Federazione delle identità: prodotti e limitazioni

• Schede riepilogative sul rendimento e sui backup
• Dati nella tabella dei cluster, ad esempio percentuale CPU e Memoria disponibile

• L'interfaccia utente di Apigee classica non è supportata per gli utenti della federazione delle identità della forza lavoro. I pulsanti per passare alla UI Apigee classica non sono disponibili. Le seguenti funzionalità, a cui è possibile accedere solo utilizzando la UI di Apigee classica, non sono supportate per gli utenti della federazione delle identità per la forza lavoro:

  • Monetizzazione delle API Apigee
  • Analisi per sviluppatori
  • Analisi utente finale
  • Portali integrati

• Le funzionalità di Anteprima non sono supportate per gli utenti della federazione delle identità della forza lavoro. Sono incluse le seguenti funzionalità:

  • Rilevamento di abusi
  • Hub API
  • Gemini Code Assist con Apigee
  • Integrazione di Looker Studio
  • Valutazione del rischio
  • Azioni di sicurezza
  • Rilevamento API Shadow

• Lo sviluppo locale con Apigee in Cloud Code non è supportato per gli utenti della federazione delle identità della forza lavoro.

• Le funzionalità di Anteprima non sono supportate per gli utenti della federazione delle identità della forza lavoro. Sono incluse le seguenti funzionalità:

  • API hub
  • API di gestione delle API
  • API di azioni di sicurezza

• Le API Apigee Connect non sono supportate per gli utenti della federazione delle identità della forza lavoro.

• La gestione dei client OAuth non è supportata.
• La gestione del brand OAuth non è supportata.

• Container Registry non supporta la federazione delle identità. Nella pagina delle impostazioni della transizione a Container Registry è presente un banner informativo.

• Le seguenti funzionalità non supportano la federazione di Workforce Identity con BigQuery:
  • BigQuery BI Engine
  • Fogli connessi
  • Google Drive
  • Disaster recovery gestito
  • Monitoraggio
  • Consigli
  • Estimatore slot
• Le seguenti operazioni non supportano la federazione delle identità della forza lavoro:
  • Caricamento dei dati da Amazon S3 , Apache Spark o Archiviazione BLOB di Azure tramite Connection API
  • Caricamento dei dati da Google Drive

Quando utilizzi il metodo analyzeIamPolicy o il metodo analyzeIamPolicyLongrunning , le identità federate potrebbero ricevere risultati di analisi incompleti per i seguenti motivi:

• Le identità federate non possono controllare l'appartenenza ai gruppi Google nei criteri di autorizzazione. Di conseguenza, quando le identità federate analizzano l'accesso per un'entità, i risultati della query non includono le autorizzazioni e i ruoli di cui l'entità dispone in base alla sua appartenenza a un gruppo.
• Durante l'analisi dell'accesso, le identità federate non possono attivare l'opzione expand_groups .

analyzeMove non è supportato dalla federazione delle identità.

• Sono supportati solo gli account con fatturazione mensile non automatica

• Solo gli account con fatturazione mensile non automatica supportano la federazione delle identità.

• Cloud Composer supporta la Federazione delle identità della forza lavoro solo per gli ambienti creati in Composer versione 2.1.11 o successive e Airflow versione 2.4.3 o successive. L'upgrade di un ambiente da una versione precedente non attiva il supporto della federazione delle identità della forza lavoro.
• I messaggi email inviati da Airflow includono solo il link all'interfaccia utente di Airflow accessibile dagli Account Google. Per accedere all'interfaccia utente di Airflow come utente della federazione delle identità della forza lavoro, il link deve essere aggiornato manualmente (modificato in base all' URL per la federazione delle identità della forza lavoro ).
• Le limitazioni di Cloud Storage si applicano al bucket dell'ambiente Cloud Composer.

• La preferenza di lingua viene selezionata al momento dell'accesso e non può essere aggiornata all'interno della console.
• Le notifiche, gli aggiornamenti e le offerte dei prodotti non possono essere attivati nella pagina preferenze di comunicazione .
• La personalizzazione in base all'attività nella console Google Cloud non è supportata.
• La pagina Centro trasparenza e controllo non è disponibile.

• A causa delle limitazioni della fatturazione Cloud per la federazione delle identità della forza lavoro , l'assistenza relativa alla fatturazione è accessibile solo all'amministratore dell'organizzazione tramite l' Google Cloud account utilizzato per configurare l'account di fatturazione.
• Gli utenti della federazione delle identità per la forza lavoro possono caricare, ma non scaricare, i file relativi alle richieste di assistenza. Questi file sono visibili agli ingegneri dell'assistenza che gestiscono le tue richieste.
• I dati di contatto (ad es. l'indirizzo email) non possono essere modificati per gli utenti della federazione delle identità per la forza lavoro una volta avviata l'interazione con l'assistenza.
• Gli utenti della federazione delle identità per la forza lavoro non possono creare richieste utilizzando il canale di assistenza via chat live.

• Gli utenti che hanno eseguito l'accesso utilizzando la federazione delle identità possono visualizzare le annotazioni aggiunte agli incidenti per i criteri basati su metriche , ma non possono aggiungerne.
• Gli utenti che hanno eseguito l'accesso utilizzando la federazione delle identità possono visualizzare le annotazioni aggiunte agli incidenti per i criteri basati su log , ma non possono aggiungerne.

• Il deployment continuo con Cloud Build è disattivato per la federazione delle identità per la forza lavoro.
• I connettori VPC esistenti non sono elencati per la federazione delle identità per la forza lavoro. Devi crearli manualmente.

• I connettori VPC esistenti non sono elencati per la federazione delle identità per la forza lavoro. Devi crearli manualmente.
• Creare pool di lavoratori non è supportato per la federazione delle identità per la forza lavoro.
• I test di pre-deployment non sono supportati per la federazione delle identità per la forza lavoro.

• La scheda Cron job di App Engine non è disponibile per gli utenti della federazione delle identità per la forza lavoro.
• L'opzione App Engine nella configurazione del tipo di destinazione non è disponibile per gli utenti della federazione delle identità della forza lavoro.

• L'Assistente Guida non è supportato.
• L'autenticazione dei database IAM per gli accessi utente non è supportata per i database Cloud SQL per MySQL o Cloud SQL per PostgreSQL .

• Per visualizzare i dettagli degli oggetti è necessario attivare l'accesso uniforme a livello di bucket per il bucket.
• L'elaborazione con le funzioni Cloud Run non è supportata.
• La scansione con Cloud Data Loss Prevention non è supportata.

• La federazione delle identità con tutte le API Cloud Storage è supportata solo per i bucket con accesso uniforme a livello di bucket . L'accesso tramite l'identità federata ai bucket con elenchi di controllo dell'accesso (ACL) granulari viene rifiutato.
• Sebbene tutti gli utenti e i carichi di lavoro possano utilizzare gli URL firmati esistenti , gli utenti e i carichi di lavoro della federazione delle identità non possono generare URL firmati.
• Gli utenti e i carichi di lavoro della federazione delle identità non possono utilizzare la notifica di modifica degli oggetti .

• Code di App Engine: poiché le code di App Engine (codate create utilizzando un queue.yaml o queue.xml file) contengono solo attività con target App Engine, le attività in queste code non sono supportate.
• Code di attesa regolari: per le code di attesa Cloud Tasks regolari, sono supportate le attività con target HTTP. Le attività con target App Engine non sono supportate (anche se la coda non è una coda App Engine).

• L'importazione e l'esportazione di immagini da e verso un bucket Cloud Storage richiedono l'accesso uniforme a livello di bucket per il bucket.
• VMware Engine non è supportato.
• La soluzione Bare Metal non è supportata.

• In Aggiungi entità a console e API Google Cloud , il ID gruppo campo di testo non supporta il completamento automatico o fornisce la convalida per gli utenti della federazione delle identità per la forza lavoro.
• Per gli utenti di Workforce Identity Federation, i gruppi Google vengono identificati dai relativi ID anziché dai nomi.

• Dataplex Explore workbench non supporta la federazione delle identità della forza lavoro.
• Script e notebook pianificati tramite la piattaforma di lavoro di esplorazione non supportano la federazione delle identità della forza lavoro.
• Visualizzazione protetta non supporta la federazione delle identità della forza lavoro.

• Gli utenti di Workforce Identity Federation possono eseguire operazioni di creazione, visualizzazione, aggiornamento ed eliminazione nelle pagine degli elenchi Cluster, Job e Batch. I flussi di lavoro, i criteri di scalabilità automatica e lo scambio di componenti non sono disponibili per la federazione delle identità per la forza lavoro.
• La funzionalità di creazione del cluster è disponibile, ad eccezione della creazione di cluster Dataproc su GKE, del cluster Dataproc Compute Engine con autenticazione personale o con il gateway dei componenti abilitato.
• La sezione Output nella pagina dei dettagli di batch e job non è disponibile per gli utenti della federazione delle identità per la forza lavoro.
• La sezione Avviso consigliato nella pagina Elenco di cluster e job non è disponibile per gli utenti della federazione delle identità per la forza lavoro.

• Dataproc su GKE
• Autenticazione del cluster personale Dataproc
• Protezione multi-tenancy basata su service account Dataproc

• Regole di sicurezza non supportano la federazione delle identità per la forza lavoro.
• Key Visualizer non supporta la federazione delle identità della forza lavoro.

• Quando accedi a cluster esterni (GKE Enterprise), l'opzione Utilizza la tua identità Google non è disponibile per la federazione delle identità per la forza lavoro.
• Quando crei o colleghi cluster esterni (GKE Enterprise), non verrà aggiunto automaticamente come amministratore di Workforce Identity Federation.

• Cloud Marketplace contiene link a domini Google che potrebbero non supportare la federazione delle identità della forza lavoro.
• Il pulsante Avvia è disattivato per tutti i prodotti VM che utilizzano Deployment Manager perché Deployment Manager non supporta la federazione delle identità della forza lavoro.
• La registrazione SaaS e l'accesso SSO non supportano la federazione delle identità per la forza lavoro.
• Il Producer Portal non supporta la federazione delle identità della forza lavoro.
• Richiedi approvvigionamento non supporta la federazione delle identità per la forza lavoro.
• Service Catalog non supporta la federazione delle identità della forza lavoro.

• L'esportazione dei report sul costo totale di proprietà (report TCO) non è supportata per gli utenti della federazione delle identità della forza lavoro.
• L'esportazione delle risorse non è supportata per gli utenti della federazione delle identità della forza lavoro.

• La colonna Name all'interno della tabella IAM non mostra i nomi visualizzati per le identità Google.
• Quando aggiungi nuove entità per consentire i criteri, il campo di testo Aggiungi entità supporta solo il completamento automatico per gli account di servizio.
• Il campo di testo Aggiungi entità esente nella pagina Audit log supporta solo il completamento automatico per gli account di servizio.

• Nella scheda Applicazioni, la colonna Method è disattivata e gli utenti non possono utilizzare identità esterne per l'autorizzazione.
• Nella scheda Applicazioni, le risorse App Engine non possono essere elencate.
• L'elemento Vai alla configurazione OAuth nel menu di azioni more_vert non è disponibile.
• Nella scheda App non è possibile aggiungere o elencare i connettori on-premise.

• Il deployment continuo con Cloud Build non supporta la federazione delle identità per la forza lavoro.
• La registrazione di un dominio con Cloud Domains non supporta la federazione delle identità della forza lavoro.

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore per Valkey

Le seguenti funzionalità di Policy Intelligence presentano limitazioni per gli utenti della federazione delle identità per la forza lavoro che utilizzano la Google Cloud console della federazione delle identità per la forza lavoro:

• Strumento per la risoluzione dei problemi relativi ai criteri : Gli utenti della federazione delle identità per la forza lavoro non possono risolvere i problemi di accesso nella console (federata).
• Analizzatore criteri : Gli utenti della federazione delle identità per la forza lavoro non possono analizzare l'accesso nella console (federata).
• Policy Simulator : Gli utenti della federazione delle identità per la forza lavoro non possono simulare le modifiche a un criterio di autorizzazione all'interno della console (federata).
• Suggerimenti IAM : gli utenti di Workforce Identity Federation non possono visualizzare i consigli nella console (federata).

Le seguenti funzionalità di Policy Intelligence presentano limitazioni dell'API per le identità federate:

• Strumento per la risoluzione dei problemi relativi ai criteri : Le identità federate non possono controllare l'appartenenza ai gruppi Google nei criteri di autorizzazione e diniego o l'appartenenza agli account Cloud Identity (domini) nei criteri di diniego. Quando le identità federate chiamano il metodo iam.troubleshoot , le associazioni di ruoli e le regole di rifiuto che contengono gruppi o domini hanno un risultato di accesso di Sconosciuto , a meno che l'associazione di ruoli o la regola di rifiuto non includa esplicitamente anche l'entità.

• Quando chiami il metodo analyzeIamPolicy o analyzeIamPolicyLongrunning , le identità federate potrebbero ricevere risultati di analisi incompleti per i seguenti motivi:

  • Le identità federate non possono controllare l'appartenenza ai gruppi Google nei criteri di autorizzazione. Di conseguenza, quando le identità federate analizzano l'accesso per un'entità, i risultati della query non includono le autorizzazioni e i ruoli di cui l'entità dispone in base alla sua appartenenza a un gruppo.
  • Durante l'analisi dell'accesso, le identità federate non possono attivare l'opzione expand-groups .

  Le identità federate non possono utilizzare i seguenti metodi dell'API:

  • analyzeMove
• Simulatore di criteri : le identità federate non possono utilizzare l'API Simulatore di criteri ( policysimulator.googleapis.com ).
• Activity Analyzer : le identità federate non possono utilizzare l'API Analizzatore criteri ( policyanalyzer.googleapis.com ).
• Motore per suggerimenti IAM : le identità federate non possono utilizzare l'API Recommender ( recommender.googleapis.com ).

• L'autenticazione a più fattori tramite email non può essere configurata dagli utenti della federazione delle identità della forza lavoro. Per ricevere assistenza, contatta il team di vendita .
• Il sito web di dimostrazione in Cloud Shell non è supportato per gli utenti della federazione delle identità della forza lavoro.

• Gli utenti della federazione delle identità per la forza lavoro possono visualizzare e operare solo nell'organizzazione per la quale è stata configurata la federazione delle identità per la forza lavoro. Le altre organizzazioni a cui vengono aggiunti gli utenti non vengono visualizzate nella console Google Cloud.
• I tempi di attesa per l'applicazione di determinate operazioni nell'interfaccia utente sono lunghi, ad esempio la creazione di un progetto o di una cartella.

• Le informazioni sugli eventi utente sono nascoste per gli utenti di Workforce Identity Federation.
• Gli account Merchant Center non sono supportati per gli utenti della federazione della forza lavoro.
• Le analisi e il conteggio delle visualizzazioni delle configurazioni di pubblicazione sono nascosti per gli utenti della federazione delle identità della forza lavoro.
• Model data requirements sono nascosti per gli utenti della federazione delle identità per la forza lavoro.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Gli utenti della federazione delle identità devono accedere tramite l'interfaccia web dell'istanza di Secure Source Manager prima di eseguire uno dei seguenti comandi:
  • Comandi dell'interfaccia a riga di comando Git
  • Chiamate API agli endpoint del piano dati
• Gli utenti della federazione delle identità devono accedere tramite l'interfaccia web dell'istanza di Secure Source Manager dopo ogni scadenza della sessione per continuare a utilizzare i comandi della CLI SSH di Git con le chiavi SSH dell'utente.

• Per utilizzare la federazione delle identità della forza lavoro, è necessario creare una nuova istanza di Secure Source Manager. Le istanze esistenti non possono essere aggiornate.
• I provider di pool di identità per la forza lavoro utilizzati per Secure Source Manager devono fornire mappature degli attributi google.subject e google.email .
• Puoi utilizzare la tua identità federata solo per accedere a un'istanza di Secure Source Manager configurata per utilizzare la federazione delle identità per la forza lavoro.
• Le notifiche via email di Secure Source Manager non sono supportate per le istanze configurate di Workforce Identity Federation.

• Esportazione dei risultati in un file CSV
• Esportazione dei risultati in Cloud Storage
• Pulsante Invia feedback
• Le impostazioni di esportazione di Google SecOps non possono essere gestite nell'ambiente federato, pertanto, nella pagina Esportazioni continue il banner Google SecOps non è disponibile.
• Finestra di avviso che comunica che lo stato di abilitazione viene ereditato per impostazione predefinita nella pagina Abilitazione servizio
• Il servizio di stato di sicurezza non può essere gestito utilizzando la console Google Cloud.

1. Aggiungi un account di servizio ai proprietari di dominio utilizzando l'API Site Verification .
2. Impersona questo account di servizio per creare un servizio gestito.

• La creazione e l'anteprima degli agenti Vertex AI non sono supportate.
• La creazione di un magazzino dati di Google Drive non è supportata.

• Vertex AI Workbench Managed Notebooks ( Deprecated ) non supporta la federazione delle identità della forza lavoro.
• I notebook gestiti dall'utente di Vertex AI Workbench ( Deprecati ) non supportano la federazione di Workforce Identity.

• Criteri di accesso
• Regole per il traffico in entrata e in uscita nei perimetri di servizio

• Le API v1alpha non sono disponibili per le identità federate.
• I controlli di servizio VPC supportano solo le entità v1 Workforce Identity Federation e Workload Identity Federation che iniziano con i prefissi principal e principalSet negli identificatori delle entità dell'API IAM v1 . Puoi utilizzare questi identificatori delle entità nelle regole di ingresso e uscita del perimetro del servizio .