Federação de identidades: produtos e limitações

• Cartões de resumo de desempenho e cópias de segurança
• Dados na tabela de clusters, como a percentagem da CPU e a memória disponível

• As funcionalidades na Pré-visualização não são suportadas para utilizadores da Workforce Identity Federation. Isto inclui as seguintes funcionalidades:

  • Integração com o Looker Studio
  • Avaliação de risco
  • Descoberta de APIs fantasma

• O desenvolvimento local com o Apigee no Cloud Code não é suportado para utilizadores da Workforce Identity Federation.

• As APIs de gestão de APIs não suportam utilizadores da Workforce Identity Federation.

• As APIs Apigee Connect não suportam utilizadores da Workforce Identity Federation.

• A gestão de clientes OAuth não é suportada.
• A gestão de marcas OAuth não é suportada.

• O Container Registry não suporta a federação de identidades. Existe uma faixa de informações na página de definições em Transição do Container Registry .

• As seguintes funcionalidades não suportam a federação de identidades da força de trabalho com o BigQuery:
  • Páginas associadas
  • Google Drive
  • Recomendações
  • Estimador de espaços
  • Gemini no BigQuery
• Os seguintes recursos no BigQuery Studio não são suportados para utilizadores da Federação de identidades para a força de trabalho:
  • Consultas
  • Portáteis
  • Telas de dados
  • Pipelines
• As seguintes operações não suportam a federação de identidade da força de trabalho:
  • Carregar dados do Amazon S3 , Apache Spark ou Armazenamento de blobs do Azure através da API Connection
  • A carregar dados do Google Drive

analyzeMove não é suportado pela federação de identidades.

• Apenas são suportadas contas de faturação mensal .

• Apenas as contas de faturação com fatura suportam a federação de identidades.

• O Cloud Composer suporta a federação de identidades da força de trabalho apenas para ambientes criados na versão 2.1.11 ou posterior do Composer e na versão 2.4.3 ou posterior do Airflow. A atualização de um ambiente de uma versão anterior não ativa o suporte da Workforce Identity Federation.
• As mensagens de email enviadas a partir do Airflow só incluem o link da IU do Airflow acessível por contas Google. Para aceder à IU do Airflow como utilizador da federação de identidade da força de trabalho, o link tem de ser atualizado manualmente (alterado para o URL da federação de identidade da força de trabalho ).
• Aplicam-se limitações do Cloud Storage ao contentor do ambiente do Cloud Composer.

• A preferência de idioma é selecionada no início de sessão e não pode ser atualizada na consola.
• Não é possível ativar as notificações, as atualizações e as ofertas de produtos na página preferências de comunicação .
• A personalização baseada na sua Google Cloud atividade na consola não é suportada.
• A página Centro de transparência e controlo está indisponível.

• Devido às limitações do Cloud Billing para a federação de identidade da força de trabalho , o apoio técnico relacionado com a faturação só está acessível ao administrador da organização através da Google Cloud conta usada para configurar a conta de faturação.
• Os utilizadores da Workforce Identity Federation podem carregar, mas não transferir, ficheiros relacionados com registos de apoio técnico. Estes ficheiros são visíveis para os engenheiros de apoio técnico que resolvem os seus registos.
• Os detalhes de contacto (por exemplo, o endereço de email) não podem ser alterados para utilizadores da Workforce Identity Federation depois de iniciar a interação com o apoio técnico.
• Os utilizadores da federação de identidades da força de trabalho não podem criar registos através do canal de apoio técnico por chat em direto.

• A autorização da IAM run.routes.invoke , que gere o acesso aos pontos finais do serviço Cloud Run, não suporta a Workforce Identity Federation. Ative o Identity-Aware Proxy para o Cloud Run para o usar.
• O Cloud Run não suporta a Federação de identidades de carga de trabalho. Para permitir o acesso, use a simulação da conta de serviço .

• A autorização da IAM run.routes.invoke , que gere o acesso aos pontos finais do serviço Cloud Run, não suporta a federação de identidades da força de trabalho. Ative o Identity-Aware Proxy para o Cloud Run para o usar.
• O Cloud Run não suporta a Federação de identidades de carga de trabalho. Para permitir o acesso, use a simulação da conta de serviço .

• O separador App Engine Cron Jobs não está disponível para utilizadores da Workforce Identity Federation.
• A opção do App Engine na configuração do tipo de destino não está disponível para utilizadores da Workforce Identity Federation.

• O Assistente de Ajuda não é suportado.
• A autenticação de base de dados do IAM para inícios de sessão de utilizadores não é suportada para bases de dados do Cloud SQL para MySQL ou Cloud SQL para PostgreSQL .

• A visualização dos detalhes dos objetos requer que o acesso uniforme ao nível do contentor esteja ativado para o contentor.
• O processamento com funções do Cloud Run não é suportado.
• A análise com o Cloud Data Loss Prevention não é suportada.

• A federação de identidades com todas as APIs Cloud Storage só é suportada para contentores com acesso de nível de contentor uniforme . O acesso de federação de identidades a contentores com listas de controlo de acesso (ACLs) detalhadas é rejeitado.
• Embora todos os utilizadores e cargas de trabalho possam usar os URLs assinados existentes, os utilizadores e as cargas de trabalho da federação de identidades não podem gerar URLs assinados.
• Os utilizadores e as cargas de trabalho da federação de identidades não podem usar a notificação de alteração de objetos .

• Filas do App Engine: Uma vez que as filas do App Engine (filas criadas através de um ficheiro queue.yaml ou queue.xml ) contêm apenas tarefas com destinos do App Engine, as tarefas nestas filas não são suportadas.
• Filas normais: Para filas normais do Cloud Tasks, as tarefas com destinos HTTP são suportadas. As tarefas com destinos do App Engine não são suportadas (mesmo que a fila não seja uma fila do App Engine).

• A importação de imagens de um contentor do Cloud Storage e a exportação para o mesmo requerem que o acesso de nível de contentor uniforme esteja ativado para o contentor.
• Solução Bare Metal não é suportada.

• Em Adicionar responsáveis à Google Cloud consola e às APIs , o campo de texto ID do grupo não suporta o preenchimento automático nem fornece validação para utilizadores da federação de identidade da força de trabalho.
• Para os utilizadores da federação de identidade da força de trabalho, os Grupos Google são identificados pelos respetivos IDs e não pelos nomes.

• Bancada de trabalho do Dataplex Explore não suporta a federação de identidade da força de trabalho.
• Os scripts e os notebooks agendados através da bancada de trabalho de exploração não suportam a federação de identidades da força de trabalho.
• Vista segura não suporta a federação de identidades da força de trabalho.

• Os utilizadores da federação de identidades da força de trabalho podem realizar operações de criação, visualização, atualização e eliminação nas páginas de listas de clusters, tarefas e lotes. Os fluxos de trabalho, as políticas de ajuste automático e a troca de componentes não estão disponíveis para a federação de identidade da força de trabalho.
• A funcionalidade de criação de clusters está disponível, exceto para a criação de clusters do Dataproc no GKE, do Dataproc Compute Engine com autenticação pessoal ou com o Component Gateway ativado.
• A secção Output na página de detalhes do lote e da tarefa não está disponível para utilizadores da Workforce Identity Federation.
• A secção Alerta de recomendação na página de lista de clusters e tarefas não está disponível para utilizadores da federação de identidades da força de trabalho.

• Dataproc no GKE
• Autenticação pessoal do cluster do Dataproc
• Multilocatário seguro baseado na conta de serviço do Dataproc

• Regras de segurança não suportam a federação de identidade da força de trabalho.
• Key Visualizer não suporta a federação de identidades da força de trabalho.

• Quando inicia sessão em quaisquer clusters externos (GKE Enterprise), a opção Usar a sua identidade Google não está disponível para a federação de identidades da força de trabalho.
• Quando cria ou anexa clusters externos (GKE Enterprise), não é adicionado automaticamente como administrador da Workforce Identity Federation.

• O Cloud Marketplace contém links para domínios Google que podem não suportar a federação de identidades da força de trabalho.
• O botão Iniciar está desativado para todos os produtos de VM que usam o Deployment Manager porque o Deployment Manager não suporta a Workforce Identity Federation.
• A inscrição em SaaS e o início de sessão único (SSO) não suportam a federação de identidade da força de trabalho.
• O Producer Portal não suporta a federação de identidade da força de trabalho.
• Request Procurement não suporta a federação de identidade da força de trabalho.
• O catálogo de serviços não suporta a federação de identidade da força de trabalho.

• A exportação de relatórios de custo total de propriedade (relatórios de CTP) não é suportada para utilizadores da federação de identidades da força de trabalho.
• A exportação de recursos não é suportada para utilizadores da Workforce Identity Federation.

• A exportação de dados para o Google Drive a partir das APIs Earth Engine não é suportada para a Workforce Identity Federation.
• Os recursos do Earth Engine antigos que não são geridos por Google Cloud projetos não são suportados para utilizadores da federação de identidades da Workforce.

• A coluna Nome na tabela IAM não mostra os nomes a apresentar das identidades Google.
• Quando adiciona novos principais a políticas de permissão, o campo de texto Adicionar principais só suporta a conclusão automática para contas de serviço.
• O campo de texto Adicionar principal isento na página Registos de auditoria suporta apenas o preenchimento automático para contas de serviço.

• No separador Aplicações, a coluna Método está desativada e os utilizadores não podem usar identidades externas para autorização.
• No separador Aplicações, não é possível listar os recursos do App Engine.
• O item Aceder à configuração do OAuth no menu de ações more_vert não está disponível.
• No separador Aplicações , não é possível adicionar nem listar conetores no local.

• A implementação contínua com o Cloud Build não suporta a Workforce Identity Federation.
• O registo de um domínio com o Cloud Domains não suporta a federação de identidades da força de trabalho.

• Memorystore para Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

As seguintes funcionalidades de inteligência de políticas têm limitações para utilizadores da federação de identidade da força de trabalho que usam a Google Cloud consola da federação de identidade da força de trabalho:

• Resolução de problemas de políticas : Os utilizadores da federação de identidade da força de trabalho não podem resolver problemas de acesso na consola (federada).
• Policy Analyzer : Os utilizadores da Workforce Identity Federation não podem analisar o acesso na consola (federado).
• Simulador de políticas : Os utilizadores da Federação de identidades da força de trabalho não podem simular alterações a uma política de permissão na consola (federada).
• IAM Recommender : os utilizadores da Workforce Identity Federation não podem ver recomendações na consola (federada).

As seguintes funcionalidades de inteligência de políticas têm limitações de API para identidades federadas:

• Resolução de problemas de políticas : As identidades federadas não podem verificar a associação de grupos Google em políticas de permissão e negação, nem a associação de contas do Cloud ID (domínios) em políticas de negação. Quando as identidades federadas chamam o método iam.troubleshoot , as associações de funções e as regras de negação que contêm grupos ou domínios têm um resultado de acesso de Desconhecido , a menos que a associação de funções ou a regra de negação também inclua explicitamente o principal.

• Quando chama o método analyzeIamPolicy ou o método analyzeIamPolicyLongrunning , as identidades federadas podem receber resultados de análise incompletos devido ao seguinte:

  • As identidades federadas não podem verificar a associação de grupos Google em políticas de autorização. Como resultado, quando as identidades federadas analisam o acesso de um principal, os resultados da consulta não incluem autorizações nem funções que o principal tem devido à respetiva associação a um grupo.
  • Ao analisar o acesso, as identidades federadas não podem ativar a opção expand-groups .

  As identidades federadas não podem usar os seguintes métodos da API:

  • analyzeMove
• Policy Simulator : As identidades federadas não podem usar a API Policy Simulator ( policysimulator.googleapis.com ).
• Activity Analyzer : as identidades federadas não podem usar a API Policy Analyzer ( policyanalyzer.googleapis.com ).
• IAM Recommender : as identidades federadas não podem usar a API Recommender ( recommender.googleapis.com ).

• Os utilizadores da federação de identidades da força de trabalho não podem configurar a autenticação multifator através de email. Para receber assistência, contacte a equipa de vendas .
• O Website de demonstração no Cloud Shell não é suportado para utilizadores da federação de identidades da força de trabalho.

• Os utilizadores da federação de identidade da força de trabalho só podem ver e operar na organização para a qual a federação de identidade da força de trabalho foi configurada. Outras organizações às quais os utilizadores são adicionados não são apresentadas na consola Google Cloud .
• Os tempos de espera para que determinadas operações se reflitam na IU são longos, por exemplo, a criação de um projeto ou uma pasta.

• As informações de eventos do utilizador estão ocultas para os utilizadores da federação de identidades da força de trabalho.
• As contas do Merchant Center não são suportadas para utilizadores da federação de força de trabalho.
• Configurações de publicação A análise e a contagem de utilização estão ocultas para os utilizadores da Workforce Identity Federation.
• Os requisitos de dados do modelo estão ocultos para os utilizadores da federação de identidades da força de trabalho.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Os utilizadores da federação de identidades têm de iniciar sessão através da instância do Secure Source Manager da interface Web antes de executar qualquer um dos seguintes comandos:
  • Comandos da CLI do Git
  • Chamadas de API para pontos finais do plano de dados
• Os utilizadores da federação de identidades têm de iniciar sessão através da instância do Secure Source Manager interface Web após cada expiração da sessão para continuar a usar comandos da CLI SSH do Git com chaves SSH do utilizador.

• Tem de criar uma nova instância do Secure Source Manager para usar a Workforce Identity Federation. Não é possível atualizar as instâncias existentes.
• Os fornecedores do Workload Identity Pool usados para o Secure Source Manager têm de fornecer mapeamentos de atributos google.subject e google.email .
• Só pode usar a sua identidade federada para iniciar sessão numa instância do Secure Source Manager configurada para usar a federação de identidade da força de trabalho.
• As notificações por email do Secure Source Manager não são suportadas para instâncias configuradas da Workforce Identity Federation.

• Não é possível gerir o serviço de postura de segurança através da Google Cloud consola.

1. Adicione uma conta de serviço aos proprietários de domínios através da API Site Verification .
2. Usar a identidade desta conta de serviço para criar um serviço gerido.

• Agentes da Vertex AI A criação e a pré-visualização não são suportadas.
• O arquivo de dados do Google Drive não é suportado.

• Blocos de notas geridos do Vertex AI Workbench ( Descontinuado ) não suportam a federação de identidade da força de trabalho.
• Os blocos de notas geridos pelo utilizador do Vertex AI Workbench ( Descontinuado ) não suportam a federação de identidade da força de trabalho.

• Políticas de acesso
• Regras de entrada e saída nos perímetros de serviço

• v1alpha As APIs não estão disponíveis para identidades federadas.
• Os VPC Service Controls suportam apenas identificadores principais específicos da federação de identidades da força de trabalho e da federação de identidades da carga de trabalho . Pode usar estes identificadores principais para configurar grupos de identidades e identidades de terceiros em regras de entrada e saída .