Federación de identidades: Productos y limitaciones

• Tarjetas de resumen de rendimiento y copias de seguridad
• Datos en la tabla de clústeres, como el porcentaje de CPU y la memoria disponible

• Las funciones de la vista previa no son compatibles con los usuarios de la federación de identidades de personal. Esto incluye las siguientes funciones:

  • Integración de Looker Studio
  • Evaluación de riesgos
  • Descubrimiento de Shadow API

• El desarrollo local con Apigee en Cloud Code no es compatible con los usuarios de la federación de identidades de personal.

• Las APIs de API Management no admiten a los usuarios de la federación de identidades de personal.

• Las APIs de Apigee Connect no admiten a los usuarios de la federación de identidades de personal.

• No se admite la administración de cliente de OAuth .
• No se admite la administración de marca de OAuth .

• Container Registry no admite la federación de identidades. Hay un banner de información en la página de configuración, en Transición de Container Registry.

• Las siguientes características no admiten la federación de identidades de personal con BigQuery:
  • Hojas conectadas
  • Google Drive
  • Recomendaciones
  • Estimador de ranuras
  • Gemini in BigQuery
• Los siguientes recursos de BigQuery Studio no son compatibles con los usuarios de la federación de identidades de personal:
  • Búsquedas
  • Notebooks
  • Lienzos de datos
  • Canalizaciones
• Las siguientes operaciones no admiten la federación de identidades de personal:
  • Carga datos desde Amazon S3 , Apache Spark o Azure Blob Storage a través de la API de Connection
  • Carga de datos desde Google Drive

analyzeMove no es compatible con la federación de identidades.

• Solo se admiten cuentas de facturación.

• Solo las cuentas de facturación admiten la federación de identidades.

• Cloud Composer admite la federación de identidades de personal solo para entornos creados en Composer 2.1.11 o versiones posteriores y Airflow 2.4.3 o versiones posteriores. La actualización de un entorno desde una versión anterior no habilita la compatibilidad con la federación de identidades del personal.
• Los mensajes de correo electrónico que se envían desde Airflow solo incluyen el vínculo de la IU de Airflow al que pueden acceder las Cuentas de Google. Para acceder a la IU de Airflow como un usuario de la federación de identidades de personal, el vínculo debe actualizarse de forma manual (cambiado por la URL para la federación de identidades de personal).
• Las limitaciones de Cloud Storage se aplican al bucket del entorno de Cloud Composer.

• La preferencia de idioma se selecciona durante el inicio de sesión y no se puede actualizar en la consola.
• Las notificaciones, actualizaciones y ofertas de productos no se pueden habilitar en la página de preferencias de comunicación.
• No se admite la personalización basada en tu actividad en la consola de Google Cloud .
• La página del Centro de transparencia y control no está disponible.

• Debido a las limitaciones de la Facturación de Cloud para la federación de identidades de personal , solo el administrador de la organización puede acceder a la asistencia relacionada con la facturación a través de la cuenta Google Cloud que se usó para configurar la cuenta de facturación.
• Los usuarios de la federación de identidades de personal pueden subir, pero no descargar, archivos relacionados con el casos de asistencia. Estos archivos son visibles para los ingenieros de asistencia que se encargan de tus casos.
• Una vez que comience la interacción con el equipo de asistencia, no se podrán cambiar los detalles de contacto (p. ej., la dirección de correo electrónico) de los usuarios.
• Los usuarios de la federación de identidades de personal no pueden crear casos a través del canal de asistencia por chat en vivo.

• El permiso de IAM run.routes.invoke , que administra el acceso a los extremos del servicio de Cloud Run, no admite la federación de identidades de personal. Habilita Identity-Aware Proxy para Cloud Run para usarlo.
• Cloud Run no admite la federación de Workload Identity. Para permitir el acceso, usa la identidad temporal como cuenta de servicio .

• El permiso de IAM run.routes.invoke , que administra el acceso a los extremos del servicio de Cloud Run, no admite la federación de identidades de personal. Habilita Identity-Aware Proxy para Cloud Run para usarlo.
• Cloud Run no admite la federación de Workload Identity. Para permitir el acceso, usa la identidad temporal como cuenta de servicio .

• La pestaña Trabajos cron de App Engine no está disponible para los usuarios de la federación de identidades de personal.
• La opción de App Engine en la configuración del tipo de destino no está disponible para los usuarios de la federación de identidades de personal.

• No se admite el Asistente de ayuda.
• La autenticación de la base de datos de IAM para los accesos de los usuarios no es compatible con las bases de datos de Cloud SQL para MySQL o Cloud SQL para PostgreSQL .

• La visualización de los detalles del objeto requiere que se habilite el acceso uniforme a nivel de bucket para el bucket.
• No se admite el proceso con Cloud Run Functions.
• No se admite el análisis con Cloud Data Loss Prevention.

• La federación de identidades con todas las APIs de Cloud Storage solo es compatible con buckets de acceso uniforme a nivel de bucket. Se rechaza el acceso de la federación de identidades a los buckets con listas de control de acceso (LCA) detalladas.
• Aunque todos los usuarios y las cargas de trabajo pueden usar URL firmadas existentes, los usuarios y las cargas de trabajo de la federación de identidades no pueden generar URL firmadas.
• Los usuarios y las cargas de trabajo de la federación de identidades no pueden usar la notificación de cambio de objeto.

• Colas de App Engine: Dado que las colas de App Engine (colas que se crean mediante un archivo queue.yaml o queue.xml ) contienen solo tareas con objetivos de App Engine, las tareas de estas colas no son compatibles.
• Colas regulares: Para las colas normales de Cloud Tasks, se admiten tareas con destinos HTTP. Las tareas con objetivos de App Engine no son compatibles (aunque la cola no sea una cola de App Engine).

• La importación de imágenes desde un bucket de Cloud Storage y la exportación de imágenes a un bucket de Cloud Storage requiere que se habilite el acceso uniforme a nivel de bucket para el bucket.
• La Bare Metal Solution no es compatible.

• En Agregar principales a la consola de Google Cloud y a las APIs , el campo de texto ID de grupo no admite el autocompletado ni proporciona validación para los usuarios de la federación de identidades de personal.
• Para los usuarios de la federación de identidades de personal, los Grupos de Google se identifican por sus IDs en lugar de sus nombres.

• Dataplex Explore Workbench no admite la federación de identidades de personal.
• Las secuencias de comandos y los notebooks programados a través de Explore Workbench no admiten la federación de identidades de personal.
• La vista segura no admite la federación de identidades de personal.

• Los usuarios de la federación de identidades de personal pueden realizar operaciones de creación, vista, actualización y eliminación en las páginas de listas de clústeres, trabajos y lotes. Los flujos de trabajo, las políticas de ajuste de escala automático y el intercambio de componentes no están disponibles para la federación de identidades de personal.
• La funcionalidad de creación de clústeres está disponible, excepto para la creación de clústeres de Dataproc en GKE, clústeres de Dataproc Compute Engine con autenticación personal o con la puerta de enlace de componentes habilitada.
• La sección Salida de la página de detalles de lotes y trabajos no está disponible para los usuarios de la federación de identidades de personal.
• La sección Alerta de recomendación en la página de lista de clústeres y trabajos no está disponible para los usuarios de la federación de identidades de personal.

• Dataproc en GKE
• Autenticación del clúster personal de Dataproc
• Multiusuario seguro basado en la cuenta de servicio de Dataproc

• Las reglas de seguridad no admiten la federación de identidades de personal.
• Key Visualizer no admite la federación de identidades de personal.

• Cuando accedes a cualquier clúster externo (GKE Enterprise), la opción Usa tu identidad de Google no está disponible para la federación de identidades de personal.
• Cuando crees o adjuntes clústeres externos (GKE Enterprise), no se te agregará de forma automática como administrador para la federación de identidades de personal.

• Cloud Marketplace contiene vínculos a dominios de Google que podrían no admitir la federación de identidades de personal.
• El botón Iniciar está inhabilitado para todos los productos de VM que usan Deployment Manager, ya que Deployment Manager no admite la federación de identidades de personal.
• El registro de SaaS y el acceso a SSO no son compatibles con la federación de identidades de personal.
• Producer Portal no admite la federación de identidades de personal.
• Adquisiciones de solicitudes no admite la federación de identidades de personal.
• El catálogo de servicios no admite la federación de identidades de personal.

• Los informes de costo total de propiedad (Informes de TCO) no son compatibles con los usuarios de la federación de identidades de personal.
• La exportación de recursos no es compatible con los usuarios de la federación de identidades de personal.

• La exportación de datos a Google Drive desde las APIs de Earth Engine no es compatible con la federación de identidades de personal.
• Los recursos heredados de Earth Engine que no se administran con Google Cloud proyectos no son compatibles con los usuarios de la federación de identidades de personal.

• La columna de nombre en la tabla de IAM no muestra los nombres visibles de las identidades de Google.
• Cuando agregas nuevas principales para permitir políticas, el campo de texto Agregar principales solo admite el autocompletado de las cuentas de servicio.
• Se admite el campo de texto Agregar principal exenta en la página Registros de auditoría solo admite autocompletado para cuentas de servicio.

• En la pestaña Aplicaciones, la columna Método está inhabilitada y los usuarios no pueden usar identidades externas para la autorización.
• En la pestaña Aplicaciones, los recursos de App Engine no se pueden enumerar.
• El elemento de configuración de OAuth en el menú de acción more_vert no está disponible.
• En la pestaña Aplicaciones , no se pueden agregar ni enumerar conectores locales.

• La implementación continua con Cloud Build no admite la federación de identidades de personal.
• Registrar un dominio con Cloud Domains no admite la federación de identidades de personal.

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore para Memcached
• Memorystore for Valkey

Las siguientes funciones de Policy Intelligence tienen limitaciones para los usuarios de la federación de identidades de personal que usan la consola de la Google Cloud federación de identidades de personal:

• Solucionador de problemas de políticas: Los usuarios de la federación de identidades de personal no pueden solucionar problemas de acceso en la consola (federada).
• Analizador de políticas: Los usuarios de la federación de identidades de personal no pueden analizar el acceso en la consola (federada).
• Policy Simulator: Los usuarios de la federación de identidades de personal no pueden simular cambios en una política de permisos dentro de la consola (federada).
• Recomendador de IAM: Los usuarios de la federación de identidades de personal no pueden ver las recomendaciones en la consola (federada).

Las siguientes funciones de Policy Intelligence tienen limitaciones de API para las identidades federadas:

• Solucionador de problemas de políticas: Las identidades federadas no pueden verificar la membresía de los Grupos de Google en las políticas de permiso y rechazo, o la membresía de las cuentas (dominios) de Cloud Identity en las políticas de rechazo. Cuando las identidades federadas llaman al método iam.troubleshoot , las vinculaciones de roles y las reglas de denegación que contienen grupos o dominios tienen un resultado de acceso Desconocido, a menos que la regla de denegación o vinculación de roles también incluya la principal de forma explícita.

• Cuando llames al método analyzeIamPolicy o analyzeIamPolicyLongrunning , las identidades federadas pueden recibir resultados de análisis incompletos debido a los siguientes motivos:

  • Las identidades federadas no pueden verificar la membresía de los Grupos de Google en las políticas de permisos. Como resultado, cuando las identidades federadas analizan el acceso a una principal, los resultados de la consulta no incluyen los permisos ni las funciones que la principal tiene debido a su membresía en un grupo.
  • Cuando se analiza el acceso, las identidades federadas no pueden habilitar la opción expand-groups .

  Las identidades federadas no pueden usar los siguientes métodos de API:

  • analyzeMove
• Policy Simulator: Las identidades federadas no pueden usar la API de Policy Simulator ( policysimulator.googleapis.com ).
• Analizador de actividad: Las identidades federadas no pueden usar la API del Analizador de políticas ( policyanalyzer.googleapis.com ).
• Recomendador de IAM: Las identidades federadas no pueden usar la API de Recommender ( recommender.googleapis.com ).

• Los usuarios de la federación de identidades de personal no pueden configurar la autenticación de varios factores con un correo electrónico. Para obtener ayuda, comunícate con ventas
• El sitio web de demostración en Cloud Shell no es compatible con los usuarios de la federación de identidades de personal.

• Los usuarios de la federación de identidades de personal solo pueden ver y operar en la organización para la que se configuró la federación de identidad de personal. Otras organizaciones a las que se agregan los usuarios no se muestran en la consola de Google Cloud .
• Los tiempos de espera para que ciertas operaciones se reflejen en la IU son largos, por ejemplo, la creación de un proyecto o una carpeta.

• La información de eventos del usuario está oculta para los usuarios de la federación de identidades de personal.
• Las cuentas de Merchant Center no son compatibles con los usuarios de la federación de personal.
• Las estadísticas y el recuento de uso de opciones de configuración de entrega están ocultos para los usuarios de la federación de identidades de personal.
• Los requisitos de datos del modelo están ocultos para los usuarios de federación de identidades de personal.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Los usuarios de la federación de identidades deben acceder a través de la instancia de Secure Source Manager interfaz web antes de ejecutar cualquiera de los siguientes comandos:
  • Comandos de la CLI de Git
  • Llamadas a la API a extremos del plano de datos
• Los usuarios de la federación de identidades deben acceder a través de la interfaz web de Secure Source Manager después de cada vencimiento de sesión para seguir usando los comandos de la CLI de Git SSH con las claves SSH del usuario.

• Se debe crear una instancia nueva de Secure Source Manager para usar la federación de identidades de personal. No se pueden actualizar las instancias existentes.
• Los proveedores de grupos de identidades de personal que se usan para Secure Source Manager deben proporcionar asignaciones de atributos de google.subject y google.email .
• Solo puedes usar tu identidad federada para acceder a una instancia de Secure Source Manager que esté configurada para usar la federación de identidades de personal.
• Las notificaciones por correo electrónico de Secure Source Manager no son compatibles con las instancias configuradas de la federación de identidades de personal.

• El servicio de postura de seguridad no se puede administrar con la Google Cloud consola.

1. Agrega una cuenta de servicio a los propietarios de dominios con la API de Site Verification.
2. Usa la identidad de esta cuenta de servicio para crear un servicio administrado.

• No se admiten la creación ni la vista previa de los agentes de Vertex AI.
• No se admite la creación de almacenes de datos de Google Drive.

• Los notebooks administrados de Vertex AI Workbench ( obsoletos ) no admiten la federación de identidades de personal.
• Los notebooks administrados por el usuario de Vertex AI Workbench ( obsoletos ) no admiten la federación de identidades de personal.

• Políticas de acceso
• Reglas de entrada y salida en perímetros de servicio

• Las APIs de v1alpha no están disponibles para las identidades federadas.
• Los Controles del servicio de VPC solo admiten identificadores principales específicos de Workforce Identity Federation y Workload Identity Federation . Puedes usar estos identificadores principales para configurar grupos de identidades e identidades de terceros en reglas de entrada y salida .