איחוד זהויות: מוצרים ומגבלות

• כרטיסי סיכום של ביצועים וגיבויים
• נתונים בטבלת האשכולות, כמו אחוז המעבד (CPU) והזיכרון הזמין

• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש בתכונות ב גרסת טרום-השקה . התכונות האלה כלולות:

  • שילוב עם Looker Studio
  • הערכת סיכונים
  • Shadow API discovery

• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש ב- פיתוח מקומי באמצעות Apigee ב-Cloud Code .

• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש ב ממשקי API של API Management .

• אי אפשר להשתמש ב ממשקי Apigee Connect API כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.

• אי אפשר לנהל לקוחות ב-OAuth.
• אי אפשר לנהל מותגים ב-OAuth.

• ‫Container Registry לא תומך באיחוד שירותי אימות הזהות. בדף ההגדרות במעבר ל-Container Registry מופיעה הודעה.

• אי אפשר להשתמש בתכונות הבאות של BigQuery באמצעות איחוד שירותי אימות הזהויות של כוח העבודה:
  • גיליונות מקושרים
  • Google Drive
  • המלצות
  • הערכת משבצות
• אי אפשר לבצע את הפעולות הבאות באמצעות איחוד שירותי אימות הזהות של כוח העבודה:
  • טעינת נתונים מ- Amazon S3 , מ- Apache Spark או מ- Azure Blob Storage באמצעות Connection API
  • טעינת נתונים מ- Google Drive

אי אפשר להשתמש ב- analyzeMove עם איחוד שירותי אימות הזהות.

• אפשר להשתמש רק בחשבונות לחיוב באמצעות חשבוניות .

• אפשר להשתמש רק בחשבונות לחיוב באמצעות חשבוניות כשמחוברים באמצעות איחוד שירותי אימות הזהות.

• אפשר להשתמש ב-Cloud Composer באמצעות איחוד שירותי אימות הזהות של כוח העבודה רק בסביבות שנוצרו ב-Composer החל מגרסה 2.1.11 או ב-Airflow החל מגרסה 2.4.3. אי אפשר להשתמש באיחוד שירותי אימות הזהות של כוח העבודה אם משדרגים את הגרסה של הסביבה מגרסה ישנה יותר.
• הודעות האימייל שנשלחות מ-Airflow כוללות רק את הקישור לממשק המשתמש של Airflow, שנגיש באמצעות חשבונות Google. כדי לגשת לממשק המשתמש של Airflow עם חשבון משתמש דרך איחוד שירותי אימות הזהות של כוח העבודה, צריך לעדכן את הקישור ידנית ( לכתובת URL שמתאימה למשתמשים שמחוברים באמצעות איחוד שירותי אימות הזהויות של כוח העבודה ).
• המגבלות של Cloud Storage חלות על קטגוריית הסביבה של Cloud Composer.

• השפה נבחרת כשנכנסים לחשבון. אי אפשר לשנות אותה במסוף.
• אי אפשר להפעיל את ההתראות על מוצרים, עדכונים ומבצעים בדף של העדפות התקשורת.
• אין התאמה אישית על סמך הפעילות במסוף Cloud de Confiance .
• אי אפשר להשתמש בדף Transparency and Control Center.

• בגלל המגבלות על חיוב ב-Cloud כשמשתמשים באיחוד שירותי אימות הזהויות של כוח העבודה , רק לאדמין של הארגון יש גישה לתמיכה בנושאי חיוב, דרך חשבון Cloud de Confiance ששימש להגדרת החשבון לחיוב.
• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה יכולים להעלות קבצים שקשורים לבקשות תמיכה אבל לא להוריד אותם. מהנדסי התמיכה שמטפלים בבקשות יכולים לראות את הקבצים האלה.
• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים לשנות את הפרטים ליצירת קשר (למשל, כתובת האימייל) אחרי הפנייה לתמיכה.
• משתמשים שמחוברים באמצעות איחוד זהויות של כוח עבודה לא יכולים ליצור בקשות תמיכה באמצעות ערוץ התמיכה בצ'אט בשידור חי.

• ההרשאה run.routes.invoke ב-IAM, שמשמשת לניהול הגישה לנקודות הקצה של השירות Cloud Run, לא תומכת באיחוד שירותי אימות הזהות של כוח העבודה. כדי להשתמש ב- שרת Proxy לאימות זהויות (IAP) ב-Cloud Run , צריך להפעיל אותו.
• ‫Cloud Run לא תומך באיחוד שירותי אימות הזהות של עומסי העבודה. כדי לאפשר גישה, משתמשים ב התחזות לחשבון שירות .

• ההרשאה run.routes.invoke ב-IAM, שמשמשת לניהול הגישה לנקודות הקצה של השירות Cloud Run, לא תומכת באיחוד שירותי אימות הזהות של כוח העבודה. כדי להשתמש ב- שרת Proxy לאימות זהויות (IAP) ב-Cloud Run , צריך להפעיל אותו.
• ‫Cloud Run לא תומך באיחוד שירותי אימות הזהות של עומסי העבודה. כדי לאפשר גישה, משתמשים ב התחזות לחשבון שירות .

• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש בכרטיסייה App Engine Cron Jobs.
• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש באפשרות App Engine בהגדרת סוג היעד.

• אי אפשר להיעזר בצ'אטבוט של התמיכה.
• אי אפשר לאמת את פרטי ההתחברות של המשתמשים ב-IAM ממסדי הנתונים Cloud SQL ל-MySQL או Cloud SQL ל-PostgreSQL.

• כדי להציג את פרטי האובייקט, צריך לתת לקטגוריה גישה אחידה ברמת הקטגוריה.
• אי אפשר להשתמש בתהליכים עם פונקציות Cloud Run.
• אי אפשר להשתמש בסריקה עם מניעת אובדן נתונים בענן.

• איחוד שירותי אימות הזהות עם כל ממשקי Cloud Storage API נתמך רק לקטגוריות של גישה אחידה ברמת הקטגוריה . הגישה של איחוד זהויות לקטגוריות עם רשימות של בקרת גישה (ACL) פרטנית נדחית.
• כל המשתמשים ועומסי העבודה יכולים להשתמש בכתובות URL חתומות קיימות, אבל משתמשים ועומסי עבודה שמחוברים באמצעות איחוד זהויות לא יכולים ליצור אותן.
• אי אפשר להשתמש בהתראות על שינויים באובייקטים כשמחוברים באמצעות שירותי אימות הזהות של עומסי עבודה.

• תורים של App Engine: תורים של App Engine (תורים שנוצרו באמצעות קובץ queue.yaml או queue.xml ) מכילים רק משימות עם יעדים של App Engine, ולכן לא ניתן להשתמש במשימות בתורים האלה.
• תורים רגילים: בתורים רגילים של Cloud Tasks, נתמכות משימות עם יעדי HTTP. אין תמיכה במשימות עם יעדים של App Engine (גם אם התור הוא לא תור של App Engine).

• כדי שהם יוכלו לייבא ולייצא תמונות בקטגוריה של Cloud Storage, צריך להפעיל לקטגוריה גישה אחידה ברמת הקטגוריה.
• אי אפשר להשתמש ב-Bare Metal Solution.

• בשדה הטקסט Group ID בקטע Add principals to the Cloud de Confiance console & APIs, משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש בהשלמה אוטומטית או באימות.
• קבוצות באיחוד שירותי אימות הזהות של כוח העבודה מזוהות לפי המזהים שלהן ולא לפי השמות שלהן.

• אי אפשר להשתמש ב- Dataplex Explore workbench כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.
• אי אפשר להשתמש ב סקריפטים ומחברות (notebooks) מתוזמנים דרך כלי העבודה לניתוח נתונים כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.
• אי אפשר להשתמש ב תצוגה מאובטחת כשמחוברים באמצעות שירותי אימות הזהויות של כוח העבודה.

• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהויות של כוח העבודה יכולים ליצור, להציג, לעדכן ולמחוק פעולות בדפי הרשימות של Cluster‏, Jobs ו-Batches. Workflows, מדיניות התאמה אוטומטית לעומס (autoscaling) והחלפת רכיבים אינם זמינים עבור איחוד זהויות של כוח עבודה.
• הם יכולים ליצור אשכולות, אבל לא להשתמש ב-Dataproc ליצירת אשכול GKE, או ליצור אשכול של Dataproc Compute Engine עם אימות אישי או כש-Component Gateway פועל.
• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש בקטע Output בדף הפרטים של Batch ו-Job.
• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש בקטע Recommend Alert בדף הפרטים של Cluster ו-Job.

• Dataproc on GKE
• אימות באשכול אישי ב-Dataproc
• Dataproc Service Account based Secure Multi-tenancy

• אי אפשר להשתמש ב כללי אבטחה כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.
• אי אפשר להשתמש ב- Key Visualizer כשמחוברים באמצעות שירותי אימות הזהויות של כוח העבודה.

• כשמתחברים לאשכולות חיצוניים (GKE Enterprise), אי אפשר להשתמש בזהות של Google באיחוד שירותי אימות הזהות של כוח העבודה.
• כשיוצרים או מחברים אשכולות חיצוניים (GKE Enterprise), לא נוספים אוטומטית כאדמינים באיחוד שירותי אימות הזהות של כוח העבודה.

• ב-Cloud Marketplace יש קישורים לדומיינים של Google שחלקם לא תומכים באיחוד שירותי אימות הזהות של כוח העבודה.
• הלחצן Launch מושבת בכל מוצרי המכונות הווירטואליות שמשתמשים ב-Deployment Manager, כי Deployment Manager לא תומך באיחוד שירותי אימות הזהות של כוח העבודה.
• אי אפשר להשתמש בהרשמה ל-SaaS או התחברות באמצעות כניסה יחידה (SSO) כשמחוברים באמצעות שירותי אימות הזהויות של כוח העבודה.
• אי אפשר להשתמש ב-Producer Portal כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.
• אי אפשר להשתמש ב בקשות רכש כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.
• אי אפשר להשתמש בקטלוג השירותים כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.

• אי אפשר להשתמש ב ייצוא של דוחות על העלות הכוללת של הבעלות (TCO) כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.
• אי אפשר לייצא נכסים כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.

• אי אפשר לייצא נתונים אל Google Drive מממשקי Earth Engine API כשמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה.
• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים לגשת לנכסי Earth Engine מדור קודם שלא מנוהלים על ידי פרויקטים של Cloud de Confiance .

• בטבלה של IAM לא מופיעים שמות לזהויות של Google בעמודה Name.
• כשמוסיפים חשבונות משתמש חדשים למדיניות הרשאות, ההשלמה האוטומטית בשדה הטקסט Add principals היא רק לחשבונות שירות.
• בדף Audit Logs, ההשלמה האוטומטית בשדה הטקסט Add exempted principals היא רק לחשבונות שירות.

• בכרטיסייה Applications (אפליקציות), העמודה Method (שיטה) מושבתת, והמשתמשים לא יכולים להשתמש בזהויות חיצוניות לאישור.
• בכרטיסייה 'אפליקציות', אי אפשר לראות את המשאבים של App Engine.
• הפריט Go to OAuth configuration בתפריט הפעולות more_vert לא זמין.
• בכרטיסייה Applications (אפליקציות), אי אפשר להוסיף או לראות מחברים מקומיים.

• אי אפשר להשתמש בפריסה רציפה (CD) באמצעות Cloud Build עם איחוד שירותי אימות הזהות של כוח העבודה.
• אי אפשר להשתמש ב רישום דומיין ב-Cloud Domains כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

התכונות הבאות של כלים לבקרת מדיניות מוגבלות למשתמשים באיחוד זהויות של כוח עבודה שמשתמשים במסוף Cloud de Confiance by S3NS איחוד זהויות של כוח עבודה:

• פותר הבעיות שקשורות למדיניות : משתמשים באיחוד שירותי אימות הזהות של כוח העבודה לא יכולים לפתור בעיות גישה במסוף (מאוחד).
• כלי הניתוח למדיניות : משתמשים שמחוברים באמצעות איחוד זהויות של כוח עבודה לא יכולים לנתח גישה במסוף (המאוחד).
• סימולטור המדיניות : משתמשים באיחוד שירותי אימות הזהות של כוח העבודה לא יכולים לדמות שינויים במדיניות הרשאות במסוף (מאוחד).
• IAM Recommender : משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים לראות המלצות במסוף (מאוחד).

לתכונות הבאות של כלים לבקרת מדיניות יש מגבלות API לגבי זהויות מאוחדות:

• פותר הבעיות שקשורות למדיניות : אי אפשר לבדוק את החברות בקבוצות Google במדיניות הרשאות ובמדיניות דחייה, או את החברות בחשבונות Cloud Identity (דומיינים) במדיניות דחייה. כשזהויות מאוחדות קוראות לשיטה iam.troubleshoot , קישורים בין תפקידים וכללי דחייה שמכילים קבוצות או דומיינים מחזירים תוצאת גישה Unknown , אלא אם הקישור בין התפקידים או כלל הדחייה כולל גם את חשבון המשתמש באופן מפורש.

• כשקוראים לשיטה analyzeIamPolicy או לשיטה analyzeIamPolicyLongrunning יכול להיות שזהויות מאוחדות יקבלו תוצאות ניתוח חלקיות בגלל הסיבות הבאות:

  • אי אפשר לבדוק את החברות בקבוצות Google במדיניות ההרשאות באמצעות זהויות מאוחדות. כתוצאה מכך, כשזהויות מאוחדות מנתחות גישה של חשבון משתמש, תוצאות השאילתה לא כוללות הרשאות ותפקידים שיש לחשבון המשתמש בגלל החברות שלו בקבוצה.
  • כשמנתחים גישה, אי אפשר להפעיל את האפשרות expand-groups עבור זהויות מאוחדות.

  אי אפשר להשתמש בשיטות ה-API הבאות עם זהויות מאוחדות:

  • analyzeMove
• ‫ Policy Simulator : אי אפשר להשתמש ב-Policy Simulator API עם זהויות מאוחדות ( policysimulator.googleapis.com ).
• כלי ניתוח הפעילות : זהויות מאוחדות לא יכולות להשתמש ב-Policy Analyzer API ‏( policyanalyzer.googleapis.com ).
• IAM Recommender : זהויות מאוחדות לא יכולות להשתמש ב-Recommender API ( recommender.googleapis.com ).

• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להגדיר אימות רב-שלבי באמצעות אימייל. לקבלת עזרה, אפשר לפנות למחלקת המכירות .
• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה לא יכולים להשתמש באתר ההדגמה ב-Cloud Shell.

• משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהויות של כוח העבודה יכולים לראות רק את הארגון שעבורו האיחוד הוגדר, ולבצע פעולות דרכו. ארגונים אחרים שהמשתמשים נוספו אליהם לא יופיעו במסוף Cloud de Confiance .
• פעולות מסוימות מתעדכנות בממשק המשתמש תוך הרבה זמן – למשל, יצירת פרויקט או תיקייה.

• פרטי אירועים של משתמשים מוסתרים ממשתמשים של איחוד שירותי אימות הזהות של כוח עבודה.
• חשבונות Merchant Center לא נתמכים כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.
• הגדרות של הצגת מודעות ניתוח נתונים ומספר השימוש מוסתרים ממשתמשים באיחוד שירותי אימות הזהות של כוח העבודה.
• דרישות הנתונים של המודל מוסתרות ממשתמשים באיחוד שירותי אימות הזהות של כוח עבודה.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• משתמשים באיחוד זהויות צריכים להיכנס דרך ממשק האינטרנט של מופע Secure Source Manager לפני שמריצים את אחת מהפקודות הבאות:
  • פקודות Git CLI
  • קריאות ל-API אל נקודות קצה של מישור הנתונים
• משתמשים בניהול זהויות מאוחד חייבים להיכנס דרך מופע Secure Source Manager בממשק האינטרנט אחרי שפג תוקף הסשן, כדי להמשיך להשתמש בפקודות Git SSH CLI עם מפתחות SSH של משתמשים.

• כדי להשתמש באיחוד שירותי אימות הזהות של כוח העבודה, צריך ליצור מופע חדש של Secure Source Manager. אי אפשר לעדכן מופעים קיימים.
• ספקי מאגר זהויות של כוח עבודה שמשמשים את Secure Source Manager צריכים לספק מיפויי מאפיינים של google.subject ושל google.email .
• אפשר להשתמש בזהות המאוחדת רק כדי להיכנס למופע של Secure Source Manager שהוגדר לשימוש באיחוד שירותי אימות הזהות של כוח העבודה.
• התראות באימייל מ-Secure Source Manager לא נתמכות במקרים שבהם מוגדרים מופעים של איחוד זהויות של כוח עבודה.

• אי אפשר לנהל את שירות מצב האבטחה באמצעות Cloud de Confiance מסוף.

1. להוסיף חשבון שירות לבעלי הדומיין באמצעות Site Verification API .
2. להתחזות לחשבון השירות כדי ליצור שירות מנוהל.

• אי אפשר ליצור סוכנים של Vertex AI או לראות תצוגה מקדימה שלהם.
• אי אפשר ליצור מאגר נתונים ב-Google Drive .

• אי אפשר להשתמש ב- Vertex AI Workbench managed notebooks כשמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה ( הוצא משימוש ).
• אי אפשר להשתמש ב- Vertex AI Workbench user-managed notebooks (‏ הוצא משימוש ) כשמחוברים באמצעות שירותי אימות הזהות של כוח העבודה.

• מדיניות גישה
• כללים לתעבורת נתונים נכנסת ויוצאת בגבולות הגזרה לשירות

• אי אפשר להשתמש ב ממשקי API של v1alpha כשמחוברים באמצעות זהויות מאוחדות.
• ‫VPC Service Controls תומך רק ב מזהים ספציפיים של עקרונות איחוד שירותי אימות הזהות של כוח העבודה ואיחוד שירותי אימות הזהות של עומסי העבודה . אפשר להשתמש במזהי הישות המורשית האלה כדי להגדיר קבוצות זהויות וזהויות של צד שלישי בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) .