Federación de identidades: Productos y limitaciones

Descripción general

En esta página, se proporcionan detalles de las limitaciones y el nivel de compatibilidad para cada producto de Google Cloud que puede usar la federación de identidades de personal o la federación de identidades para cargas de trabajo, en conjunto, la federación de identidades.

Federación de identidades de personal

La federación de identidades de personal permite que tu personal (empleados, proveedores, socios y otros usuarios) acceda a los productos de Google Cloud a través de un proveedor de identidad (IdP). Tu personal puede acceder a Google Cloud a través de la consola de federación de identidades del personal de Google Cloud, también conocida como la consola (federada), Google Cloud CLI o una API de Google Cloud.

Las limitaciones de la federación de identidades del personal para la consola (federada), Google Cloud CLI y la API de Google Cloud se enumeran en las entradas de IU y API para cada producto.

Federación de identidades para cargas de trabajo

La federación de identidades para cargas de trabajo permite que tus cargas de trabajo accedan de manera programática a los productos de Google Cloud mediante identidades proporcionadas por la carga de trabajo, como los roles de IAM para cargas de trabajo de AWS, las cuentas de servicio de Kubernetes para las cargas de trabajo de GKE o las identidades de GitHub para tus canalizaciones de implementación.

Las limitaciones de la federación de identidades para cargas de trabajo para Google Cloud CLI y las APIs de Google Cloud, en conjunto, las limitaciones de APIs, se enumeran en las entradas Google Cloud API limitations de cada producto, más adelante en este documento.

Usuarios de Controles del servicio de VPC: Debido a que las reglas de entrada y salida del perímetro de servicio para cargas de trabajo solo admiten cuentas de servicio, las cargas de trabajo de la federación de identidades para cargas de trabajo pueden acceder a los recursos dentro de un perímetro solo mediante una identidad temporal como cuenta de servicio. Obtén información sobre cómo usar la identidad temporal como cuenta de servicio para cargas de trabajo federadas.

Productos y limitaciones de Google Cloud

En la tabla de esta sección, se enumeran los productos, su nivel de compatibilidad con la federación de identidades, las limitaciones y más información.

Organización

La tabla de limitaciones se organiza de la siguiente manera:

  • Producto: El nombre del producto.
  • Etapa de lanzamiento de la federación de identidades: Se refiere a la etapa de lanzamiento de la compatibilidad del producto con la federación de identidades. La etapa de lanzamiento no se refiere a la etapa de lanzamiento del producto en sí.
  • Columnas que describen los productos compatibles:
    • API de Google Cloud: Las limitaciones relacionadas con la federación de identidades del producto que están asociadas con los métodos de la API y los comandos de gcloud CLI que acceden a esos métodos.
    • Consola (federada): Las limitaciones de la IU de la consola (federada) relacionadas con la federación de identidades de personal del producto.
    • Otras: Las limitaciones relacionadas con la federación de identidades del producto que no son limitaciones de APIs de Google Cloud ni de la consola (federada).
  • Columnas que describen los productos no admitidos:
    • Alternativas: Para los productos que no admiten la federación de identidades, en esta columna, se describen los productos alternativos que admiten la federación de identidades y proporcionan características similares.

Lista de productos y limitaciones

Etapa de lanzamiento
Producto Etapa de lanzamiento de la federación de identidades Limitaciones

Aprobación de acceso

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

Access Context Manager

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: Las APIs de v1alpha no están disponibles para las identidades federadas.
Otros: No hay limitaciones conocidas

Transparencia de acceso

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

Agent Assist

DG
Consola (federada): Para usar la entrega de agentes virtuales con un agente de Dialogflow ES, los llamadores de la API no pueden usar la federación de identidades de personal para acceder.
API de Google Cloud: La importación de transcripciones de conversaciones a conjuntos de datos de conversaciones con Agent Assist no admite la federación de Workforce Identity.
Otros: No hay limitaciones conocidas

AlloyDB para PostgreSQL

DG
Consola (federada): Las siguientes funciones de estado de la flota no son compatibles mientras se usa la federación de identidades de personal:
  • Tarjetas de resumen de rendimiento y copias de seguridad
  • Datos en la tabla de clústeres, como el porcentaje de CPU y la memoria disponible
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

IA para prevención del lavado de dinero

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

API Gateway

No compatible
Alternativas: No hay alternativas disponibles

Apigee

DG
Consola (federada):
  • La IU clásica de Apigee no es compatible con los usuarios de la federación de identidades de personal. Los botones para cambiar a la IU clásica de Apigee no están disponibles. Las siguientes funciones a las que solo se puede acceder con la IU clásica de Apigee no son compatibles con los usuarios de la federación de identidades de personal:

    • Monetización de API de Apigee
    • Análisis de desarrolladores
    • Análisis del usuario final
    • Portales integrados
  • Las funciones de la vista previa no son compatibles con los usuarios de la federación de identidades de personal. Esto incluye las siguientes funciones:

    • Detección de abusos
    • Concentrador de API
    • Gemini Code Assist con Apigee
    • Integración de Looker Studio
    • Evaluación de riesgos
    • Acciones de seguridad
    • Descubrimiento de Shadow API
  • El desarrollo local con Apigee en Cloud Code no es compatible con los usuarios de la federación de identidades de personal.

API de Google Cloud:
Otros: No hay limitaciones conocidas

Concentrador de API de Apigee

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

API y servicios

DG
Consola (federada):
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

App Engine

No compatible
Alternativas: Google recomienda que uses Cloud Run de manera alternativa.

App Hub

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

Application Integration

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

Artifact Registry

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros:
  • Container Registry no admite la federación de identidades. Hay un banner de información en la página de configuración, en Transición de Container Registry.

Assured Workloads

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

Servicio de copia de seguridad y DR

Versión preliminar
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

Lote

DG
Consola (federada): No hay limitaciones conocidas
API de Google Cloud: No hay limitaciones conocidas
Otros: No hay limitaciones conocidas

BigQuery

DG
Consola (federada): No se admite guardar las consultas.
API de Google Cloud:
  • El servicio de migración de BigQuery no admite la federación de identidades.
  • Otros:

    Bigtable

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Autorización binaria

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Estadísticas de cadenas de bloques

    Versión preliminar
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Motor de nodos de cadenas de bloques

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Huella de carbono

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Certificate Authority Service

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Administrador de certificados

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Servicios de canal

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Asset Inventory

    DG
    Consola (federada): En la pestaña Política de IAM, el botón Analizar acceso completo no está disponible para usuarios de la federación de identidades de personal.
    API de Google Cloud:

    Cuando uses el método analyzeIamPolicy o analyzeIamPolicyLongrunning , las identidades federadas pueden recibir resultados de análisis incompletos debido a los siguientes motivos:

    • Las identidades federadas no pueden verificar la membresía de los Grupos de Google en las políticas de permisos. Como resultado, cuando las identidades federadas analizan el acceso a una principal, los resultados de la consulta no incluyen los permisos ni las funciones que la principal tiene debido a su membresía en un grupo.
    • Cuando se analiza el acceso, las identidades federadas no pueden habilitar la opción expand_groups .

    analyzeMove no es compatible con la federación de identidades.

    Otros: No hay limitaciones conocidas

    Facturación de Cloud

    DG
    Consola (federada):
    API de Google Cloud:
    Otros: No hay limitaciones conocidas

    Cloud Build

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud CDN

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Code

    No compatible
    Alternativas: No hay alternativas disponibles

    Cloud Composer

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros:
    • Cloud Composer admite la federación de identidades de personal solo para entornos creados en Composer 2.1.11 o versiones posteriores y Airflow 2.4.3 o versiones posteriores. La actualización de un entorno desde una versión anterior no habilita la compatibilidad con la federación de identidades del personal.
    • Los mensajes de correo electrónico que se envían desde Airflow solo incluyen el vínculo de la IU de Airflow al que pueden acceder las Cuentas de Google. Para acceder a la IU de Airflow como un usuario de la federación de identidades de personal, el vínculo debe actualizarse de forma manual (cambiado por la URL para la federación de identidades de personal).
    • Las limitaciones de Cloud Storage se aplican al bucket del entorno de Cloud Composer.

    Consola de Cloud

    DG
    Consola (federada): Los usuarios de la federación de identidades de personal solo pueden acceder a la consola de federación de identidades de personal de Google Cloud, también conocida como la consola (federada). No pueden acceder a la consola de Google Cloud. La consola (federada) proporciona acceso limitado solo a los productos de Google Cloud que admiten la federación de identidades de personal. Para obtener más información, consulta Acerca de la consola (federada) . Además, la consola (federada) tiene las siguientes limitaciones:
    • La preferencia de idioma se selecciona durante el inicio de sesión y no se puede actualizar en la consola.
    • Las notificaciones, actualizaciones y ofertas de productos no se pueden habilitar en la página de preferencias de comunicación.
    • No se admite la personalización basada en la actividad de la consola de Google Cloud.
    • La página del Centro de transparencia y control no está disponible.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: Los usuarios de la federación de identidades de personal no son aptos para la prueba gratuita de Google Cloud.

    Atención al cliente de Cloud

    DG
    Consola (federada):
    • Debido a las limitaciones de la Facturación de Cloud para la federación de identidades de personal, solo el administrador de la organización puede acceder a la asistencia relacionada con la facturación a través de la cuenta de Google Cloud que se usa para configurar la cuenta de facturación.
    • Los usuarios de la federación de identidades de personal pueden subir, pero no descargar, archivos relacionados con el casos de asistencia. Estos archivos son visibles para los ingenieros de asistencia que se encargan de tus casos.
    • Una vez que comience la interacción con el equipo de asistencia, no se podrán cambiar los detalles de contacto (p. ej., la dirección de correo electrónico) de los usuarios.
    • Los usuarios de la federación de identidades de personal no pueden crear casos con el canal de asistencia por chat en vivo.
    API de Google Cloud: La API de Cloud Support no admite la federación de identidades.
    Otros: No hay limitaciones conocidas

    Cloud Data Fusion

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Deploy

    DG
    Consola (federada): Los buckets de Cloud Storage deben tener habilitado el acceso uniforme a nivel de bucket para ver los artefactos de Cloud Deploy.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: Los depósitos de Cloud Storage creados a través de Cloud Deploy tienen habilitado el acceso uniforme a nivel de depósito .

    Cloud Deployment Manager

    No compatible
    Alternativas: No hay alternativas disponibles

    Cloud DNS

    DG
    Consola (federada): La página de Cloud Domains no está disponible.
    API de Google Cloud: Cloud DNS tiene una limitación en la cantidad de fragmentos del servidor de nombres. Para obtener más información, consulta los límites del servidor de nombres . Antes de asignar el fragmento del servidor de nombres final, Cloud DNS verifica la propiedad del dominio, lo cual no pueden realizarse mediante identidades federadas.
    Otros: No hay limitaciones conocidas

    Cloud Domains

    No compatible
    Alternativas: No hay alternativas disponibles

    Cloud Endpoints

    No compatible
    Alternativas: No hay alternativas disponibles

    Optimización de flota de Cloud

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    API de Cloud Healthcare

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud HSM

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Sistema de detección de intrusiones de Cloud

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Key Management Service

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Load Balancing

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Logging

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Mobile App

    No compatible
    Alternativas: No hay alternativas disponibles

    Cloud Monitoring

    DG
    Consola (federada):
    API de Google Cloud: No hay limitaciones conocidas
    Otros: El agente heredado de Cloud Monitoring no admite el envío de métricas con la federación de identidades. En su lugar, los usuarios de la federación de identidades de personal pueden instalar el Agente de operaciones .

    Cloud NAT

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Next Generation Firewall

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Profiler

    No compatible
    Alternativas: No hay alternativas disponibles

    Cloud Run

    DG
    Consola (federada):
    API de Google Cloud: No hay limitaciones conocidas
    Otros: El permiso de IAM run.routes.invoke , que administra el acceso a los extremos del servicio de Cloud Run, no admite la federación de identidades de personal.

    Funciones de Cloud Run

    DG
    Consola (federada):
    • Los conectores de VPC existentes no se enumeran para la federación de identidades de personal. Debes crearlos de forma manual.
    • Los grupos de trabajadores de Build no son compatibles con la federación de identidades de personal.
    • Las pruebas previas a la implementación no son compatibles con la federación de identidades de personal.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Scheduler

    DG
    Consola (federada):
    • La pestaña Trabajos cron de App Engine no está disponible para los usuarios de la federación de identidades de personal.
    • La opción de App Engine en la configuración del tipo de destino no está disponible para los usuarios de la federación de identidades de personal.
    API de Google Cloud: La API de Cloud Scheduler no admite la federación de identidades para trabajos que tienen su atributo target configurado como appEngineHttpTarget Para enviar un trabajo a un destino de App Engine mediante la federación de identidades, crea tu trabajo con el tipo target configurado como httpTarget y el campo uri configurado en la ruta de URI completa del destino de App Engine.
    Otros: No hay limitaciones conocidas

    Cloud Service Mesh

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: El plano de control en el clúster no admite la federación de identidades.
    Otros: No hay limitaciones conocidas

    Cloud Shell

    No compatible
    Alternativas: Google recomienda que uses Cloud Workstations de manera alternativa.

    Cloud Source Repositories

    No compatible
    Alternativas: No hay alternativas disponibles

    Cloud SQL

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros:

    Cloud Storage

    DG
    Consola (federada):
    • La visualización de los detalles del objeto requiere que se habilite el acceso uniforme a nivel de bucket para el bucket.
    • No se admite el proceso con Cloud Run Functions.
    • No se admite el análisis con Cloud Data Loss Prevention.
    API de Google Cloud:
    • La federación de identidades con todas las APIs de Cloud Storage solo es compatible con buckets de acceso uniforme a nivel de bucket. Se rechaza el acceso de la federación de identidades a los buckets con listas de control de acceso (LCA) detalladas.
    • Aunque todos los usuarios y las cargas de trabajo pueden usar URL firmadas existentes, los usuarios y las cargas de trabajo de la federación de identidades no pueden generar URL firmadas.
    • Los usuarios y las cargas de trabajo de la federación de identidades no pueden usar la notificación de cambio de objeto.
    Otros: El alcance de los tokens de acceso de Google Cloud que se basan en credenciales de federación de identidades de personal no se puede reducir con límites de acceso a credenciales.

    Cloud Talent Solution

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Tasks

    DG
    Consola (federada): La opción de anulación del enrutamiento de App Engine no está disponible para los usuarios de la federación de identidades de personal.
    API de Google Cloud: La API de Cloud Tasks no admite la federación de identidades para tareas que tienen objetivos de App Engine, por ejemplo:
    • Colas de App Engine: Dado que las colas de App Engine (colas que se crean mediante un archivo queue.yaml o queue.xml ) contienen solo tareas con objetivos de App Engine, las tareas de estas colas no son compatibles.
    • Colas regulares: Para las colas normales de Cloud Tasks, se admiten tareas con destinos HTTP. Las tareas con objetivos de App Engine no son compatibles (aunque la cola no sea una cola de App Engine).
    Otros: No hay limitaciones conocidas

    Cloud Trace

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Translation

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    API de Cloud Vision

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Cloud Workstations

    DG
    Consola (federada): Los usuarios de la federación de identidades de personal que deseen iniciar Cloud Workstations deben usar la consola de Google Cloud o la API de Workstations. Para usar la API de Workstation, consulta Conéctate a la estación de trabajo en tu navegador.
    La federación de identidades de personal no admite la reautenticación mediante el acceso directo a una estación de trabajo existente, por ejemplo, si agregaste a favoritos tu estación de trabajo en el pasado. En su lugar, los usuarios de la federación de identidades de personal pueden volver a autenticarse como se describió antes en esta sección.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Compute Engine

    DG
    Consola (federada): Para usar SSH en el navegador , debes configurar las asignaciones de atributos de google.posix_username .
    API de Google Cloud:
    Otros: No hay limitaciones conocidas

    Confidential Space

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Acceso adaptado al contexto

    DG
    Consola (federada):
    • En Agrega principales a la consola de Google Cloud y a las APIs, el campo de texto ID de grupo no admite el autocompletado ni proporciona validación para usuarios de la federación de identidades de personal.
    • Para los usuarios de la federación de identidades de personal, los Grupos de Google se identifican por sus IDs en lugar de sus nombres.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Estadísticas de conversación

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Data Catalog

    DG
    Consola (federada): En el cuadro de diálogo de edición de steward en la página de detalles de la entrada, las sugerencias de contacto no se muestran.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Database Migration Service

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Dataflow

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: google.dataflow.v1beta3.SqlValidator.Validate : Las APIs de validador de Dataflow SQL no admiten la federación de identidades.
    Otros: No hay limitaciones conocidas

    Dataform

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Dataplex

    DG
    Consola (federada):
    API de Google Cloud: Exploración de sesiones y entornos relacionados Las APIs de Dataplex no son compatibles con la federación de identidades.
    Otros: No hay limitaciones conocidas

    Dataproc

    DG
    Consola (federada):
    • Los usuarios de la federación de identidades de personal pueden realizar operaciones de creación, vista, actualización y eliminación en las páginas de listas de clústeres, trabajos y lotes. Los flujos de trabajo, las políticas de ajuste de escala automático y el intercambio de componentes no están disponibles para la federación de identidades de personal.
    • La funcionalidad de creación de clústeres está disponible, excepto para la creación de clústeres de Dataproc en GKE, clústeres de Dataproc Compute Engine con autenticación personal o con la puerta de enlace de componentes habilitada.
    • La sección Salida de la página de detalles de lotes y trabajos no está disponible para los usuarios de la federación de identidades de personal.
    • La sección Alerta de recomendación en la página de lista de clústeres y trabajos no está disponible para los usuarios de la federación de identidades de personal.
    API de Google Cloud: Los siguientes métodos no admiten la federación de identidades:
    Otros: No hay limitaciones conocidas

    Dataproc Metastore

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Datastore

    DG
    Consola (federada): Key Visualizer no admite la federación de identidades de personal.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Datastream

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Dialogflow

    DG
    Consola (federada): Dialogflow ES no es compatible con la consola de Google Cloud para los usuarios de la federación de identidades de personal.
    API de Google Cloud: La federación de identidades de personal solo es compatible con las APIs de Dialogflow CX.
    Otros: No hay limitaciones conocidas

    Document AI

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Verificación de extremos

    No compatible
    Alternativas: No hay alternativas disponibles

    Enterprise Knowledge Graph

    No compatible
    Alternativas: No hay alternativas disponibles

    Error Reporting

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Eventarc

    DG
    Consola (federada): Aunque puedes usar un flujo de trabajo existente como destino de activador de Eventarc, los usuarios de la federación de identidades de personal no pueden crear flujos de trabajo nuevos.
    API de Google Cloud: La publicación de eventos de terceros mediante un recurso ChannelConnection no es compatible con la federación de identidades.
    Otros: No hay limitaciones conocidas

    Filestore

    DG
    Consola (federada): Los datos de facturación no se pueden ver en las páginas siguientes: Crea una instancia , Edita una instancia y Restablece la copia de seguridad en una instancia nueva .
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Firestore

    DG
    Consola (federada):
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Gemini

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: La administración de licencias de Gemini para Google Cloud no admite la federación de identidades de personal.

    GKE Enterprise

    DG
    Consola (federada):
    • Cuando accedes a cualquier clúster externo (GKE Enterprise), la opción Usa tu identidad de Google no está disponible para la federación de identidades de personal.
    • Cuando crees o adjuntes clústeres externos (GKE Enterprise), no se te agregará de forma automática como administrador para la federación de identidades de personal.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: gkeadm , gkectl y bmctl no admiten la federación de identidades de personal.

    Google Cloud Armor

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Centro de contacto como servicio de Google Cloud

    DG
    Consola (federada): Un usuario de la federación de identidades de personal no puede configurar Google Cloud CCaaS a través de la consola de Google Cloud CCaaS.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: Para configurar Google Cloud CCaaS a través de gcloud CLI, los usuarios de la federación de identidades de personal deben comunicarse con el servicio de atención al cliente.

    Google Cloud Managed Service para Apache Kafka

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: La autenticación en las APIs de Apache Kafka de código abierto a través del mecanismo OAuthBearer no es compatible con los clientes que usan Workload Identity Federation for GKE. Como alternativa, vincula las cuentas de servicio de Kubernetes a IAM .

    Google Cloud Marketplace

    DG
    Consola (federada):
    • Cloud Marketplace contiene vínculos a dominios de Google que podrían no admitir la federación de identidades de personal.
    • El botón Iniciar está inhabilitado para todos los productos de VM que usan Deployment Manager, ya que Deployment Manager no admite la federación de identidades de personal.
    • El registro de SaaS y el acceso a SSO no son compatibles con la federación de identidades de personal.
    • Producer Portal no admite la federación de identidades de personal.
    • Adquisiciones de solicitudes no admite la federación de identidades de personal.
    • El catálogo de servicios no admite la federación de identidades de personal.
    API de Google Cloud: La API de socios no admite la federación de identidades de personal.
    Otros: Los clientes no reciben notificaciones si los administradores de cuentas de facturación o los propietarios de productos no proporcionan una dirección de correo electrónico.

    Centro de migración de Google Cloud

    Versión preliminar
    Consola (federada):
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Google Cloud NetApp Volumes

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    SDK de Google Cloud

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: Ruby y PHP Las bibliotecas cliente de Cloud no son compatibles con la federación de identidades de personal.

    Google Distributed Cloud

    No compatible
    Alternativas: No hay alternativas disponibles

    Google Earth Engine

    No compatible
    Alternativas: No hay alternativas disponibles

    Google Kubernetes Engine

    DG
    Consola (federada): La pestaña de Container Registry no está disponible para la federación de identidades de personal. Artifact Registry está disponible.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Google Security Operations

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Conectividad híbrida

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Identity and Access Management

    DG
    Consola (federada):
    • La columna de nombre en la tabla de IAM no muestra los nombres visibles de las identidades de Google.
    • Cuando agregas nuevas principales para permitir políticas, el campo de texto Agregar principales solo admite el autocompletado de las cuentas de servicio.
    • Se admite el campo de texto Agregar principal exenta en la página Registros de auditoría solo admite autocompletado para cuentas de servicio.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Identity-Aware Proxy

    Versión preliminar
    Consola (federada):
    • En la pestaña Aplicaciones, la columna Método está inhabilitada y los usuarios no pueden usar identidades externas para la autorización.
    • En la pestaña Aplicaciones, los recursos de App Engine no se pueden enumerar.
    • El elemento de configuración de OAuth en el menú de acción no está disponible.
    • En la pestaña Aplicaciones , no se pueden agregar ni enumerar conectores locales.
    API de Google Cloud: Las identidades federadas para los recursos de reenvío de TCP de IAP solo son compatibles con gcloud CLI.
    Otros: No hay limitaciones conocidas

    Identity Platform

    DG
    Consola (federada): No se admite la habilitación de Identity Platform a través de la consola de la federación de identidades de personal de Google Cloud. Los administradores de la federación de identidades de personal deben habilitar Identity Platform a través de la consola de Firebase Authentication o el acceso a la consola de Google Cloud con una cuenta de Cloud Identity o Workspace antes de que los usuarios de la federación de identidades de personal puedan acceder a Identity Platform a través de la consola (federada).
    API de Google Cloud: InitializeIdentityPlatform no admite la federación de identidades.
    Otros: No hay limitaciones conocidas

    Immersive Stream for XR

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Conectores de Integration

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Key Access Justifications

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Knative serving

    DG
    Consola (federada):
    API de Google Cloud: No hay limitaciones conocidas
    Otros: Cuando se usa la federación de identidades de personal, Knative serving requiere un clúster con Cloud Service Mesh administrado.

    API de Live Stream

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Looker (Google Cloud Core)

    Versión preliminar
    Consola (federada): Los usuarios de la federación de identidades de personal pueden crear, actualizar y borrar instancias, pero no pueden acceder a instancias individuales.
    API de Google Cloud: Los usuarios de la federación de identidades solo pueden administrar instancias, por ejemplo, crear, actualizar y borrar una instancia, pero no pueden acceder a instancias individuales.
    Otros: No hay limitaciones conocidas

    Looker Studio

    No compatible
    Alternativas: No hay alternativas disponibles

    Servicio administrado para Microsoft Active Directory

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: Los usuarios de la federación de identidades de personal no pueden usar el reenvío de TCP de IAP para acceder a la VM de administración de Active Directory.

    Media CDN

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Memorystore

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: Las siguientes APIs admiten la federación de identidades de personal:
    Otros: No hay limitaciones conocidas

    Migrate to Containers

    Versión preliminar
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Migrate to Virtual Machines

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Network Connectivity Center

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Network Intelligence Center

    DG
    Consola (federada): Las Estadísticas de firewall no se pueden exportar a JSON ni CSV.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Niveles de servicio de red

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Servicio de políticas de la organización

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Personalized Service Health

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Policy Intelligence

    DG
    Consola (federada):

    Las siguientes funciones de Policy Intelligence tienen limitaciones para los usuarios de identidades de personal que usan la consola de la federación de identidades de personal de Google Cloud:

    • Solucionador de problemas de políticas: Los usuarios de la federación de identidades de personal no pueden solucionar problemas de acceso en la consola (federada).
    • Analizador de políticas: Los usuarios de la federación de identidades de personal no pueden analizar el acceso en la consola (federada).
    • Policy Simulator: Los usuarios de la federación de identidades de personal no pueden simular cambios en una política de permisos dentro de la consola (federada).
    • Recomendador de IAM: Los usuarios de la federación de identidades de personal no pueden ver las recomendaciones en la consola (federada).
    API de Google Cloud:

    Las siguientes funciones de Policy Intelligence tienen limitaciones de API para las identidades federadas:

    • Solucionador de problemas de políticas: Las identidades federadas no pueden verificar la membresía de los Grupos de Google en las políticas de permiso y rechazo, o la membresía de las cuentas (dominios) de Cloud Identity en las políticas de rechazo. Cuando las identidades federadas llaman al método iam.troubleshoot , las vinculaciones de roles y las reglas de denegación que contienen grupos o dominios tienen un resultado de acceso Desconocido, a menos que la regla de denegación o vinculación de roles también incluya la principal de forma explícita.
    • Cuando llames al método analyzeIamPolicy o analyzeIamPolicyLongrunning , las identidades federadas pueden recibir resultados de análisis incompletos debido a los siguientes motivos:

      • Las identidades federadas no pueden verificar la membresía de los Grupos de Google en las políticas de permisos. Como resultado, cuando las identidades federadas analizan el acceso a una principal, los resultados de la consulta no incluyen los permisos ni las funciones que la principal tiene debido a su membresía en un grupo.
      • Cuando se analiza el acceso, las identidades federadas no pueden habilitar la opción expand-groups .

      Las identidades federadas no pueden usar los siguientes métodos de API:

    • Policy Simulator: Las identidades federadas no pueden usar la API de Policy Simulator ( policysimulator.googleapis.com ).
    • Analizador de actividad: Las identidades federadas no pueden usar la API del Analizador de políticas ( policyanalyzer.googleapis.com ).
    • Recomendador de IAM: Las identidades federadas no pueden usar la API de Recommender ( recommender.googleapis.com ).
    Otros: No hay limitaciones conocidas

    Private Service Connect

    DG
    Consola (federada): Cuando se publica un servicio, la configuración de DNS no está disponible.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Pub/Sub

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: La API de Pub/Sub Lite no tiene extremos que admitan la federación de identidades.
    Otros: No hay limitaciones conocidas

    reCAPTCHA

    DG
    Consola (federada):
    • Los usuarios de la federación de identidades de personal no pueden configurar la autenticación de varios factores con un correo electrónico. Para obtener ayuda, comunícate con ventas
    • El sitio web de demostración en Cloud Shell no es compatible con los usuarios de la federación de identidades de personal.
    API de Google Cloud: MigrateKey no es compatible con las identidades federadas.
    Otros: No hay limitaciones conocidas

    Recomendador

    DG
    Consola (federada): La exportación de recomendaciones a BigQuery no es compatible con la federación de identidades de personal.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: El recomendador puede recomendar productos y funciones que no son compatibles con la federación de identidades de personal.

    Resource Manager

    DG
    Consola (federada):
    • Los usuarios de la federación de identidades de personal solo pueden ver y operar en la organización para la que se configuró la federación de identidad de personal. Otras organizaciones a las que se agregan los usuarios no se muestran en la consola de Google Cloud.
    • Los tiempos de espera para que ciertas operaciones se reflejen en la IU son largos, por ejemplo, la creación de un proyecto o una carpeta.
    API de Google Cloud: La API de organizaciones no admite la federación de identidades.
    Otros: No hay limitaciones conocidas

    API de Retail

    DG
    Consola (federada):
    API de Google Cloud: Los siguientes métodos no admiten la federación de identidades:
    Otros: No hay limitaciones conocidas

    Secret Manager

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Secure Source Manager

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud:
    Otros:
    • Se debe crear una nueva instancia de Secure Source Manager para usar la federación de identidades de personal. No se pueden actualizar las instancias existentes.
    • Los proveedores de grupos de identidades de Workforce que se usan para Secure Source Manager deben proporcionar asignaciones de atributos google.subject y google.email .
    • Solo puedes usar tu identidad federada para acceder a una instancia de Secure Source Manager que esté configurada para usar la federación de identidades de personal.
    • Las notificaciones por correo electrónico de Secure Source Manager no son compatibles con las instancias configuradas de la federación de identidades de personal.

    Security Command Center

    DG
    Consola (federada): Las siguientes funciones no están disponibles para los usuarios de la federación de identidades de personal:
    • Exporta los resultados a un archivo CSV
    • Exporta los resultados a Cloud Storage
    • Botón para enviar comentarios
    • La configuración de exportación de Google SecOps no se puede administrar en el entorno federado, por lo que, en la página Exportaciones continuas, no está disponible el banner Google SecOps.
    • Diálogo de advertencia que comunica que el estado de habilitación se hereda de forma predeterminada en la página Habilitación de servicios
    • El servicio de postura de seguridad no se puede administrar con la consola de Google Cloud.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Protección de datos sensibles

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Acceso a VPC sin servidores

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Directorio de servicios

    Versión preliminar
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Service Infrastructure

    Versión preliminar
    Consola (federada): No se admite la administración de la cuota en Cloud Endpoints.
    API de Google Cloud: API de Service Management: Crear un servicio administrado no es compatible con la federación de identidades. Para verificar la propiedad del dominio y crear un servicio administrado, haz lo siguiente:
    1. Agrega una cuenta de servicio a los propietarios de dominios con la API de Site Verification.
    2. Usa la identidad de esta cuenta de servicio para crear un servicio administrado.
    Otros: No hay limitaciones conocidas

    Spanner

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Speaker ID

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Speech‑to‑Text

    DG
    Consola (federada): Solo las páginas de IU de v2 admiten la federación de identidades de personal.
    API de Google Cloud: Solo la API v2 admite la federación de identidades.
    Otros: No hay limitaciones conocidas

    Servicio de transferencia de almacenamiento

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Text‑to‑Speech

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    API de Transcoder

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Transfer Appliance

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Translation Hub

    No compatible
    Alternativas: No hay alternativas disponibles

    Vertex AI

    DG
    Consola (federada): Cuando los usuarios de la federación de identidades de personal crean un trabajo de supervisión de modelos nuevo, Vertex AI no completa previamente la entrada de correo electrónico de alerta con su dirección de correo electrónico.
    API de Google Cloud: Vertex AI no envía mensajes de correo electrónico a los usuarios de la federación de identidades de personal.
    Otros: Colab Enterprise no admite la federación de identidades de personal.

    Vertex AI Agent Builder

    Versión preliminar
    Consola (federada):
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Vertex AI Vision

    DG
    Consola (federada): La reproducción de transmisión de video por Internet no funciona para los usuarios de la federación de identidades de personal.
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Vertex AI Workbench

    Versión preliminar
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud:
    Otros: No hay limitaciones conocidas

    API de Video Intelligence

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    API de Video Stitcher

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: La federación de identidades no es compatible con los recursos LiveConfig y Slate cuando se configuran los campos de Google Ad Manager (GAM).
    Otros: No hay limitaciones conocidas

    Nube privada virtual

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Controles del servicio de VPC

    Versión preliminar
    Consola (federada): Las sugerencias de autocompletar no son compatibles cuando se agregan identidades de usuario en los siguientes campos:
    API de Google Cloud:
    Otros: No hay limitaciones conocidas

    Web Risk

    DG
    Consola (federada): No hay limitaciones conocidas
    API de Google Cloud: No hay limitaciones conocidas
    Otros: No hay limitaciones conocidas

    Workflows

    DG
    Consola (federada): El botón Otorgar, que otorga al usuario de la federación de identidades de personal el rol de Usuario de la cuenta de servicio ( roles/iam.serviceAccountUser ) en el proyecto, está inactivo.
    API de Google Cloud: Las APIs de Workflows y Workflow Executions admiten la federación de identidades. Sin embargo, cuando se invocan otros servicios durante la ejecución del flujo de trabajo, la federación de identidades no es compatible.
    Otros: No hay limitaciones conocidas