Federazione delle identità: prodotti e limitazioni

• Schede riepilogative su prestazioni e backup
• Dati nella tabella dei cluster, ad esempio percentuale di CPU e memoria disponibile

• Le funzionalità in Anteprima non sono supportate per gli utenti della federazione delle identità della forza lavoro. Sono incluse le seguenti funzionalità:

  • Integrazione di Looker Studio
  • Valutazione del rischio
  • Rilevamento API Shadow

• Lo sviluppo locale con Apigee in Cloud Code non è supportato per gli utenti della federazione delle identità della forza lavoro.

• Le API di gestione delle API non supportano gli utenti della federazione delle identità per la forza lavoro.

• Le API Apigee Connect non supportano gli utenti della federazione delle identità per la forza lavoro.

• La gestione dei client OAuth non è supportata.
• La gestione del brand OAuth non è supportata.

• Container Registry non supporta la federazione delle identità. Nella pagina delle impostazioni è presente un banner informativo in Transizione di Container Registry .

• Le seguenti funzionalità non supportano la federazione delle identità dei lavoratori con BigQuery:
  • Fogli connessi
  • Google Drive
  • Consigli
  • Strumento di stima degli slot
  • Gemini in BigQuery
• Le seguenti risorse in BigQuery Studio non sono supportate per gli utenti di Workforce Identity Federation:
  • Query
  • Notebook
  • Canvas dei dati
  • Pipeline
• Le seguenti operazioni non supportano la federazione delle identità della forza lavoro:
  • Caricamento dei dati da Amazon S3 , Apache Spark o Azure Blob Storage tramite l'API Connection API
  • Caricamento dei dati da Google Drive

analyzeMove non è supportato dalla federazione delle identità.

• Sono supportati solo gli account con fatturazione mensile non automatica .

• Solo gli account di fatturazione mensile non automatica supportano la federazione delle identità.

• Cloud Composer supporta la federazione delle identità per la forza lavoro solo per gli ambienti creati in Composer versione 2.1.11 o successive e Airflow versione 2.4.3 o successive. L'upgrade di un ambiente da una versione precedente non attiva il supporto della federazione delle identità della forza lavoro.
• I messaggi email inviati da Airflow includono solo il link all'interfaccia utente di Airflow accessibile dagli Account Google. Per accedere alla UI di Airflow come utente della federazione delle identità per la forza lavoro, il link deve essere aggiornato manualmente (modificato con l' URL per la federazione delle identità per la forza lavoro ).
• Si applicano le limitazioni di Cloud Storage al bucket dell'ambiente Cloud Composer.

• La lingua preferita viene selezionata al momento dell'accesso e non può essere aggiornata all'interno della console.
• Le notifiche, gli aggiornamenti e le offerte sui prodotti non possono essere attivati nella pagina Preferenze di comunicazione .
• La personalizzazione basata sull'attività della console non è supportata. Google Cloud
• La pagina Centro trasparenza e controllo non è disponibile.

• A causa delle limitazioni della fatturazione Cloud per la federazione delle identità della forza lavoro , l'assistenza relativa alla fatturazione è accessibile solo all'amministratore dell'organizzazione tramite l'account Google Cloud utilizzato per configurare l'account di fatturazione.
• Gli utenti della federazione delle identità per la forza lavoro possono caricare, ma non scaricare, i file correlati alle richieste di assistenza. Questi file sono visibili ai tecnici dell'assistenza che gestiscono le tue richieste.
• I dati di contatto (ad es. l'indirizzo email) non possono essere modificati per gli utenti della federazione delle identità per la forza lavoro una volta avviata l'interazione con l'assistenza.
• Gli utenti della federazione delle identità della forza lavoro non possono creare richieste utilizzando il canale di assistenza della chat live.

• L'autorizzazione IAM run.routes.invoke , che gestisce l'accesso agli endpoint del servizio Cloud Run, non supporta la federazione delle identità per i lavoratori. Attiva Identity-Aware Proxy per Cloud Run per utilizzarlo.
• Cloud Run non supporta la federazione delle identità dei carichi di lavoro. Per consentire l'accesso, utilizza la simulazione dell'identità del account di servizio .

• L'autorizzazione IAM run.routes.invoke , che gestisce l'accesso agli endpoint del servizio Cloud Run, non supporta la federazione delle identità per i lavoratori. Attiva Identity-Aware Proxy per Cloud Run per utilizzarlo.
• Cloud Run non supporta la federazione delle identità dei carichi di lavoro. Per consentire l'accesso, utilizza la simulazione dell'identità del account di servizio .

• La scheda Cron job di App Engine non è disponibile per gli utenti della federazione delle identità per la forza lavoro.
• L'opzione App Engine nella configurazione del tipo di target non è disponibile per gli utenti della federazione delle identità per la forza lavoro.

• L'Assistente Guida non è supportato.
• L'autenticazione IAM dei database per gli accessi degli utenti non è supportata per i database Cloud SQL per MySQL o Cloud SQL per PostgreSQL .

• La visualizzazione dei dettagli dell'oggetto richiede l'accesso uniforme a livello di bucket deve essere abilitato per il bucket.
• L'elaborazione con le funzioni Cloud Run non è supportata.
• La scansione con Cloud Data Loss Prevention non è supportata.

• La federazione delle identità con tutte le API Cloud Storage è supportata solo per i bucket con accesso uniforme a livello di bucket . L'accesso tramite federazione delle identità ai bucket con elenchi di controllo dell'accesso (ACL) granulari viene rifiutato.
• Sebbene tutti gli utenti e i carichi di lavoro possano utilizzare gli URL firmati esistenti, gli utenti e i carichi di lavoro della federazione delle identità non possono generare URL firmati.
• Gli utenti e i workload della federazione delle identità non possono utilizzare la notifica di modifica degli oggetti .

• Code App Engine: Poiché le code App Engine (code create utilizzando un file queue.yaml o queue.xml ) contengono solo attività con target App Engine, le attività in queste code non sono supportate.
• Code regolari: Per le code Cloud Tasks regolari, sono supportate le attività con target HTTP. Le attività con target App Engine non sono supportate (anche se la coda non è una coda App Engine).

• L'importazione e l'esportazione di immagini in un bucket Cloud Storage richiedono l'accesso uniforme a livello di bucket da abilitare per il bucket.
• Bare Metal Solution non è supportata.

• In Aggiungi entità alla console e alle API , il ID gruppo il campo di testo non supporta il completamento automatico né fornisce la convalida per gli utenti della federazione delle identità per la forza lavoro. Google Cloud
• Per gli utenti della federazione delle identità per la forza lavoro, i gruppi Google vengono identificati in base ai loro ID anziché ai loro nomi.

• Il workbench Dataplex Explore non supporta la federazione delle identità della forza lavoro.
• Gli script e i blocchi note pianificati tramite Esplora workbench non supportano la federazione delle identità della forza lavoro.
• Visualizzazione sicura non supporta la federazione delle identità della forza lavoro.

• Gli utenti di Workforce Identity Federation possono eseguire operazioni di creazione, visualizzazione, aggiornamento ed eliminazione nelle pagine di elenco Cluster, Job e Batch. Workflows, le policy di scalabilità automatica e lo scambio di componenti non sono disponibili per la federazione delle identità per la forza lavoro.
• La funzionalità di creazione del cluster è disponibile, ad eccezione della creazione del cluster Dataproc su GKE, del cluster Dataproc Compute Engine con autenticazione personale o con Component Gateway abilitato.
• La sezione Output nella pagina dei dettagli di batch e job non è disponibile per gli utenti della federazione delle identità per la forza lavoro.
• La sezione Avviso di raccomandazione nella pagina Elenco cluster e job non è disponibile per gli utenti della federazione delle identità della forza lavoro.

• Dataproc su GKE
• Autenticazione cluster personale Dataproc
• Protezione multi-tenancy basata su service account Dataproc

• Regole di sicurezza non supportano la federazione delle identità per la forza lavoro.
• Key Visualizer non supporta la federazione delle identità della forza lavoro.

• Quando accedi a qualsiasi cluster esterno (GKE Enterprise), l'opzione Utilizza la tua identità Google non è disponibile per la federazione delle identità per la forza lavoro.
• Quando crei o colleghi cluster esterni (GKE Enterprise), non vieni aggiunto automaticamente come amministratore per la federazione delle identità per i lavoratori.

• Cloud Marketplace contiene link a domini Google che potrebbero non supportare la federazione delle identità della forza lavoro.
• Il pulsante Avvia è disattivato per tutti i prodotti VM che utilizzano Deployment Manager perché Deployment Manager non supporta la federazione delle identità per la forza lavoro.
• La registrazione SaaS e l'accesso SSO non supportano la federazione delle identità per la forza lavoro.
• Producer Portal non supporta la federazione delle identità della forza lavoro.
• Richiesta di approvvigionamento non supporta la federazione delle identità per la forza lavoro.
• Catalogo dei servizi non supporta la federazione delle identità della forza lavoro.

• L'esportazione dei report sul costo totale di proprietà (TCO) non è supportata per gli utenti della federazione delle identità per la forza lavoro.
• L'esportazione degli asset non è supportata per gli utenti della federazione delle identità della forza lavoro.

• L'esportazione di dati su Google Drive dalle API Earth Engine non è supportata per la federazione delle identità della forza lavoro.
• Gli asset Earth Engine legacy non gestiti dai progetti Google Cloud non sono supportati per gli utenti della federazione delle identità della forza lavoro.

• La colonna Nome della tabella IAM non mostra i nomi visualizzati per le identità Google.
• Quando aggiungi nuove entità ai criteri di autorizzazione, il campo di testo Aggiungi entità supporta solo il completamento automatico per i service account.
• Il campo di testo Aggiungi entità esente nella pagina Audit log supporta solo il completamento automatico per i service account.

• Nella scheda Applicazioni, la colonna Metodo è disattivata e gli utenti non possono utilizzare identità esterne per l'autorizzazione.
• Nella scheda Applicazioni, le risorse App Engine non possono essere elencate.
• La voce Vai alla configurazione OAuth nel menu more_vert Azioni non è disponibile.
• Nella scheda Applicazioni non è possibile aggiungere o elencare i connettori on-premise.

• Il deployment continuo con Cloud Build non supporta la federazione delle identità per la forza lavoro.
• La registrazione di un dominio con Cloud Domains non supporta la federazione delle identità della forza lavoro.

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

Le seguenti funzionalità di Policy Intelligence presentano limitazioni per gli utenti della federazione delle identità per la forza lavoro che utilizzano la console Google Cloud della federazione delle identità per la forza lavoro:

• Policy Troubleshooter : Gli utenti della federazione delle identità per la forza lavoro non possono risolvere i problemi di accesso nella console (federata).
• Analizzatore criteri : Gli utenti della federazione delle identità per la forza lavoro non possono analizzare l'accesso nella console (federata).
• Policy Simulator : gli utenti della federazione delle identità per la forza lavoro non possono simulare modifiche a un criterio di autorizzazione all'interno della console (federata).
• IAM Recommender : gli utenti di Workforce Identity Federation non possono visualizzare i suggerimenti nella console (federata).

Le seguenti funzionalità di Policy Intelligence presentano limitazioni dell'API per le identità federate:

• Strumento per la risoluzione dei problemi relativi ai criteri : Le identità federate non possono controllare l'appartenenza ai gruppi Google nei criteri di autorizzazione e negazione o l'appartenenza agli account Cloud Identity (domini) nei criteri di negazione. Quando le identità federate chiamano il metodo iam.troubleshoot , le associazioni di ruoli e le regole di negazione che contengono gruppi o domini hanno un risultato di accesso Sconosciuto , a meno che l'associazione di ruoli o la regola di negazione non includa anche l'entità in modo esplicito.

• Quando chiami il metodo analyzeIamPolicy o il metodo analyzeIamPolicyLongrunning , le identità federate potrebbero ricevere risultati dell'analisi incompleti per i seguenti motivi:

  • Le identità federate non possono controllare l'appartenenza ai gruppi Google nei criteri di autorizzazione. Di conseguenza, quando le identità federate analizzano l'accesso per un'entità, i risultati della query non includono le autorizzazioni e i ruoli che l'entità ha in virtù della sua appartenenza a un gruppo.
  • Quando analizzano l'accesso, le identità federate non possono abilitare l'opzione expand-groups .

  Le identità federate non possono utilizzare i seguenti metodi API:

  • analyzeMove
• Policy Simulator : le identità federate non possono utilizzare l'API Policy Simulator ( policysimulator.googleapis.com ).
• Analizzatore attività : le identità federate non possono utilizzare l'API Policy Analyzer ( policyanalyzer.googleapis.com ).
• Motore per suggerimenti IAM : le identità federate non possono utilizzare l'API Recommender ( recommender.googleapis.com ).

• L'autenticazione a più fattori tramite email non può essere configurata dagli utenti della federazione delle identità per la forza lavoro. Per ricevere assistenza, contatta il team di vendita .
• Il sito web dimostrativo in Cloud Shell non è supportato per gli utenti della federazione delle identità della forza lavoro.

• Gli utenti della federazione delle identità per la forza lavoro possono solo visualizzare e operare sull'organizzazione per cui è stata configurata la federazione delle identità per la forza lavoro. Le altre organizzazioni a cui vengono aggiunti gli utenti non vengono visualizzate nella console Google Cloud .
• I tempi di attesa per il completamento di determinate operazioni nell'interfaccia utente sono lunghi, ad esempio la creazione di un progetto o di una cartella.

• Le informazioni sugli eventi utente sono nascoste per gli utenti della federazione delle identità per la forza lavoro.
• Gli account Merchant Center non sono supportati per gli utenti della federazione delle identità della forza lavoro.
• Configurazioni di pubblicazione Il conteggio di Analytics e dell'utilizzo è nascosto per gli utenti della federazione delle identità per la forza lavoro.
• Requisiti dei dati del modello sono nascosti per gli utenti della federazione delle identità per la forza lavoro.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Gli utenti della federazione delle identità devono accedere tramite l'interfaccia web dell'istanza di Secure Source Manager prima di eseguire uno dei seguenti comandi:
  • Comandi dell'interfaccia a riga di comando Git
  • Chiamate API agli endpoint del data plane
• Gli utenti della federazione delle identità devono accedere tramite l'interfaccia web dell'istanza di Secure Source Manager dopo ogni scadenza della sessione per continuare a utilizzare i comandi CLI SSH di Git con le chiavi SSH dell'utente.

• Per utilizzare la federazione delle identità per la forza lavoro, è necessario creare una nuova istanza di Secure Source Manager. Le istanze esistenti non possono essere aggiornate.
• I provider di pool di identità della forza lavoro utilizzati per Secure Source Manager devono fornire i mapping degli attributi google.subject e google.email .
• Puoi utilizzare la tua identità federata solo per accedere a un'istanza di Secure Source Manager configurata per utilizzare la federazione delle identità per la forza lavoro.
• Le notifiche via email di Secure Source Manager non sono supportate per le istanze configurate della federazione delle identità della forza lavoro.

• Il servizio Postura di sicurezza non può essere gestito utilizzando la console Google Cloud .

1. Aggiungi un account di servizio ai proprietari di domini utilizzando l' API Site Verification .
2. Rappresenta questo account di servizio per creare un servizio gestito.

• La creazione e l'anteprima degli agenti Vertex AI non sono supportate.
• La creazione del datastore Google Drive non è supportata.

• I notebook gestiti da Vertex AI Workbench ( Deprecato ) non supportano la federazione delle identità per la forza lavoro.
• I notebook gestiti dall'utente di Vertex AI Workbench ( Deprecato ) non supportano la federazione delle identità per la forza lavoro.

• Criteri di accesso
• Regole in entrata e in uscita nei perimetri di servizio

• v1alpha API non sono disponibili per le identità federate.
• Controlli di servizio VPC supporta solo identificatori di entità specifici della federazione delle identità per la forza lavoro e della federazione delle identità per i workload . Puoi utilizzare questi identificatori di entità per configurare gruppi di identità e identità di terze parti nelle regole in entrata e in uscita .