Fédération des identités : produits et limites

• Fiches récapitulatives sur les performances et les sauvegardes
• Données de table des clusters, telles que le pourcentage de processeur et la mémoire disponible

• Les fonctionnalités en aperçu ne sont pas disponibles pour les utilisateurs de la fédération des identités des employés. Cela concerne notamment les fonctionnalités suivantes :

  • Intégration de Data Studio
  • Évaluation des risques
  • Détection des API non documentées

• Le développement local avec Apigee dans Cloud Code n'est pas compatible avec les utilisateurs de la fédération des identités des employés.

• Les API API Management ne sont pas compatibles avec les utilisateurs de la fédération des identités des employés.

• Les API Apigee Connect ne sont pas compatibles avec les utilisateurs de la fédération des identités des employés.

• La gestion des clients OAuth n'est pas prise en charge.
• La gestion des marques OAuth n'est pas prise en charge.

• Container Registry n'est pas compatible avec la fédération d'identité. Une bannière d'informations figure sur la page des paramètres, dans la section Transition à partir de Container Registry.

• Les fonctionnalités suivantes ne prennent pas en charge la fédération des identités des employés avec BigQuery :
  • Feuilles connectées
  • Google Drive
  • Recommandations
  • Estimateur d'emplacement
• Les opérations suivantes ne sont pas compatibles avec la fédération des identités des employés :
  • Charger des données depuis Amazon S3 , Apache Spark ou Azure Blob Storage via l' API Connection
  • Charger des informations depuis Google Drive

analyzeMove n'est pas compatible avec la fédération des identités.

• Seuls les comptes de facturation sont compatibles.

• Seuls les comptes de facturation avec paiement sur facture mensuelle sont compatibles avec la fédération d'identité.

• Managed Airflow n'est compatible avec la fédération des identités des employés que pour les environnements créés dans Composer version 2.1.11 ou ultérieure et Airflow version 2.4.3 ou ultérieure. La mise à niveau d'un environnement à partir d'une version antérieure n'active pas la fédération des identités des employés.
• Les e-mails envoyés depuis Airflow n'incluent que le lien vers l'interface utilisateur Airflow accessible par les comptes Google. Pour accéder à l'UI Airflow en tant qu'utilisateur de la fédération des identités des employés, le lien doit être mis à jour manuellement (remplacé par l'URL des utilisateurs de la fédération des identités des employés).
• Les limites de Cloud Storage s'appliquent au bucket de l'environnement Managed Airflow.

• Les préférences linguistiques sont sélectionnées au moment de l'authentification et ne peuvent pas être mises à jour dans la console.
• La page Préférences de communication.ne vous permet pas d'activer les notifications, les mises à jour et les offres de produits.
• La personnalisation basée sur l'activité de la console Cloud de Confiance n'est pas gérée.
• La page Centre de contrôle et de transparence n'est pas disponible.

• En raison des limitations de Cloud Billing pour la fédération des identités des employés , l'assistance liée à la facturation n'est accessible qu'à l'administrateur de l'organisation via le compte Cloud de Confiance utilisé pour configurer le compte de facturation.
• Les utilisateurs de la fédération des identités des employés peuvent importer des fichiers liés à la demande d'assistance, mais pas les télécharger. Ces fichiers sont visibles par les ingénieurs de l'assistance qui traitent vos demandes.
• Une fois que l'assistance a démarré, les coordonnées (par exemple, l'adresse e-mail) ne peuvent plus être modifiées pour les utilisateurs de la fédération des identités des employés.
• Les utilisateurs de la fédération des identités des employés ne peuvent pas créer de demandes à l'aide du canal d'assistance par chat en direct.

• L'autorisation IAM run.routes.invoke , qui peut gérer l'accès aux points de terminaison du service Cloud Run, n'est pas compatible avec la fédération des identités des employés. Pour l'utiliser, activez Identity-Aware Proxy pour Cloud Run .
• Cloud Run n'est pas compatible avec l'accès direct aux ressources de la fédération d'identité de charge de travail. Pour autoriser l'accès, utilisez l' emprunt d'identité d'un compte de service .

• L'autorisation IAM run.routes.invoke , qui gère l'accès aux points de terminaison du service Cloud Run, n'est pas compatible avec la fédération des identités des employés. Pour l'utiliser, activez Identity-Aware Proxy pour Cloud Run .
• Cloud Run n'est pas compatible avec la fédération d'identité de charge de travail. Pour autoriser l'accès, utilisez l' emprunt d'identité d'un compte de service .

• L'onglet Jobs Cron d'App Engine n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
• L'option App Engine dans la configuration du type de cible n'est pas disponible pour les utilisateurs de la fédération des identités des employés.

• L'assistant d'aide n'est pas pris en charge.
• L'authentification IAM pour les bases de données pour les connexions d'utilisateurs n'est pas disponible pour les bases de données Cloud SQL pour MySQL ouCloud SQL pour PostgreSQL.
• Insights sur les requêtes n'est pas compatible.

• L'affichage des détails de l'objet nécessite l'activation de l'accès uniforme au niveau du bucketpour le bucket.
• Le lancement du processus avec Cloud Run Functions n'est pas pris en charge.
• L'analyse avec Cloud Data Loss Prevention n'est pas prise en charge.

• La fédération des identités des employés avec toutes les API Cloud Storage n'est possible que pour les buckets définis avec un accès uniforme au niveau du bucket. L'accès de la fédération des identités des employés aux buckets avec des listes de contrôle d'accès (LCA) précises est refusé.
• Bien que tous les utilisateurs et toutes les charges de travail puissent utiliser des URL signées existantes, les utilisateurs et les charges de travail de la fédération des identités ne peuvent pas générer d'URL signées.

• Files d'attente App Engine : Puisque les files d'attente App Engine (files d'attente créées à l'aide d'un fichier queue.yaml ou queue.xml ) ne contiennent que des tâches avec des cibles App Engine, toutes les tâches de ces files d'attente ne sont pas compatibles.
• Files d'attente standards : pour les files d'attente Cloud Tasks standards, les tâches avec des cibles HTTP sont compatibles. Les tâches avec des cibles App Engine ne sont pas acceptées (même si la file d'attente n'est pas une file d'attente App Engine).

• L'importation d'images dans un bucket Cloud Storage et leur exportation nécessite l'activation pour le bucket de l'accès uniforme au niveau du bucket.
• La solution Bare Metal n'est pas compatible.

• Dans Ajouter des comptes principaux à la console Cloud de Confiance et aux API, le champ de texte ID du groupe n'est pas compatible avec la saisie semi-automatique et ne fournit pas de validation aux utilisateurs de la fédération des identités des employés.
• Les groupes de la fédération des identités des employés sont identifiés par leur ID plutôt que par leur nom.

• Dataplex Explorer Workbench n'est pas compatible avec la fédération des identités des employés.
• Les scripts et les notebooks programmés via Explorer Workbench ne sont pas compatibles avec la fédération des identités des employés.
• La vue sécurisée n'est pas compatible avec la fédération des identités des employés.

• Les utilisateurs de la fédération des identités des employés peuvent effectuer des opérations de création, d'affichage, de mise à jour et de suppression sur les pages de listes des clusters, des jobs et des lots. Les workflows, les règles d'autoscaling et l'échange de composants ne sont pas disponibles pour les utilisateurs de la fédération des identités des employés.
• La fonctionnalité de création de cluster est disponible à l'exception de la création de cluster Managed Service pour Apache Spark sur GKE, de cluster Compute Engine avec authentification personnelle ou cluster avec la passerelle des composants activée.
• La section Résultat de la page d'informations sur les lots et les jobs n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
• La section Recommandation d'alerte de la page "Liste des clusters et des jobs" n'est pas disponible pour les utilisateurs de la fédération des identités des employés.

• Dataproc sur GKE
• Authentification des clusters personnels Managed Service pour Apache Spark
• Architecture mutualisée sécurisée basée sur un compte de service Managed Service pour Apache Spark

• Cloud Marketplace contient des liens vers des domaines Google qui peuvent ne pas être compatibles avec la fédération des identités des employés.
• Le bouton Lancer est désactivé pour tous les produits de VM qui utilisent Deployment Manager, car Deployment Manager n'est pas compatible avec la fédération d'identité des employés.
• L'inscription SaaS et la connexion SSO ne sont pas compatibles avec la fédération d'identité des employés.
• Producer Portal n'est pas compatible avec la fédération des identités des employés.
• La demande d'approvisionnement n'est pas compatible avec la fédération d'identité des employés.
• Service Catalog n'est pas compatible avec la fédération des identités des employés.

• L'exportation des rapports sur le coût total de possession (TCO) n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
• L'exportation des composants n'est pas disponible pour les utilisateurs de la fédération des identités des employés.

• L'exportation de données vers Google Drive à partir des API Earth Engine n'est pas compatible avec la fédération des identités des employés.
• Les anciens composants Earth Engine qui ne sont pas gérés par des projets Cloud de Confiance ne sont pas compatibles avec la fédération des identités des employés.

• Lorsque vous vous connectez à un cluster associé, à un cluster GKE sur AWS, à un cluster GKE sur Azure ou à un cluster GDC logiciel uniquement pour Bare Metal, l'option Utiliser votre identité Google n'est pas disponible pour la fédération des identités des employés.
• Lorsque vous créez ou associez un cluster associé, un cluster GKE sur AWS, un cluster GKE sur Azure ou un cluster GDC logiciel uniquement pour Bare Metal, vous n'êtes pas automatiquement ajouté en tant qu'administrateur pour la fédération des identités des employés.

• La colonne Nom dans la table IAM ne montre pas les noms à afficher pour les identités Google.
• Lorsque vous ajoutez de nouveaux comptes principaux dans les règles d'autorisation, le champ de texte Ajouter des comptes principaux ne permet que la saisie semi-automatique pour les comptes de service.
• Le champ de texte Ajouter un compte principal exempté de la page Journaux d'audit ne permet que la saisie semi-automatique pour les comptes de service.

• Dans l'onglet "Applications", la colonne Méthode est désactivée. Les utilisateurs ne peuvent pas utiliser d'identités externes pour l'autorisation.
• Dans l'onglet "Applications", les ressources App Engine ne peuvent pas être répertoriées.
• L'élément Accéder à la configuration OAuth du menu d'actions more_vert n'est pas disponible.
• Dans l'onglet Applications, les connecteurs sur site ne peuvent pas être ajoutés ni répertoriés.

• Le déploiement continu avec Cloud Build n'est pas compatible avec la fédération des identités des employés.
• L'enregistrement d'un domaine avec Cloud Domains n'est pas compatible avec la fédération des identités des employés.

• Memorystore pour Redis
• Memorystore for Redis Cluster
• Memorystore pour Memcached
• Memorystore pour Valkey

Les fonctionnalités suivantes de Policy Intelligence sont soumises aux limites applicables aux utilisateurs de la fédération des identités des employés qui utilisent la console de la fédération des identités des employés Cloud de Confiance by S3NS  :

• Policy Troubleshooter : les utilisateurs de la fédération des identités des employés ne peuvent pas résoudre les problèmes d'accès dans la console (fédérée).
• Policy Analyzer : les utilisateurs de la fédération des identités des employés ne peuvent pas analyser l'accès dans la console (fédérée).
• Policy Simulator : les utilisateurs de la fédération des identités des employés ne peuvent pas simuler les modifications d'une stratégie d'autorisation dans la console (fédérée).
• Outil de recommandation IAM : les utilisateurs de la fédération des identités des employés ne peuvent pas afficher les recommandations dans la console (fédérée).

Les fonctionnalités suivantes de Policy Intelligence présentent des limites d'API pour les identités fédérées :

• Policy Troubleshooter : Les identités fédérées ne peuvent pas vérifier l'appartenance à des groupes Google dans les stratégies d'autorisation et de refus, ni l'appartenance à des comptes Cloud Identity (domaines) dans les stratégies de refus. Lorsque les identités fédérées appellent la méthode iam.troubleshoot , les liaisons de rôles et les règles de refus qui contiennent des groupes ou des domaines affichent le résultat d'accès Inconnu, sauf si la liaison de rôle ou la règle de refus inclut également explicitement le compte principal.

• Policy Analyzer  : lorsque vous appelez la méthode analyzeIamPolicy ou analyzeIamPolicyLongrunning , les identités fédérées peuvent recevoir des résultats d'analyse incomplets pour les raisons suivantes :

  • Les identités fédérées ne peuvent pas vérifier l'appartenance à des groupes Google dans les stratégies d'autorisation. Par conséquent, lorsque les identités fédérées analysent l'accès d'un compte principal, les résultats de la requête n'incluent pas les autorisations ni les rôles dont dispose le compte principal en raison de son appartenance à un groupe.
  • Lors de l'analyse de l'accès, les identités fédérées ne peuvent pas activer l'option expand-groups .

  Les identités fédérées ne peuvent pas utiliser les méthodes d'API suivantes :

  • analyzeMove
• Policy Simulator : les identités fédérées ne peuvent pas utiliser l'API Policy Simulator ( policysimulator.googleapis.com ).
• Activity Analyzer : les identités fédérées ne peuvent pas utiliser l'API Policy Analyzer ( policyanalyzer.googleapis.com ).
• Outil de recommandation IAM : les identités fédérées ne peuvent pas utiliser l'API Recommender ( recommender.googleapis.com ).

• L'authentification multifacteur par e-mail ne peut pas être configurée par les utilisateurs de la fédération des identités des employés. Pour obtenir de l'aide, contactez le service commercial.
• Le site Web de démonstration dans Cloud Shell n'est pas compatible avec les utilisateurs de la fédération des identités des employés.

• Les utilisateurs de la fédération des identités des employés ne peuvent afficher et utiliser que l'organisation pour laquelle la fédération des identités des employés a été configurée. Les autres organisations auxquelles les utilisateurs sont ajoutés ne s'affichent pas dans la console Cloud de Confiance .
• Les temps d'attente pour la prise en compte de certaines opérations dans l'UI sont longs (par exemple la création d'un projet ou d'un dossier).

• Les informations sur les événements utilisateur sont masquées pour les utilisateurs de la fédération des identités des employés.
• Les comptes Merchant Center ne sont pas compatibles avec les utilisateurs de la fédération des identités des employés.
• Les analyses des configurations de diffusion et le nombre d'utilisations sont masqués pour les utilisateurs de la fédération des identités des employés.
• Les exigences concernant les données de modèle sont masquées pour les utilisateurs de la fédération des identités des employés.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Les utilisateurs de la fédération d'identité doivent se connecter à l'interface Web de l'instance Secure Source Manager avant d'exécuter l'une des commandes suivantes :
  • Commandes Git CLI
  • Appels d'API aux points de terminaison du plan de données
• Les utilisateurs de la fédération d'identité doivent se connecter à l'interface Web de l'instance Secure Source Manager après chaque expiration de session pour continuer à utiliser les commandes Git SSH CLI avec les clés SSH utilisateur.

• Pour utiliser la fédération des identités des employés, vous devez créer une instance Secure Source Manager. Il est impossible de mettre à jour les instances existantes.
• Les fournisseurs de pools d'identités des employés utilisés pour Secure Source Manager doivent fournir des mappages d'attributs google.subject et google.email .
• Vous ne pouvez utiliser votre identité fédérée que pour vous connecter à une instance Secure Source Manager configurée pour utiliser la fédération des identités des employés.
• Les notifications par e-mail de Secure Source Manager ne sont pas compatibles avec les instances configurées pour la fédération des identités des employés.

• Le service Security Posture ne peut pas être géré à l'aide de la console Cloud de Confiance .

1. Ajoutez un compte de service pour les propriétaires de domaines grâce à l'API de validation de site
2. Empruntez l'identité de ce compte de service pour créer un service géré

• La création et la prévisualisation des agents Vertex AI ne sont pas prises en charge.
• La création de datastores Google Drive n'est pas prise en charge.

• Les notebooks gérés Vertex AI Workbench ( obsolètes ) ne sont pas compatibles avec la fédération des identités des employés.
• Les notebooks gérés par l'utilisateur Vertex AI Workbench ( obsolètes ) ne sont pas compatibles avec la fédération des identités des employés.

• Règles d'accès
• Règles d'entrée et de sortie dans les périmètres de service

• Les API v1alpha ne sont pas disponibles pour les identités fédérées.
• VPC Service Controls n'est compatible qu'avec des identifiants de compte principal spécifiques pour la fédération des identités des employés et la fédération d'identité de charge de travail . Vous pouvez utiliser ces identifiants de comptes principaux pour configurer des groupes d'identités et des identités tierces dans les règles d'entrée et de sortie .