Federação de identidades: produtos e limitações

• Cards de resumo de desempenho e backups
• Dados na tabela de clusters, como porcentagem de CPU e memória disponível

• Os recursos em pré-lançamento não são compatíveis com usuários da federação de identidade de colaboradores. Isso inclui os seguintes recursos:

  • Integração com o Looker Studio
  • Avaliação de riscos
  • Descoberta de APIs Shadow

• O desenvolvimento local com a Apigee no Cloud Code não tem suporte para usuários da federação de identidade da força de trabalho.

• As APIs de gerenciamento de API não são compatíveis com usuários da federação de identidade de colaboradores.

• As APIs Apigee Connect não são compatíveis com usuários da federação de identidade de colaboradores.

• O gerenciamento de clientes OAuth não é compatível.
• O gerenciamento de marca OAuth não é compatível.

• O Container Registry não oferece suporte à federação de identidade. Há um banner informativo na página de configurações na transição do Container Registry .

• Os seguintes recursos não são compatíveis com a federação de identidade de colaboradores com o BigQuery:
  • Páginas conectadas
  • Google Drive
  • Recomendações
  • Estimador de slots
• As seguintes operações não são compatíveis com a federação de identidade de colaboradores:
  • Carregamento de dados de Amazon S3 , Apache Spark ou Armazenamento de Blobs do Azure por meio do API Connection
  • Carregando dados do Google Drive

analyzeMove não é compatível com a federação de identidade.

• Somente contas com fatura são compatíveis.

• Somente contas de cobrança por fatura oferecem suporte à federação de identidade.

• O Cloud Composer é compatível com a federação de identidade de colaboradores somente para ambientes criados no Composer versão 2.1.11 ou posterior e Airflow versão 2.4.3 ou posterior. O upgrade de um ambiente de uma versão anterior não ativa o suporte à federação de identidade de colaboradores.
• As mensagens de e-mail enviadas pelo Airflow incluem apenas o link da interface do Airflow que pode ser acessado pelas Contas do Google. Para acessar a interface do Airflow como um usuário da federação de identidade de colaboradores, o link precisa ser atualizado manualmente (alterado para o URL para usuários da federação de identidade de colaboradores ).
• As limitações do Cloud Storage se aplicam ao bucket do ambiente do Cloud Composer.

• A preferência de idioma está selecionada no login e não pode ser atualizada no console.
• Não é possível ativar notificações, atualizações e ofertas de produtos na página preferências de comunicação .
• Não é possível personalizar com base na sua atividade no console Google Cloud .
• A página Central de transparência e controle não está disponível.

• Devido às limitações do Cloud Billing para federação de identidade de colaboradores , o suporte relacionado ao faturamento só pode ser acessado pelo administrador da organização na conta do Google Cloud usada para configurar a conta de faturamento.
• Os usuários da federação de identidade de colaboradores podem fazer upload de arquivos relacionados ao caso de suporte, mas não fazer o download. Esses arquivos ficam visíveis para os engenheiros de suporte responsáveis pelos casos.
• Os detalhes de contato (por exemplo, endereço de e-mail) não podem ser alterados para usuários da federação de identidade de colaboradores após o início da interação com o suporte.
• Os usuários da federação de identidade de colaboradores não podem criar casos usando o canal de suporte por chat ao vivo.

• A permissão do IAM run.routes.invoke , que gerencia o acesso aos endpoints de serviço do Cloud Run, não é compatível com a federação de identidade da força de trabalho. Ative o Identity-Aware Proxy para Cloud Run para usá-lo.
• O Cloud Run não é compatível com a federação de identidade da carga de trabalho. Para permitir o acesso, use a representação de conta de serviço .

• A permissão do IAM run.routes.invoke , que gerencia o acesso aos endpoints de serviço do Cloud Run, não é compatível com a federação de identidade da força de trabalho. Ative o Identity-Aware Proxy para Cloud Run para usá-lo.
• O Cloud Run não é compatível com a federação de identidade da carga de trabalho. Para permitir o acesso, use a representação de conta de serviço .

• A guia Cron jobs do App Engine não está disponível para usuários da federação de identidade de colaboradores.
• A opção do App Engine na configuração do tipo de destino não está disponível para usuários da federação de identidade de colaboradores.

• O assistente de ajuda não é compatível.
• A autenticação do banco de dados do IAM para logins de usuário não é compatível com bancos de dados do Cloud SQL para MySQL ou do Cloud SQL para PostgreSQL .

• A visualização de detalhes do objeto exige que o acesso uniforme do bucket seja ativado para ele.
• O processo com o Cloud Run functions não é compatível.
• A verificação com o Cloud Data Loss Prevention não é compatível.

• A federação de identidade de colaboradores com todas as APIs do Cloud Storage é aceita apenas para buckets de acesso uniforme no nível do bucket . O acesso da federação de identidade de colaboradores a buckets com listas de controle de acesso (ACLs) refinadas foi rejeitada.
• Embora todos os usuários e cargas de trabalho possam usar URLs assinados , os usuários e as cargas de trabalho da federação de identidade não podem gerar URLs assinados.
• Os usuários da federação de identidade e as cargas de trabalho não podem usar a notificação de alteração de objeto .

• Filas do App Engine: Como as filas do App Engine (que são criadas usando um queue.yaml ou queue.xml ) contiverem apenas tarefas com destinos do App Engine, as tarefas nessas filas não serão aceitas.
• Filas regulares: para filas normais do Cloud Tasks, as tarefas com destinos HTTP são compatíveis. Tarefas com destinos do App Engine não são compatíveis, mesmo que a fila não seja do App Engine.

• A importação e a exportação de imagens para um bucket do Cloud Storage exigem que o acesso uniforme no nível do bucket esteja ativado para o bucket.
• A Solução Bare Metal não é compatível.

• Em Adicionar principais ao console e às APIs do Google Cloud , o campo de texto ID do grupo não aceita preenchimento automático nem fornece validação para usuários da federação de identidade de colaboradores.
• Para os usuários da federação de identidade de colaboradores, os Grupos do Google são identificados pelos IDs e não pelos nomes.

• O workbench Dataplex Explore não é compatível com a federação de identidade de colaboradores.
• Os scripts e notebooks programados pelo workbench Explore não são compatíveis com a federação de identidade de colaboradores.
• A Visualização segura não é compatível com a federação de identidade de colaboradores.

• Os usuários da federação de identidade de colaboradores podem realizar operações de criação, visualização, atualização e exclusão em páginas de lista de clusters, jobs e lotes. Os fluxos de trabalho, as políticas de escalonamento automático e a troca de componentes não estão disponíveis para os usuários da federação de identidade de colaboradores.
• A funcionalidade de criação de cluster está disponível, exceto para criação de cluster do GKE para Dataproc, cluster do Compute Engine para Dataproc com autenticação pessoal ou com o gateway de componentes ativado.
• A seção Saída na página de detalhes do lote e do job não está disponível para usuários da federação de identidade de colaboradores.
• A seção Recomendar alerta na página "Lista de clusters e jobs" não está disponível para usuários da federação de identidade de colaboradores.

• Dataproc no GKE
• Autenticação de cluster pessoal do Dataproc
• Multilocação segura com base na conta de serviço do Dataproc

• As regras de segurança não são compatíveis com a federação de identidade de colaboradores.
• O Key Visualizer não é compatível com a federação de identidade de colaboradores.

• Quando você faz login em clusters externos (GKE Enterprise), a opção Usar sua identidade do Google não fica disponível para a federação de identidade de colaboradores.
• Ao criar ou anexar clusters externos (GKE Enterprise), você não será adicionado automaticamente como administrador da federação de identidade de colaboradores.

• O Cloud Marketplace contém links para domínios do Google que talvez não sejam compatíveis com a federação de identidade de colaboradores.
• O botão Iniciar fica desativado para todos os produtos de VM que usam o Deployment Manager porque o Deployment Manager não é compatível com a federação de identidade de colaboradores.
• A inscrição de SaaS e o login com SSO não são compatíveis com a federação de identidade de colaboradores.
• O Portal do Produtor não é compatível com a federação de identidade de colaboradores.
• A opção Solicitar compras não oferece suporte à federação de identidade de colaboradores.
• O catálogo de serviços não dá suporte à federação de identidade de colaboradores.

• Não há suporte para a exportação de relatórios de custo total de propriedade (TCO) para usuários da federação de identidade de colaboradores.
• Não é possível exportar recursos para usuários da federação de identidade de colaboradores.

• Não é possível exportar dados para o Google Drive usando as APIs do Earth Engine com a federação de identidade da força de trabalho.
• Os recursos legados do Earth Engine que não são gerenciados por projetos Google Cloud não são compatíveis com usuários da federação de identidade de colaboradores.

• A coluna Nome na tabela do IAM não mostra nomes de exibição de identidades do Google.
• Ao adicionar novos principais para permitir políticas, o campo de texto Adicionar principais oferece suporte apenas ao preenchimento automático para contas de serviço.
• O campo de texto Adicionar principal isenta na página Registros de auditoria é compatível apenas preenchimento automático para contas de serviço.

• Na guia "Aplicativos", a coluna Método está desativada. Os usuários não podem usar identidades externas para autorização.
• Na guia "Aplicativos", não é possível listar os recursos do App Engine.
• O item Acessar configuração do OAuth no menu de ações more_vert não está disponível.
• Na guia Aplicativos , não é possível adicionar ou listar conectores locais.

• A implantação contínua com o Cloud Build não oferece suporte à federação de identidade de colaboradores.
• O registro de um domínio com o Cloud Domains não oferece suporte à federação de identidade de colaboradores.

• Memorystore for Redis
• Cluster do Memorystore para Redis
• Memorystore para Memcached
• Memorystore para Valkey

Os recursos do Policy Intelligence a seguir têm limitações para usuários da federação de identidade de colaboradores que usam o console da Google Cloud federação de identidade de colaboradores:

• Solucionador de problemas de políticas: os usuários da federação de identidade de colaboradores não podem resolver problemas de acesso no console (federado).
• Análise de políticas: os usuários da federação de identidade de colaboradores não podem analisar o acesso no console (federado).
• Simulador de políticas: os usuários da federação de identidade de colaboradores não podem simular alterações em uma política de permissão no console (federado).
• Recomendador do IAM: os usuários da federação de identidade de colaboradores não podem ver recomendações no console (federado).

Os seguintes recursos do Policy Intelligence têm limitações de API para identidades federadas:

• Solucionador de problemas de políticas : as identidades federadas não podem verificar a associação de grupos do Google em políticas de permissão e negação nem a associação de contas do Cloud Identity (domínios) em políticas de negação. Quando as identidades federadas chamam a iam.troubleshoot método, vinculações de papel e regras de negação que contêm grupos ou domínios têm um resultado de acesso de Desconhecido , a menos que a regra de vinculação ou negação do papel também inclua explicitamente o principal.

• Ao chamar o analyzeIamPolicy ou analyzeIamPolicyLongrunning , as identidades federadas podem receber resultados de análise incompletos por causa do seguinte:

  • Identidades federadas não podem verificar a associação de grupos do Google em políticas de permissão. Como resultado, quando as identidades federadas analisam o acesso de um principal, os resultados da consulta não incluem permissões e papéis que o principal tem devido à participação em um grupo.
  • Ao analisar o acesso, as identidades federadas não podem ativar a opção expand-groups .

  Identidades federadas não podem usar os seguintes métodos de API:

  • analyzeMove
• Simulador de políticas : identidades federadas não podem usar a API Policy Simulator ( policysimulator.googleapis.com ).
• Activity Analyzer : identidades federadas não podem usar a API Policy Analyzer ( policyanalyzer.googleapis.com ).
• Recomendador do IAM : identidades federadas não podem usar a API Recommender ( recommender.googleapis.com ).

• Os usuários da federação de identidade de colaboradores não podem configurar a autenticação multifator por e-mail. Para receber ajuda, entre em contato com a equipe de vendas .
• O site de demonstração no Cloud Shell não tem suporte para usuários da federação de identidade de colaboradores.

• Os usuários da federação de identidade de colaboradores só podem ver e operar na organização com a federação de identidade de colaboradores configurada. As outras organizações a que os usuários foram adicionados não são exibidas no console do Google Cloud .
• O tempo de espera para que determinadas operações sejam refletidas na IU é longo, por exemplo, criar um projeto ou uma pasta.

• As informações de eventos do usuário ficam ocultas para os usuários da federação de identidade de colaboradores.
• As contas do Merchant Center não podem ser usadas por usuários da federação de colaboradores.
• A contagem de uso e a análise das configurações de disponibilização ficam ocultas para os usuários da federação de identidade de colaboradores.
• Os requisitos de dados do modelo ficam ocultos para os usuários da federação de identidade de colaboradores.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Os usuários da federação de identidades precisam fazer login na instância do Secure Source Manager interface da Web antes de executar qualquer um dos seguintes comandos:
  • Comandos da CLI do Git
  • Chamadas de API para endpoints do plano de dados
• Os usuários da federação de identidade precisam fazer login na interface da Web da instância do Secure Source Manager após o vencimento de cada sessão para continuar usando comandos da CLI SSH do Git com chaves SSH do usuário.

• É necessário criar uma nova instância do Secure Source Manager para usar a Federação de identidade de colaboradores. Não é possível atualizar instâncias atuais.
• Os provedores de pool de identidades da força de trabalho usados para o Secure Source Manager precisam fornecer mapeamentos de atributos google.subject e google.email .
• Só é possível usar sua identidade federada para fazer login em uma instância do Secure Source Manager configurada para usar a federação de identidade de colaboradores.
• As notificações por e-mail do Secure Source Manager não são compatíveis com instâncias configuradas da federação de identidade de colaboradores.

• Não é possível gerenciar o serviço de postura de segurança usando o console Google Cloud .

1. Adicionar uma conta de serviço aos proprietários do domínio com a API Site Verification
2. Representar esta conta de serviço para criar um serviço gerenciado

• Não há suporte para a criação e a visualização de agentes da Vertex AI.
• Não é possível criar um repositório de dados do Google Drive.

• Os notebooks gerenciados do Vertex AI Workbench ( descontinuado ) não são compatíveis com a federação de identidade de colaboradores.
• Os notebooks gerenciados pelo usuário do Vertex AI Workbench ( descontinuado ) não são compatíveis com a federação de identidade de colaboradores.

• Políticas de acesso
• Regras de entrada e saída em perímetros de serviço

• As APIs v1alpha não estão disponíveis para identidades federadas.
• O VPC Service Controls é compatível apenas com identificadores principais específicos da federação de identidade de colaboradores e da federação de identidade da carga de trabalho . É possível usar esses identificadores principais para configurar grupos de identidade e identidades de terceiros em regras de entrada e saída .