Federazione delle identità: prodotti e limitazioni

• Schede riepilogative su prestazioni e backup
• Dati nella tabella dei cluster, ad esempio percentuale di CPU e memoria disponibile

• Le funzionalità in Anteprima non sono supportate per gli utenti della federazione delle identità per la forza lavoro. Sono incluse le seguenti funzionalità:

  • Integrazione di Data Studio
  • Valutazione del rischio
  • Rilevamento API Shadow

• Lo sviluppo locale con Apigee in Cloud Code non è supportato per gli utenti della federazione delle identità per la forza lavoro.

• Le API di gestione delle API non supportano gli utenti della federazione delle identità per la forza lavoro.

• Le API Apigee Connect non supportano gli utenti della federazione delle identità per la forza lavoro.

• La gestione dei client OAuth non è supportata.
• La gestione del brand OAuth non è supportata.

• Container Registry non supporta la federazione delle identità. Nella pagina delle impostazioni è presente un banner informativo in Transizione di Container Registry .

• Le seguenti funzionalità non supportano la federazione delle identità per la forza lavoro con BigQuery:
  • Fogli connessi
  • Google Drive
  • Consigli
  • Strumento di stima degli slot
• Le seguenti operazioni non supportano la federazione delle identità per la forza lavoro:
  • Caricamento dei dati da Amazon S3 , Apache Spark o Azure Blob Storage tramite l' API Connection
  • Caricamento dei dati da Google Drive

analyzeMove non è supportato dalla federazione delle identità.

• Sono supportati solo gli account di fatturazione mensile non automatica .

• Solo gli account di fatturazione mensile non automatica supportano la federazione delle identità.

• Managed Airflow supporta la federazione delle identità per la forza lavoro solo per gli ambienti creati in Composer versione 2.1.11 o successive e Airflow versione 2.4.3 o successive. L'upgrade di un ambiente da una versione precedente non attiva il supporto della federazione delle identità per la forza lavoro.
• Le email inviate da Airflow includono solo il link all'interfaccia utente di Airflow accessibile dagli Account Google. Per accedere alla UI di Airflow come utente della federazione delle identità per la forza lavoro, il link deve essere aggiornato manualmente (modificato con l' URL per la federazione delle identità per la forza lavoro ).
• Al bucket dell'ambiente Managed Airflow si applicano le limitazioni di Cloud Storage.

• La lingua preferita viene selezionata al momento dell'accesso e non può essere aggiornata all'interno della console.
• Le notifiche, gli aggiornamenti e le offerte sui prodotti non possono essere attivati nella pagina Preferenze di comunicazione .
• La personalizzazione basata sull'attività della console Cloud de Confiance non è supportata.
• La pagina Centro trasparenza e controllo non è disponibile.

• A causa delle limitazioni della fatturazione Cloud per la federazione delle identità per la forza lavoro , l'assistenza relativa alla fatturazione è accessibile solo all'amministratore dell'organizzazione tramite l'account Cloud de Confiance utilizzato per configurare l'account di fatturazione.
• Gli utenti della federazione delle identità per la forza lavoro possono caricare, ma non scaricare, i file correlati alle richieste di assistenza. Questi file sono visibili agli ingegneri dell'assistenza che gestiscono le tue richieste.
• I dati di contatto (ad es. l'indirizzo email) non possono essere modificati per gli utenti della federazione delle identità per la forza lavoro una volta avviata l'interazione con l'assistenza.
• Gli utenti della federazione delle identità per la forza lavoro non possono creare richieste utilizzando il canale di assistenza in chat live.

• L'autorizzazione IAM run.routes.invoke , che può gestire l'accesso agli endpoint del servizio Cloud Run, non supporta la federazione delle identità per la forza lavoro. Attiva Identity-Aware Proxy per Cloud Run per utilizzarlo.
• Cloud Run non supporta l'accesso diretto alle risorse della federazione delle identità per i workload. Per consentire l'accesso, utilizza la simulazione dell'identità del account di servizio .

• L'autorizzazione IAM run.routes.invoke , che gestisce l'accesso agli endpoint del servizio Cloud Run, non supporta la federazione delle identità per la forza lavoro. Attiva Identity-Aware Proxy per Cloud Run per utilizzarlo.
• Cloud Run non supporta la federazione delle identità per i workload. Per consentire l'accesso, utilizza la simulazione dell'identità del account di servizio .

• La scheda Cron job di App Engine non è disponibile per gli utenti della federazione delle identità per la forza lavoro.
• L'opzione App Engine nella configurazione del tipo di target non è disponibile per gli utenti della federazione delle identità per la forza lavoro.

• L'Assistente automatico non è supportato.
• L'autenticazione IAM dei database per gli accessi degli utenti non è supportata per i database Cloud SQL per MySQL o Cloud SQL per PostgreSQL .
• Query Insights non è supportato.

• La visualizzazione dei dettagli dell'oggetto richiede l'accesso uniforme a livello di bucket deve essere abilitato per il bucket.
• L'elaborazione con le funzioni Cloud Run non è supportata.
• La scansione con Cloud Data Loss Prevention non è supportata.

• La federazione delle identità con tutte le API Cloud Storage è supportata solo per i bucket con accesso uniforme a livello di bucket . L'accesso tramite federazione delle identità ai bucket con elenchi di controllo dell'accesso (ACL) granulari viene rifiutato.
• Sebbene tutti gli utenti e i carichi di lavoro possano utilizzare gli URL firmati esistenti, gli utenti e i carichi di lavoro della federazione delle identità non possono generare URL firmati.

• Code App Engine: Poiché le code App Engine (code create utilizzando un file queue.yaml o queue.xml ) contengono solo attività con target App Engine, le attività in queste code non sono supportate.
• Code regolari: Per le code Cloud Tasks regolari, sono supportate le attività con target HTTP. Le attività con target App Engine non sono supportate (anche se la coda non è una coda App Engine).

• L'importazione e l'esportazione di immagini in un bucket Cloud Storage richiedono l'accesso uniforme a livello di bucket da abilitare per il bucket.
• Bare Metal Solution non è supportata.

• In Aggiungi entità alla console Cloud de Confiance e alle API , il campo di testo ID gruppo non supporta il completamento automatico né fornisce la convalida per gli utenti della federazione delle identità per la forza lavoro.
• I gruppi di federazione delle identità per la forza lavoro sono identificati dai loro ID anziché dai loro nomi.

• Il workbench Dataplex Explore non supporta la federazione delle identità per la forza lavoro.
• Gli script e i blocchi note pianificati tramite Esplora workbench non supportano la federazione delle identità per la forza lavoro.
• Visualizzazione sicura non supporta la federazione delle identità per la forza lavoro.

• Gli utenti di federazione delle identità per la forza lavoro possono eseguire operazioni di creazione, visualizzazione, aggiornamento ed eliminazione nelle pagine di elenco Cluster, Job e Batch. Workflows, le norme di scalabilità automatica e lo scambio di componenti non sono disponibili per la federazione delle identità per la forza lavoro.
• La funzionalità di creazione del cluster è disponibile, ad eccezione della creazione del cluster Managed Service for Apache Spark su GKE, del cluster Managed Service for Apache Spark Compute Engine con autenticazione personale o con Component Gateway abilitato.
• La sezione Output nella pagina dei dettagli di batch e job non è disponibile per gli utenti della federazione delle identità per la forza lavoro.
• La sezione Avviso consiglia nella pagina Elenco cluster e job non è disponibile per gli utenti della federazione delle identità per la forza lavoro.

• Dataproc su GKE
• Autenticazione del cluster personale di Managed Service for Apache Spark
• Multi-tenancy sicuro basato sull'account di servizio di Managed Service for Apache Spark

• Cloud Marketplace contiene link a domini Google che potrebbero non supportare la federazione delle identità per la forza lavoro.
• Il pulsante Avvia è disattivato per tutti i prodotti VM che utilizzano Deployment Manager perché Deployment Manager non supporta la federazione delle identità per la forza lavoro.
• La registrazione SaaS e l'accesso SSO non supportano la federazione delle identità per la forza lavoro.
• Producer Portal non supporta la federazione delle identità per la forza lavoro.
• Richiesta di approvvigionamento non supporta la federazione delle identità per la forza lavoro.
• Il catalogo dei servizi non supporta la federazione delle identità per la forza lavoro.

• L'esportazione dei report sul costo totale di proprietà (TCO) non è supportata per gli utenti della federazione delle identità per la forza lavoro.
• L'esportazione degli asset non è supportata per gli utenti della federazione delle identità per la forza lavoro.

• L'esportazione di dati su Google Drive dalle API Earth Engine non è supportata per la federazione delle identità per la forza lavoro.
• Gli asset Earth Engine legacy non gestiti dai progetti Cloud de Confiance non sono supportati per gli utenti della federazione delle identità per la forza lavoro.

• Quando accedi a un cluster collegato, a un cluster GKE su AWS, a un cluster GKE su Azure o a GDC solo software per un cluster bare metal, l'opzione Utilizza la tua identità Google non è disponibile per la federazione delle identità per la forza lavoro.
• Quando crei o colleghi un cluster collegato, un cluster GKE su AWS, un cluster GKE su Azure o un cluster solo software GDC per bare metal, non ti verrà aggiunto automaticamente come amministratore per la federazione delle identità per la forza lavoro.

• La colonna Nome all'interno della tabella IAM non mostra i nomi visualizzati per le identità Google.
• Quando aggiungi nuove entità alle policy consentite, il campo di testo Aggiungi entità supporta solo il completamento automatico per i service account.
• Il campo di testo Aggiungi entità esente nella pagina Audit log supporta solo il completamento automatico per i service account.

• Nella scheda Applicazioni, la colonna Metodo è disattivata e gli utenti non possono utilizzare identità esterne per l'autorizzazione.
• Nella scheda Applicazioni, le risorse App Engine non possono essere elencate.
• La voce Vai alla configurazione OAuth nel menu more_vert Azioni non è disponibile.
• Nella scheda Applicazioni non è possibile aggiungere o elencare i connettori on-premise.

• Il deployment continuo con Cloud Build non supporta la federazione delle identità per la forza lavoro.
• La registrazione di un dominio con Cloud Domains non supporta la federazione delle identità per la forza lavoro.

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

Le seguenti funzionalità di Policy Intelligence presentano limitazioni per gli utenti della federazione delle identità per la forza lavoro che utilizzano la console della federazione delle identità per la forza lavoro: Cloud de Confiance by S3NS

• Policy Troubleshooter : Gli utenti della federazione delle identità per la forza lavoro non possono risolvere i problemi di accesso nella console (federata).
• Policy Analyzer : Gli utenti della federazione delle identità per la forza lavoro non possono analizzare l'accesso nella console (federata).
• Policy Simulator : Gli utenti della federazione delle identità per la forza lavoro non possono simulare modifiche a un criterio di autorizzazione all'interno della console (federata).
• IAM Recommender : gli utenti della federazione delle identità per la forza lavoro non possono visualizzare i suggerimenti nella console (federata).

Le seguenti funzionalità di Policy Intelligence presentano limitazioni API per le identità federate:

• Policy Troubleshooter : Le identità federate non possono controllare l'appartenenza ai gruppi Google nei criteri di autorizzazione e negazione o l'appartenenza agli account Cloud Identity (domini) nei criteri di negazione. Quando le identità federate chiamano il metodo iam.troubleshoot , le associazioni di ruoli e le regole di negazione che contengono gruppi o domini hanno un risultato di accesso Sconosciuto , a meno che l'associazione di ruoli o la regola di negazione non includa anche esplicitamente l'entità.

• Policy Analyzer : quando chiami il metodo analyzeIamPolicy o il metodo analyzeIamPolicyLongrunning , le identità federate potrebbero ricevere risultati dell'analisi incompleti per i seguenti motivi:

  • Le identità federate non possono controllare l'appartenenza ai gruppi Google nei criteri di autorizzazione. Di conseguenza, quando le identità federate analizzano l'accesso per un'entità, i risultati della query non includono autorizzazioni e ruoli che l'entità ha a causa della sua appartenenza a un gruppo.
  • Quando analizzano l'accesso, le identità federate non possono attivare l'opzione expand-groups .

  Le identità federate non possono utilizzare i seguenti metodi API:

  • analyzeMove
• Policy Simulator : le identità federate non possono utilizzare l'API Policy Simulator ( policysimulator.googleapis.com ).
• Analizzatore attività : le identità federate non possono utilizzare l'API Policy Analyzer ( policyanalyzer.googleapis.com ).
• Motore per suggerimenti IAM : le identità federate non possono utilizzare l'API Recommender ( recommender.googleapis.com ).

• L'autenticazione a più fattori tramite email non può essere configurata dagli utenti della federazione delle identità per la forza lavoro. Per ricevere assistenza, contatta il team di vendita .
• Il sito web dimostrativo in Cloud Shell non è supportato per gli utenti della federazione delle identità per la forza lavoro.

• Gli utenti della federazione delle identità per la forza lavoro possono solo visualizzare e operare nell'organizzazione per cui è stata configurata la federazione delle identità per la forza lavoro. Le altre organizzazioni a cui vengono aggiunti gli utenti non vengono visualizzate nella console Cloud de Confiance .
• I tempi di attesa per il completamento di determinate operazioni nell'interfaccia utente sono lunghi, ad esempio la creazione di un progetto o di una cartella.

• Le informazioni sugli eventi utente sono nascoste per gli utenti della federazione delle identità per la forza lavoro.
• Gli account Merchant Center non sono supportati per gli utenti della federazione delle identità della forza lavoro.
• Configurazioni di pubblicazione Il conteggio di Analytics e dell'utilizzo è nascosto per gli utenti della federazione delle identità per la forza lavoro.
• Requisiti dei dati del modello sono nascosti per gli utenti della federazione delle identità per la forza lavoro.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Gli utenti della federazione di identità devono accedere tramite l'interfaccia web dell'istanza di Secure Source Manager prima di eseguire uno dei seguenti comandi:
  • Comandi dell'interfaccia a riga di comando Git
  • Chiamate API agli endpoint del data plane
• Gli utenti della federazione delle identità devono accedere tramite l'interfaccia web dell'istanza di Secure Source Manager dopo ogni scadenza della sessione per continuare a utilizzare i comandi CLI SSH di Git con le chiavi SSH dell'utente.

• Per utilizzare la federazione delle identità per la forza lavoro, è necessario creare una nuova istanza di Secure Source Manager. Le istanze esistenti non possono essere aggiornate.
• I provider di pool di identità della forza lavoro utilizzati per Secure Source Manager devono fornire mapping degli attributi google.subject e google.email .
• Puoi utilizzare la tua identità federata solo per accedere a un'istanza di Secure Source Manager configurata per utilizzare la federazione delle identità per la forza lavoro.
• Le notifiche via email di Secure Source Manager non sono supportate per le istanze configurate per la federazione delle identità per la forza lavoro.

• Il servizio Postura di sicurezza non può essere gestito utilizzando la console Cloud de Confiance .

1. Aggiungi un account di servizio ai proprietari di domini utilizzando l' API Site Verification .
2. Rappresenta questo account di servizio per creare un servizio gestito.

• La creazione e l'anteprima degli agenti Vertex AI non sono supportate.
• La creazione del datastore Google Drive non è supportata.

• I notebook gestiti da Vertex AI Workbench ( Deprecato ) non supportano la federazione delle identità per la forza lavoro.
• I notebook gestiti dall'utente di Vertex AI Workbench ( Deprecato ) non supportano la federazione delle identità per la forza lavoro.

• Criteri di accesso
• Regole in entrata e in uscita nei perimetri di servizio

• Le v1alpha API non sono disponibili per le identità federate.
• Controlli di servizio VPC supporta solo identificatori di entità specifici della federazione delle identità per la forza lavoro e della federazione delle identità per i workload . Puoi utilizzare questi identificatori di entità per configurare gruppi di identità e identità di terze parti nelle regole in entrata e in uscita .