身份联合：产品和限制

• 性能和备份摘要卡
• 集群表中的数据，例如 CPU 百分比和可用内存

• 员工身份联合用户不支持使用经典版 Apigee 界面。无法使用用于切换到经典版 Apigee 界面的按钮。对于员工身份联合用户，系统不支持以下仅可通过经典版 Apigee 界面访问的功能：

  • Apigee API Monetization
  • 开发者分析
  • 最终用户分析
  • 集成式门户

• 员工身份联合用户不支持预览版中的功能。这包括以下功能：

  • 滥用行为检测
  • API Hub
  • Gemini Code Assist 与 Apigee
  • Looker Studio 集成
  • 风险评估
  • 安全操作
  • Shadow API 探索

• 员工身份联合用户不支持在 Cloud Code 中使用 Apigee 进行本地开发。

• 员工身份联合用户不支持预览版中的功能。这包括以下功能：

  • API Hub API
  • API 管理 API
  • 安全操作 API

• Apigee Connect API 不支持员工身份联合用户。

• 不支持 OAuth 客户端管理。
• 不支持 OAuth 品牌管理。

• Container Registry 不支持身份联合。在 Container Registry 转换的设置页面中有一条信息横幅。

• 以下功能不支持使用 BigQuery 进行员工身份联合：
  • BigQuery BI Engine
  • 关联工作表
  • Google 云端硬盘
  • 托管式灾难恢复
  • 监控
  • 建议
  • 槽 Estimator
• 以下操作不支持员工身份联合：
  • 通过 Connection API 从 Amazon S3 、 Apache Spark 或 Azure Blob Storage 加载数据
  • 从 Google 云端硬盘加载数据

使用 analyzeIamPolicy 或 analyzeIamPolicyLongrunning 方法时，联合身份可能会由于以下原因收到不完整的分析结果：

• 联合身份无法在允许政策中检查 Google 群组的成员资格。因此，当联合身份分析主账号的访问权限时，查询结果不包含主账号因其在群组中的成员资格而拥有的权限和角色。
• 分析访问权限时，联合身份无法启用 expand_groups 选项。

身份联合不支持 analyzeMove 。

• 仅支持账单结算账号。

• 只有账单结算账号支持身份联合。

• Cloud Composer 仅对在 Composer 2.1.11 版或更高版本以及 Airflow 2.4.3 版或更高版本中创建的环境支持员工身份联合。从更低版本升级环境不会启用员工身份联合支持。
• 从 Airflow 发送的电子邮件仅包含 Google 账号可以访问的 Airflow 界面链接。如需以员工身份联合用户的身份访问 Airflow 界面，必须手动更新链接（更改为员工身份联合的网址）。
• Cloud Storage 限制适用于 Cloud Composer 环境存储桶。

• 语言偏好设置是在登录时选择的，无法在控制台中进行更新。
• 无法在资讯接收设置页面上启用产品通知、最新动态和优惠。
• 系统不支持根据您的 Google Cloud 控制台活动进行个性化设置。
• 透明度和控制中心页面不可用。

• 由于员工身份联合的 Cloud Billing 限制，只有组织管理员可以通过用于设置结算账号的 Google Cloud 账号获得与结算相关的支持。
• 员工身份联合用户可以上传（但不能下载）支持请求相关文件。处理支持请求的支持工程师可以看到这些文件。
• 一旦开始与支持团队互动，就无法更改员工身份联合用户的联系详细信息（例如电子邮件地址）。
• 员工身份联合用户无法使用实时聊天支持渠道创建支持请求。

• 使用身份联合登录的用户可以查看 添加到基于指标的政策的突发事件的注解 ，但这些用户无法添加注解。
• 使用身份联合登录的用户可以查看 添加到基于日志的政策的突发事件的注解 ，但这些用户无法添加注解。

• 系统会对员工身份联合停用使用 Cloud Build 进行持续部署。
• 系统不会为员工身份联合列出现有的 VPC 连接器。您必须手动创建它们。

• 系统不会为员工身份联合列出现有的 VPC 连接器。您必须手动创建它们。
• 员工身份联合不支持构建工作器池。
• 员工身份联合不支持部署前测试。

• 员工身份联合用户无法使用“App Engine Cron 作业”标签页。
• 目标类型配置中的 App Engine 选项不适用于员工身份联合用户。

• 不支持帮助助理。
• Cloud SQL for MySQL 或 Cloud SQL for PostgreSQL 数据库不支持对用户登录进行 IAM 数据库身份验证。

• 查看对象详情要求为存储桶启用统一存储桶级访问权限。
• 不支持使用 Cloud Run functions 进行处理。
• 不支持使用 Cloud Data Loss Prevention 进行扫描。

• 只有具有统一存储桶级访问权限的存储桶支持将身份联合与所有 Cloud Storage API 结合使用。身份联合对具有精细访问控制列表 (ACL) 的存储桶的访问会被拒绝。
• 虽然所有用户和工作负载都可以使用现有的签名网址，但身份联合用户和工作负载无法生成签名网址。
• 身份联合用户和工作负载无法使用对象更改通知。

• App Engine 队列： 由于 App Engine 队列（使用 queue.yaml 或 queue.xml 文件创建的队列）仅包含具有 App Engine 目标的任务，因此不支持这些队列中的任务。
• 常规队列： 对于常规 Cloud Tasks 队列，支持具有 HTTP 目标的任务。不支持具有 App Engine 目标的任务（即使该队列不是 App Engine 队列）。

• 在 Cloud Storage 存储桶中导入和导出映像需要为该存储桶启用统一存储桶级访问权限。
• 不支持 VMware Engine。
• 不支持裸金属解决方案。

• 在将主账号添加到 Google Cloud 控制台和 API 中，群组 ID 文本字段不支持自动补全，也不会为员工身份联合用户提供验证。
• 对于员工身份联合用户，Google 群组由其 ID（而不是他们的名称）标识。

• Dataplex Explore Workbench 不支持员工身份联合。
• 通过 Explore Workbench 计划的脚本和笔记本不支持员工身份联合。
• 安全视图不支持员工身份联合。

• 员工身份联合用户可以在集群、作业和批次列表页面中执行创建、查看、更新和删除操作。工作流、自动扩缩政策和组件交换不适用于员工身份联合。
• 集群创建功能可用，但 Dataproc on GKE 集群创建、使用个人身份验证或启用了组件网关的 Dataproc Compute Engine 集群除外。
• 批次和作业详情页面中的输出部分不适用于员工身份联合用户。
• 集群和作业列表页面中的 Recommend Alert 部分不适用于员工身份联合用户。

• Dataproc on GKE
• Dataproc 个人集群身份验证
• 基于 Dataproc 服务账号的安全多租户

• 安全规则不支持员工身份联合。
• Key Visualizer 不支持员工身份联合。

• 登录任何外部 (GKE Enterprise) 集群时，使用您的 Google 身份选项不适用于员工身份联合。
• 创建或关联任何外部 (GKE Enterprise) 集群时，您不会自动添加为员工身份联合的管理员。

• Cloud Marketplace 包含可能不支持员工身份联合的 Google 网域的链接。
• 所有使用 Deployment Manager 的虚拟机产品的启动按钮都会被停用，因为 Deployment Manager 不支持员工身份联合。
• SaaS 注册和 SSO 登录不支持员工身份联合。
• Producer Portal 不支持员工身份联合。
• Request Procurement 不支持员工身份联合。
• Service Catalog 不支持员工身份联合。

• 员工身份联合用户不支持导出总拥有成本报告（TCO 报告）。
• 员工身份联合用户不支持导出资产。

• IAM 表中的名称列不显示 Google 身份的显示名称。
• 将新的主账号添加到允许政策时，添加主账号文本字段仅支持服务账号自动补全。
• 审核日志 页面中的 添加豁免主账号 文本字段仅支持服务账号的自动补全。

• 在“应用”标签页中，方法列处于停用状态，用户无法使用外部身份进行授权。
• 在“应用”标签页中，无法列出 App Engine 资源。
• more_vert 操作菜单中的转到 OAuth 配置项不可用。
• 在应用标签页中，无法添加或列出本地连接器。

• 使用 Cloud Build 进行持续部署不支持员工身份联合。
• 使用 Cloud Domains 注册域名不支持员工身份联合。

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

以下 Policy Intelligence 功能对使用 Google Cloud 员工身份联合控制台的员工身份用户有限制：

• Policy Troubleshooter 员工身份联合用户无法在控制台（联合）中排查访问权限问题。
• Policy Analyzer：员工身份联合用户无法在控制台（联合）中分析访问权限。
• Policy Simulator：员工身份联合用户无法在控制台（联合）中模拟对允许政策的更改。
• IAM Recommender：员工身份联合用户无法在控制台（联合）中查看建议。

以下 Policy Intelligence 功能对联合身份有 API 限制：

• 政策问题排查工具：联合身份无法在允许和拒绝政策中检查 Google 群组的成员资格，也无法在拒绝政策中检查 Cloud Identity 账号（网域）的成员资格。当联合身份调用 iam.troubleshoot 方法时，包含群组或网域的角色绑定和拒绝规则的访问权限结果为未知，除非角色绑定或拒绝规则也明确包含主账号。

• 调用 analyzeIamPolicy 或 analyzeIamPolicyLongrunning 方法时，联合身份可能会由于以下原因收到不完整的分析结果：

  • 联合身份无法在允许政策中检查 Google 群组的成员资格。因此，当联合身份分析主账号的访问权限时，查询结果不包含主账号因其在群组中的成员资格而拥有的权限和角色。
  • 分析访问权限时，联合身份无法启用 expand-groups 选项。

  联合身份无法使用以下 API 方法：

  • analyzeMove
• Policy Simulator：联合身份无法使用 Policy Simulator API ( policysimulator.googleapis.com )。
• Activity Analyzer：联合身份无法使用 Policy Analyzer API ( policyanalyzer.googleapis.com )。
• IAM Recommender：联合身份无法使用 Recommender API ( recommender.googleapis.com )。

• 员工身份联合用户无法配置通过电子邮件进行的多重身份验证。如需帮助，请与销售人员联系。
• 员工身份联合用户不支持 Cloud Shell 中的演示网站。

• 员工身份联合用户只能查看和操作配置了员工身份联合的组织。Google Cloud 控制台中不会显示用户添加到的其他组织。
• 某些操作（例如创建项目或文件夹）反映在界面中的等待时间很长。

• 用户事件信息对员工用户身份联合用户隐藏。
• 员工联合用户不支持 Merchant Center 账号。
• 服务配置分析和用量计数对员工身份联合用户隐藏。
• 模型数据要求对员工身份联合用户隐藏。

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• 身份联合用户必须先通过 Secure Source Manager 实例的 网页界面 登录，然后才能运行以下任一命令：
  • Git CLI 命令
  • 对 数据平面端点 的 API 调用
• 身份联合用户必须在每次会话到期后通过 Secure Source Manager 实例的 网页界面 登录，才能继续将 Git SSH CLI 命令与用户 SSH 密钥配合使用。

• 必须创建新的 Secure Source Manager 实例才能使用员工身份联合。无法更新现有实例。
• 用于 Secure Source Manager 的员工身份池提供方必须提供 google.subject 和 google.email 属性映射。
• 您只能使用联合身份登录已配置为使用员工身份联合的 Secure Source Manager 实例。
• 员工身份联合配置的实例不支持来自 Secure Source Manager 的电子邮件通知。

• 将发现结果导出到 CSV 文件
• 将发现结果导出到 Cloud Storage
• 发送反馈按钮
• 无法在联合环境中管理 Google SecOps 导出设置，因此在持续导出页面中，Google SecOps 横幅不可用。
• “服务启用”页面中告知默认继承启用状态的警告对话框
• 无法使用 Google Cloud 控制台管理安全状况服务。

1. 使用 Site Verification API 向域名所有者添加服务账号。
2. 模拟此服务账号以创建托管式服务。

• 不支持创建和预览 Vertex AI 代理。
• 不支持创建 Google 云端硬盘数据存储区。

• Vertex AI Workbench 托管式笔记本（已弃用）不支持员工身份联合。
• Vertex AI Workbench 用户管理的笔记本（已弃用）不支持员工身份联合。

• 访问权限政策
• 服务边界中的入站和出站流量规则

• v1alpha API 不适用于联合身份。
• VPC Service Controls 仅支持 IAM v1 API 主账号标识符中以 principal 和 principalSet 前缀开头的 v1 员工身份联合和工作负载身份联合主账号。您可以在服务边界入站和出站流量规则中使用这些主账号标识符。