ID 連携: プロダクトと制限事項

• パフォーマンスとバックアップの概要カード
• クラスタ テーブル内のデータ（CPU 使用率、使用可能なメモリなど）

• 従来の Apigee UI は、Workforce Identity 連携ユーザーに対してはサポートされていません。従来の Apigee UI に切り替えるボタンは使用できません。従来の Apigee UI でのみアクセスできる次の機能は、Workforce Identity 連携ユーザーに対してはサポートされていません。

  • Apigee の API 収益化
  • デベロッパー分析
  • エンドユーザー分析
  • 統合ポータル

• プレビュー版の機能は、Workforce Identity 連携ユーザーに対してはサポートされていません。これには、次の機能が含まれます。

  • 不正行為の検出
  • API Hub
  • Apigee での Gemini Code Assist
  • Looker Studio との統合
  • リスク評価
  • セキュリティ対策
  • シャドー API 検出

• Cloud Code で Apigee を使用したローカル開発は、Workforce Identity 連携ユーザーに対してはサポートされていません。

• プレビュー版の機能は、Workforce Identity 連携ユーザーに対してはサポートされていません。これには、次の機能が含まれます。

  • API Hub の API
  • API 管理の API
  • セキュリティ対策の API

• Apigee Connect API は、Workforce Identity 連携ユーザーに対してはサポートされていません。

• OAuth クライアント管理はサポートされていません。
• OAuth ブランド管理はサポートされていません。

• Container Registry は ID 連携をサポートしていません。Container Registry の移行の設定ページに情報バナーがあります。

• 次の機能は、BigQuery との Workforce Identity 連携をサポートしていません。
  • BigQuery BI Engine
  • コネクテッド シート
  • Google ドライブ
  • マネージド障害復旧
  • Monitoring
  • 推奨事項
  • スロット見積もりツール
• 次のオペレーションは、Workforce Identity 連携をサポートしていません。
  • Amazon S3、Apache Spark、Azure Blob Storage から Connection API を介してデータを読み込む
  • データを Google ドライブから読み込む

analyzeIamPolicy または analyzeIamPolicyLongrunning メソッドを使用すると、次の理由で連携 ID が不完全な分析結果を受け取る可能性があります。

• 連携 ID は、許可ポリシーにある Google グループのメンバーを確認できません。その結果、グループのメンバーシップが原因で、連携 ID がプリンシパルに対するアクセスを分析するときに、プリンシパルに付与されている権限とロールがクエリ結果に含まれません。
• アクセスを分析する場合、連携 ID で expand_groups オプションを有効にできません。

analyzeMove は ID 連携でサポートされていません。

• サポートされているのは請求書発行アカウントのみです。

• ID 連携は、請求書発行アカウントでのみサポートされています。

• Cloud Composer は、Composer バージョン 2.1.11 以降と Airflow バージョン 2.4.3 以降で作成された環境でのみ、Workforce Identity 連携をサポートしています。以前のバージョンから環境をアップグレードしても、Workforce Identity 連携のサポートは有効になりません。
• Airflow から送信されたメールには、Google アカウントでアクセス可能な Airflow UI リンクのみが含まれます。Workforce Identity 連携ユーザーとして Airflow UI にアクセスするには、リンクを手動で更新する必要があります（Workforce Identity 連携ユーザーの URL に変更します）。
• Cloud Storage の制限は Cloud Composer 環境のバケットに適用されます。

• ログイン時に言語設定が選択されています。この設定をコンソールで更新することはできません。
• お知らせの設定ページで、プロダクトの通知、更新、特典を有効にすることはできません。
• Google Cloud コンソールのアクティビティに基づくカスタマイズはサポートされていません。
• 透明性とコントロール センターのページは使用できません。

• Workforce Identity 連携に対する Cloud Billing の制限により、請求関連のサポートには、請求先アカウントの設定に使用した Google Cloud アカウントを介して組織の管理者のみがアクセスできます。
• Workforce Identity 連携ユーザーは、サポートケースに関連するファイルをアップロードできますが、ダウンロードはできません。ケースを処理するサポート エンジニアは、これらのファイルを確認できます。
• サポートとのやり取りを開始した後に、Workforce Identity 連携ユーザーの連絡先の詳細（メールアドレスなど）は変更できません。
• Workforce Identity 連携ユーザーは、チャット サポート チャネルを使用してケースを作成できません。

• ID 連携を使用してログインしたユーザーは、指標ベースのポリシーのインシデントに追加されたアノテーションを表示できますが、アノテーションを追加することはできません。
• ID 連携を使用してログインしたユーザーは、ログベースのポリシーのインシデントに追加されたアノテーションを表示できますが、アノテーションを追加することはできません。

• Workforce Identity 連携では、Cloud Build による継続的デプロイが無効になっています。
• Workforce Identity 連携では、既存の VPC コネクタが一覧表示されません。これらは手動で作成する必要があります。

• Workforce Identity 連携では、既存の VPC コネクタが一覧表示されません。これらは手動で作成する必要があります。
• Build ワーカープールは、Workforce Identity 連携ではサポートされていません。
• デプロイ前のテストは、Workforce Identity 連携ではサポートされていません。

• Workforce Identity 連携ユーザーは App Engine の [Cron Jobs] タブを使用できません。
• Workforce Identity 連携のユーザーは、ターゲット タイプ構成の App Engine オプションを使用できません。

• ヘルプ アシスタントはサポートされていません。
• ユーザー ログインの IAM データベース認証は、Cloud SQL for MySQL または Cloud SQL for PostgreSQL データベースではサポートされていません。

• オブジェクトの詳細を表示するには、バケットで均一なバケットレベルのアクセスを有効にする必要があります。
• Cloud Run functions を使用するプロセスはサポートされていません。
• Cloud Data Loss Prevention によるスキャンはサポートされていません。

• すべての Cloud Storage API との ID 連携は、均一なバケットレベルのアクセス バケットでのみサポートされます。きめ細かいアクセス制御リスト（ACL）を使用した ID 連携からのバケットへのアクセスは拒否されます。
• ユーザーとワークロードは既存の署名付き URL を使用できますが、ID 連携のユーザーとワークロードは署名付き URL を生成できません。
• ID 連携のユーザーとワークロードは、オブジェクト変更通知を使用できません。

• App Engine キュー: App Engine キュー（ queue.yaml または queue.xml ファイルを使用して作成されたキュー）には、App Engine ターゲットのあるタスクのみが含まれます。これらのキュー内のタスクはサポートされません。
• 通常のキュー: 通常の Cloud Tasks キューでは、HTTP ターゲットを使用したタスクがサポートされています。App Engine ターゲットを使用するタスクはサポートされていません（キューは App Engine キューではありません）。

• Cloud Storage バケットに対して画像のインポートとエクスポートを行うには、バケットで均一なバケットレベルのアクセス制御を有効にする必要があります。
• VMware Engine はサポートされていません。
• Bare Metal Solution はサポートされていません。

• [ Google Cloud コンソールと API へのプリンシパルの追加] の [グループ ID] テキスト フィールドでは予測入力がサポートされていません。また、Workforce Identity 連携ユーザーの検証も行われません。
• Workforce Identity 連携ユーザーの場合、Google グループは名前ではなく ID で識別されます。

• Dataplex Explore ワークベンチは、Workforce Identity 連携をサポートしていません。
• Explore ワークベンチでスケジュールされたスクリプトとノートブックは、Workforce Identity 連携をサポートしていません。
• セキュアビューは、Workforce Identity 連携をサポートしていません。

• Workforce Identity 連携ユーザーは、クラスタ、Jobs、Batch のリストページで、作成、表示、更新、削除の操作を実行できます。Workforce Identity 連携は、ワークフロー、自動スケーリング ポリシー、コンポーネント交換を利用できません。
• クラスタ作成機能は利用できます。ただし、Dataproc on GKE クラスタ作成、個人認証による Dataproc Compute Engine クラスタ、コンポーネント ゲートウェイの有効化は除きます。
• Workforce Identity 連携のユーザーは、Batch と Jobs の詳細ページの [出力] セクションを利用できません。
• Workforce Identity 連携のユーザーは、Cluster と Jobs のリストページの [Recommend Alert] セクションを利用できません。

• Dataproc on GKE
• Dataproc 個人用クラスタ認証
• Dataproc サービス アカウント ベースの安全なマルチテナンシー

• セキュリティ ルールで Workforce Identity 連携はサポートされていません。
• Key Visualizer で Workforce Identity 連携はサポートされていません。

• 外部（GKE Enterprise）クラスタにログインする場合、Workforce Identity 連携に [Google ID を使用する] オプションは使用できません。
• 外部（GKE Enterprise）クラスタを作成または接続しても、Workforce Identity 連携の管理者として自動的に追加されることはありません。

• Cloud Marketplace には、Workforce Identity 連携をサポートしていない可能性がある Google ドメインへのリンクが含まれています。
• Deployment Manager は Workforce Identity 連携をサポートしていないため、Deployment Manager を使用するすべての VM プロダクトでは、[開始] ボタンが無効になっています。
• SaaS の登録と SSO ログインでは、Workforce Identity 連携はサポートされていません。
• Producer Portal では、Workforce Identity 連携はサポートされていません。
• 調達リクエストでは、Workforce Identity 連携はサポートされていません。
• サービス カタログでは、Workforce Identity 連携はサポートされていません。

• 総所有コストレポート（TCO レポート）のエクスポートは、Workforce Identity 連携ユーザーはサポートされていません。
• アセットのエクスポートは、Workforce Identity 連携ユーザーはサポートされていません。

• IAM テーブル内の名前列に Google ID の表示名は表示されません。
• 新しいプリンシパルを追加してポリシーを許可する場合、[プリンシパルを追加] テキスト フィールドでは、サービス アカウントの予測入力のみサポートされます。
• [監査ログ] ページの [除外対象のプリンシパルを追加] テキスト フィールドでは、サービス アカウントの予測入力のみサポートされます。

• [アプリケーション] タブでは [メソッド] 列が無効になっているため、ユーザーは承認に外部 ID を使用できません。
• [アプリケーション] タブでは App Engine リソースを一覧表示できません。
• more_vert アクション メニューの [OAuth 構成に移動] 項目は使用できません。
• [アプリケーション] タブでは、オンプレミス コネクタの追加や一覧表示はできません。

• Cloud Build を使用した継続的デプロイでは、Workforce Identity 連携はサポートされていません。
• Cloud Domains を使用したドメインの登録では、Workforce Identity 連携はサポートされていません。

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

次の Policy Intelligence 機能には、 Google Cloud Workforce Identity 連携コンソールを使用する Workforce Identity ユーザーに対して制限事項があります。

• Policy Troubleshooter: Workforce Identity 連携ユーザーは、コンソール（連携）でアクセスに関するトラブルシューティングを行えません。
• Policy Analyzer: Workforce Identity 連携ユーザーは、コンソール（連携）でアクセスを分析できません。
• Policy Simulator: Workforce Identity 連携ユーザーは、コンソール（連携）で許可ポリシーの変更をシミュレートできません。
• IAM Recommender: Workforce Identity 連携ユーザーは、コンソール（連携）で推奨事項を表示できません。

次の Policy Intelligence 機能には、連携 ID に対して API の制限事項があります。

• Policy Troubleshooter: 連携 ID では、許可ポリシーと拒否ポリシーで Google グループのメンバーシップを確認できません。また、拒否ポリシーの Cloud Identity アカウント（ドメイン）のメンバーシップも確認できません。連携 ID が iam.troubleshoot メソッドを呼び出したときに、ロール バインディングまたは拒否ルールにプリンシパルが明示的に含まれている場合を除き、グループまたはドメインを含むロール バインディングと拒否ルールのアクセス結果は「不明」になります。

• analyzeIamPolicy または analyzeIamPolicyLongrunning メソッドを呼び出すと、次の理由で連携 ID が不完全な分析結果を受け取る可能性があります。

  • 連携 ID は、許可ポリシーにある Google グループのメンバーを確認できません。その結果、グループのメンバーシップが原因で、連携 ID がプリンシパルに対するアクセスを分析するときに、プリンシパルに付与されている権限とロールがクエリ結果に含まれません。
  • アクセスを分析する場合、連携 ID で expand-groups オプションを有効にできません。

  連携 ID では、次の API メソッドを使用できません。

  • analyzeMove
• Policy Simulator: 連携 ID は Policy Simulator API（ policysimulator.googleapis.com ）を使用できません。
• Activity Analyzer : 連携 ID は Policy Analyzer API（ policyanalyzer.googleapis.com ）を使用できません。
• IAM Recommender: 連携 ID は Recommender API（ recommender.googleapis.com ）を使用できません。

• Workforce Identity 連携ユーザーは、メールによる多要素認証を構成できません。サポートが必要な場合は、お問い合わせください。
• Cloud Shell のデモ用ウェブサイトは、Workforce Identity 連携ユーザーではサポートされていません。

• Workforce Identity 連携ユーザーは、Workforce Identity 連携が構成された組織のみを表示および操作できます。ユーザーが追加された他の組織は、Google Cloud コンソールに表示されません。
• 特定のオペレーション（プロジェクトやフォルダの作成など）は、UI に反映されるまで時間がかかります。

• Workforce Identity 連携ユーザーには、ユーザー イベント情報は表示されません。
• Workforce Identity 連携ユーザーでは、Merchant Center アカウントはサポートされていません。
• Workforce Identity 連携ユーザーには、サービス構成の分析と使用数は表示されません。
• Workforce Identity 連携ユーザーには、モデルデータの要件は表示されません。

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• ID 連携ユーザーは、次のいずれかのコマンドを実行する前に、Secure Source Manager インスタンスのウェブ インターフェースにログインする必要があります。
  • Git CLI コマンド
  • データプレーン エンドポイントへの API 呼び出し
• ユーザーの SSH 認証鍵を使用して Git SSH CLI コマンドを引き続き使用するため、ID 連携ユーザーはセッションの有効期限が切れるたびに、Secure Source Manager インスタンスのウェブ インターフェースからログインする必要があります。

• Workforce Identity 連携を使用するには、新しい Secure Source Manager インスタンスを作成する必要があります。既存のインスタンスは更新できません。
• Secure Source Manager に使用する Workforce Identity プール プロバイダは、 google.subject 属性と google.email 属性のマッピングを提供する必要があります。
• フェデレーション ID を使用してログインできるのは、Workforce Identity 連携を使用するように構成された Secure Source Manager インスタンスに限られます。
• Workforce Identity 連携で構成されたインスタンスでは、Secure Source Manager からのメール通知はサポートされていません。

• CSV ファイルへの検出結果のエクスポート
• Cloud Storage への検出結果のエクスポート
• [フィードバックを送信] ボタン
• Google SecOps のエクスポート設定は連携環境では管理できないため、[継続的エクスポート] ページで Google SecOps バナーは使用できません。
• [サービスの有効化] ページで有効化状態がデフォルトで継承されることを示す警告ダイアログ
• セキュリティ対策サービスは、Google Cloud コンソールを使用して管理できません。

1. Site Verification API を使用してドメイン所有者にサービス アカウントを追加する。
2. このサービス アカウントの権限を借用してマネージド サービスを作成する。

• Vertex AI エージェントの作成とプレビューはサポートされていません。
• Google ドライブのデータストアの作成はサポートされていません。

• Vertex AI Workbench マネージド ノートブック（非推奨）は Workforce Identity 連携をサポートしていません。
• Vertex AI Workbench ユーザー管理ノートブック（非推奨）は Workforce Identity 連携をサポートしていません。

• アクセス ポリシー
• サービス境界での上り（内向き）ルールと下り（外向き）ルール

• v1alpha API は、連携 ID で使用できません。
• VPC Service Controls は、IAM v1 API プリンシパル ID の接頭辞 principal と principalSet で始まる v1 Workforce Identity 連携プリンシパルと Workload Identity 連携プリンシパルのみをサポートします。これらのプリンシパル ID は、サービス境界の上り（内向き）ルールと下り（外向き）ルールで使用できます。