本頁面由 Cloud Translation API 翻譯而成。

身分聯盟：產品和限制

總覽

本頁面詳細說明各項Google Cloud 產品使用員工身分聯盟或Workload Identity Federation (統稱身分聯盟) 時的限制和支援程度。

員工身分聯盟

員工身分聯盟可讓員工、供應商、合作夥伴和其他使用者，透過識別資訊提供者 (IdP) 存取 Google Cloud 產品。員工可以透過 Google Cloud 員工身分聯盟控制台 (也稱為控制台 (已聯合))、Google Cloud CLI 或Google Cloud API 存取。Google Cloud

控制台 (已聯合)、Google Cloud CLI 和 Google Cloud API 的員工身分聯盟限制，列於各產品的 UI 和 API 項目中。

Workload Identity 聯盟

工作負載身分聯盟可讓工作負載使用工作負載提供的身分 (例如 AWS 工作負載的 IAM 角色、GKE 工作負載的 Kubernetes 服務帳戶，或是部署管道的 GitHub 身分)，以程式輔助方式存取Google Cloud 產品。

如要瞭解 Google Cloud CLI 和 API 的工作負載身分聯合限制 (統稱「API 限制」)，請參閱本文稍後各產品的 Google Cloud API limitations 項目。Google Cloud

Google Cloud 產品和限制

本節的表格列出產品、身分同盟支援層級、限制和其他資訊。

機構

限制表格的編排方式如下：

產品：產品名稱。
身分聯盟推出階段：指產品支援身分聯盟的推出階段。推出階段並非指產品本身的推出階段。
說明支援產品的資料欄：

Google Cloud API：與 API 方法相關的產品身分聯合限制，以及存取這些方法的 gcloud CLI 指令。
控制台 (聯盟)：產品的員工身分聯盟相關控制台 (聯盟) UI 限制。
其他：產品身分聯盟相關限制，不屬於 Google Cloud API 或控制台 (已聯盟) 限制。

描述不支援產品的資料欄：

替代方案：如果產品不支援身分聯盟，這個資料欄會說明支援身分聯盟且提供類似功能的替代產品。

產品清單和限制

推出階段

產品身分聯盟推出階段限制

存取權核准

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Access Context Manager

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	`v1alpha` API 不適用於聯合身分。
其他：	沒有已知限制

資料存取透明化控管機制

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Agent Assist

控制台 (已同盟)：	如要搭配 Dialogflow ES 虛擬服務專員使用虛擬服務專員轉接功能，API 呼叫者無法使用員工身分聯盟登入。
Google Cloud API：	將對話記錄匯入 Agent Assist 對話資料集不支援員工身分聯盟。
其他：	沒有已知限制

AlloyDB for PostgreSQL

主控台 (已聯邦)：	使用 Workforce Identity Federation 時，系統不支援下列車隊健康狀態功能：「效能」和「備份」摘要資訊卡叢集表格中的資料，例如 CPU 百分比和可用記憶體
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Anti Money Laundering AI

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

API Gateway

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Apigee

控制台 (已同盟)：	員工身分聯盟使用者無法使用「預覽」功能。包括下列功能： Looker Studio 整合風險評估 Shadow API Discovery 員工身分聯盟使用者無法透過 Cloud Code 中的 Apigee 進行本機開發。
Google Cloud API：	API 管理 API 不支援員工身分聯盟使用者。 Apigee Connect API 不支援員工身分聯盟使用者。
其他：	沒有已知限制

Apigee API Hub

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

API 和服務

主控台 (已聯邦)：	系統不支援 OAuth 用戶端管理。系統不支援 OAuth 品牌管理。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

App Engine

不支援

替代方案：

Google 建議改用 Cloud Run。

App Hub

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Application Integration

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Artifact Registry

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	Container Registry 不支援身分聯盟。設定頁面會顯示資訊橫幅，說明 Container Registry 遷移作業。 .

Assured Workloads

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

備份和災難復原服務

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

批次

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

BigQuery

控制台 (已同盟)：	系統不支援儲存查詢。
Google Cloud API：	沒有已知限制
其他：	下列功能不支援搭配 BigQuery 使用 Workforce Identity Federation：連結試算表 Google 雲端硬碟建議運算單元估算器 Gemini in BigQuery Workforce Identity Federation 使用者無法使用 BigQuery Studio 中的下列資源：查詢筆記本資料畫布管道下列作業不支援員工身分聯盟：透過連線 API ，從 Amazon S3 、 Apache Spark 或 Azure Blob 儲存體載入資料從 Google 雲端硬碟載入資料 Google 雲端硬碟

Bigtable

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

二進位授權

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

區塊鏈分析

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Blockchain Node Engine

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

碳足跡

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

憑證授權單位服務

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Certificate Manager

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

頻道服務

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Asset Inventory

控制台 (已同盟)：	在「IAM 政策」分頁中，員工身分聯盟使用者無法使用「分析完整存取權」按鈕。
Google Cloud API：	`analyzeMove` 身分聯盟不支援。
其他：	沒有已知限制

Cloud Billing

主控台 (已聯邦)：	僅支援可開立月結單的帳單帳戶。
Google Cloud API：	只有可開立月結單的帳單帳戶支援身分聯合。
其他：	沒有已知限制

Cloud Build

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud CDN

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Code

不支援

替代方案：

沒有可用的替代方案

Cloud Composer

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	只有在 Composer 2.1.11 以上版本和 Airflow 2.4.3 以上版本中建立的環境，才支援 Workforce Identity Federation。從舊版升級環境不會啟用員工身分聯盟支援功能。從 Airflow 傳送的電子郵件只會包含 Google 帳戶可存取的 Airflow UI 連結。如要以員工身分聯盟使用者身分存取 Airflow UI，必須手動更新連結 (變更為員工身分聯盟的網址) 。 Cloud Storage 限制適用於 Cloud Composer 環境值區。

Cloud 控制台

控制台 (已同盟)：	員工身分聯盟使用者只能存取 Google Cloud 員工身分聯盟控制台，也就是控制台 (聯合) 。無法存取 Google Cloud 控制台。控制台 (已加入聯盟) 僅提供對支援員工身分聯盟的產品的有限存取權。 Google Cloud 詳情請參閱「關於控制台 (已聯邦化) 」。此外，控制台 (已同盟) 還有下列限制：登入時選取的語言偏好設定無法在主控台中更新。你無法在「通訊偏好設定」頁面啟用產品通知、最新消息和優惠。系統不支援根據 Google Cloud 主機活動記錄提供個人化內容。「資訊公開和控制中心」頁面無法使用。
Google Cloud API：	沒有已知限制
其他：	員工身分聯盟使用者不符合 Google Cloud 免費試用資格。

Cloud Customer Care

主控台 (已聯邦)：	由於員工身分聯盟的 Cloud Billing 限制，只有機構管理員可透過設定帳單帳戶時所用的 Google Cloud 帳戶，取得帳單相關支援服務。員工身分聯盟使用者可以上傳支援案件相關檔案，但無法下載。處理您案件的支援工程師可以查看這些檔案。與支援團隊開始互動後，員工身分聯盟使用者的聯絡資訊 (例如電子郵件地址) 就無法變更。員工身分聯盟使用者無法透過即時通訊支援管道建立案件。
Google Cloud API：	Cloud Support API 不支援身分同盟。
其他：	沒有已知限制

Cloud Data Fusion

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Deploy

主控台 (已聯邦)：	Cloud Storage bucket 必須啟用統一 bucket 層級存取權，才能查看 Cloud Deploy 構件。
Google Cloud API：	沒有已知限制
其他：	透過 Cloud Deploy 建立的 Cloud Storage bucket 會啟用統一 bucket 層級存取權。

Cloud Deployment Manager

不支援

替代方案：

沒有可用的替代方案

Cloud DNS

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	Cloud DNS 對名稱伺服器分片數量設有限制。如要瞭解詳情，請參閱名稱伺服器限制。在分配最終名稱伺服器分片前，Cloud DNS 會驗證網域擁有權，但這項作業無法由同盟身分執行。
其他：	沒有已知限制

Cloud Domains

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Endpoints

不支援

替代方案：

沒有可用的替代方案

Cloud Fleet Routing

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Healthcare API

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud HSM

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

雲端入侵偵測系統

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Key Management Service

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Load Balancing

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Logging

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Mobile App

不支援

替代方案：

沒有可用的替代方案

Cloud Monitoring

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	舊版 Cloud Monitoring 代理程式不支援透過身分同盟傳送指標。員工身分聯盟使用者可以改為安裝作業套件代理程式。

Cloud NAT

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Next Generation Firewall

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Profiler

不支援

替代方案：

沒有可用的替代方案

Cloud Run

控制台 (已同盟)：	使用 Cloud Build 持續部署員工身分聯盟已停用這項功能。
Google Cloud API：	沒有已知限制
其他：	管理 Cloud Run 服務端點存取權的 IAM 權限 `run.routes.invoke` 不支援 Workforce Identity Federation。啟用 Cloud Run 適用的 Identity-Aware Proxy ，即可使用這項功能。 Cloud Run 不支援工作負載身分聯盟。如要允許存取，請使用服務帳戶模擬功能。

Cloud Run functions

主控台 (已聯邦)：	使用 Cloud Build 持續部署員工身分聯盟已停用這項功能。
Google Cloud API：	沒有已知限制
其他：	管理 Cloud Run 服務端點存取權的 IAM 權限 `run.routes.invoke` 不支援 Workforce Identity Federation。啟用 Cloud Run 適用的 Identity-Aware Proxy ，即可使用這項功能。 Cloud Run 不支援工作負載身分聯盟。如要允許存取，請使用服務帳戶模擬功能。

Cloud Scheduler

控制台 (已同盟)：	「App Engine Cron 工作」分頁不適用於員工身分聯盟使用者。目標類型設定中的 App Engine 選項不適用於員工身分聯盟使用者。
Google Cloud API：	Cloud Scheduler API 不支援工作身分同盟，這些工作的 `target` 屬性設為 `appEngineHttpTarget` 。如要使用身分聯盟將工作傳送至 App Engine 目標，請建立工作，並將 `target` `httpTarget` 類型設為 `uri` 欄位，然後將該欄位設為 App Engine 目標的完整 URI 路徑。
其他：	沒有已知限制

Cloud Service Mesh

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	叢集內控制層不支援身分識別聯盟。
其他：	沒有已知限制

Cloud Shell

不支援

替代方案：

Google 建議改用 Cloud Workstations。

Cloud Source Repositories

不支援

替代方案：

沒有可用的替代方案

Cloud SQL

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	不支援使用 Help Assistant。使用者登入時，MySQL 適用的 Cloud SQL 或 PostgreSQL 適用的 Cloud SQL 資料庫不支援 IAM 資料庫驗證。

Cloud Storage

控制台 (已同盟)：	如要查看物件詳細資料，必須為 bucket 啟用統一 bucket 層級存取權。不支援透過 Cloud Run 函式處理。系統不支援透過 Cloud Data Loss Prevention 掃描。
Google Cloud API：	只有具有統一值區層級存取權的值區，才支援與所有 Cloud Storage API 進行身分同盟。系統會拒絕透過身分同盟存取具有精細存取控制清單 (ACL) 的值區。雖然所有使用者和工作負載都可以使用現有的簽署網址，但身分聯盟使用者和工作負載無法產生簽署網址。身分聯盟使用者和工作負載無法使用物件變更通知。
其他：	Google Cloud 以員工身分聯盟憑證為依據的存取權杖無法透過憑證存取權範圍縮小權限範圍。

Cloud Talent Solution

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Tasks

主控台 (已聯邦)：	App Engine 路由覆寫選項不適用於員工身分聯盟使用者。
Google Cloud API：	Cloud Tasks API 不支援具有 App Engine 目標的工作身分同盟，例如： App Engine 佇列：由於 App Engine 佇列 (使用 `queue.yaml` 或 `queue.xml` 檔案建立的佇列) 只包含以 App Engine 為目標的工作，因此系統不支援這些佇列中的工作。一般佇列：一般 Cloud Tasks 佇列支援使用 HTTP 目標的工作。不支援以 App Engine 為目標的工作 (即使佇列不是 App Engine 佇列)。
其他：	沒有已知限制

Cloud Trace

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Translation

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Vision API

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cloud Workstations

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Cluster Director

控制台 (已同盟)：	Cluster Director 不支援控制台 (已加入聯盟) 中的 Workload Identity Federation。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Compute Engine

控制台 (已同盟)：	如要使用「直接透過瀏覽器進行 SSH 連線」，請設定 `google.posix_username`屬性對應。
Google Cloud API：	如要從 Cloud Storage 值區匯入及匯出圖片，必須為該值區啟用統一值區層級存取權。不含作業系統的解決方案不支援這項功能。
其他：	沒有已知限制

機密空間

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

情境感知存取權

控制台 (已聯邦)：	在 Google Cloud 控制台和 API 中新增主體時，「群組 ID」文字欄位不支援自動完成功能，也不會為員工身分聯盟使用者提供驗證。員工身分聯盟使用者會依 ID (而非名稱) 識別 Google 群組。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

對話式洞察

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Data Catalog

主控台 (已聯邦)：	在項目詳細資料頁面的「編輯管理員」對話方塊中，系統不會顯示聯絡人建議。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

資料庫移轉服務

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Dataflow

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Dataform

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Dataplex Universal Catalog

控制台 (已同盟)：	Dataplex Explore Workbench 不支援員工身分聯盟。透過探索工作台排定的指令碼和筆記本不支援員工身分聯盟。安全檢視畫面不支援員工身分聯盟。
Google Cloud API：	探索相關環境和工作階段 Dataplex Universal Catalog 的 API 不支援身分同盟。
其他：	沒有已知限制

Dataproc

主控台 (已聯邦)：	Workforce Identity Federation 使用者可以在「叢集」、「工作」和「批次」清單頁面中，執行建立、查看、更新和刪除作業。員工身分聯盟無法使用工作流程、自動調度資源政策和元件交換功能。您可以使用叢集建立功能，但無法建立 Dataproc on GKE 叢集、啟用個人驗證的 Dataproc Compute Engine 叢集，或啟用元件閘道的叢集。員工身分聯盟使用者無法在「批次」和「工作詳細資料」頁面中查看「輸出」員工身分聯盟使用者無法在「叢集和工作清單」頁面中查看「建議警報」部分。
Google Cloud API：	下列方法不支援身分同盟： Dataproc on GKE Dataproc 個人叢集驗證以 Dataproc 服務帳戶為基礎的多用戶群安全架構
其他：	沒有已知限制

Dataproc Metastore

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Datastore

主控台 (已聯邦)：	Key Visualizer 不支援員工身分聯盟。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Datastream

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Dialogflow

主控台 (已聯邦)：	員工身分聯盟使用者無法在 Google Cloud 控制台使用 Dialogflow ES。
Google Cloud API：	員工身分聯盟僅支援 Dialogflow CX API。
其他：	沒有已知限制

Document AI

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

端點驗證

不支援

替代方案：

沒有可用的替代方案

Enterprise Knowledge Graph

不支援

替代方案：

沒有可用的替代方案

錯誤報告

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Eventarc

主控台 (已聯邦)：	雖然您可以將現有工作流程做為 Eventarc 觸發條件目的地，但員工身分聯盟使用者無法建立新的工作流程。
Google Cloud API：	身分同盟不支援使用`ChannelConnection`資源發布第三方事件。
其他：	沒有已知限制

Filestore

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Firestore

主控台 (已聯邦)：	安全性規則不支援員工身分聯盟。 Key Visualizer 不支援員工身分聯盟。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Gemini

控制台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	Gemini for Google Cloud 授權管理不支援員工身分聯盟。

GKE Enterprise

控制台 (已同盟)：	登入任何外部 (GKE Enterprise) 叢集時，員工身分聯盟無法使用「使用您的 Google 身分」選項。建立或附加任何外部 (GKE Enterprise) 叢集時，系統不會自動將您新增為 Workforce Identity Federation 的管理員。
Google Cloud API：	沒有已知限制
其他：	`gkeadm` 、 `gkectl` 和 `bmctl` 不支援員工身分聯盟。

Google Cloud Armor

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Google Cloud Contact Center as a Service

主控台 (已聯邦)：	員工身分聯盟使用者無法透過 Google Cloud CCaaS 控制台設定 Google Cloud CCaaS。
Google Cloud API：	沒有已知限制
其他：	如要透過 gcloud CLI 設定 Google Cloud CCaaS，員工身分聯盟使用者必須聯絡客戶服務。

Google Cloud Managed Service for Apache Kafka

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	GKE 適用的工作負載身分聯盟支援向開放原始碼 Apache Kafka API 進行驗證。不過，使用機群 Workload Identity Federation for GKE 的用戶端不支援這項功能。或者，您也可以將 Kubernetes 服務帳戶連結至 IAM 。

Google Cloud Marketplace

主控台 (已聯邦)：	Cloud Marketplace 包含 Google 網域的連結，這些網域可能不支援員工身分聯盟。使用 Deployment Manager 的所有 VM 產品都會停用「啟動」按鈕，因為 Deployment Manager 不支援員工身分聯盟。 SaaS 註冊和單一登入 (SSO) 登入不支援員工身分聯盟。 Producer Portal 不支援員工身分聯盟。「Request Procurement」(要求採購) 不支援員工身分聯盟。 Service Catalog 不支援員工身分聯盟。
Google Cloud API：	合作夥伴 API 不支援員工身分聯盟。
其他：	如果帳單帳戶管理員或產品擁有者未提供電子郵件地址，客戶就不會收到通知。

Google Cloud 遷移中心

預覽

主控台 (已聯邦)：	員工身分聯盟使用者無法匯出總持有成本報表 (TCO 報表)。員工身分聯盟使用者無法匯出資產。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Google Cloud NetApp Volumes

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Google Cloud SDK

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Google Distributed Cloud

不支援

替代方案：

沒有可用的替代方案

Google Earth Engine

控制台 (已聯邦)：	Earth Engine 程式碼編輯器不支援員工身分聯盟。
Google Cloud API：	員工身分聯盟不支援從 Earth Engine API 將資料匯出至 Google 雲端硬碟。員工身分聯盟使用者無法使用非由專案管理的舊版 Earth Engine 資產。 Google Cloud
其他：	BigQuery 函式 `ST_REGIONSTATS` 適用於點陣資料，但不支援 Workforce Identity Federation。

Google Kubernetes Engine

控制台 (已聯邦)：	員工身分聯盟不支援 Container Registry 分頁。Artifact Registry 現已推出。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Google Security Operations

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

混合式連線

控制台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

身分與存取權管理

主控台 (已聯邦)：	IAM 表格中的「名稱」欄不會顯示 Google 身分的顯示名稱。新增主體來允許政策時，「新增主體」文字欄位只支援服務帳戶的自動完成功能。「稽核記錄」頁面中的「新增豁免主體」文字欄位僅支援服務帳戶的自動完成功能。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Identity-Aware Proxy

控制台 (已同盟)：	在「應用程式」分頁中，「方法」欄會停用，使用者無法使用外部身分進行授權。「應用程式」分頁無法列出 App Engine 資源。「前往 OAuth 設定」項目在動作選單中無法使用。在「應用程式」分頁中，無法新增或列出內部部署連接器。
Google Cloud API：	只有 gcloud CLI 支援 IAP TCP 轉送資源的聯合身分。
其他：	沒有已知限制

Identity Platform

主控台 (已聯邦)：	系統不支援透過 Google Cloud 員工身分聯盟控制台啟用 Identity Platform。員工身分聯盟管理員必須透過 Firebase Authentication 控制台啟用 Identity Platform，或使用 Cloud Identity 或 Workspace 帳戶登入 Google Cloud 控制台，員工身分聯盟使用者才能透過控制台 (已聯合) 存取 Identity Platform。
Google Cloud API：	`InitializeIdentityPlatform` 不支援身分聯盟。
其他：	沒有已知限制

Immersive Stream for XR

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Integration Connectors

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

金鑰存取依據

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Knative serving

控制台 (已同盟)：	使用 Cloud Build 持續部署不支援員工身分聯盟。使用 Cloud Domains 註冊網域不支援員工身分聯盟。
Google Cloud API：	沒有已知限制
其他：	使用員工身分聯盟時，Knative Serving 需要有叢集和代管 Cloud Service Mesh。

Live Stream API

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Looker (Google Cloud Core)

不支援

替代方案：

沒有可用的替代方案

Looker Studio

不支援

替代方案：

沒有可用的替代方案

Managed Service for Microsoft Active Directory

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	員工身分聯盟使用者無法使用 IAP TCP 轉送存取 Active Directory 管理 VM 。

Media CDN

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Memorystore

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	下列 API 支援身分同盟： Memorystore for Redis Memorystore for Redis Cluster Memorystore for Memcached Memorystore for Valkey
其他：	沒有已知限制

Migrate to Containers

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Migrate to Virtual Machines

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Network Connectivity Center

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Network Intelligence Center

主控台 (已聯邦)：	防火牆洞察無法匯出為 JSON 或 CSV 檔案。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

網路服務級別

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

機構政策服務

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Parallelstore

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Personalized Service Health

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Policy Intelligence

控制台 (已聯邦)：

如果員工身分聯盟使用者透過 Google Cloud 員工身分聯盟控制台使用下列 Policy Intelligence 功能，會受到以下限制：

政策疑難排解工具：員工身分聯盟使用者無法在控制台 (聯合) 中排解存取權問題。
政策分析工具：員工身分聯盟使用者無法在控制台 (聯合) 中分析存取權。
Policy Simulator : 員工身分聯盟使用者無法在控制台 (已同盟) 中，模擬允許政策的變更。
IAM 建議事項：Workforce Identity Federation 使用者無法在控制台 (已同盟) 中查看建議事項。

Google Cloud API：

下列 Policy Intelligence 功能對同盟身分設有 API 限制：

政策疑難排解工具 : 在允許和拒絕政策中，同盟身分無法檢查 Google 群組的成員資格，也無法檢查拒絕政策中 Cloud Identity 帳戶 (網域) 的成員資格。當同盟身分呼叫 iam.troubleshoot 方法時，如果角色繫結和拒絕規則包含群組或網域，存取結果會是「Unknown」(不明) ，除非角色繫結或拒絕規則也明確包含主體。
呼叫 analyzeIamPolicy 或 analyzeIamPolicyLongrunning 方法時，由於下列原因，聯邦身分可能會收到不完整的分析結果：
- 同盟身分無法在許可政策中檢查 Google 群組的成員資格。因此，當同盟身分分析主體的存取權時，查詢結果不會包含主體因所屬群組而擁有的權限和角色。
- 分析存取權時，同盟身分無法啟用「expand-groups」選項。
同盟身分無法使用下列 API 方法：
- analyzeMove
政策模擬器：聯合身分無法使用政策模擬器 API ( policysimulator.googleapis.com )。
活動分析工具：同盟身分無法使用 Policy Analyzer API ( policyanalyzer.googleapis.com )。
IAM Recommender ：同盟身分無法使用 Recommender API ( recommender.googleapis.com )。

其他：沒有已知限制

Private Service Connect

控制台 (已同盟)：	發布服務時，無法使用 DNS 設定。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Privileged Access Manager

主控台 (已聯邦)：	在「Entitlements」(權利) 部分中輸入要求者和核准者主體時，系統只會自動完成服務帳戶名稱。
Google Cloud API：	沒有已知限制
其他：	系統不會在授權和授權項目異動時，自動傳送電子郵件通知。如要傳送通知，管理員或要求者可以明確設定電子郵件地址。

Pub/Sub

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	Pub/Sub Lite API 沒有支援身分聯盟的端點。
其他：	沒有已知限制

reCAPTCHA

主控台 (已聯邦)：	員工身分聯盟使用者無法透過電子郵件設定多重驗證。如需協助，請聯絡銷售人員。員工身分聯盟使用者無法使用 Cloud Shell 中的示範網站。
Google Cloud API：	`MigrateKey` 不支援聯合身分。
其他：	沒有已知限制

建議工具

主控台 (已聯邦)：	Workforce Identity Federation 不支援將建議匯出至 BigQuery。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Resource Manager

控制台 (已同盟)：	員工身分聯盟使用者只能查看及操作已設定員工身分聯盟的機構。使用者加入的其他機構不會顯示在 Google Cloud 控制台中。某些作業需要較長時間才會反映在使用者介面中，例如建立專案或資料夾。
Google Cloud API：	Organizations API 不支援身分識別聯盟。
其他：	沒有已知限制

Retail API

控制台 (已同盟)：	員工身分聯盟使用者無法查看使用者事件資訊。員工身分聯盟使用者不支援 Merchant Center 帳戶。放送設定員工身分聯盟使用者無法查看 Analytics 和使用次數。模型資料要求會對員工身分聯盟使用者隱藏。
Google Cloud API：	下列方法不支援身分同盟： UpdateCatalog ImportCompletionData TuneModel ImportProducts PurgeProducts ImportUserEvents ImportUserEvents PurgeUserEvents RejoinUserEvents
其他：	沒有已知限制

Secret Manager

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Secure Source Manager

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	身分同盟使用者必須先透過 Secure Source Manager 執行個體網頁介面登入，才能執行下列任一指令： Git CLI 指令對資料平面端點發出的 API 呼叫身分同盟使用者必須在每個工作階段過期後，透過 Secure Source Manager 執行個體網頁介面登入，才能繼續使用 Git SSH CLI 指令搭配使用者 SSH 金鑰。
其他：	如要使用員工身分聯盟，必須建立新的 Secure Source Manager 執行個體。現有執行個體無法更新。用於 Secure Source Manager 的工作團隊身分集區提供者必須提供 `google.subject` 和 `google.email` 屬性對應。您只能使用聯合身分登入已設定使用員工身分聯盟的 Secure Source Manager 執行個體。如果執行個體已設定員工身分聯盟，則不支援接收 Secure Source Manager 的電子郵件通知。

Security Command Center

主控台 (已聯邦)：	員工身分聯盟使用者無法使用下列功能：您無法使用 Google Cloud 控制台管理安全性狀態服務。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Sensitive Data Protection

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

無伺服器虛擬私有雲存取

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Service Directory

預覽

控制台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Service Infrastructure

預覽

主控台 (已聯邦)：	不支援在 Cloud Endpoints 中管理配額。
Google Cloud API：	Service Management API : 建立代管服務時，不支援身分同盟。如要驗證網域擁有權並建立受管理服務，請按照下列步驟操作：使用 Site Verification API，將服務帳戶新增至網域擁有者。模擬這個服務帳戶建立代管服務。
其他：	沒有已知限制

Spanner

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Speaker ID

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Speech-to-Text

主控台 (已聯邦)：	只有 v2 使用者介面頁面支援員工身分聯盟。
Google Cloud API：	只有 v2 API 支援身分同盟。
其他：	沒有已知限制

Storage 移轉服務

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Text-to-Speech

控制台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Transcoder API

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Transfer Appliance

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Translation Hub

不支援

替代方案：

沒有可用的替代方案

Vertex AI

主控台 (已聯邦)：	員工身分聯盟使用者建立新的模型監控工作時，Vertex AI 不會預先填入警報電子郵件輸入欄位。
Google Cloud API：	Vertex AI 不會傳送電子郵件給員工身分聯盟使用者。
其他：	Colab Enterprise 不支援員工身分聯盟。

Vertex AI Agent Builder

預覽

主控台 (已聯邦)：	系統不支援建立和預覽 Vertex AI 代理程式。系統不支援建立 Google 雲端硬碟資料儲存庫。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Vertex AI Vision

控制台 (已同盟)：	員工身分聯盟使用者無法播放影片串流。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Vertex AI Workbench

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	Vertex AI Workbench 代管型筆記本 ( 已淘汰 ) 不支援員工身分聯盟。 Vertex AI Workbench 使用者自管筆記本 ( 已淘汰 ) 不支援 Workforce Identity Federation。
其他：	沒有已知限制

Video Intelligence API

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Video Stitcher API

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	設定 Google Ad Manager (GAM) 欄位時，LiveConfig 和 Slate 資源不支援身分識別聯盟。
其他：	沒有已知限制

虛擬私有雲

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

VPC Service Controls

主控台 (已聯邦)：	在下列欄位中新增使用者身分時，系統不支援自動完成建議：存取權政策 service perimeter 的輸入和輸出規則
Google Cloud API：	`v1alpha` API 無法用於聯合身分。 VPC Service Controls 僅支援特定員工身分聯盟和工作負載身分聯盟主體 ID 。您可以使用這些主體 ID，在輸入和輸出規則中設定身分群組和第三方身分。
其他：	沒有已知限制

Web Risk

主控台 (已聯邦)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Workflows

主控台 (已聯邦)：	自動授予功能已停用，因此系統不會授予員工身分聯盟使用者專案的「服務帳戶使用者」( `roles/iam.serviceAccountUser` ) 角色。如要將角色授予員工身分聯盟使用者，請前往「IAM」頁面，並指定員工身分聯盟主體 ID ，或請專案擁有者代為操作。
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

Workload Manager

控制台 (已同盟)：	沒有已知限制
Google Cloud API：	沒有已知限制
其他：	沒有已知限制

身分聯盟：產品和限制 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

總覽

員工身分聯盟

Workload Identity 聯盟

Google Cloud 產品和限制

機構

產品清單和限制

身分聯盟：產品和限制