutzern der Workforce Identity Federation nicht konfiguriert werden. Wenn Sie Hilfe benötigen, wenden Sie sich an den Vertrieb .
• Die Demowebsite in Cloud Shell wird für Nutzer von Workforce Identity Federation nicht unterstützt.

• Nutzer von Identitätsföderationen können nur die Organisation aufrufen und bearbeiten, für die sie konfiguriert wurden. Andere Organisationen, denen die Nutzer hinzugefügt werden, werden in der Cloud de Confiance Console nicht angezeigt.
• Die Wartezeit für bestimmte Vorgänge dauert es länger, bis z. B. ein Projekt oder ein Ordner erstellt wird.

• Informationen zu Nutzerereignissen sind für Nutzer von Workforce Identity Federation ausgeblendet.
• Merchant Center-Konten werden für Nutzer der Mitarbeiterföderation nicht unterstützt.
• Bereitstellungskonfigurationen -Analysen und Nutzungsanzahl werden für Nutzer von Workforce Identity Federation ausgeblendet.
• Modelldatenanforderungen sind für Nutzer von Workforce Identity Federation ausgeblendet.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Nutzer mit Identitätsverbund müssen sich über die Weboberfläche der Secure Source Manager-Instanz anmelden, bevor sie einen der folgenden Befehle ausführen:
  • Git-Befehlszeilenbefehle
  • API-Aufrufe an Data Plane-Endpunkte
• Nutzer der Identitätsföderation müssen sich nach Ablauf jeder Sitzung über die Weboberfläche der Secure Source Manager-Instanz anmelden, um weiterhin Git-SSH-CLI-Befehle mit SSH-Schlüsseln für Nutzer verwenden zu können.

• Für die Verwendung der Mitarbeiteridentitätsföderation muss eine neue Secure Source Manager-Instanz erstellt werden. Vorhandene Instanzen können nicht aktualisiert werden.
• Für Personalpoolanbieter, die für Secure Source Manager verwendet werden, müssen Attributzuordnungen für google.subject und google.email angegeben werden.
• Sie können sich mit Ihrer föderierten Identität nur in einer Secure Source Manager-Instanz anmelden, die für die Verwendung der Mitarbeiteridentitätsföderation konfiguriert ist.
• E‑Mail-Benachrichtigungen von Secure Source Manager werden für Instanzen, die für die Mitarbeiteridentitätsföderation konfiguriert sind, nicht unterstützt.

• Der Sicherheitsstatus-Dienst kann nicht über die Cloud de Confiance Console verwaltet werden.

1. Hinzufügen eines Dienstkontos für Domaininhaber mit Websiteüberprüfungs-API
2. Nehmen Sie die Identität dieses Dienstkontos an , um einen verwalteten Dienst zu erstellen.

• Vertex AI-Agents lassen sich nicht erstellen und die Vorschau ist nicht verfügbar.
• Die Erstellung von Google Drive-Datenspeichern wird nicht unterstützt.

• Verwaltete Vertex AI Workbench Notebooks ( veraltet ) unterstützen nicht die Mitarbeiteridentitätsföderation.
• Nutzerverwaltete Vertex AI Workbench-Notebooks ( veraltet ) unterstützen nicht die Mitarbeiteridentitätsföderation.

• Zugriffsrichtlinien
• Regeln für ein- und ausgehenden Traffic in Dienstperimetern

• v1alpha APIs sind für föderierte Identitäten nicht verfügbar.
• VPC Service Controls unterstützt nur bestimmte Hauptkonto-IDs für die Mitarbeiteridentitätsföderation und die Identitätsföderation von Arbeitslasten . Sie können diese Hauptkonto-IDs verwenden, um Identitätsgruppen und Drittanbieteridentitäten in Regeln für ein- und ausgehenden Traffic zu konfigurieren .