身分聯盟：產品和限制

• 「效能」和「備份」摘要資訊卡
• 叢集表格中的資料，例如 CPU 百分比和可用記憶體

• 員工身分聯盟使用者無法使用「預覽」 功能。包括下列功能：

  • Looker Studio 整合
  • 風險評估
  • Shadow API Discovery

• 員工身分聯盟使用者無法透過 Cloud Code 中的 Apigee 進行本機開發。

• API 管理 API 不支援員工身分聯盟使用者。

• Apigee Connect API 不支援員工身分聯盟使用者。

• 系統不支援 OAuth 用戶端管理。
• OAuth 品牌管理 不支援這項功能。

• Container Registry 不支援身分聯盟。設定頁面會顯示資訊橫幅，說明 Container Registry 遷移作業 。 .

• 下列功能不支援搭配 BigQuery 使用 Workforce Identity Federation：
  • 連結試算表
  • Google 雲端硬碟
  • 建議
  • 運算單元估算器
• 下列作業不支援員工身分聯盟：
  • 透過 連線 API ，從 Amazon S3 、 Apache Spark 或 Azure Blob 儲存空間 載入資料
  • 從 Google 雲端硬碟 載入資料

analyzeMove 身分聯盟不支援。

• 僅支援 可開立月結單的帳單帳戶 。

• 只有 可開立月結單的帳單帳戶 支援身分聯合。

• 只有在 Composer 2.1.11 以上版本和 Airflow 2.4.3 以上版本中建立的環境，才支援 Workforce Identity Federation。從舊版升級環境不會啟用員工身分聯盟支援功能。
• 從 Airflow 傳送的電子郵件只會包含 Google 帳戶可存取的 Airflow UI 連結。 如要以員工身分聯盟使用者身分存取 Airflow UI，必須手動更新連結 (變更為員工身分聯盟的網址) 。
• Cloud Storage 限制適用於 Cloud Composer 環境值區。

• 登入時選取的語言偏好設定無法在控制台中更新。
• 你無法在「通訊偏好設定」 頁面啟用產品通知、最新消息和優惠。
• 系統不支援根據 Google Cloud 主機活動記錄提供個人化內容。
• 「資訊公開和控制中心」頁面無法使用。

• 由於 員工身分聯盟的 Cloud Billing 限制 ，只有機構管理員可透過設定帳單帳戶時所用的 Google Cloud 帳戶，取得帳單相關支援服務。
• 員工身分聯盟使用者可以上傳支援案件相關檔案，但無法下載。處理您案件的支援工程師可以查看這些檔案。
• 與支援團隊開始互動後，員工身分聯盟使用者的聯絡資訊 (例如電子郵件地址) 就無法變更。
• 員工身分聯盟使用者無法透過即時通訊支援管道建立案件。

• 管理 Cloud Run 服務端點存取權的 IAM 權限 run.routes.invoke 不支援 Workforce Identity Federation。啟用 Cloud Run 適用的 Identity-Aware Proxy ，即可使用這項功能。
• Cloud Run 不支援 Workload Identity Federation。如要允許存取，請使用 服務帳戶模擬 。

• 管理 Cloud Run 服務端點存取權的 IAM 權限 run.routes.invoke 不支援 Workforce Identity Federation。啟用 Cloud Run 適用的 Identity-Aware Proxy ，即可使用這項功能。
• Cloud Run 不支援 Workload Identity Federation。如要允許存取，請使用 服務帳戶模擬 。

• 「App Engine Cron 工作」分頁不適用於員工身分聯盟使用者。
• 目標類型設定中的 App Engine 選項不適用於員工身分聯盟使用者。

• 不支援使用說明小幫手。
• 使用者登入時，MySQL 適用的 Cloud SQL 或 PostgreSQL 適用的 Cloud SQL 資料庫不支援 IAM 資料庫驗證。

• 如要查看物件詳細資料，必須為值區啟用 統一 bucket 層級存取權 。
• 不支援透過 Cloud Run 函式處理。
• 不支援透過 Cloud Data Loss Prevention 掃描。

• 只有 統一值區層級存取權值區，才支援與所有 Cloud Storage API 進行身分同盟。系統會拒絕透過身分同盟存取具有精細 存取控制清單 (ACL) 的值區。
• 雖然所有使用者和工作負載都可以使用現有的 已簽署網址，但身分聯盟使用者和工作負載無法產生已簽署網址。
• 身分聯盟使用者和工作負載無法使用 物件變更通知 。

• App Engine 佇列： 由於 App Engine 佇列 (使用 queue.yaml 或 queue.xml 檔案建立的佇列) 只包含以 App Engine 為目標的工作，因此不支援這些佇列中的工作。
• 一般佇列： 一般 Cloud Tasks 佇列支援使用 HTTP 目標的工作。不支援以 App Engine 為目標的工作 (即使佇列不是 App Engine 佇列)。

• 如要從 Cloud Storage bucket 匯入及匯出圖片，必須為 bucket 啟用 統一 bucket 層級存取權。
• 不含作業系統的解決方案 不支援這項功能。

• 在 Google Cloud 控制台和 API 中新增主體時，系統不會為員工身分聯盟使用者自動完成「群組 ID」文字欄位，也不會提供驗證。
• 員工身分聯盟使用者會依 ID (而非名稱) 識別 Google 群組。

• Dataplex Explore 工作台 不支援員工身分聯盟。
• 透過探索工作台排定的指令碼和筆記本 不支援員工身分聯盟。
• 安全檢視畫面 不支援員工身分聯盟。

• Workforce Identity Federation 使用者可以在「叢集」、「工作」和「批次」清單頁面中，執行建立、查看、更新和刪除作業。員工身分聯盟無法使用工作流程、自動調度資源政策和元件交換功能。
• 您可以建立叢集，但無法建立 Dataproc on GKE 叢集、啟用個人驗證的 Dataproc Compute Engine 叢集，或啟用元件閘道的叢集。
• 員工身分聯盟使用者無法在批次和工作詳細資料頁面中查看「輸出」部分。
• 員工身分聯盟使用者無法使用叢集和工作清單頁面的「建議的快訊」 部分。

• Dataproc on GKE
• Dataproc 個人叢集驗證
• 以 Dataproc 服務帳戶為基礎的多租戶架構

• 安全性規則 不支援員工身分聯盟。
• Key Visualizer 不支援員工身分聯盟。

• 登入任何外部 (GKE Enterprise) 叢集時，員工身分聯盟無法使用「使用 Google 身分」 選項。
• 建立或附加任何外部 (GKE Enterprise) 叢集時，系統不會自動將您新增為 Workforce Identity Federation 的管理員。

• Cloud Marketplace 包含可能不支援員工身分聯盟的 Google 網域連結。
• 使用 Deployment Manager 的所有 VM 產品都會停用「啟動」按鈕，因為 Deployment Manager 不支援員工身分聯盟。
• SaaS 註冊和單一登入 (SSO) 登入不支援員工身分聯盟。
• Producer Portal 不支援員工身分聯盟。
• 「Request Procurement」(要求採購) 不支援員工身分聯盟。
• Service Catalog 不支援員工身分聯盟。

• 員工身分聯盟使用者無法匯出總持有成本報表 (TCO 報表)。
• 員工身分聯盟使用者無法匯出資產。

• 員工身分聯盟不支援從 Earth Engine API 將資料匯出至 Google 雲端硬碟。
• 員工身分聯盟使用者無法使用非由專案管理的舊版 Earth Engine 資產。 Google Cloud

• IAM 表格中的「名稱」 欄不會顯示 Google 身分的顯示名稱。
• 新增主體以允許政策時，「新增主體」 文字欄位僅支援服務帳戶的自動完成功能。
• 「稽核記錄」頁面中的「新增豁免主體」文字欄位僅支援服務帳戶的自動完成功能。

• 在「應用程式」分頁中，「方法」 欄會停用，使用者無法使用外部身分進行授權。
• 「應用程式」分頁無法列出 App Engine 資源。
• 「前往 OAuth 設定」 項目在 more_vert 動作選單中無法使用。
• 在「應用程式」 分頁中，無法新增或列出內部部署連接器。

• 使用 Cloud Build 持續部署 不支援員工身分聯盟。
• 使用 Cloud Domains 註冊網域 不支援員工身分聯盟。

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

如果員工身分聯盟使用者使用 Google Cloud 員工身分聯盟控制台，下列 Policy Intelligence 功能會受到限制：

• 政策疑難排解工具 ： 員工身分聯盟使用者無法在控制台 (聯合) 中排解存取權問題。
• 政策分析工具 ： 員工身分聯盟使用者無法在控制台 (聯合) 中分析存取權。
• Policy Simulator : 員工身分聯盟使用者無法在控制台 (已同盟) 中，模擬允許政策的變更。
• IAM 建議事項 ：員工身分聯盟使用者無法在控制台 (聯盟) 中查看建議事項。

對於同盟身分識別，下列 Policy Intelligence 功能有 API 限制：

• 政策疑難排解工具 : 在允許和拒絕政策中，同盟身分無法檢查 Google 群組的成員資格，也無法在拒絕政策中檢查 Cloud Identity 帳戶 (網域) 的成員資格。當同盟身分呼叫 iam.troubleshoot 方法時，如果角色繫結和拒絕規則包含群組或網域，存取結果會是「Unknown」(不明) ，除非角色繫結或拒絕規則也明確包含主體。

• 呼叫 analyzeIamPolicy 或 analyzeIamPolicyLongrunning 方法時，由於下列原因，聯邦身分可能會收到不完整的分析結果：

  • 同盟身分無法在許可政策中檢查 Google 群組的成員資格。因此，當同盟身分分析主體的存取權時，查詢結果不會包含主體因所屬群組而擁有的權限和角色。
  • 分析存取權時，同盟身分無法啟用「 expand-groups 」選項。

  同盟身分無法使用下列 API 方法：

  • analyzeMove
• 政策 模擬器 ：聯合身分無法使用政策模擬器 API ( policysimulator.googleapis.com )。
• 活動 分析工具 ：同盟身分無法使用 Policy Analyzer API ( policyanalyzer.googleapis.com )。
• IAM 建議工具 ：同盟身分無法使用 Recommender API ( recommender.googleapis.com )。

• 員工身分聯盟使用者無法透過電子郵件設定多重驗證。如需協助，請 聯絡銷售人員 。
• 員工身分聯盟使用者無法使用 Cloud Shell 中的示範網站。

• 員工身分聯盟使用者只能查看及操作已設定員工身分聯盟的機構。使用者加入的其他機構不會顯示在 Google Cloud 控制台中。
• 某些作業需要較長時間才會反映在使用者介面中，例如建立專案或資料夾。

• 員工身分聯盟使用者無法查看使用者事件資訊。
• 員工身分聯盟使用者不支援 Merchant Center 帳戶。
• 放送設定 員工身分聯盟使用者無法查看 Analytics 和使用次數。
• 模型資料要求 會對員工身分聯盟使用者隱藏。

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• 身分同盟使用者必須先透過 Secure Source Manager 執行個體 網頁介面 登入，才能執行下列任一指令：
  • Git CLI 指令
  • 對 資料平面端點 的 API 呼叫
• 身分同盟使用者必須在每個工作階段過期後，透過 Secure Source Manager 執行個體 網頁介面 登入，才能繼續使用 Git SSH CLI 指令搭配使用者 SSH 金鑰。

• 如要使用員工身分聯盟，必須建立新的 Secure Source Manager 執行個體。現有執行個體無法更新。
• 用於 Secure Source Manager 的工作團隊身分集區提供者必須提供 google.subject 和 google.email 屬性對應。
• 您只能使用聯合身分登入已設定使用員工身分聯盟的 Secure Source Manager 執行個體。
• 如果執行個體已設定員工身分聯盟，則不支援接收 Secure Source Manager 的電子郵件通知。

• 您無法使用 Google Cloud 控制台管理安全性狀態服務。

1. 使用 Site Verification API，將服務帳戶新增至網域擁有者。
2. 模擬這個服務帳戶 建立代管服務。

• 系統不支援建立和預覽 Vertex AI 代理程式。
• 系統不支援建立 Google 雲端硬碟資料儲存庫 。

• Vertex AI Workbench 代管型筆記本 ( 已淘汰 ) 不支援員工身分聯盟。
• Vertex AI Workbench 使用者管理的筆記本 ( 已淘汰 ) 不支援 Workforce Identity Federation。

• 存取權政策
• service perimeter 中的輸入和輸出規則

• v1alpha API 無法供聯合身分使用。
• VPC Service Controls 僅支援特定 員工身分聯盟和工作負載身分聯盟主體 ID 。您可以使用這些主體 ID， 在輸入和輸出規則中設定身分群組和第三方身分 。