员工身份联合:支持的产品和限制

概览

本页面包含支持员工身份联合的 Google Cloud 产品列表以及已知的产品限制列表。

员工身份联合为客户提供使用原生或其他 Cloud 身份访问 Google Cloud 产品的权限。

Google Cloud 产品和限制

本部分列出了支持员工身份联合的产品及其相关限制。

支持的产品 身份联合发布阶段 限制

访问权限审批

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Access Context Manager

GA
界面: 没有已知的限制
API:
其他: 没有已知的限制

AlloyDB for PostgreSQL

GA
界面: 使用员工身份联合时,不支持以下舰队健康功能:
  • 性能和备份摘要卡
  • 集群表中的数据,例如 CPU 百分比和可用内存
API: 没有已知的限制
其他: 没有已知的限制

GKE Enterprise

GA
界面:
  • 登录任何外部 (GKE Enterprise) 集群时,使用您的 Google 身份选项不适用于员工身份联合。
  • 创建或关联任何外部 (GKE Enterprise) 集群时,您不会自动添加为员工身份联合的管理员。
API: 以下 API 不支持员工身份联合:
其他: gkeadm gkectl bmctl 不支持员工身份联合。

反洗钱 AI

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

API 和服务

GA
界面:
API: 没有已知的限制
其他: 没有已知的限制

Artifact Registry

GA
界面: 没有已知的限制
API: 没有已知的限制
其他:
  • Container Registry 不支持身份联合。在 Container Registry 转换的设置页面中有一条信息横幅。

Assured Workloads

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

BigQuery

GA
界面:
  • 不支持计划查询。
  • 不支持保存查询。
API:
其他:
  • 以下功能不支持员工身份与 BigQuery 的联合:
  • 以下操作不支持员工身份联合:
    • 从 Amazon S3、Azure Blob Storage 或 Google 云端硬盘加载数据。

Binary Authorization

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Certificate Authority Service

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Certificate Manager

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Chronicle

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Asset Inventory

GA
界面: IAM 政策标签页中,员工身份联合用户无法使用分析完整访问权限按钮。
API: 没有已知的限制
其他: 没有已知的限制

Cloud Bigtable

GA
界面: 界面费用计算器不适用于员工身份联合用户。
API: 没有已知的限制
其他: 没有已知的限制

Cloud Billing

GA
界面:
API:
其他: 没有已知的限制

Cloud Build

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud CDN

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Composer

GA
界面: 没有已知的限制
API: 没有已知的限制
其他:
  • Cloud Composer 仅对在 Composer 2.1.11 版或更高版本以及 Airflow 2.4.3 版或更高版本中创建的环境支持员工身份联合。从更早版本升级环境不会启用员工身份联合支持。
  • 从 Airflow 发送的电子邮件仅包含 Google 账号可以访问的 Airflow 界面链接。如需以员工身份联合用户的身份访问 Airflow 界面,必须手动更新链接(更改为员工身份联合用户的网址)。
  • Cloud Storage 限制适用于 Cloud Composer 环境存储桶。

Cloud 控制台

GA
界面: 员工身份联合用户只能访问 Google Cloud 员工身份联合控制台,也称为控制台(联合)。他们无法访问 Google Cloud 控制台。控制台(联合)仅提供对支持员工身份联合的 Google Cloud 产品的有限访问权限。如需了解详情,请参阅控制台(联合)简介。此外,控制台(联合)存在以下限制:
  • 语言偏好设置是在登录时选择的,无法在控制台中进行更新。
  • 无法在资讯接收设置页面上启用产品通知、最新动态和优惠。
  • 系统不支持根据您的 Cloud 控制台活动进行个性化设置。
  • Recommendation Hub 页面不可用。
  • 透明度和控制中心 页面不可用。
API: 没有已知的限制
其他: 员工身份联合用户不符合参与 Google Cloud 免费试用的条件。

Cloud Customer Care

GA
界面:
  • 由于员工身份联合的 Cloud Billing 限制,只有组织管理员可以通过用于设置结算账号的 Google Cloud 账号获得与结算相关的支持。
  • 员工身份联合用户可以上传(但不能下载)支持请求相关文件。处理支持请求的支持工程师可以看到这些文件。
  • 一旦开始与支持团队互动,就无法更改员工身份联合用户的联系详细信息(例如电子邮件地址)。
API: Cloud Support API 不支持员工身份联合。
其他: 没有已知的限制

Cloud Data Fusion

GA
界面: 员工身份联合用户可以创建、更新和删除实例,但不能访问各个实例。
API: 员工身份联合用户只能管理实例(例如创建、更新和删除实例),但不能访问各个实例。
其他: 没有已知的限制

Cloud Deploy

GA
界面: Cloud Storage 存储桶必须启用统一存储桶级访问权限才能查看 Cloud Deploy 工件。
API: 没有已知的限制
其他: 通过 Cloud Deploy 创建的 Cloud Storage 存储桶启用了统一存储桶级访问权限

Cloud DNS

GA
界面: Cloud Domains 页面不可用。
API: Cloud DNS 对域名服务器分片数有限制。如需了解详情,请参阅 域名服务器限制 。在分配最终域名服务器分片之前,Cloud DNS 会验证网域的所有权,但无法为员工身份联合用户执行该操作。
其他: 没有已知的限制

Cloud Firewall

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud 车队路线安排

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Functions

GA
界面:
  • 不为员工身份联合列出现有的 VPC 连接器。您必须手动创建它们。
  • 员工身份联合不支持构建工作器池
  • 员工身份联合不支持部署前测试。
API: 没有已知的限制
其他: 没有已知的限制

Cloud Healthcare API

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud HSM

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Intrusion Detection System

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Key Management Service

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Load Balancing

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Logging

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Monitoring

GA
界面:
API: 没有已知的限制
其他: 旧版 Cloud Monitoring 代理 不支持使用身份联合发送指标。但员工身份联合用户可以安装 Ops Agent

Cloud NAT

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Run

GA
界面:
API: 没有已知的限制
其他: 管理 Cloud Run 服务端点访问权限的 IAM 权限 run.routes.invoke 不支持员工身份联合。

Cloud Scheduler

GA
界面:
  • “App Engine Cron 作业”标签页不适用于员工身份联合用户。
  • 目标类型配置中的 App Engine 选项不适用于员工身份联合用户。
API: Cloud Scheduler API 不支持将 target 属性设置为 appEngineHttpTarget 的作业的员工身份联合。如需使用员工身份联合将作业发送到 App Engine 目标,请创建作业,并将 target 类型设置为 httpTarget ,将 uri 字段设置为 App Engine 目标的完整 URI 路径。
其他: 没有已知的限制

Cloud Spanner

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud SQL

GA
界面: 没有已知的限制
API: 没有已知的限制
其他:

Cloud Storage

GA
界面:
  • 查看对象详情要求为存储桶启用统一存储桶级访问权限
  • 不支持使用 Cloud Functions 进行处理。
  • 不支持使用 Cloud Data Loss Prevention 进行扫描。
API:
其他: 没有已知的限制

Cloud Tasks

GA
界面: App Engine 路由替换选项不适用于员工身份联合用户。
API: Cloud Tasks API 不支持具有 App Engine 目标的任务的员工身份联合。
  • App Engine 队列:由于 App Engine 队列(使用 queue.yaml queue.xml 文件创建的队列)仅包含具有 App Engine 目标的任务,因此这些队列中的所有任务都不受支持。
  • 常规队列:对于常规 Cloud Tasks 队列,支持具有 HTTP 目标的任务。不支持具有 App Engine 目标的任务(即使该队列不是 App Engine 队列)。
其他: 没有已知的限制

Cloud Vision API

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Cloud Workstations

GA
界面: 想要启动 Cloud Workstations 的员工身份联合用户必须使用 Google Cloud 控制台或 Workstations API。如需使用 Workstation API,请参阅在浏览器中连接到工作站
例如,如果您之前将工作站添加为书签,,则员工身份联合不支持通过直接访问现有工作站来重新进行身份验证。员工身份联合用户可以重新进行身份验证,如本部分前面中所述。
API: 没有已知的限制
其他: 没有已知的限制

Compute Engine

GA
界面:
  • 浏览器中的 SSH 不支持员工身份联合。
  • 不支持 Batch。我们建议您使用 gcloud CLI 而不是 Google Cloud 控制台。
API:
其他: 没有已知的限制

Confidential Space

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Data Catalog

GA
界面: 条目详情页面上的管理员对话框中不会显示联系人建议。
API: 没有已知的限制
其他: 没有已知的限制

Dataflow

GA
界面: 没有已知的限制
API: google.dataflow.v1beta3.SqlValidator.Validate :Dataflow SQL Validator API 不支持员工身份联合。
其他: 没有已知的限制

Dataform

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Dataplex

GA
界面:
API: Dataplex 上与 Explore 相关的环境会话 API 不支持员工身份联合。
其他: 没有已知的限制

Dataproc

GA
界面:
  • 员工身份联合用户可以在集群、作业和批次列表页面中执行创建、查看、更新和删除操作。工作流、自动扩缩政策和组件交换不适用于员工身份联合用户。
  • 集群创建功能可用,但 Dataproc on GKE 集群创建、使用个人身份验证或启用了组件网关的 Dataproc Compute Engine 集群除外。
  • 批次和作业详情页面中的“输出”部分不适用于员工身份联合用户。
  • 集群和作业列表页面中的“Recommend Alert”(建议提醒)部分不适用于员工身份联合用户。
API:
其他: 没有已知的限制

Dataproc Metastore

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Datastore

GA
界面: Key Visualizer 不支持员工身份联合。
API: 没有已知的限制
其他: 没有已知的限制

Error Reporting

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Eventarc

GA
界面: 虽然您可以将现有的工作流用作 Eventarc 触发器目标,但员工身份联合用户无法创建新的工作流。
API: 员工身份联合不支持使用 ChannelConnection 资源进行第三方事件发布
其他: 没有已知的限制

Filestore

GA
界面: 结算信息不会显示在 实例创建 实例修改 以及 将备份恢复到新实例 页面上。
API: 没有已知的限制
其他: 没有已知的限制

Firestore

GA
界面:
API: 没有已知的限制
其他: 没有已知的限制

Google Cloud Armor

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Google Cloud Marketplace

GA
界面:
  • Cloud Marketplace 包含可能不支持员工身份联合的 Google 网域的链接。
  • 虚拟机部署不支持员工身份联合。
  • SaaS 注册和 SSO 登录不支持员工身份联合。
  • Producer Portal 不支持员工身份联合。
  • Request Procurement 不支持员工身份联合。
  • Service Catalog 不支持员工身份联合。
API: Partner API 不支持员工身份联合。
其他: 如果结算账号管理员或产品所有者未提供电子邮件地址,则客户不会收到通知。

Google Cloud 迁移中心

预览版
界面:
API: 没有已知的限制
其他: 没有已知的限制

Google Cloud SDK

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: RubyPHP Cloud 客户端库不支持员工身份联合。

Google Kubernetes Engine

GA
界面: 员工身份联合无法使用 Container Registry 标签页。可以使用 Artifact Registry。
API: 没有已知的限制
其他: 没有已知的限制

混合连接

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Identity and Access Management

GA
界面:
  • IAM 表中的名称列不显示 Google 身份的显示名称。
  • 将新的主账号添加到允许政策时,添加主账号文本字段仅支持服务账号自动补全。
  • 审核日志 页面中的 添加豁免主账号 文本字段仅支持服务账号的自动补全。
API: 没有已知的限制
其他: 没有已知的限制

Identity Platform

GA
界面: 员工身份联合管理员必须通过 Firebase Authentication 控制台,或者通过使用 Google Cloud 账号登录 Google Cloud 控制台来启用 Identity Platform,然后员工身份联合用户才能通过 Google Cloud 员工身份联合控制台访问 Identity Platform。
API: 以下 API 不支持员工身份联合:
  • google.cloud.identitytoolkit.admin.v2.ProjectConfigService.EnableIdentityPlatform
  • google.cloud.identitytoolkit.admin.v2.ProjectConfigService.InitializeIdentityPlatform
其他: 没有已知的限制

Immersive Stream for XR

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Live Stream API

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Managed Service for Microsoft Active Directory

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 员工身份联合用户无法使用 IAP TCP 转发来访问 Active Directory 管理虚拟机

媒体 CDN

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Memorystore

界面: 没有已知的限制
API: 以下 API 支持员工身份联合:
其他: 没有已知的限制

Migrate to Containers

预览版
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Migrate to Virtual Machines

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Network Connectivity Center

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Network Intelligence Center

GA
界面: 防火墙数据分析无法导出到 JSON 或 CSV。
API: 没有已知的限制
其他: 没有已知的限制

Network Service Tiers

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

组织政策服务

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Policy Intelligence

GA
界面:
  • 不支持在 Google Cloud 员工身份联合控制台(也称为控制台[联合])中进行问题排查。
  • 不支持在控制台(联合)中模拟对允许政策的更改。
  • 不支持在控制台(联合)中分析 IAM 政策。
API:
  • 使用 Policy Troubleshooter 时,员工身份联合用户无法检查允许和拒绝政策中的 Google 群组成员资格,或者拒绝政策中的 Cloud Identity 账号(网域)的成员资格。如果您使用员工身份进行身份验证,然后尝试排查访问权限问题,则包含群组或网域的角色绑定和拒绝规则的访问权限结果为未知,除非角色绑定或拒绝规则也明确包含主账号。
  • Policy Simulator API 不受支持。
  • 以下 API 方法不受支持:

其他: 没有已知的限制

Private Service Connect

GA
界面: 发布服务时,DNS 配置不可用。
API: 没有已知的限制
其他: 没有已知的限制

Pub/Sub

GA
界面: 没有已知的限制
API: Pub/Sub Lite API 没有支持员工身份联合的端点。
其他: 没有已知的限制

Resource Manager

GA
界面:
  • 员工身份联合用户只能查看和操作配置了员工身份联合的组织。添加用户的其他组织不会显示在 Google Cloud 控制台中。
  • 某些操作(例如创建项目或文件夹)反映在界面中的等待时间很长。
API: Organizations API 不支持员工身份联合。
其他: 没有已知的限制

Secret Manager

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Security Command Center

GA
界面: 员工身份联合用户无法使用以下功能:
  • 将发现结果导出到 CSV 文件
  • 将发现结果导出到 Cloud Storage
  • 发送反馈按钮
  • 无法在联合环境中管理 Chronicle 导出设置,因此在持续导出页面中,Chronicle 横幅不可用。
  • “服务启用”页面中告知默认继承启用状态的警告对话框
API: 没有已知的限制
其他: 没有已知的限制

敏感数据保护

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Service Infrastructure

预览版
界面: 不支持在 Cloud Endpoints 中管理配额。
API: Service Management API:员工身份联合用户不支持创建托管式服务。如需验证域名所有权并创建代管式服务,请执行以下操作:
  1. 使用 Site Verification API 向域名所有者添加服务账号
  2. 模拟此服务账号以创建代管式服务
其他: 没有已知的限制

Speaker ID

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Speech-to-Text

GA
界面: 只有 v2 界面页面支持员工身份联合。
API: 只有 v2 API 支持员工身份联合。
其他: 没有已知的限制

Storage Transfer Service

预览版
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Talent Solution

GA
界面: Google Cloud 员工身份联合控制台不支持 Talent Solution。
API: 没有已知的限制
其他: 没有已知的限制

Text-to-Speech

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Traffic Director

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Transcoder API

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Transfer Appliance

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Vertex AI

GA
界面: 当员工身份联合用户创建新的模型监控作业时,Vertex AI 不会使用其电子邮件地址预填充提醒电子邮件输入。
API: Vertex AI 不会向员工身份联合用户发送电子邮件。
其他: Vertex AI Workbench 不支持员工身份联合。

Vertex AI Vision

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

Video Stitcher API

GA
界面: 没有已知的限制
API: 设置 Google Ad Manager (GAM) 字段后,LiveConfig 和 Slate 资源不支持员工身份联合。
其他: 没有已知的限制

虚拟私有云

GA
界面: 没有已知的限制
API: 没有已知的限制
其他: 没有已知的限制

VPC Service Controls

预览版
界面: 在以下字段中添加用户身份时,不支持自动补全建议:
API:
其他: 没有已知的限制

Workflows

GA
界面: 用于向员工身份联合用户就该项目授予 Service Account User ( roles/iam.serviceAccountUser ) 角色的授予按钮处于非活跃状态。
API: WorkflowsWorkflows Execution API 支持员工身份联合;但是,在工作流执行期间调用其他服务时,不支持员工身份联合。
其他: 没有已知的限制