ID 連携: プロダクトと制限事項

概要

このページでは、Workforce Identity 連携または Workload Identity 連携(総称で ID 連携)を使用できる Google Cloud プロダクトの制限事項とサポートレベルについて説明します。

Workforce Identity 連携

Workforce Identity 連携を使用すると、従業員(従業員、ベンダー、パートナー、その他のユーザー)が ID プロバイダ(IdP)を使用して Google Cloud プロダクトにアクセスできます。従業員は、Google Cloud Workforce Identity 連携コンソール(コンソール(連携)とも呼ばれます)、Google Cloud CLI、または Google Cloud API を使用して Google Cloud にアクセスできます。

コンソール(連携)、Google Cloud CLI、Google Cloud API の Workforce Identity 連携の制限事項は、各プロダクトの UI と API のエントリに記載されています。

Workload Identity 連携

Workload Identity 連携を使用すると、ワークロードが、AWS ワークロードの IAM ロール、GKE ワークロードの Kubernetes サービス アカウント、デプロイ パイプラインの GitHub の ID など、ワークロードで提供される ID を使用して、プログラムで Google Cloud サービスにアクセスできます。

Google Cloud CLI と Google Cloud APIs の Workload Identity 連携の制限(総称で API の制限)は、このドキュメントの後半にある各プロダクトの Google Cloud API limitations エントリに記載されています。

VPC Service Controls ユーザー: ワークロードのサービス境界上り(内向き)ルールと下り(外向き)ルールはサービス アカウントのみをサポートしています。このため、Workload Identity 連携ワークロードが境界内のリソースにアクセスするには、サービス アカウントの権限借用を行う必要があります。連携されたワークロードにサービス アカウントの権限を借用する方法をご確認ください。

Google Cloud プロダクトと制限事項

このセクションの表には、プロダクト、ID 連携のサポートレベル、制限事項などの情報が記載されています。

組織

制限の表は、次のように構成されています。

  • 商品: 商品名。

  • ID 連携のリリース ステージ: ID 連携に対するプロダクトのサポート リリース ステージ。リリース ステージは、プロダクト自体のリリース ステージを指すものではありません。プロダクトが ID 連携でサポートされていない場合、リリース ステージは Unsupported として表示されます。

  • サポートされているプロダクトを示す列:

    • Google Cloud API: API メソッドと、それらのメソッドにアクセスする gcloud CLI コマンドに関連するプロダクトの ID 連携の制限。

    • コンソール(連携): プロダクトの Workforce Identity 連携関連のコンソール(連携)UI の制限事項。

    • その他: Google Cloud API またはコンソール(連携)の制限ではない、プロダクトの ID 連携関連の制限。

  • サポートされていないプロダクトを示す列:

    • 代替手段: ID 連携をサポートしていないプロダクトの場合、この列には、ID 連携をサポートし、同様の機能を提供する代替プロダクトが表示されます。

プロダクトと制限事項のリスト

プロダクト Identity 連携のリリース ステージ 制限事項

アクセス承認

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

Access Context Manager

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: v1alpha API は、連携 ID では使用できません。
その他: 既知の制限事項はなし

アクセスの透明性

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

Agent Assist

一般提供
コンソール(連携): Dialogflow ES エージェントで 仮想エージェント ハンドオフ を使用するには、API 呼び出し元は Workforce Identity 連携を使用してログインできません。
Google Cloud APIs: Agent Assist による会話データセットへの会話文字起こしのインポート は、Workforce Identity 連携をサポートしていません。
その他: 既知の制限事項はなし

AlloyDB for PostgreSQL

一般提供
コンソール(連携): Workforce Identity 連携の使用中は、フリートの次のヘルス機能はサポートされません。
  • パフォーマンスとバックアップの概要カード
  • クラスタ テーブル内のデータ(CPU 使用率、使用可能なメモリなど)
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

Anti Money Laundering AI

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

API Gateway

サポート対象外
代替: 代替なし

Apigee

一般提供
コンソール(連携):
  • 従来の Apigee UI は、Workforce Identity 連携ユーザーではサポートされていません。従来の Apigee UI に切り替えるボタンは使用できません。従来の Apigee UI でのみアクセスできる次の機能は、Workforce Identity 連携ユーザーにはサポートされていません。

    • Apigee API Monetization
    • デベロッパーによる分析
    • エンドユーザー分析
    • 統合ポータル
  • プレビュー版 の機能は、Workforce Identity 連携のユーザーではサポートされていません。これには、次の機能が含まれます。

    • 不正行為の検出
    • API Hub
    • Gemini Code Assist と Apigee
    • Looker Studio との統合
    • リスク評価
    • セキュリティ アクション
    • Shadow API 検出
  • Cloud Code で Apigee を使用したローカル開発 は、Workforce Identity 連携ユーザーではサポートされていません。

Google Cloud APIs:
その他: 既知の制限事項はなし

Apigee API Hub

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

API とサービス

一般提供
コンソール(連携):
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

App Engine

サポート対象外
代替: 代わりに Cloud Run を使用することをおすすめします。

App Hub

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

Application Integration

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

Artifact Registry

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他:
  • Container Registry は ID 連携をサポートしていません。Container Registry の移行の設定ページに情報バナーがあります。

Assured Workloads

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

Backup and DR サービス

プレビュー
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

Batch

一般提供
コンソール(連携): 既知の制限事項はなし
Google Cloud APIs: 既知の制限事項はなし
その他: 既知の制限事項はなし

BigQuery

一般提供
コンソール(連携): クエリの保存はサポートされません。
Google Cloud APIs:
  • BigQuery Migration Service は、ID 連携をサポートしていません。
  • その他:

    Bigtable

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Binary Authorization

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    ブロックチェーン分析

    プレビュー
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    ブロックチェーン ノード エンジン

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    炭素排出量

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Certificate Authority Service

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Certificate Manager

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    チャネル サービス

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Asset Inventory

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーは、[IAM ポリシー] タブで [完全アクセス権を分析] ボタンを利用できません。
    Google Cloud APIs:

    analyzeIamPolicy または analyzeIamPolicyLongrunning メソッドを使用すると、次の理由で連携 ID が不完全な分析結果を受け取る可能性があります。

    • 連携 ID は、許可ポリシーにある Google グループのメンバーを確認できません。その結果、グループのメンバーシップが原因で、連携 ID がプリンシパルに対するアクセスを分析するときに、プリンシパルに付与されている権限とロールがクエリ結果に含まれません。
    • アクセスを分析する場合、連携 ID で expand_groups オプションを有効にできません。

    analyzeMove は ID 連携でサポートされていません。

    その他: 既知の制限事項はなし

    Cloud Billing

    一般提供
    コンソール(連携):
    Google Cloud APIs:
    その他: 既知の制限事項はなし

    Cloud Build

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud CDN

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Code

    サポート対象外
    代替: 代替なし

    Cloud Composer

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他:
    • Cloud Composer は、Composer バージョン 2.1.11 以降と Airflow バージョン 2.4.3 以降で作成された環境でのみ、Workforce Identity 連携をサポートしています。以前のバージョンから環境をアップグレードしても、Workforce Identity 連携のサポートは有効になりません。
    • Airflow から送信されたメールには、Google アカウントでアクセス可能な Airflow UI リンクのみが含まれます。Workforce Identity 連携ユーザーとして Airflow UI にアクセスするには、リンクを手動で更新する必要があります(Workforce Identity 連携ユーザーの URL に変更します)。
    • Cloud Storage の制限は Cloud Composer 環境のバケットに適用されます。

    Cloud コンソール

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーは、Google Cloud Workforce Identity 連携コンソールにのみアクセスできます(このコンソールは、コンソール(連携)とも呼ばれています)。Google Cloud コンソールにはアクセスできません。コンソール(連携)は、Workforce Identity 連携をサポートする Google Cloud プロダクトにのみアクセスを提供します。詳細については、コンソール(連携)についてをご覧ください。また、コンソール(連携)には以下の制限事項があります。
    • ログイン時に言語設定が選択されています。この設定をコンソールで更新することはできません。
    • お知らせの設定ページで、プロダクトの通知、更新、特典を有効にすることはできません。
    • Google Cloud コンソールのアクティビティに基づくカスタマイズはサポートされていません。
    • 透明性とコントロール センターのページは使用できません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: Workforce Identity 連携ユーザーは、Google Cloud の無料トライアルの対象ではありません。

    Cloud カスタマーケア

    一般提供
    コンソール(連携):
    • Workforce Identity 連携に対する Cloud Billing の制限により、請求関連のサポートには、請求先アカウントの設定に使用した Google Cloud アカウントを介して組織の管理者のみへアクセスできます。
    • Workforce Identity 連携ユーザーは、サポートケースに関連するファイルをアップロードできますが、ダウンロードはできません。ケースを処理するサポート エンジニアは、これらのファイルを確認できます。
    • サポートとのやり取りを開始した後に、Workforce Identity 連携ユーザーの連絡先の詳細(メールアドレスなど)は変更できません。
    Google Cloud APIs: Cloud Support API は、ID 連携をサポートしていません。
    その他: 既知の制限事項はなし

    Cloud Data Fusion

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Deploy

    一般提供
    コンソール(連携): Cloud Deploy アーティファクトを表示するには、Cloud Storage バケットで均一なバケットレベルのアクセスを有効にする必要があります。
    Google Cloud APIs: 既知の制限事項はなし
    その他: Cloud Deploy で作成された Cloud Storage バケットでは、均一なバケットレベルのアクセスが有効になっています。

    Cloud Deployment Manager

    サポート対象外
    代替: 代替なし

    Cloud DNS

    一般提供
    コンソール(連携): [Cloud Domains] ページは使用できません。
    Google Cloud APIs: Cloud DNS のネームサーバー シャード数には上限があります。詳細については、ネームサーバーの上限をご覧ください。最終的にネームサーバー シャードを割り当てる前に、Cloud DNS はドメインの所有権を検証します。Workforce Identity 連携ユーザーはこの処理を実行できません。
    その他: 既知の制限事項はなし

    Cloud Domains

    サポート対象外
    代替: 代替なし

    Cloud Endpoints

    サポート対象外
    代替: 代替なし

    Cloud フリート ルーティング

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Healthcare API

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud HSM

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Intrusion Detection System

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Key Management Service

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Load Balancing

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Logging

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud モバイルアプリ

    サポート対象外
    代替: 代替なし

    Cloud Monitoring

    一般提供
    コンソール(連携):
    Google Cloud APIs: 既知の制限事項はなし
    その他: 以前の Cloud Monitoring エージェントは、ID 連携による指標の送信をサポートしていません。代わりに、Workforce Identity 連携ユーザーは、Ops エージェントをインストールできます。

    Cloud NAT

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Next Generation Firewall

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Profiler

    サポート対象外
    代替: 代替なし

    Cloud Run

    一般提供
    コンソール(連携):
    Google Cloud APIs: 既知の制限事項はなし
    その他: Cloud Run サービス エンドポイントへのアクセスを管理する IAM 権限( run.routes.invoke )では、Workforce Identity 連携がサポートされていません。

    Cloud Run functions

    一般提供
    コンソール(連携):
    • Workforce Identity 連携では、既存の VPC コネクタが一覧表示されません。これらは手動で作成する必要があります。
    • Build ワーカープールは、Workforce Identity 連携ではサポートされていません。
    • デプロイ前のテストは、Workforce Identity 連携ではサポートされていません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Scheduler

    一般提供
    コンソール(連携):
    • Workforce Identity 連携ユーザーは App Engine の [Cron Jobs] タブを使用できません。
    • Workforce Identity 連携のユーザーは、ターゲット タイプ構成の App Engine オプションを使用できません。
    Google Cloud APIs: Cloud Scheduler API では、 target 属性が appEngineHttpTarget に設定されているジョブに ID 連携を使用できません。ID 連携を使用して App Engine ターゲットにジョブを送信するには、 target タイプを httpTarget に設定し、 uri フィールドに App Engine ターゲットの完全な URI パスを設定してジョブを作成します。
    その他: 既知の制限事項はなし

    Cloud Service Mesh

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: クラスタ内コントロール プレーンは、ID 連携をサポートしていません。
    その他: 既知の制限事項はなし

    Cloud Shell

    サポート対象外
    代替: 代わりに Cloud Workstations を使用することをおすすめします。

    Cloud Source Repositories

    サポート対象外
    代替: 代替なし

    Cloud SQL

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他:
    • ヘルプ アシスタントはサポートされていません。
    • ユーザー ログインの IAM データベース認証は、Cloud SQL for MySQL または Cloud SQL for PostgreSQL データベースではサポートされていません。

    Cloud Storage

    一般提供
    コンソール(連携):
    • オブジェクトの詳細を表示するには、バケットで均一なバケットレベルのアクセスを有効にする必要があります。
    • Cloud Run functions を使用するプロセスはサポートされていません。
    • Cloud Data Loss Prevention によるスキャンはサポートされていません。
    Google Cloud APIs:
    その他: Workforce Identity 連携の認証情報に基づく Google Cloud アクセス トークンは、認証情報アクセス境界で範囲を限定できません。

    Cloud Talent Solution

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Tasks

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーは、App Engine ルーティング オーバーライド オプションを使用できません。
    Google Cloud APIs: Cloud Tasks API は、App Engine ターゲットのあるタスクに対して ID 連携をサポートしていません。次に例を示します。
    • App Engine キュー: App Engine キュー( queue.yaml または queue.xml ファイルを使用して作成されたキュー)には、App Engine ターゲットのあるタスクのみが含まれます。これらのキュー内のタスクはサポートされません。
    • 通常のキュー: 通常の Cloud Tasks キューでは、HTTP ターゲットを使用したタスクがサポートされています。App Engine ターゲットを使用するタスクはサポートされていません(キューは App Engine キューではありません)。
    その他: 既知の制限事項はなし

    Cloud Trace

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Translation

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Vision API

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Cloud Workstations

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーが Cloud Workstations を起動するには、Google Cloud コンソールまたは Workstations API を使用する必要があります。Workstation API を使用するには、ブラウザでワークステーションに接続するをご覧ください。
    Workforce Identity 連携は、既存のワークステーションに直接アクセスして再認証することはできません(たとえば、以前にワークステーションをブックマークした場合など)。代わりに、このセクションで説明しているように Workforce Identity 連携ユーザーの再認証を行うことができます。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Compute Engine

    一般提供
    コンソール(連携): ブラウザでの SSH を使用するには、 google.posix_username 属性のマッピングを設定する必要があります。
    Google Cloud APIs:
    その他: 既知の制限事項はなし

    Confidential Space

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    コンテキストアウェア アクセス

    一般提供
    コンソール(連携):
    • [Add principals to the Google Cloud console & APIs] の [グループ ID] テキスト フィールドでは予測入力がサポートされていません。また、Workforce Identity 連携ユーザーの検証も行われません。
    • Workforce Identity 連携ユーザーの場合、Google グループは名前ではなく ID で識別されます。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    会話型分析情報

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Data Catalog

    一般提供
    コンソール(連携): エントリの詳細ページのスチュワードの編集ダイアログに、連絡先の候補リストは表示されません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Database Migration Service

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Dataflow

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: google.dataflow.v1beta3.SqlValidator.Validate : Dataflow SQL Validator API は、ID 連携をサポートしていません。
    その他: 既知の制限事項はなし

    Dataform

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Dataplex

    一般提供
    コンソール(連携):
    Google Cloud APIs: Dataplex では、関連する環境セッション API で ID 連携を使用することはできません。
    その他: 既知の制限事項はなし

    Dataproc

    一般提供
    コンソール(連携):
    • Workforce Identity 連携ユーザーは、クラスタ、Jobs、Batch のリストページで、作成、表示、更新、削除の操作を実行できます。Workforce Identity 連携は、ワークフロー、自動スケーリング ポリシー、コンポーネント交換を利用できません。
    • クラスタ作成機能は利用できます。ただし、Dataproc on GKE クラスタ作成、個人認証による Dataproc Compute Engine クラスタ、コンポーネント ゲートウェイの有効化は除きます。
    • Workforce Identity 連携のユーザーは、Batch と Jobs の詳細ページの [出力] セクションを利用できません。
    • Workforce Identity 連携のユーザーは、Cluster と Jobs のリストページの [Recommend Alert] セクションを利用できません。
    Google Cloud APIs: 次のメソッドは ID 連携をサポートしていません。
    その他: 既知の制限事項はなし

    Dataproc Metastore

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Datastore

    一般提供
    コンソール(連携): Key Visualizer で Workforce Identity 連携はサポートされていません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Datastream

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Dialogflow

    一般提供
    コンソール(連携): Dialogflow ES は、Workforce Identity 連携ユーザーの Google Cloud コンソールではサポートされていません。
    Google Cloud APIs: Workforce Identity 連携は Dialogflow CX API でのみサポートされています。
    その他: 既知の制限事項はなし

    Document AI

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    エンドポイントの確認

    サポート対象外
    代替: 代替なし

    Enterprise Knowledge Graph

    サポート対象外
    代替: 代替なし

    Error Reporting

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Eventarc

    一般提供
    コンソール(連携): 既存のワークフローを Eventarc トリガーの宛先として使用できますが、Workforce Identity 連携ユーザーは新しいワークフローを作成できません。
    Google Cloud APIs: ChannelConnection リソースを使用したサードパーティ イベントの公開は、Workforce Identity 連携ではサポートされていません。
    その他: 既知の制限事項はなし

    Filestore

    一般提供
    コンソール(連携): インスタンスの作成インスタンスの編集バックアップを新しいインスタンスとして復元するページでは、お支払い情報を確認できません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Firestore

    一般提供
    コンソール(連携):
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Gemini

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: Gemini for Google Cloud の ライセンス管理 は、Workforce Identity 連携をサポートしていません。

    GKE Enterprise

    一般提供
    コンソール(連携):
    • 外部(GKE Enterprise)クラスタにログインする場合、Workforce Identity 連携に [Google ID を使用する] オプションは使用できません。
    • 外部(GKE Enterprise)クラスタを作成または接続しても、Workforce Identity 連携の管理者として自動的に追加されることはありません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: gkeadm gkectl bmctl は、Workforce Identity 連携をサポートしていません。

    Google Cloud Armor

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Google Cloud の Contact Center as a Service

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーが Google Cloud CCaaS コンソールを使用して Google Cloud CCaaS を設定することはできません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: gcloud CLI を使用して Google Cloud CCaaS を設定する場合は、 Workforce Identity 連携 ユーザーがカスタマーケアに問い合わせる必要があります。

    Google Cloud Managed Service for Apache Kafka

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: Workload Identity Federation for GKE を使用するクライアントでは、 OAuthBearer メカニズム を介したオープンソース Apache Kafka API に対する認証はサポートされていません。または、 Kubernetes ServiceAccount を IAM にリンク します。

    Google Cloud Marketplace

    一般提供
    コンソール(連携):
    • Cloud Marketplace には、Workforce Identity 連携をサポートしていない可能性がある Google ドメインへのリンクが含まれています。
    • Deployment Manager は Workforce Identity 連携をサポートしていないため、Deployment Manager を使用するすべての VM プロダクトでは、[開始] ボタンが無効になっています。
    • SaaS の登録と SSO ログインでは、Workforce Identity 連携はサポートされていません。
    • Producer Portal では、Workforce Identity 連携はサポートされていません。
    • 調達リクエストでは、Workforce Identity 連携はサポートされていません。
    • サービス カタログでは、Workforce Identity 連携はサポートされていません。
    Google Cloud APIs: Partner API では、Workforce Identity 連携はサポートされていません。
    その他: 請求先アカウントの管理者またはプロダクト オーナーからメールアドレスが提供されていない場合、顧客には通知されません。

    Google Cloud 移行センター

    プレビュー
    コンソール(連携):
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Google Cloud NetApp Volumes

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Google Cloud SDK

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: RubyPHP の Cloud クライアント ライブラリでは Workforce Identity 連携はサポートされていません。

    Google Distributed Cloud

    サポート対象外
    代替: 代替なし

    Google Earth Engine

    サポート対象外
    代替: 代替なし

    Google Kubernetes Engine

    一般提供
    コンソール(連携): Workload Identity 連携では [Container Registry] タブを使用できません。Artifact Registry を利用できます。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Google Security Operations

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    ハイブリッド接続

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Identity and Access Management

    一般提供
    コンソール(連携):
    • IAM テーブル内の名前列に Google ID の表示名は表示されません。
    • 新しいプリンシパルを追加してポリシーを許可する場合、[プリンシパルを追加] テキスト フィールドでは、サービス アカウントの予測入力のみサポートされます。
    • [監査ログ] ページの [除外対象のプリンシパルを追加] テキスト フィールドでは、サービス アカウントの予測入力のみサポートされます。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Identity-Aware Proxy

    プレビュー
    コンソール(連携):
    • [アプリケーション] タブでは [メソッド] 列が無効になっているため、ユーザーは承認に外部 ID を使用できません。
    • [アプリケーション] タブでは App Engine リソースを一覧表示できません。
    • アクション メニューの [OAuth 構成に移動] 項目は使用できません。
    • [アプリケーション] タブでは、オンプレミス コネクタの追加や一覧表示はできません。
    Google Cloud APIs: IAP TCP 転送リソースの ID 連携は gcloud CLI でのみサポートされています。
    その他: 既知の制限事項はなし

    Identity Platform

    一般提供
    コンソール(連携): Google Cloud Workforce Identity 連携コンソールから Identity Platform を有効にすることはできません。Workforce Identity 連携ユーザーがコンソール(連携)から Identity Platform にアクセスできるようにするには、Workforce Identity 連携の管理者が Firebase Authentication コンソールを使用するか、Cloud Identity または Workspace アカウントを使用して Google Cloud コンソールにログインし、Identity Platform を有効にする必要があります。
    Google Cloud APIs: InitializeIdentityPlatform は ID 連携をサポートしていません。
    その他: 既知の制限事項はなし

    Immersive Stream for XR

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Integration Connectors

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Key Access Justifications

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Knative serving

    一般提供
    コンソール(連携):
    Google Cloud APIs: 既知の制限事項はなし
    その他: Workforce Identity 連携を使用する場合、Knative Serving にはマネージド Cloud Service Mesh を使用するクラスタが必要です。

    Live Stream API

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Looker(Google Cloud コア)

    プレビュー
    コンソール(連携): Workforce Identity 連携ユーザーは、インスタンスの作成、更新、削除はできますが、個々のインスタンスへのアクセスはできません。
    Google Cloud APIs: ID 連携ユーザーは、作成、更新、削除など、インスタンスの管理のみできますが、個々のインスタンスにはアクセスできません。
    その他: 既知の制限事項はなし

    Looker Studio

    サポート対象外
    代替: 代替なし

    Managed Service for Microsoft Active Directory

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: Workforce Identity 連携ユーザーは、IAP TCP 転送を使用して、Active Directory 管理 VM にアクセスできません。

    Media CDN

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Memorystore

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: ID 連携をサポートする API は次のとおりです。
    その他: 既知の制限事項はなし

    Migrate to Containers

    プレビュー
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Migrate to Virtual Machines

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Network Connectivity Center

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Network Intelligence Center

    一般提供
    コンソール(連携): ファイアウォール インサイトは JSON または CSV にエクスポートできません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Network Service Tiers

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    組織ポリシー サービス

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Personalized Service Health

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Policy Intelligence

    一般提供
    コンソール(連携):

    次の Policy Intelligence 機能には、Google Cloud Workforce Identity 連携コンソールを使用する Workforce Identity ユーザーに対して制限事項があります。

    • Policy Troubleshooter: Workforce Identity 連携ユーザーは、コンソール(連携)でアクセスに関するトラブルシューティングを行えません。
    • Policy Analyzer: Workforce Identity 連携ユーザーは、コンソール(連携)でアクセスを分析できません。
    • Policy Simulator: Workforce Identity 連携ユーザーは、コンソール(連携)で許可ポリシーの変更をシミュレートできません。
    • IAM Recommender: Workforce Identity 連携ユーザーは、コンソール(連携)で推奨事項を表示できません。
    Google Cloud APIs:

    次の Policy Intelligence 機能には、連携 ID に対して API の制限事項があります。

    • Policy Troubleshooter: 連携 ID では、許可ポリシーと拒否ポリシーで Google グループのメンバーシップを確認できません。また、拒否ポリシーの Cloud Identity アカウント(ドメイン)のメンバーシップも確認できません。連携 ID が iam.troubleshoot メソッドを呼び出したときに、ロール バインディングまたは拒否ルールにプリンシパルが明示的に含まれている場合を除き、グループまたはドメインを含むロール バインディングと拒否ルールのアクセス結果は「不明」になります。
    • analyzeIamPolicy または analyzeIamPolicyLongrunning メソッドを呼び出すと、次の理由で連携 ID が不完全な分析結果を受け取る可能性があります。

      • 連携 ID は、許可ポリシーにある Google グループのメンバーを確認できません。その結果、グループのメンバーシップが原因で、連携 ID がプリンシパルに対するアクセスを分析するときに、プリンシパルに付与されている権限とロールがクエリ結果に含まれません。
      • アクセスを分析する場合、連携 ID で expand-groups オプションを有効にできません。

      連携 ID では、次の API メソッドを使用できません。

    • Policy Simulator: 連携 ID は Policy Simulator API( policysimulator.googleapis.com )を使用できません。
    • Activity Analyzer : 連携 ID は Policy Analyzer API( policyanalyzer.googleapis.com )を使用できません。
    • IAM Recommender: 連携 ID は Recommender API( recommender.googleapis.com )を使用できません。
    その他: 既知の制限事項はなし

    Private Service Connect

    一般提供
    コンソール(連携): サービスを公開するときに、DNS 構成は使用できません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Pub/Sub

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: Pub/Sub Lite API には、ID 連携をサポートするエンドポイントがありません。
    その他: 既知の制限事項はなし

    reCAPTCHA

    一般提供
    コンソール(連携):
    • Workforce Identity 連携ユーザーは、メールによる多要素認証を構成できません。サポートが必要な場合は、お問い合わせください。
    • Cloud Shell のデモ用ウェブサイトは、Workforce Identity 連携ユーザーではサポートされていません。
    Google Cloud APIs: MigrateKey は、連携 ID ではサポートされていません。
    その他: 既知の制限事項はなし

    Recommender

    一般提供
    コンソール(連携): Workforce Identity 連携では、BigQuery への推奨事項のエクスポートはサポートされていません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: Recommender が、Workforce Identity 連携でサポートされていないプロダクトと機能を推奨する場合があります。

    Resource Manager

    一般提供
    コンソール(連携):
    • Workforce Identity 連携ユーザーは、Workforce Identity 連携が構成された組織のみを表示および操作できます。ユーザーが追加された他の組織は、Google Cloud コンソールに表示されません。
    • 特定のオペレーション(プロジェクトやフォルダの作成など)は、UI に反映されるまで時間がかかります。
    Google Cloud APIs: Organizations API は、ID 連携をサポートしていません。
    その他: 既知の制限事項はなし

    Retail API

    一般提供
    コンソール(連携):
    Google Cloud APIs: 次のメソッドは、ID 連携をサポートしていません。
    その他: 既知の制限事項はなし

    Secret Manager

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Secure Source Manager

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs:
    • アイデンティティ連携ユーザーは、次のいずれかのコマンドを実行する前に、Secure Source Manager インスタンスの ウェブ インターフェース にログインする必要があります。
    • ユーザーの SSH 認証鍵を使用して Git SSH CLI コマンドを引き続き使用するには、ID 連携ユーザーはセッションの有効期限が切れるたびに、Secure Source Manager インスタンスの ウェブ インターフェース からログインする必要があります。
    その他:
    • Workforce Identity 連携を使用するには、新しい Secure Source Manager インスタンスを作成する必要があります。既存のインスタンスは更新できません。
    • Secure Source Manager で使用される Workforce Identity プール プロバイダは、 google.subject 属性と google.email 属性のマッピングを提供する必要があります。
    • フェデレーション ID を使用してログインできるのは、Workforce Identity 連携を使用するように構成された Secure Source Manager インスタンスに限られます。
    • Workforce Identity 連携で構成されたインスタンスでは、Secure Source Manager からのメール通知はサポートされていません。

    Security Command Center

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーは、次の機能を使用できません。
    • CSV ファイルへの検出結果のエクスポート
    • Cloud Storage への検出結果のエクスポート
    • [フィードバックを送信] ボタン
    • Google SecOps のエクスポート設定は連携環境では管理できないため、[継続的エクスポート] ページで Google SecOps バナーは使用できません。
    • [サービスの有効化] ページで有効化状態がデフォルトで継承されることを示す警告ダイアログ
    • セキュリティ ポスチャー サービスは、Google Cloud コンソールで管理できません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Sensitive Data Protection

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    サーバーレス VPC アクセス

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Service Directory

    プレビュー
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Service Infrastructure

    プレビュー
    コンソール(連携): Cloud Endpoints での割り当ての管理はサポートされていません。
    Google Cloud APIs: Service Management API: マネージド サービスの作成で ID 連携はサポートされていません。ドメイン所有権を確認し、マネージド サービスを作成するには、次のようにします。
    1. Site Verification API を使用してドメイン所有者にサービス アカウントを追加する
    2. このサービス アカウントの権限を借用してマネージド サービスを作成する。
    その他: 既知の制限事項はなし

    Spanner

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Speaker ID

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Speech-to-Text

    一般提供
    コンソール(連携): Workforce Identity 連携をサポートするのは v2 UI ページのみです。
    Google Cloud APIs: Workforce Identity 連携をサポートしているのは v2 API のみです。
    その他: 既知の制限事項はなし

    Storage Transfer Service

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Text-to-Speech

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Transcoder API

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Transfer Appliance

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Translation Hub

    サポート対象外
    代替: 代替なし

    Vertex AI

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーが新しいモデル モニタリング ジョブを作成する場合、Vertex AI ではアラートメールの入力にメールアドレスが自動的に挿入されません。
    Google Cloud APIs: Vertex AI は、Workforce Identity 連携ユーザーにメール メッセージを送信しません。
    その他: Colab Enterprise で、Workforce Identity 連携はサポートされていません。

    Vertex AI Agent Builder

    プレビュー
    コンソール(連携):
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Vertex AI Vision

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーは動画ストリームを再生できません。
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Vertex AI Workbench

    プレビュー
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs:
    その他: 既知の制限事項はなし

    Video Intelligence API

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Video Stitcher API

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: Google アド マネージャー(GAM)フィールドが設定されている場合、LiveConfig と Slate のリソースでは ID 連携がサポートされていません。
    その他: 既知の制限事項はなし

    Virtual Private Cloud

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    VPC Service Controls

    プレビュー
    コンソール(連携): 次のフィールドにユーザー ID を追加する場合、予測入力の候補はサポートされていません。
    Google Cloud APIs:
    その他: 既知の制限事項はなし

    Web Risk

    一般提供
    コンソール(連携): 既知の制限事項はなし
    Google Cloud APIs: 既知の制限事項はなし
    その他: 既知の制限事項はなし

    Workflows

    一般提供
    コンソール(連携): Workforce Identity 連携ユーザーに、プロジェクトに対するサービス アカウント ユーザー( roles/iam.serviceAccountUser )ロールを付与する [付与] ボタンが無効になっています。
    Google Cloud APIs: Workflows API と Workflow Executions API は、ID 連携をサポートしていますが、ワークフローの実行中に他のサービスを呼び出す場合、ID 連携はサポートされません。
    その他: 既知の制限事項はなし