Federação de identidades: produtos e limitações

• Cards de resumo de desempenho e backups
• Dados na tabela de clusters, como porcentagem de CPU e memória disponível

• O gerenciamento de clientes OAuth não é compatível.
• O gerenciamento de marca OAuth não é compatível.

• O Container Registry não oferece suporte à federação de identidade. Há um banner informativo na página de configurações na transição do Container Registry .

• Os seguintes recursos não são compatíveis com a federação de identidade da força de trabalho com o BigQuery:
  • Páginas conectadas
  • Google Drive
• As seguintes operações não são compatíveis com a federação de identidade da força de trabalho:
  • Carregando dados de Amazon S3 ou Armazenamento de Blobs do Azure por meio do API Connection
  • Carregando dados do Google Drive

Ao usar a analyzeIamPolicy ou analyzeIamPolicyLongrunning , as identidades federadas podem receber resultados de análise incompletos por causa do seguinte:

• Identidades federadas não podem verificar a associação de grupos do Google em políticas de permissão. Como resultado, quando as identidades federadas analisam o acesso de um principal, os resultados da consulta não incluem permissões e papéis que o principal tem devido à participação em um grupo.
• Ao analisar o acesso, as identidades federadas não podem ativar a opção expand_groups .

analyzeMove não é compatível com a federação de identidade.

• Somente contas com fatura são compatíveis. A seguinte funcionalidade não é compatível:
  • Editar configurações de exportação de preços do BigQuery
  • Modificar sua conta do Cloud Billing
  • Ver documentos da fatura de pagamento
  • Ver transações de pagamento
  • Gerenciar configurações de usuários para pagamentos de faturamento e notificação de pagamento

• Apenas contas com fatura oferecem suporte à federação de identidade e às seguintes APIs Cloud Billing Account não têm suporte à federação de identidade:
  • billingAccounts.create
  • billingAccounts.patch

• O Cloud Composer é compatível com a federação de identidade da força de trabalho somente para ambientes criados no Composer versão 2.1.11 ou posterior e Airflow versão 2.4.3 ou posterior. O upgrade de um ambiente de uma versão anterior não ativa o suporte à federação de identidade da força de trabalho.
• As mensagens de e-mail enviadas pelo Airflow incluem apenas o link da interface do Airflow que pode ser acessado pelas Contas do Google. Para acessar a interface do Airflow como um usuário da federação de identidade da força de trabalho, o link precisa ser atualizado manualmente (alterado para o URL para usuários da federação de identidade da força de trabalho ).
• As limitações do Cloud Storage se aplicam ao bucket do ambiente do Cloud Composer.

• A preferência de idioma está selecionada no login e não pode ser atualizada no console.
• Não é possível ativar notificações, atualizações e ofertas de produtos na página preferências de comunicação .
• Não é possível personalizar com base na sua atividade no console do Google Cloud.
• A página Central de transparência e controle não está disponível.

• Devido às limitações do Cloud Billing para federação de identidade de colaboradores , o suporte relacionado ao faturamento só pode ser acessado pelo administrador da organização na conta do Google Cloud usada para configurar a conta de faturamento.
• Os usuários da federação de identidade de colaboradores podem fazer upload de arquivos relacionados ao caso de suporte, mas não fazer o download. Esses arquivos ficam visíveis para os engenheiros de suporte responsáveis pelos casos.
• Os detalhes de contato (por exemplo, endereço de e-mail) não podem ser alterados para usuários da federação de identidade da força de trabalho após o início da interação com o suporte.

• Os conectores VPC atuais não estão listados para a federação de identidade da força de trabalho. Eles precisam ser criados manualmente.
• Os pools de workers do build não são compatíveis com a federação de identidade de colaboradores.
• O teste de pré-implantação não é compatível com a federação de identidade de colaboradores.

• Os usuários que fizerem login usando a federação de identidade poderão ver as anotações adicionadas aos incidentes de políticas baseadas em métricas , mas esses usuários não poderão adicionar anotações.
• Os usuários que fizerem login usando a federação de identidade poderão ver as anotações adicionadas aos incidentes de políticas baseadas em registros , mas esses usuários não poderão adicionar anotações.

• A implantação contínua com o Cloud Build está desativada para a federação de identidade da força de trabalho.
• Os conectores VPC atuais não estão listados para a federação de identidade da força de trabalho. Eles precisam ser criados manualmente.

• A implantação contínua com o Cloud Build não oferece suporte à federação de identidade da força de trabalho.
• O registro de um domínio com o Cloud Domains não oferece suporte à federação de identidade da força de trabalho.

• A guia Cron jobs do App Engine não está disponível para usuários da federação de identidade da força de trabalho.
• A opção do App Engine na configuração do tipo de destino não está disponível para usuários da federação de identidade da força de trabalho.

• O assistente de ajuda não é compatível.
• A autenticação do banco de dados do IAM para logins de usuário não é compatível com bancos de dados do Cloud SQL para MySQL ou do Cloud SQL para PostgreSQL .

• A visualização de detalhes do objeto exige que o acesso uniforme do bucket seja ativado para ele.
• O processo com o Cloud Functions não é compatível.
• A verificação com o Cloud Data Loss Prevention não é compatível.

• A federação de identidade da força de trabalho com todas as APIs do Cloud Storage é aceita apenas para buckets de acesso uniforme no nível do bucket . O acesso da federação de identidade da força de trabalho a buckets com listas de controle de acesso (ACLs) refinadas foi rejeitada.
• Embora todos os usuários e cargas de trabalho possam usar URLs assinados , os usuários e as cargas de trabalho da federação de identidade não podem gerar URLs assinados.
• Os usuários da federação de identidade e as cargas de trabalho não podem usar a notificação de alteração de objeto .

• Filas do App Engine: Como as filas do App Engine (que são criadas usando um queue.yaml ou queue.xml ) contiverem apenas tarefas com destinos do App Engine, as tarefas nessas filas não serão aceitas.
• Filas regulares: para filas normais do Cloud Tasks, as tarefas com destinos HTTP são compatíveis. Tarefas com destinos do App Engine não são compatíveis, mesmo que a fila não seja do App Engine.

• A importação e a exportação de imagens para um bucket do Cloud Storage exigem que o acesso uniforme no nível do bucket esteja ativado para o bucket.
• O VMware Engine não é compatível.
• A Solução Bare Metal não é compatível.

• Em Adicionar principais ao console e às APIs do Google Cloud, a ID do grupo não aceita preenchimento automático nem fornece validação para usuários da federação de identidade de colaboradores.
• Para os usuários da federação de identidade de colaboradores, os Grupos do Google são identificados pelos IDs e não pelos nomes.

• O workbench Dataplex Explore não é compatível com a federação de identidade de colaboradores.
• Os scripts e notebooks programados pelo workbench Explore não são compatíveis com a federação de identidade de colaboradores.
• A Visualização segura não é compatível com a federação de identidade de colaboradores.

• Os usuários da federação de identidade da força de trabalho podem realizar operações de criação, visualização, atualização e exclusão em páginas de lista de clusters, jobs e lotes. Os fluxos de trabalho, as políticas de escalonamento automático e a troca de componentes não estão disponíveis para os usuários da federação de identidade da força de trabalho.
• A funcionalidade de criação de cluster está disponível, exceto para criação de cluster do GKE para Dataproc, cluster do Compute Engine para Dataproc com autenticação pessoal ou com o gateway de componentes ativado.
• A seção Saída na página de detalhes do lote e do job não está disponível para usuários da federação de identidade de colaboradores.
• A seção Recomendar alerta na página "Lista de clusters e jobs" não está disponível para usuários da federação de identidade de colaboradores.

• Dataproc no GKE
• Autenticação de cluster pessoal do Dataproc
• Multilocação segura com base na conta de serviço do Dataproc

• As regras de segurança não são compatíveis com a federação de identidade de colaboradores.
• O Key Visualizer não é compatível com a federação de identidade de colaboradores.

• Quando você faz login em clusters externos (GKE Enterprise), a opção Usar sua identidade do Google não fica disponível para a federação de identidade de colaboradores.
• Ao criar ou anexar clusters externos (GKE Enterprise), você não será adicionado automaticamente como administrador da federação de identidade de colaboradores.

• O Cloud Marketplace contém links para domínios do Google que talvez não sejam compatíveis com a federação de identidade de colaboradores.
• O botão Iniciar fica desativado para todos os produtos de VM que usam o Deployment Manager porque o Deployment Manager não é compatível com a federação de identidade de colaboradores.
• A inscrição de SaaS e o login com SSO não são compatíveis com a federação de identidade de colaboradores.
• O Portal do Produtor não é compatível com a federação de identidade de colaboradores.
• A opção Solicitar aquisição não oferece suporte à federação de identidade da força de trabalho.
• O catálogo de serviços não dá suporte à federação de identidade de colaboradores.

• Não há suporte para a exportação de relatórios de custo total de propriedade (TCO) para usuários da federação de identidade da força de trabalho.
• Não é possível exportar recursos para usuários da federação de identidade de colaboradores.

• A coluna Nome na tabela do IAM não mostra nomes de exibição de identidades do Google.
• Ao adicionar novos principais para permitir políticas, o campo de texto Adicionar principais oferece suporte apenas ao preenchimento automático para contas de serviço.
• O campo de texto Adicionar principal isenta na página Registros de auditoria é compatível apenas preenchimento automático para contas de serviço.

• Na guia "Aplicativos", a coluna Método está desativada. Os usuários não podem usar identidades externas para autorização.
• Na guia "Aplicativos", não é possível listar os recursos do App Engine.
• O item Acessar configuração do OAuth no menu de ações more_vert não está disponível.
• Na guia Aplicativos , não é possível adicionar ou listar conectores locais.

• As identidades federadas não são compatíveis com recursos da Web protegidos pelo IAP, como Compute Engine, GKE e App Engine.
• As identidades federadas para recursos de encaminhamento de TCP do IAP são aceitas apenas na CLI gcloud.

• Memorystore for Redis
• Cluster do Memorystore para Redis
• Memorystore para Memcached

Os recursos do Policy Intelligence a seguir têm limitações para usuários da identidade de colaboradores que usam o console da federação de identidade de colaboradores do Google Cloud:

• Solucionador de problemas de políticas: os usuários da federação de identidade de colaboradores não podem resolver problemas de acesso no console (federado).
• Análise de políticas: os usuários da federação de identidade de colaboradores não podem analisar o acesso no console (federado).
• Simulador de políticas: os usuários da federação de identidade de colaboradores não podem simular alterações em uma política de permissão no console (federado).
• Recomendador do IAM: os usuários da federação de identidade de colaboradores não podem ver recomendações no console (federado).

Os seguintes recursos do Policy Intelligence têm limitações de API para identidades federadas:

• Solucionador de problemas de políticas : as identidades federadas não podem verificar a associação de grupos do Google em políticas de permissão e negação nem a associação de contas do Cloud Identity (domínios) em políticas de negação. Quando as identidades federadas chamam a iam.troubleshoot método, vinculações de papel e regras de negação que contêm grupos ou domínios têm um resultado de acesso de Desconhecido , a menos que a regra de vinculação ou negação do papel também inclua explicitamente o principal.

• Ao chamar o analyzeIamPolicy ou analyzeIamPolicyLongrunning , as identidades federadas podem receber resultados de análise incompletos por causa do seguinte:

  • Identidades federadas não podem verificar a associação de grupos do Google em políticas de permissão. Como resultado, quando as identidades federadas analisam o acesso de um principal, os resultados da consulta não incluem permissões e papéis que o principal tem devido à participação em um grupo.
  • Ao analisar o acesso, as identidades federadas não podem ativar a opção expand-groups .

  Identidades federadas não podem usar os seguintes métodos de API:

  • analyzeMove
• Simulador de políticas : identidades federadas não podem usar a API Policy Simulator ( policysimulator.googleapis.com ).
• Activity Analyzer : identidades federadas não podem usar a API Policy Analyzer ( policyanalyzer.googleapis.com ).
• Recomendador do IAM : identidades federadas não podem usar a API Recommender ( recommender.googleapis.com ).

• Os usuários da federação de identidade de colaboradores não podem configurar a autenticação multifator por e-mail. Para receber ajuda, entre em contato com a equipe de vendas .
• O site de demonstração no Cloud Shell não tem suporte para usuários da federação de identidade de colaboradores.

• Os usuários da federação de identidade da força de trabalho só podem ver e operar na organização com a federação de identidade da força de trabalho configurada. As outras organizações a que os usuários foram adicionados não são exibidas no console do Google Cloud.
• O tempo de espera para que determinadas operações sejam refletidas na IU é longo, por exemplo, criar um projeto ou uma pasta.

• As informações de eventos do usuário ficam ocultas para os usuários da federação de identidade de colaboradores.
• As contas do Merchant Center não podem ser usadas por usuários da federação de colaboradores.
• A contagem de uso e a análise das configurações de disponibilização ficam ocultas para os usuários da federação de identidade de colaboradores.
• Os requisitos de dados do modelo ficam ocultos para os usuários da federação de identidade de colaboradores.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Como exportar as descobertas para um arquivo CSV
• Exportar as descobertas para o Cloud Storage
• Botão Enviar feedback
• As configurações de exportação do Chronicle não podem ser gerenciadas no ambiente federado. Portanto, no Exportações contínuas página, a Chronicle não está disponível.
• Caixa de diálogo de aviso comunicando que o estado é herdado por padrão na página "Ativação do serviço"
• Não é possível gerenciar o serviço de postura de segurança usando o console do Google Cloud.

1. Adicionar uma conta de serviço aos proprietários do domínio com a API Site Verification
2. Representar esta conta de serviço para criar um serviço gerenciado

• O Colab Enterprise não oferece suporte à federação de identidade de colaboradores.
• O Vertex AI Workbench não é compatível com a federação de identidade de colaboradores.

• Políticas de acesso
• Regras de entrada e saída em perímetros de serviço

• As APIs v1alpha não estão disponíveis para identidades federadas.
• Os usuários da federação de identidade de colaboradores não podem ser adicionados às regras de entrada do perímetro de serviço.
• Não é possível adicionar cargas de trabalho de federação de identidade da carga de trabalho às regras de entrada e saída do perímetro de serviço . Use a representação da conta de serviço em vez da federação de identidade da carga de trabalho.