身份联合：产品和限制

• 性能和备份摘要卡
• 集群表中的数据，例如 CPU 百分比和可用内存

• 不支持 OAuth 客户端管理。
• 不支持 OAuth 品牌管理。

• Container Registry 不支持身份联合。在 Container Registry 转换的设置页面中有一条信息横幅。

• 以下功能不支持使用 BigQuery 进行员工身份联合：
  • 关联工作表
  • Google 云端硬盘
• 以下操作不支持员工身份联合：
  • 通过 Connection API 从 Amazon S3 或 Azure Blob Storage 加载数据
  • 从 Google 云端硬盘加载数据

使用 analyzeIamPolicy 或 analyzeIamPolicyLongrunning 方法时，联合身份可能会由于以下原因收到不完整的分析结果：

• 联合身份无法在允许政策中检查 Google 群组的成员资格。因此，当联合身份分析主账号的访问权限时，查询结果不包含主账号因其在群组中的成员资格而拥有的权限和角色。
• 分析访问权限时，联合身份无法启用 expand_groups 选项。

身份联合不支持 analyzeMove 。

• 仅支持账单结算账号。不支持以下功能：
  • 修改 BigQuery 价格导出设置
  • 修改 Cloud Billing 账号
  • 查看付款账单文件
  • 查看付款交易
  • 管理结算付款用户和付款通知设置

• 只有账单结算账号支持身份联合，以下 Cloud Billing Account API 不支持身份联合：
  • billingAccounts.create
  • billingAccounts.patch

• Cloud Composer 仅对在 Composer 2.1.11 版或更高版本以及 Airflow 2.4.3 版或更高版本中创建的环境支持员工身份联合。从更低版本升级环境不会启用员工身份联合支持。
• 从 Airflow 发送的电子邮件仅包含 Google 账号可以访问的 Airflow 界面链接。如需以员工身份联合用户的身份访问 Airflow 界面，必须手动更新链接（更改为员工身份联合的网址）。
• Cloud Storage 限制适用于 Cloud Composer 环境存储桶。

• 语言偏好设置是在登录时选择的，无法在控制台中进行更新。
• 无法在资讯接收设置页面上启用产品通知、最新动态和优惠。
• 系统不支持根据您的 Cloud 控制台活动进行个性化设置。
• 透明度和控制中心页面不可用。

• 由于员工身份联合的 Cloud Billing 限制，只有组织管理员可以通过用于设置结算账号的 Google Cloud 账号获得与结算相关的支持。
• 员工身份联合用户可以上传（但不能下载）支持请求相关文件。处理支持请求的支持工程师可以看到这些文件。
• 一旦开始与支持团队互动，就无法更改员工身份联合用户的联系详细信息（例如电子邮件地址）。

• 系统不会为员工身份联合列出现有的 VPC 连接器。您必须手动创建它们。
• 员工身份联合不支持构建工作器池。
• 员工身份联合不支持部署前测试。

• 使用身份联合登录的用户可以查看 添加到基于指标的政策的突发事件的注解 ，但这些用户无法添加注解。
• 使用身份联合登录的用户可以查看 添加到基于日志的政策的突发事件的注解 ，但这些用户无法添加注解。

• 系统会对员工身份联合停用使用 Cloud Build 进行持续部署。
• 系统不会为员工身份联合列出现有的 VPC 连接器。您必须手动创建它们。

• 使用 Cloud Build 进行持续部署不支持员工身份联合。
• 使用 Cloud Domains 注册域名不支持员工身份联合。

• 员工身份联合用户无法使用“App Engine Cron 作业”标签页。
• 目标类型配置中的 App Engine 选项不适用于员工身份联合用户。

• 不支持帮助助理。
• Cloud SQL for MySQL 或 Cloud SQL for PostgreSQL 数据库不支持对用户登录进行 IAM 数据库身份验证。

• 查看对象详情要求为存储桶启用统一存储桶级访问权限。
• 不支持使用 Cloud Functions 进行处理。
• 不支持使用 Cloud Data Loss Prevention 进行扫描。

• 只有具有统一存储桶级访问权限的存储桶支持将身份联合与所有 Cloud Storage API 结合使用。身份联合对具有精细访问控制列表 (ACL) 的存储桶的访问会被拒绝。
• 虽然所有用户和工作负载都可以使用现有的签名网址，但身份联合用户和工作负载无法生成签名网址。
• 身份联合用户和工作负载无法使用对象更改通知。

• App Engine 队列： 由于 App Engine 队列（使用 queue.yaml 或 queue.xml 文件创建的队列）仅包含具有 App Engine 目标的任务，因此不支持这些队列中的任务。
• 常规队列： 对于常规 Cloud Tasks 队列，支持具有 HTTP 目标的任务。不支持具有 App Engine 目标的任务（即使该队列不是 App Engine 队列）。

• 在 Cloud Storage 存储桶中导入和导出映像需要为该存储桶启用统一存储桶级访问权限。
• 不支持 VMware Engine。
• 不支持裸金属解决方案。

• 在将主账号添加到 Google Cloud 控制台和 API 中，群组 ID 文本字段不支持自动补全，也不会为员工身份联合用户提供验证。
• 对于员工身份联合用户，Google 群组由其 ID（而不是他们的名称）标识。

• Dataplex Explore Workbench 不支持员工身份联合。
• 通过 Explore Workbench 计划的脚本和笔记本不支持员工身份联合。
• 安全视图不支持员工身份联合。

• 员工身份联合用户可以在集群、作业和批次列表页面中执行创建、查看、更新和删除操作。工作流、自动扩缩政策和组件交换不适用于员工身份联合。
• 集群创建功能可用，但 Dataproc on GKE 集群创建、使用个人身份验证或启用了组件网关的 Dataproc Compute Engine 集群除外。
• 批次和作业详情页面中的输出部分不适用于员工身份联合用户。
• 集群和作业列表页面中的 Recommend Alert 部分不适用于员工身份联合用户。

• Dataproc on GKE
• Dataproc 个人集群身份验证
• 基于 Dataproc 服务账号的安全多租户

• 安全规则不支持员工身份联合。
• Key Visualizer 不支持员工身份联合。

• 登录任何外部 (GKE Enterprise) 集群时，使用您的 Google 身份选项不适用于员工身份联合。
• 创建或关联任何外部 (GKE Enterprise) 集群时，您不会自动添加为员工身份联合的管理员。

• Cloud Marketplace 包含可能不支持员工身份联合的 Google 网域的链接。
• 虚拟机部署不支持员工身份联合。
• SaaS 注册和 SSO 登录不支持员工身份联合。
• Producer Portal 不支持员工身份联合。
• Request Procurement 不支持员工身份联合。
• Service Catalog 不支持员工身份联合。

• 员工身份联合用户不支持导出总拥有成本报告（TCO 报告）。
• 员工身份联合用户不支持导出资产。

• IAM 表中的名称列不显示 Google 身份的显示名称。
• 将新的主账号添加到允许政策时，添加主账号文本字段仅支持服务账号自动补全。
• 审核日志 页面中的 添加豁免主账号 文本字段仅支持服务账号的自动补全。

• 在“应用”标签页中，方法列处于停用状态，用户无法使用外部身份进行授权。
• 在“应用”标签页中，无法列出 App Engine 资源。
• more_vert 操作菜单中的转到 OAuth 配置项不可用。
• 在应用标签页中，无法添加或列出本地连接器。

• 受 IAP 保护的 Web 资源（例如 Compute Engine、GKE 和 App Engine）不支持联合身份。
• 只有 gcloud CLI 支持用于 IAP TCP 转发资源的联合身份。

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached

以下 Policy Intelligence 功能对使用 Google Cloud 员工身份联合控制台的员工身份用户有限制：

• Policy Troubleshooter 员工身份联合用户无法在控制台（联合）中排查访问权限问题。
• Policy Analyzer：员工身份联合用户无法在控制台（联合）中分析访问权限。
• Policy Simulator：员工身份联合用户无法在控制台（联合）中模拟对允许政策的更改。
• IAM Recommender：员工身份联合用户无法在控制台（联合）中查看建议。

以下 Policy Intelligence 功能对联合身份有 API 限制：

• Policy Troubleshooter：联合身份无法在允许和拒绝政策中检查 Google 群组的成员资格，也无法在拒绝政策中检查 Cloud Identity 账号（网域）的成员资格。当联合身份调用 iam.troubleshoot 方法时，包含群组或网域的角色绑定和拒绝规则的访问权限结果为未知，除非角色绑定或拒绝规则也明确包含主账号。

• 调用 analyzeIamPolicy 或 analyzeIamPolicyLongrunning 方法时，联合身份可能会由于以下原因收到不完整的分析结果：

  • 联合身份无法在允许政策中检查 Google 群组的成员资格。因此，当联合身份分析主账号的访问权限时，查询结果不包含主账号因其在群组中的成员资格而拥有的权限和角色。
  • 分析访问权限时，联合身份无法启用 expand-groups 选项。

  联合身份无法使用以下 API 方法：

  • analyzeMove
• Policy Simulator：联合身份无法使用 Policy Simulator API ( policysimulator.googleapis.com )。
• Activity Analyzer：联合身份无法使用 Policy Analyzer API ( policyanalyzer.googleapis.com )。
• IAM Recommender：联合身份无法使用 Recommender API ( recommender.googleapis.com )。

• 员工身份联合用户无法配置通过电子邮件进行多重身份验证。如需帮助，请与销售人员联系。
• 员工身份联合用户不支持 Cloud Shell 中的演示网站。

• 员工身份联合用户只能查看和操作配置了员工身份联合的组织。Google Cloud 控制台中不会显示用户添加到的其他组织。
• 某些操作（例如创建项目或文件夹）反映在界面中的等待时间很长。

• 用户事件信息对员工用户身份联合用户隐藏。
• 员工联合用户不支持 Merchant Center 账号。
• 服务配置分析和用量计数对员工身份联合用户隐藏。
• 模型数据要求对员工身份联合用户隐藏。

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• 将发现结果导出到 CSV 文件
• 将发现结果导出到 Cloud Storage
• 发送反馈按钮
• 无法在联合环境中管理 Chronicle 导出设置，因此在持续导出页面中，Chronicle 横幅不可用。
• “服务启用”页面中告知默认继承启用状态的警告对话框
• 无法使用 Google Cloud 控制台管理安全状况服务。

1. 使用 Site Verification API 向域名所有者添加服务账号。
2. 模拟此服务账号以创建托管式服务。

• Colab Enterprise 不支持员工身份联合。
• Vertex AI Workbench 不支持员工身份联合。

• 访问权限政策
• 服务边界中的入站和出站规则

• v1alpha API 不适用于联合身份。
• 员工身份联合用户无法添加到服务边界入站规则中。
• 工作负载身份联合工作负载无法添加到服务边界入站和出站规则中。您必须使用服务账号模拟，而不是工作负载身份联合。