Federação de identidades: produtos e limitações

• Cartões de resumo de desempenho e cópias de segurança
• Dados na tabela de clusters, como a percentagem da CPU e a memória disponível

• A IU do Apigee clássico não é suportada para utilizadores da Workforce Identity Federation. Os botões para mudar para a IU do Apigee clássico não estão disponíveis. As seguintes funcionalidades que só podem ser acedidas através da IU do Apigee clássico não são suportadas para utilizadores da federação de identidades da força de trabalho:

  • Rentabilização de APIs da Apigee
  • Análise do programador
  • Análise do utilizador final
  • Portais integrados

• As funcionalidades na Pré-visualização não são suportadas para utilizadores da Workforce Identity Federation. Isto inclui as seguintes funcionalidades:

  • Deteção de abuso
  • Hub de APIs
  • Gemini Code Assist com o Apigee
  • Integração com o Looker Studio
  • Avaliação de risco
  • Ações de segurança
  • Descoberta de APIs fantasma

• O desenvolvimento local com o Apigee no Cloud Code não é suportado para utilizadores da Workforce Identity Federation.

• As funcionalidades na Pré-visualização não são suportadas para utilizadores da Workforce Identity Federation. Isto inclui as seguintes funcionalidades:

  • APIs do hub de APIs
  • APIs de gestão de APIs
  • APIs de ações de segurança

• As APIs Apigee Connect não são suportadas para utilizadores da Workforce Identity Federation.

• A gestão de clientes OAuth não é suportada.
• A gestão de marcas OAuth não é suportada.

• O Container Registry não suporta a federação de identidades. Existe uma faixa de informações na página de definições em Transição do Container Registry .

• As seguintes funcionalidades não suportam a federação de identidades da força de trabalho com o BigQuery:
  • Páginas associadas
  • Google Drive
  • Recuperação de desastres gerida
  • Monitorização
  • Recomendações
  • Estimador de espaços
  • API Legacy Streaming
• As seguintes operações não suportam a federação de identidade da força de trabalho:
  • Carregar dados a partir do Amazon S3 , Apache Spark ou Armazenamento de blobs do Azure através da API Connection
  • A carregar dados do Google Drive

Quando usa o método analyzeIamPolicy ou o método analyzeIamPolicyLongrunning , as identidades federadas podem receber resultados de análise incompletos devido ao seguinte:

• As identidades federadas não podem verificar a associação de Grupos Google em políticas de autorização. Como resultado, quando as identidades federadas analisam o acesso de um principal, os resultados da consulta não incluem autorizações nem funções que o principal tem devido à respetiva associação a um grupo.
• Ao analisar o acesso, as identidades federadas não podem ativar a opção expand_groups .

analyzeMove não é suportado pela federação de identidade.

• Apenas são suportadas contas de faturação mensal .

• Apenas as contas de faturação com fatura suportam a federação de identidades.

• O Cloud Composer suporta a federação de identidades da força de trabalho apenas para ambientes criados na versão 2.1.11 ou posterior do Composer e na versão 2.4.3 ou posterior do Airflow. A atualização de um ambiente a partir de uma versão anterior não ativa o suporte da Workforce Identity Federation.
• As mensagens de email enviadas a partir do Airflow só incluem o link da IU do Airflow acessível por contas Google. Para aceder à IU do Airflow como utilizador da federação de identidade da força de trabalho, o link tem de ser atualizado manualmente (alterado para o URL da federação de identidade da força de trabalho ).
• As limitações do Cloud Storage aplicam-se ao contentor do ambiente do Cloud Composer.

• A preferência de idioma é selecionada no início de sessão e não pode ser atualizada na consola.
• Não é possível ativar as notificações, as atualizações e as ofertas de produtos na página preferências de comunicação .
• A personalização baseada na sua Trusted Cloud atividade na consola não é suportada.
• A página Centro de transparência e controlo está indisponível.

• Devido às limitações do Cloud Billing para a federação de identidade da força de trabalho , o apoio técnico relacionado com a faturação só está acessível ao administrador da organização através da Trusted Cloud conta usada para configurar a conta de faturação.
• Os utilizadores da Workforce Identity Federation podem carregar, mas não transferir, ficheiros relacionados com registos de apoio técnico. Estes ficheiros são visíveis para os engenheiros de apoio técnico que resolvem os seus registos.
• Os detalhes de contacto (por exemplo, o endereço de email) não podem ser alterados para utilizadores da Workforce Identity Federation assim que a interação com o apoio técnico tiver começado.
• Os utilizadores da federação de identidades da força de trabalho não podem criar registos através do canal de apoio técnico por chat em direto.

• Os utilizadores com sessão iniciada através da federação de identidades podem ver anotações adicionadas a incidentes para políticas baseadas em métricas , mas não podem adicionar anotações.
• Os utilizadores com sessão iniciada através da federação de identidades podem ver anotações adicionadas a incidentes para políticas baseadas em registos , mas não podem adicionar anotações.

• A implementação contínua com o Cloud Build está desativada para a federação de identidade da força de trabalho.
• Os conetores de VPC existentes não estão listados para a federação de identidade da força de trabalho. Tem de criá-los manualmente.

• Os conetores de VPC existentes não estão listados para a federação de identidade da força de trabalho. Tem de criá-los manualmente.
• A criação de grupos de trabalhadores não é suportada para a federação de identidade da força de trabalho.
• Os testes de pré-implementação não são suportados para a federação de identidade da força de trabalho.

• O separador App Engine Cron Jobs não está disponível para utilizadores da Workforce Identity Federation.
• A opção do App Engine na configuração do tipo de destino não está disponível para utilizadores da Workforce Identity Federation.

• O Assistente de Ajuda não é suportado.
• A autenticação de base de dados do IAM para inícios de sessão de utilizadores não é suportada para bases de dados do Cloud SQL para MySQL ou do Cloud SQL para PostgreSQL .

• A visualização dos detalhes dos objetos requer que o acesso uniforme ao nível do contentor esteja ativado para o contentor.
• O processamento com funções do Cloud Run não é suportado.
• A análise com o Cloud Data Loss Prevention não é suportada.

• A federação de identidades com todas as APIs Cloud Storage só é suportada para contentores com acesso de nível de contentor uniforme . O acesso de federação de identidades a contentores com listas de controlo de acesso (ACLs) detalhadas é rejeitado.
• Embora todos os utilizadores e cargas de trabalho possam usar os URLs assinados existentes, os utilizadores e as cargas de trabalho da federação de identidades não podem gerar URLs assinados.
• Os utilizadores e as cargas de trabalho da federação de identidades não podem usar a notificação de alteração de objetos .

• Filas do App Engine: Uma vez que as filas do App Engine (filas criadas através de um ficheiro queue.yaml ou queue.xml ) contêm apenas tarefas com destinos do App Engine, as tarefas nestas filas não são suportadas.
• Filas normais: Para filas normais do Cloud Tasks, as tarefas com alvos HTTP são suportadas. As tarefas com destinos do App Engine não são suportadas (mesmo que a fila não seja uma fila do App Engine).

• A importação de imagens de um contentor do Cloud Storage e a exportação para o mesmo requerem que o acesso de nível de contentor uniforme esteja ativado para o contentor.
• VMware Engine não é suportado.
• Solução Bare Metal não é suportada.

• Em Adicionar responsáveis à Trusted Cloud consola e às APIs , o campo de texto ID do grupo não suporta o preenchimento automático nem fornece validação para utilizadores da federação de identidade da força de trabalho.
• Para os utilizadores da federação de identidade da força de trabalho, os Grupos Google são identificados pelos respetivos IDs e não pelos nomes.

• Bancada de trabalho do Dataplex Explore não suporta a federação de identidade da força de trabalho.
• Os scripts e os blocos de notas agendados através da bancada de trabalho de exploração não suportam a federação de identidades da força de trabalho.
• Vista segura não suporta a federação de identidades da força de trabalho.

• Os utilizadores da federação de identidades da força de trabalho podem realizar operações de criação, visualização, atualização e eliminação nas páginas de listas de clusters, tarefas e lotes. Os fluxos de trabalho, as políticas de escalabilidade automática e a troca de componentes não estão disponíveis para a federação de identidade da força de trabalho.
• A funcionalidade de criação de clusters está disponível, exceto para a criação de clusters do Dataproc no GKE, do Dataproc Compute Engine com autenticação pessoal ou com o Component Gateway ativado.
• A secção Output na página de detalhes do lote e da tarefa não está disponível para utilizadores da Workforce Identity Federation.
• A secção Alerta de recomendação na página de lista de clusters e tarefas não está disponível para utilizadores da federação de identidades da força de trabalho.

• Dataproc no GKE
• Autenticação pessoal do cluster do Dataproc
• Multilocatário seguro baseado na conta de serviço do Dataproc

• Regras de segurança não suportam a federação de identidade da força de trabalho.
• Key Visualizer não suporta a federação de identidades da força de trabalho.

• Quando inicia sessão em quaisquer clusters externos (GKE Enterprise), a opção Usar a sua identidade Google não está disponível para a federação de identidades da força de trabalho.
• Quando cria ou anexa clusters externos (GKE Enterprise), não é adicionado automaticamente como administrador da Workforce Identity Federation.

• O Cloud Marketplace contém links para domínios Google que podem não suportar a federação de identidades da força de trabalho.
• O botão Iniciar está desativado para todos os produtos de VM que usam o Deployment Manager porque o Deployment Manager não suporta a Workforce Identity Federation.
• A inscrição em SaaS e o início de sessão único (SSO) não suportam a federação de identidade da força de trabalho.
• O Producer Portal não suporta a federação de identidade da força de trabalho.
• Request Procurement não suporta a federação de identidade da força de trabalho.
• O catálogo de serviços não suporta a federação de identidade da força de trabalho.

• A exportação de relatórios de custo total de propriedade (relatórios de TCO) não é suportada para utilizadores da federação de identidades da força de trabalho.
• A exportação de recursos não é suportada para utilizadores da federação de identidades da força de trabalho.

• A coluna Nome na tabela IAM não mostra os nomes a apresentar para identidades Google.
• Quando adiciona novos membros a políticas de autorização, o campo de texto Adicionar membros só suporta a conclusão automática para contas de serviço.
• O campo de texto Adicionar principal isento na página Registos de auditoria suporta apenas o preenchimento automático para contas de serviço.

• No separador Aplicações, a coluna Método está desativada e os utilizadores não podem usar identidades externas para autorização.
• No separador Aplicações, não é possível listar os recursos do App Engine.
• O item Aceder à configuração do OAuth no menu de ações more_vert não está disponível.
• No separador Aplicações , não é possível adicionar nem listar conetores no local.

• A implementação contínua com o Cloud Build não suporta a Workforce Identity Federation.
• O registo de um domínio com o Cloud Domains não suporta a federação de identidades da força de trabalho.

• Memorystore para Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore para Valkey

As seguintes funcionalidades de inteligência de políticas têm limitações para os utilizadores da federação de identidade da força de trabalho que usam a Trusted Cloud by S3NS consola da federação de identidade da força de trabalho:

• Resolução de problemas de políticas : Os utilizadores da federação de identidade da força de trabalho não podem resolver problemas de acesso na consola (federada).
• Policy Analyzer : Os utilizadores da Workforce Identity Federation não podem analisar o acesso na consola (federado).
• Simulador de políticas : Os utilizadores da Federação de identidades da força de trabalho não podem simular alterações a uma política de permissão na consola (federada).
• IAM Recommender : os utilizadores da federação de identidade da força de trabalho não podem ver recomendações na consola (federada).

As seguintes funcionalidades da Policy Intelligence têm limitações de API para identidades federadas:

• Resolução de problemas de políticas : As identidades federadas não podem verificar a associação de grupos Google em políticas de permissão e recusa, nem a associação de contas do Cloud ID (domínios) em políticas de recusa. Quando as identidades federadas chamam o método iam.troubleshoot , as associações de funções e as regras de recusa que contêm grupos ou domínios têm um resultado de acesso Desconhecido , a menos que a associação de funções ou a regra de recusa também inclua explicitamente o principal.

• Quando chama o método analyzeIamPolicy ou o método analyzeIamPolicyLongrunning , as identidades federadas podem receber resultados de análise incompletos devido ao seguinte:

  • As identidades federadas não podem verificar a associação de grupos Google em políticas de autorização. Como resultado, quando as identidades federadas analisam o acesso de um principal, os resultados da consulta não incluem autorizações nem funções que o principal tenha devido à respetiva associação a um grupo.
  • Ao analisar o acesso, as identidades federadas não podem ativar a opção expand-groups .

  As identidades federadas não podem usar os seguintes métodos da API:

  • analyzeMove
• Simulador de políticas : as identidades federadas não podem usar a API Policy Simulator ( policysimulator.googleapis.com ).
• Atividade Analyzer : as identidades federadas não podem usar a API Policy Analyzer ( policyanalyzer.googleapis.com ).
• IAM Recommender : as identidades federadas não podem usar a API Recommender ( recommender.googleapis.com ).

• A autenticação multifator através de email não pode ser configurada por utilizadores da federação de identidades da força de trabalho. Para receber assistência, contacte a equipa de vendas .
• O Website de demonstração no Cloud Shell não é suportado para utilizadores da federação de identidades da força de trabalho.

• Os utilizadores da federação de identidade da força de trabalho só podem ver e operar na organização para a qual a federação de identidade da força de trabalho foi configurada. As outras organizações às quais os utilizadores são adicionados não são apresentadas na consola Trusted Cloud .
• Os tempos de espera para que determinadas operações se reflitam na IU são longos, por exemplo, a criação de um projeto ou uma pasta.

• As informações de eventos do utilizador estão ocultas para os utilizadores da federação de identidades da força de trabalho.
• As contas do Merchant Center não são suportadas para utilizadores da federação de força de trabalho.
• Configurações de publicação A análise e a contagem de utilização estão ocultas para os utilizadores da Workforce Identity Federation.
• Os requisitos de dados do modelo estão ocultos para os utilizadores da federação de identidades da força de trabalho.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Os utilizadores da federação de identidades têm de iniciar sessão através da interface Web da instância do Secure Source Manager antes de executar qualquer um dos seguintes comandos:
  • Comandos da CLI do Git
  • Chamadas de API para pontos finais do plano de dados
• Os utilizadores da federação de identidades têm de iniciar sessão através da interface Web da instância do Secure Source Manager após cada expiração da sessão para continuar a usar os comandos da CLI SSH do Git com chaves SSH do utilizador.

• Tem de criar uma nova instância do Secure Source Manager para usar a Workforce Identity Federation. Não é possível atualizar as instâncias existentes.
• Os fornecedores do Workload Identity Pool usados para o Secure Source Manager têm de fornecer mapeamentos de atributos google.subject e google.email .
• Só pode usar a sua identidade federada para iniciar sessão numa instância do Secure Source Manager configurada para usar a federação de identidade da força de trabalho.
• As notificações por email do Secure Source Manager não são suportadas para instâncias configuradas da Workforce Identity Federation.

• Exportar resultados para um ficheiro CSV
• Exportar resultados para o Cloud Storage
• Enviar feedback botão
• Não é possível gerir as definições de exportação do Google SecOps no ambiente federado. Por isso, na página Exportações contínuas , a faixa Google SecOps não está disponível.
• Caixa de diálogo de aviso a comunicar que o estado de ativação é herdado por predefinição na página Ativação de serviços
• Não é possível gerir o serviço de postura de segurança através da Trusted Cloud consola.

1. Adicione uma conta de serviço aos proprietários de domínios através da API Site Verification .
2. Usar a identidade desta conta de serviço para criar um serviço gerido.

• Agentes da Vertex AI A criação e a pré-visualização não são suportadas.
• O arquivo de dados do Google Drive não é compatível com a criação.

• Os blocos de notas geridos do Vertex AI Workbench ( Descontinuado ) não suportam a federação de identidade da força de trabalho.
• Os blocos de notas geridos pelo utilizador do Vertex AI Workbench ( Descontinuado ) não suportam a federação de identidade da força de trabalho.

• Políticas de acesso
• Regras de entrada e saída nos perímetros de serviço

• v1alpha As APIs não estão disponíveis para identidades federadas.
• Os VPC Service Controls suportam apenas os principais da v1 federação de identidade da força de trabalho e da federação de identidade da carga de trabalho que começam com os prefixos principal e principalSet nos identificadores principais da API IAM v1 . Pode usar estes identificadores principais nas regras de entrada e saída do perímetro de serviço .