身份联合:产品和限制

概览

本页面详细介绍了可以使用员工身份联合工作负载身份联合(统称为身份联合)的每个 Google Cloud 产品的限制和支持级别。

员工身份联合

借助员工身份联合,您的员工团队(员工、供应商、合作伙伴和其他用户)可以使用身份提供方 (IdP) 访问 Google Cloud 产品。员工可以通过 Google Cloud 员工身份联合控制台(也称为控制台 [联合])、Google Cloud CLI 或 Google Cloud API 访问 Google Cloud。

控制台(联合)、Google Cloud CLI 和 Google Cloud API 的员工身份联合限制列在每个产品的界面和 API 条目中。

工作负载身份联合

借助工作负载身份联合,您的工作负载可以使用工作负载提供的身份(例如,用于 AWS 工作负载的 IAM 角色、用于 GKE 工作负载的 Kubernetes 服务账号,或用于部署流水线的 GitHub 身份)以程序化方式访问 Google Cloud 产品。

本文档后面部分每个产品的 Google Cloud API limitations 条目中列出了 Google Cloud CLI 和 Google Cloud API 的工作负载身份联合限制,统称为 API 限制

VPC Service Controls 用户:由于工作负载的服务边界入站和出站规则仅支持服务账号,因此工作负载身份联合工作负载只能通过服务账号模拟访问边界内的资源。了解如何为联合工作负载使用服务账号模拟

Google Cloud 产品和限制

本部分中的表列出了产品、它们对身份联合的支持级别、限制以及其他信息。

组织

限制表按以下方式组织:

  • 产品:产品名称。
  • 身份联合发布阶段:是指产品对身份联合的支持的发布阶段。发布阶段是指产品的发布阶段,而非产品本身的发布阶段。
  • 描述支持的产品的列
    • Google Cloud API:产品的与 API 方法以及访问这些方法的 gcloud CLI 命令关联的身份联合相关限制。
    • 控制台(联合):产品的员工身份联合相关的控制台(联合)界面限制。
    • 其他:产品的不属于 Google Cloud API 或控制台(联合)限制的身份联合相关限制。
  • 描述不支持的产品的列
    • 替代方案:对于不支持身份联合的产品,此列描述了支持身份联合并提供类似功能的替代产品。

产品和限制列表

发布阶段
产品 身份联合发布阶段 限制

访问权限审批

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

Access Context Manager

GA
控制台(联合): 没有已知的限制
Google Cloud API: v1alpha API 不适用于联合身份。
其他: 没有已知的限制

Access Transparency

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

Agent Assist

GA
控制台(联合): 如需将 虚拟客服人员接力 与 Dialogflow ES 客服人员搭配使用,API 调用方无法使用员工身份联合功能进行登录。
Google Cloud API: Agent Assist 将对话转写导入对话数据集的功能 不支持员工身份联合。
其他: 没有已知的限制

AlloyDB for PostgreSQL

GA
控制台(联合): 使用员工身份联合时,不支持以下舰队健康功能:
  • 性能和备份摘要卡
  • 集群表中的数据,例如 CPU 百分比和可用内存
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

反洗钱 AI

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

API Gateway

不受支持
其他选项: 无可用替代方案

Apigee

GA
控制台(联合):
  • 员工身份联合用户不支持使用经典版 Apigee 界面。切换到经典版 Apigee 界面的按钮不可用。员工身份联合用户不支持以下仅可通过经典版 Apigee 界面访问的功能:

    • Apigee API Monetization
    • 开发者分析
    • 最终用户分析
    • 集成式门户
  • 员工身份联合用户不支持预览版中的功能。这包括以下功能:

    • 滥用行为检测
    • API Hub
    • Gemini Code Assist 与 Apigee 搭配使用
    • Looker Studio 集成
    • 风险评估
    • 安全操作
    • Shadow API 发现
  • 员工身份联合用户不支持在 Cloud Code 中使用 Apigee 进行本地开发。

Google Cloud API:
其他: 没有已知的限制

Apigee API Hub

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

API 和服务

GA
控制台(联合):
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

App Engine

不受支持
其他选项: Google 建议您改用 Cloud Run。

App Hub

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

Application Integration

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

Artifact Registry

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他:
  • Container Registry 不支持身份联合。在 Container Registry 转换的设置页面中有一条信息横幅。

Assured Workloads

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

备份和灾难恢复服务

预览版
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

Batch

GA
控制台(联合): 没有已知的限制
Google Cloud API: 没有已知的限制
其他: 没有已知的限制

BigQuery

GA
控制台(联合): 不支持保存查询。
Google Cloud API:
  • BigQuery Migration Service 不支持身份联合。
  • 其他:

    Bigtable

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Binary Authorization

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    区块链分析

    预览版
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Blockchain Node Engine

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    碳足迹

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Certificate Authority Service

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Certificate Manager

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    渠道服务

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Asset Inventory

    GA
    控制台(联合): IAM 政策标签页中,员工身份联合用户无法使用分析完整访问权限按钮。
    Google Cloud API:

    使用 analyzeIamPolicy analyzeIamPolicyLongrunning 方法时,联合身份可能会由于以下原因收到不完整的分析结果:

    • 联合身份无法在允许政策中检查 Google 群组的成员资格。因此,当联合身份分析主账号的访问权限时,查询结果不包含主账号因其在群组中的成员资格而拥有的权限和角色。
    • 分析访问权限时,联合身份无法启用 expand_groups 选项。

    身份联合不支持 analyzeMove

    其他: 没有已知的限制

    Cloud Billing

    GA
    控制台(联合):
    Google Cloud API:
    其他: 没有已知的限制

    Cloud Build

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud CDN

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Code

    不受支持
    其他选项: 无可用替代方案

    Cloud Composer

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他:
    • Cloud Composer 仅对在 Composer 2.1.11 版或更高版本以及 Airflow 2.4.3 版或更高版本中创建的环境支持员工身份联合。从更低版本升级环境不会启用员工身份联合支持。
    • 从 Airflow 发送的电子邮件仅包含 Google 账号可以访问的 Airflow 界面链接。如需以员工身份联合用户的身份访问 Airflow 界面,必须手动更新链接(更改为员工身份联合的网址)。
    • Cloud Storage 限制适用于 Cloud Composer 环境存储桶。

    Cloud 控制台

    GA
    控制台(联合): 员工身份联合用户只能访问 Google Cloud 员工身份联合控制台,也称为控制台(联合)。 他们无法访问 Google Cloud 控制台。控制台(联合)仅提供对支持员工身份联合的 Google Cloud 产品的有限访问权限。如需了解详情,请参阅控制台(联合)简介。此外,控制台(联合)存在以下限制:
    • 语言偏好设置是在登录时选择的,无法在控制台中进行更新。
    • 无法在资讯接收设置页面上启用产品通知、最新动态和优惠。
    • 系统不支持根据您的 Google Cloud 控制台活动进行个性化设置。
    • 透明度和控制中心页面不可用。
    Google Cloud API: 没有已知的限制
    其他: 员工身份联合用户不符合参与 Google Cloud 免费试用的条件。

    Cloud Customer Care

    GA
    控制台(联合):
    • 由于员工身份联合的 Cloud Billing 限制,只有组织管理员可以通过用于设置结算账号的 Google Cloud 账号获得与结算相关的支持。
    • 员工身份联合用户可以上传(但不能下载)支持请求相关文件。处理支持请求的支持工程师可以看到这些文件。
    • 一旦开始与支持团队互动,就无法更改员工身份联合用户的联系详细信息(例如电子邮件地址)。
    • 员工身份联合用户无法使用实时聊天支持渠道创建支持请求。
    Google Cloud API: Cloud Support API 不支持身份联合。
    其他: 没有已知的限制

    Cloud Data Fusion

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Deploy

    GA
    控制台(联合): Cloud Storage 存储桶必须启用统一存储桶级访问权限才能查看 Cloud Deploy 工件。
    Google Cloud API: 没有已知的限制
    其他: 通过 Cloud Deploy 创建的 Cloud Storage 存储桶启用了统一存储桶级访问权限

    Cloud Deployment Manager

    不受支持
    其他选项: 无可用替代方案

    Cloud DNS

    GA
    控制台(联合): Cloud Domains 页面不可用。
    Google Cloud API: Cloud DNS 对域名服务器分片数量有限制。如需了解详情,请参阅域名服务器限制。 在分配最终域名服务器分片之前,Cloud DNS 会验证网域的所有权,此操作无法由联合身份执行。
    其他: 没有已知的限制

    Cloud Domains

    不受支持
    其他选项: 无可用替代方案

    Cloud Endpoints

    不受支持
    其他选项: 无可用替代方案

    Cloud 车队路线安排

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Healthcare API

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud HSM

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Intrusion Detection System

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Key Management Service

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Load Balancing

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Logging

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Mobile App

    不受支持
    其他选项: 无可用替代方案

    Cloud Monitoring

    GA
    控制台(联合):
    Google Cloud API: 没有已知的限制
    其他: 旧版 Cloud Monitoring 代理不支持使用身份联合发送指标。但员工身份联合用户可以安装 Ops Agent

    Cloud NAT

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud 新一代防火墙

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Profiler

    不受支持
    其他选项: 无可用替代方案

    Cloud Run

    GA
    控制台(联合):
    Google Cloud API: 没有已知的限制
    其他: 管理 Cloud Run 服务端点的访问权限的 IAM 权限 run.routes.invoke 不支持员工身份联合。

    Cloud Run 函数

    GA
    控制台(联合):
    • 系统不会为员工身份联合列出现有的 VPC 连接器。您必须手动创建它们。
    • 员工身份联合不支持构建工作器池
    • 员工身份联合不支持部署前测试。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Scheduler

    GA
    控制台(联合):
    • 员工身份联合用户无法使用“App Engine Cron 作业”标签页。
    • 目标类型配置中的 App Engine 选项不适用于员工身份联合用户。
    Google Cloud API: Cloud Scheduler API 不支持将其 target 属性设置为 appEngineHttpTarget 的作业的身份联合。 如需使用身份联合将作业发送到 App Engine 目标,请创建作业,并将 target 类型设置为 httpTarget ,将 uri 字段设置为 App Engine 目标的完整 URI 路径。
    其他: 没有已知的限制

    Cloud Service Mesh

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 集群内控制平面不支持身份联合。
    其他: 没有已知的限制

    Cloud Shell

    不受支持
    其他选项: Google 建议您改用 Cloud Workstations。

    Cloud Source Repositories

    不受支持
    其他选项: 无可用替代方案

    Cloud SQL

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他:

    Cloud Storage

    GA
    控制台(联合):
    • 查看对象详情要求为存储桶启用统一存储桶级访问权限
    • 不支持使用 Cloud Run functions 进行处理。
    • 不支持使用 Cloud Data Loss Prevention 进行扫描。
    Google Cloud API:
    其他: 基于员工身份联合凭据的 Google Cloud 访问令牌无法通过凭据访问边界缩小范围。

    Cloud Talent Solution

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Tasks

    GA
    控制台(联合): App Engine 路由替换选项不适用于员工身份联合用户。
    Google Cloud API: Cloud Tasks API 不支持身份联合用于具有 App Engine 目标的任务,例如:
    • App Engine 队列: 由于 App Engine 队列(使用 queue.yaml queue.xml 文件创建的队列)仅包含具有 App Engine 目标的任务,因此不支持这些队列中的任务。
    • 常规队列: 对于常规 Cloud Tasks 队列,支持具有 HTTP 目标的任务。不支持具有 App Engine 目标的任务(即使该队列不是 App Engine 队列)。
    其他: 没有已知的限制

    Cloud Trace

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Translation

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Vision API

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Cloud Workstations

    GA
    控制台(联合): 想要启动 Cloud Workstations 的员工身份联合用户必须使用 Google Cloud 控制台或 Workstations API。如需使用 Workstation API,请参阅在浏览器中连接到工作站
    例如,如果您之前将工作站添加为书签,,则员工身份联合不支持通过直接访问现有工作站来重新进行身份验证。但是,员工身份联合用户可以重新进行身份验证,如本部分前面部分中所述。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Compute Engine

    GA
    控制台(联合): 要使用 SSH-in-browser ,您必须设置 google.posix_username 属性映射
    Google Cloud API:
    其他: 没有已知的限制

    Confidential Space

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    情境感知访问权限

    GA
    控制台(联合):
    • 将主账号添加到 Google Cloud 控制台和 API 中,群组 ID 文本字段不支持自动补全,也不会为员工身份联合用户提供验证。
    • 对于员工身份联合用户,Google 群组由其 ID(而不是他们的名称)标识。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    对话分析洞见

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Data Catalog

    GA
    控制台(联合): 条目详情页面上的管理员对话框中不会显示联系人建议。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Database Migration Service

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Dataflow

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: google.dataflow.v1beta3.SqlValidator.Validate :Dataflow SQL Validator API 不支持身份联合。
    其他: 没有已知的限制

    Dataform

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Dataplex

    GA
    控制台(联合):
    Google Cloud API: 身份联合不支持探索 Dataplex 上的相关环境会话 API。
    其他: 没有已知的限制

    Dataproc

    GA
    控制台(联合):
    • 员工身份联合用户可以在集群、作业和批次列表页面中执行创建、查看、更新和删除操作。工作流、自动扩缩政策和组件交换不适用于员工身份联合。
    • 集群创建功能可用,但 Dataproc on GKE 集群创建、使用个人身份验证或启用了组件网关的 Dataproc Compute Engine 集群除外。
    • 批次和作业详情页面中的输出部分不适用于员工身份联合用户。
    • 集群和作业列表页面中的 Recommend Alert 部分不适用于员工身份联合用户。
    Google Cloud API: 以下方法不支持身份联合:
    其他: 没有已知的限制

    Dataproc Metastore

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Datastore

    GA
    控制台(联合): Key Visualizer 不支持员工身份联合。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Datastream

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Dialogflow

    GA
    控制台(联合): 对于员工身份联合用户,Google Cloud 控制台不支持 Dialogflow ES。
    Google Cloud API: 只有 Dialogflow CX API 支持员工身份联合。
    其他: 没有已知的限制

    Document AI

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    端点验证

    不受支持
    其他选项: 无可用替代方案

    Enterprise Knowledge Graph

    不受支持
    其他选项: 无可用替代方案

    Error Reporting

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Eventarc

    GA
    控制台(联合): 虽然您可以将现有的工作流用作 Eventarc 触发器目标,但员工身份联合用户无法创建新的工作流。
    Google Cloud API: 身份联合不支持使用 ChannelConnection 资源进行第三方事件发布
    其他: 没有已知的限制

    Filestore

    GA
    控制台(联合): 结算信息不会显示在 实例创建 实例修改 以及 将备份恢复到新实例 页面上。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Firestore

    GA
    控制台(联合):
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Gemini

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: Google Cloud 专用 Gemini 许可管理 不支持员工身份联合。

    GKE Enterprise

    GA
    控制台(联合):
    • 登录任何外部 (GKE Enterprise) 集群时,使用您的 Google 身份选项不适用于员工身份联合。
    • 创建或关联任何外部 (GKE Enterprise) 集群时,您不会自动添加为员工身份联合的管理员。
    Google Cloud API: 没有已知的限制
    其他: gkeadm gkectl bmctl 不支持员工身份联合。

    Google Cloud Armor

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Google Cloud Contact Center 即服务

    GA
    控制台(联合): 员工身份联合用户无法通过 Google Cloud CCaaS 控制台设置 Google Cloud CCaaS。
    Google Cloud API: 没有已知的限制
    其他: 如需通过 gcloud CLI 设置 Google Cloud CCaaS, 员工身份联合 用户必须与客户服务联系。

    Google Cloud Managed Service for Apache Kafka

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 使用 Workload Identity Federation for GKE 的客户端不支持通过 OAuthBearer 机制 对开源 Apache Kafka API 进行身份验证。或者,您也可以 将 Kubernetes ServiceAccount 关联到 IAM

    Google Cloud Marketplace

    GA
    控制台(联合):
    • Cloud Marketplace 包含可能不支持员工身份联合的 Google 网域的链接。
    • 所有使用 Deployment Manager 的虚拟机产品的启动按钮都会被停用,因为 Deployment Manager 不支持员工身份联合。
    • SaaS 注册和 SSO 登录不支持员工身份联合。
    • Producer Portal 不支持员工身份联合。
    • Request Procurement 不支持员工身份联合。
    • Service Catalog 不支持员工身份联合。
    Google Cloud API: Partner API 不支持员工身份联合。
    其他: 如果结算账号管理员或产品所有者未提供电子邮件地址,则客户不会收到通知。

    Google Cloud Migration Center

    预览版
    控制台(联合):
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Google Cloud NetApp Volumes

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Google Cloud SDK

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: RubyPHP Cloud 客户端库不支持员工身份联合。

    Google Distributed Cloud

    不受支持
    其他选项: 无可用替代方案

    Google Earth Engine

    不受支持
    其他选项: 无可用替代方案

    Google Kubernetes Engine

    GA
    控制台(联合): 员工身份联合无法使用 Container Registry 标签页。可以使用 Artifact Registry。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Google Security Operations

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    混合连接

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Identity and Access Management

    GA
    控制台(联合):
    • IAM 表中的名称列不显示 Google 身份的显示名称。
    • 将新的主账号添加到允许政策时,添加主账号文本字段仅支持服务账号自动补全。
    • 审核日志 页面中的 添加豁免主账号 文本字段仅支持服务账号的自动补全。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Identity-Aware Proxy

    预览版
    控制台(联合):
    • 在“应用”标签页中,方法列处于停用状态,用户无法使用外部身份进行授权。
    • 在“应用”标签页中,无法列出 App Engine 资源。
    • 操作菜单中的转到 OAuth 配置项不可用。
    • 应用标签页中,无法添加或列出本地连接器。
    Google Cloud API: 只有 gcloud CLI 支持用于 IAP TCP 转发资源的联合身份。
    其他: 没有已知的限制

    Identity Platform

    GA
    控制台(联合): 不支持通过 Google Cloud 员工身份联合控制台启用 Identity Platform。员工身份联合管理员必须通过 Firebase Authentication 控制台或者通过使用 Cloud Identity 或 Workspace 账号登录 Google Cloud 控制台来启用 Identity Platform,然后员工身份联合用户才能通过控制台(联合)访问 Identity Platform。
    Google Cloud API: InitializeIdentityPlatform 不支持身份联合。
    其他: 没有已知的限制

    Immersive Stream for XR

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Integration Connectors

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Key Access Justifications

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Knative serving

    GA
    控制台(联合):
    Google Cloud API: 没有已知的限制
    其他: 使用员工身份联合时,Knative serving 需要一个使用托管式 Cloud Service Mesh 的集群。

    Live Stream API

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Looker (Google Cloud Core)

    预览版
    控制台(联合): 员工身份联合用户可以创建、更新和删除实例,但不能访问各个实例。
    Google Cloud API: 身份联合用户只能管理实例(例如创建、更新和删除实例),但不能访问各个实例。
    其他: 没有已知的限制

    Looker Studio

    不受支持
    其他选项: 无可用替代方案

    Managed Service for Microsoft Active Directory

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 员工身份联合用户无法使用 IAP TCP 转发来访问 Active Directory 管理虚拟机

    媒体 CDN

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Memorystore

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 以下 API 支持身份联合:
    其他: 没有已知的限制

    Migrate to Containers

    预览版
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Migrate to Virtual Machines

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Network Connectivity Center

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Network Intelligence Center

    GA
    控制台(联合): 防火墙数据分析无法导出为 JSON 或 CSV。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Network Service Tiers

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    组织政策服务

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Personalized Service Health

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Policy Intelligence

    GA
    控制台(联合):

    以下 Policy Intelligence 功能对使用 Google Cloud 员工身份联合控制台的员工身份用户有限制:

    • Policy Troubleshooter 员工身份联合用户无法在控制台(联合)中排查访问权限问题。
    • Policy Analyzer:员工身份联合用户无法在控制台(联合)中分析访问权限。
    • Policy Simulator:员工身份联合用户无法在控制台(联合)中模拟对允许政策的更改。
    • IAM Recommender:员工身份联合用户无法在控制台(联合)中查看建议。
    Google Cloud API:

    以下 Policy Intelligence 功能对联合身份有 API 限制:

    • 政策问题排查工具:联合身份无法在允许和拒绝政策中检查 Google 群组的成员资格,也无法在拒绝政策中检查 Cloud Identity 账号(网域)的成员资格。当联合身份调用 iam.troubleshoot 方法时,包含群组或网域的角色绑定和拒绝规则的访问权限结果为未知,除非角色绑定或拒绝规则也明确包含主账号。
    • 调用 analyzeIamPolicy analyzeIamPolicyLongrunning 方法时,联合身份可能会由于以下原因收到不完整的分析结果:

      • 联合身份无法在允许政策中检查 Google 群组的成员资格。因此,当联合身份分析主账号的访问权限时,查询结果不包含主账号因其在群组中的成员资格而拥有的权限和角色。
      • 分析访问权限时,联合身份无法启用 expand-groups 选项。

      联合身份无法使用以下 API 方法:

    • Policy Simulator:联合身份无法使用 Policy Simulator API ( policysimulator.googleapis.com )。
    • Activity Analyzer:联合身份无法使用 Policy Analyzer API ( policyanalyzer.googleapis.com )。
    • IAM Recommender:联合身份无法使用 Recommender API ( recommender.googleapis.com )。
    其他: 没有已知的限制

    Private Service Connect

    GA
    控制台(联合): 发布服务时,DNS 配置不可用。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Pub/Sub

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: Pub/Sub Lite API 没有支持身份联合的端点。
    其他: 没有已知的限制

    reCAPTCHA

    GA
    控制台(联合):
    • 员工身份联合用户无法配置通过电子邮件进行的多重身份验证。如需帮助,请与销售人员联系
    • 员工身份联合用户不支持 Cloud Shell 中的演示网站。
    Google Cloud API: 联合身份不支持 MigrateKey
    其他: 没有已知的限制

    Recommender

    GA
    控制台(联合): 员工身份联合不支持将建议导出到 BigQuery
    Google Cloud API: 没有已知的限制
    其他: Recommender 可以推荐员工身份联合不支持的产品和功能。

    Resource Manager

    GA
    控制台(联合):
    • 员工身份联合用户只能查看和操作配置了员工身份联合的组织。Google Cloud 控制台中不会显示用户添加到的其他组织。
    • 某些操作(例如创建项目或文件夹)反映在界面中的等待时间很长。
    Google Cloud API: Organizations API 不支持身份联合。
    其他: 没有已知的限制

    Retail API

    GA
    控制台(联合):
    Google Cloud API: 以下方法不支持身份联合:
    其他: 没有已知的限制

    Secret Manager

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Secure Source Manager

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API:
    • 身份联合用户必须先通过 Secure Source Manager 实例的 网页界面 登录,然后才能运行以下任一命令:
    • 身份联合用户必须在每次会话过期后通过 Secure Source Manager 实例的 网页界面 登录,才能继续使用 Git SSH CLI 命令和用户 SSH 密钥。
    其他:
    • 您必须创建新的 Secure Source Manager 实例,才能使用员工身份联合。现有实例无法更新。
    • 用于 Secure Source Manager 的员工身份池提供方必须提供 google.subject google.email 属性映射。
    • 您只能使用联合身份登录配置为使用员工身份联合的 Secure Source Manager 实例。
    • 配置了员工身份联合的服务器不支持来自 Secure Source Manager 的电子邮件通知。

    Security Command Center

    GA
    控制台(联合): 员工身份联合用户无法使用以下功能:
    • 将发现结果导出到 CSV 文件
    • 将发现结果导出到 Cloud Storage
    • 发送反馈按钮
    • 无法在联合环境中管理 Google SecOps 导出设置,因此在持续导出页面中,Google SecOps 横幅不可用。
    • “服务启用”页面中告知默认继承启用状态的警告对话框
    • 无法使用 Google Cloud 控制台管理安全状况服务。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Sensitive Data Protection

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    无服务器 VPC 访问通道

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Service Directory

    预览版
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Service Infrastructure

    预览版
    控制台(联合): 不支持在 Cloud Endpoints 中管理配额。
    Google Cloud API: Service Management API:创建托管式服务不支持身份联合。 如需验证域名所有权并创建托管式服务,请执行以下操作:
    1. 使用 Site Verification API 向域名所有者添加服务账号
    2. 模拟此服务账号以创建托管式服务。
    其他: 没有已知的限制

    Spanner

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Speaker ID

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Speech-to-Text

    GA
    控制台(联合): 只有 v2 界面页面支持员工身份联合。
    Google Cloud API: 只有 v2 API 支持身份联合。
    其他: 没有已知的限制

    Storage Transfer Service

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Text-to-Speech

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Transcoder API

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Transfer Appliance

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Translation Hub

    不受支持
    其他选项: 无可用替代方案

    Vertex AI

    GA
    控制台(联合): 当员工身份联合用户创建新的模型监控作业时,Vertex AI 不会使用其电子邮件地址预填充提醒电子邮件输入。
    Google Cloud API: Vertex AI 不会向员工身份联合用户发送电子邮件。
    其他: Colab Enterprise 不支持员工身份联合。

    Vertex AI Agent Builder

    预览版
    控制台(联合):
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Vertex AI Vision

    GA
    控制台(联合): 视频串流播放不适用于员工身份联合用户。
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Vertex AI Workbench

    预览版
    控制台(联合): 没有已知的限制
    Google Cloud API:
    其他: 没有已知的限制

    Video Intelligence API

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    Video Stitcher API

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 设置 Google Ad Manager (GAM) 字段后,LiveConfig 和 Slate 资源不支持身份联合。
    其他: 没有已知的限制

    虚拟私有云

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    VPC Service Controls

    预览版
    控制台(联合): 在以下字段中添加用户身份时,不支持自动补全建议:
    Google Cloud API:
    其他: 没有已知的限制

    Web Risk

    GA
    控制台(联合): 没有已知的限制
    Google Cloud API: 没有已知的限制
    其他: 没有已知的限制

    工作流

    GA
    控制台(联合): 用于为员工身份联合用户授予项目的 Service Account User ( roles/iam.serviceAccountUser ) 角色的授予按钮处于非活跃状态。
    Google Cloud API: WorkflowsWorkflow Executions API 支持身份联合;但是,在工作流执行期间调用其他服务时,不支持身份联合。
    其他: 没有已知的限制