Federación de identidades: productos y limitaciones

• Tarjetas de resumen de rendimiento y copias de seguridad
• Datos de la tabla de clústeres, como el porcentaje de CPU y la memoria disponible

• Las funciones de la vista previa no están disponibles para los usuarios de la federación de identidades de Workforce. Esto incluye las siguientes funciones:

  • Integración con Looker Studio
  • Evaluación de riesgos
  • Descubrimiento de APIs de sombra

• El desarrollo local con Apigee en Cloud Code no es compatible con los usuarios de Workforce Identity Federation.

• Las APIs de gestión de APIs no admiten usuarios de la federación de identidades para los trabajadores.

• Las APIs de Apigee Connect no admiten usuarios de la federación de identidades para los trabajadores.

• No se admite la gestión de clientes de OAuth.
• No se admite la gestión de marcas de OAuth.

• Container Registry no admite la federación de identidades. En la página de configuración de Transición de Container Registry , hay un banner informativo.

• Las siguientes funciones no admiten la federación de identidades de la fuerza de trabajo con BigQuery:
  • Hojas vinculadas
  • Google Drive
  • Recomendaciones
  • Estimador de espacios
  • Gemini en BigQuery
• Los siguientes recursos de BigQuery Studio no son compatibles con los usuarios de la federación de identidades de la plantilla:
  • Consultas
  • Notebooks
  • Lienzos de datos
  • Pipelines
• Las siguientes operaciones no admiten la federación de identidades de Workforce:
  • Cargar datos de Amazon S3 , Apache Spark o Azure Blob Storage a través de la API Connection
  • Cargando datos de Google Drive

analyzeMove no es compatible con la federación de identidades.

• Solo se admiten las cuentas de facturación mensual .

• Solo las cuentas de facturación mensual admiten la federación de identidades.

• Cloud Composer solo admite la federación de identidades de trabajo en entornos creados con la versión 2.1.11 o posterior de Composer y la versión 2.4.3 o posterior de Airflow. Al actualizar un entorno desde una versión anterior, no se habilita la compatibilidad con la federación de identidades de Workforce.
• Los mensajes de correo enviados desde Airflow solo incluyen el enlace a la interfaz de usuario de Airflow, al que pueden acceder las cuentas de Google. Para acceder a la interfaz de usuario de Airflow como usuario de Workforce Identity Federation, el enlace debe actualizarse manualmente (cambiarse a la URL de Workforce Identity Federation ).
• Las limitaciones de Cloud Storage se aplican al segmento del entorno de Cloud Composer.

• La preferencia de idioma se selecciona al iniciar sesión y no se puede actualizar en la consola.
• No se pueden habilitar las notificaciones, las actualizaciones ni las ofertas de productos en la página de preferencias de comunicación .
• No se admite la personalización basada en la actividad de tu Google Cloud consola.
• La página Centro de transparencia y control no está disponible.

• Debido a las limitaciones de Facturación de Cloud para la federación de identidades de los trabajadores , solo el administrador de la organización puede acceder a la asistencia relacionada con la facturación a través de la cuenta de Google Cloud que se utilizó para configurar la cuenta de facturación.
• Los usuarios de la federación de identidades de Workforce pueden subir archivos relacionados con casos de asistencia, pero no descargarlos. Los ingenieros del equipo de Asistencia que gestionan tus casos pueden ver estos archivos.
• Los datos de contacto (por ejemplo, la dirección de correo electrónico) no se pueden cambiar para los usuarios de la federación de identidades de la plantilla una vez que se ha iniciado la interacción con el equipo de Asistencia.
• Los usuarios de la federación de identidades de la plantilla no pueden crear casos mediante el canal de asistencia por chat en directo.

• El permiso de IAM run.routes.invoke , que gestiona el acceso a los endpoints de los servicios de Cloud Run, no es compatible con la federación de identidades de Workforce. Habilita Identity-Aware Proxy para Cloud Run para usarlo.
• Cloud Run no admite la federación de identidades de cargas de trabajo. Para permitir el acceso, usa la suplantación de identidad de cuenta de servicio .

• El permiso de IAM run.routes.invoke , que gestiona el acceso a los endpoints de los servicios de Cloud Run, no es compatible con la federación de identidades de Workforce. Habilita Identity-Aware Proxy para Cloud Run para usarlo.
• Cloud Run no admite la federación de identidades de cargas de trabajo. Para permitir el acceso, usa la suplantación de identidad de cuenta de servicio .

• La pestaña Tareas cron de App Engine no está disponible para los usuarios de la Federación de Identidades de Workforce.
• La opción App Engine de la configuración del tipo de destino no está disponible para los usuarios de la federación de identidades de los trabajadores.

• El Asistente de ayuda no es compatible.
• La autenticación de bases de datos de gestión de identidades y accesos para los inicios de sesión de usuarios no se admite en las bases de datos de Cloud SQL para MySQL ni en las de Cloud SQL para PostgreSQL .

• Para ver los detalles de un objeto, es necesario que el segmento tenga habilitado el acceso uniforme a nivel de segmento .
• No se admite el procesamiento con Cloud Run Functions.
• No se admite el análisis con Cloud Data Loss Prevention.

• La federación de identidades con todas las APIs de Cloud Storage solo se admite en los segmentos con acceso uniforme a nivel de segmento . Se rechaza el acceso de federación de identidades a los segmentos con listas de control de acceso (LCA) pormenorizadas.
• Aunque todos los usuarios y cargas de trabajo pueden usar las URLs firmadas , los usuarios y las cargas de trabajo de la federación de identidades no pueden generar URLs firmadas.
• Los usuarios y las cargas de trabajo de la federación de identidades no pueden usar notificaciones de cambio de objeto .

• Colas de App Engine: Las colas de App Engine (colas creadas mediante un archivo queue.yaml o queue.xml ) solo contienen tareas con destinos de App Engine, por lo que no se admiten tareas en estas colas.
• Colas normales: En las colas normales de Cloud Tasks, se admiten tareas con destinos HTTP. No se admiten tareas con destinos de App Engine (aunque la cola no sea una cola de App Engine).

• Para importar imágenes desde un segmento de Cloud Storage y exportarlas a él, es necesario que el segmento tenga habilitado el acceso uniforme a nivel de segmento.
• La solución Bare Metal no se admite.

• En Añadir principales a la consola Google Cloud y a las APIs , el campo de texto ID de grupo no admite la función de autocompletar ni proporciona validación para los usuarios de la federación de identidades de la plantilla.
• En el caso de los usuarios de la federación de identidades de Workforce, los grupos de Google se identifican por sus IDs en lugar de por sus nombres.

• El banco de trabajo Explorar de Dataplex no admite la federación de identidades de Workforce.
• Las secuencias de comandos y los cuadernos programados a través del explorador de Workbench no admiten la federación de identidades de Workforce.
• Vista segura no admite la federación de identidades de Workforce.

• Los usuarios de la federación de identidades de la fuerza de trabajo pueden realizar operaciones de creación, visualización, actualización y eliminación en las páginas de lista de clústeres, trabajos y lotes. Los flujos de trabajo, las políticas de autoescalado y el intercambio de componentes no están disponibles en Workforce Identity Federation.
• La función de creación de clústeres está disponible, excepto para la creación de clústeres de Dataproc en GKE, clústeres de Dataproc Compute Engine con autenticación personal o con la pasarela de componentes habilitada.
• La sección Salida de la página de detalles de lote y de trabajo no está disponible para los usuarios de la federación de identidades de Workforce.
• La sección Alerta de recomendación de la página de lista de clústeres y trabajos no está disponible para los usuarios de la federación de identidades de la plantilla.

• Dataproc en GKE
• Autenticación de clústeres personales de Dataproc
• Multiarrendamiento seguro basado en la cuenta de servicio de Dataproc

• Las reglas de seguridad no admiten la federación de identidades de Workforce.
• Key Visualizer no es compatible con la federación de identidades de Workforce.

• Cuando inicias sesión en cualquier clúster externo (GKE Enterprise), la opción Usar tu identidad de Google no está disponible para la federación de identidades de trabajo.
• Cuando crees o adjuntes clústeres externos (GKE Enterprise), no se te añadirá automáticamente como administrador de la federación de identidades de la plantilla.

• Cloud Marketplace contiene enlaces a dominios de Google que puede que no admitan la federación de identidades de Workforce.
• El botón Iniciar está inhabilitado en todos los productos de máquinas virtuales que usan Deployment Manager, ya que este no admite la federación de identidades de Workforce.
• El registro de SaaS y el inicio de sesión único no admiten la federación de identidades de Workforce.
• Producer Portal no admite la federación de identidades de Workforce.
• Request Procurement no admite la federación de identidades de Workforce.
• Service Catalog no admite la federación de identidades de Workforce.

• Los usuarios de la federación de identidades de la plantilla no pueden exportar informes de coste total de propiedad.
• No se admite la exportación de recursos para los usuarios de la federación de identidades de Workforce.

• No se puede exportar datos a Google Drive desde las APIs de Earth Engine con Workforce Identity Federation.
• Los recursos antiguos de Earth Engine que no gestionan los Google Cloud proyectos no son compatibles con los usuarios de la federación de identidades de Workforce.

• La columna Nombre de la tabla de IAM no muestra los nombres visibles de las identidades de Google.
• Cuando añadas nuevas entidades principales a las políticas de permiso, el campo de texto Añadir principales solo admite la función de autocompletar para las cuentas de servicio.
• El campo de texto Añadir principal exento de la página Registros de auditoría solo admite la función de autocompletar para las cuentas de servicio.

• En la pestaña Aplicaciones, la columna Método está inhabilitada y los usuarios no pueden usar identidades externas para la autorización.
• En la pestaña Aplicaciones, no se pueden enumerar los recursos de App Engine.
• La opción Ir a la configuración de OAuth del menú de acciones more_vert no está disponible.
• En la pestaña Aplicaciones no se pueden añadir ni mostrar conectores locales.

• El despliegue continuo con Cloud Build no es compatible con la federación de identidades de Workforce.
• Registrar un dominio con Cloud Domains no admite Workforce Identity Federation.

• Memorystore para Redis
• Memorystore para Redis Cluster
• Memorystore para Memcached
• Memorystore for Valkey

Las siguientes funciones de Policy Intelligence tienen limitaciones para los usuarios de Workforce Identity Federation que utilizan la Google Cloud consola de Workforce Identity Federation:

• Solucionador de problemas de políticas : Los usuarios de la federación de identidades de la plantilla no pueden solucionar problemas de acceso en la consola (federada).
• Analizador de políticas : Los usuarios de la federación de identidades de los empleados no pueden analizar el acceso en la consola (federado).
• Simulador de políticas : Los usuarios de la federación de identidades de trabajo no pueden simular cambios en una política de permiso en la consola (federada).
• Gestión de identidades y accesos Recomendador : los usuarios de la federación de identidades de la plantilla no pueden ver las recomendaciones en la consola (federada).

Las siguientes funciones de Policy Intelligence tienen limitaciones de API para las identidades federadas:

• Herramienta para solucionar problemas de políticas : Las identidades federadas no pueden comprobar la pertenencia a grupos de Google en las políticas de permitir y denegar, ni la pertenencia a cuentas (dominios) de Cloud Identity en las políticas de denegar. Cuando las identidades federadas llaman al método iam.troubleshoot , los enlaces de roles y las reglas de denegación que contienen grupos o dominios tienen un resultado de acceso Unknown , a menos que el enlace de roles o la regla de denegación también incluyan explícitamente al principal.

• Al llamar al método analyzeIamPolicy o al método analyzeIamPolicyLongrunning , es posible que las identidades federadas reciban resultados de análisis incompletos por los siguientes motivos:

  • Las identidades federadas no pueden comprobar la pertenencia a grupos de Google en las políticas de permisos. Por lo tanto, cuando las identidades federadas analizan el acceso de una entidad de seguridad, los resultados de la consulta no incluyen los permisos ni los roles que tiene la entidad de seguridad debido a su pertenencia a un grupo.
  • Al analizar el acceso, las identidades federadas no pueden habilitar la opción expand-groups .

  Las identidades federadas no pueden usar los siguientes métodos de la API:

  • analyzeMove
• Simulador de política : las identidades federadas no pueden usar la API Policy Simulator ( policysimulator.googleapis.com ).
• Analizador de actividad : las identidades federadas no pueden usar la API Analizador de políticas ( policyanalyzer.googleapis.com ).
• Recomendador de gestión de identidades y accesos : las identidades federadas no pueden usar la API Recommender ( recommender.googleapis.com ).

• Los usuarios de Workforce Identity Federation no pueden configurar la autenticación multifactor por correo electrónico. Si necesitas ayuda, ponte en contacto con el equipo de Ventas .
• El sitio web de demostración de Cloud Shell no es compatible con los usuarios de Workforce Identity Federation.

• Los usuarios de Workforce Identity Federation solo pueden ver y operar en la organización para la que se configuró Workforce Identity Federation. Las otras organizaciones a las que se añaden los usuarios no se muestran en la consola Google Cloud .
• Los tiempos de espera para que determinadas operaciones se reflejen en la interfaz de usuario son largos (por ejemplo, crear un proyecto o una carpeta).

• La información de eventos de usuario está oculta para los usuarios de la federación de identidades de la plantilla.
• Las cuentas de Merchant Center no se admiten para los usuarios de federación de la plantilla.
• Configuraciones de servicio La analítica y el recuento de uso están ocultos para los usuarios de Workforce Identity Federation.
• Requisitos de datos del modelo están ocultos para los usuarios de la federación de identidades de la plantilla.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Los usuarios de la federación de identidades deben iniciar sesión a través de la instancia de Secure Source Manager interfaz web antes de ejecutar cualquiera de los siguientes comandos:
  • Comandos de la CLI de Git
  • Llamadas a la API a endpoints del plano de datos
• Los usuarios de la federación de identidades deben iniciar sesión a través de la instancia de Secure Source Manager interfaz web después de cada vencimiento de sesión para seguir usando los comandos de la CLI de Git SSH con las llaves SSH de usuario.

• Para usar Workforce Identity Federation, debes crear una instancia de Secure Source Manager. Las instancias no se pueden actualizar.
• Los proveedores de grupos de identidades de la fuerza de trabajo que se usen en Secure Source Manager deben proporcionar asignaciones de atributos google.subject y google.email .
• Solo puedes usar tu identidad federada para iniciar sesión en una instancia de Secure Source Manager que esté configurada para usar Workforce Identity Federation.
• Las notificaciones por correo electrónico de Secure Source Manager no se admiten en las instancias configuradas de la federación de identidades de los empleados.

• El servicio Postura de seguridad no se puede gestionar mediante la consola de Google Cloud .

1. Añade una cuenta de servicio a los propietarios de dominios mediante la API Site Verification .
2. Usar la identidad de esta cuenta de servicio para crear un servicio gestionado.

• No se admite la creación y la vista previa de agentes de Vertex AI .
• No se admite la creación de almacenes de datos de Google Drive .

• Los cuadernos gestionados de Vertex AI Workbench ( Obsoleto ) no admiten la federación de identidades de Workforce.
• Los cuadernos gestionados por el usuario de Vertex AI Workbench ( Obsoleto ) no admiten la federación de identidades de la plantilla.

• Políticas de acceso
• Reglas de entrada y salida en perímetros de servicio

• v1alpha Las APIs no están disponibles para identidades federadas.
• Controles de Servicio de VPC solo admite identificadores principales específicos de Federación de Identidades de los Empleados y Federación de Identidades de Cargas de Trabajo . Puedes usar estos identificadores principales para configurar grupos de identidades e identidades de terceros en reglas de entrada y salida .