身分聯盟：產品和限制

• 「效能」和「備份」摘要資訊卡
• 叢集表格中的資料，例如 CPU 百分比和可用記憶體

• 員工身分聯盟使用者無法使用傳統 Apigee UI。無法使用切換至傳統版 Apigee UI 的按鈕。員工身分聯盟使用者無法使用下列功能，這些功能只能透過傳統 Apigee UI 存取：

  • Apigee API 營利
  • 開發人員分析
  • 使用者分析
  • 整合式入口網站

• 員工身分聯盟使用者無法使用「預覽」 功能。這包括下列功能：

  • 濫用情形偵測
  • API 中心
  • 搭配 Apigee 使用 Gemini Code Assist
  • Looker Studio 整合
  • 風險評估
  • 安全性動作
  • Shadow API discovery

• 員工身分聯盟使用者無法透過 Cloud Code 中的 Apigee 進行本機開發。

• 員工身分聯盟使用者無法使用「預覽」 功能。這包括下列功能：

  • API 中樞 API
  • API 管理 API
  • 安全措施 API

• Apigee 連線 API 不支援員工身分聯盟使用者。

• 系統不支援 OAuth 用戶端管理。
• 不支援 OAuth 品牌管理 。

• Container Registry 不支援身分聯盟。設定頁面會顯示資訊橫幅，說明 Container Registry 遷移作業 。

• 下列功能不支援搭配 BigQuery 使用 Workforce Identity Federation：
  • BigQuery BI Engine
  • 連結試算表
  • Google 雲端硬碟
  • 代管災難復原
  • 監控
  • 建議
  • 運算單元估算器
  • Legacy streaming API
• 下列作業不支援員工身分聯盟：
  • 透過 連線 API ，從 Amazon S3 、 Apache Spark 或 Azure Blob 儲存體 載入資料
  • 從 Google 雲端硬碟載入資料 Google 雲端硬碟

使用 analyzeIamPolicy 或 analyzeIamPolicyLongrunning 方法時，由於下列原因，同盟身分可能會收到不完整的分析結果：

• 同盟身分無法在允許政策中檢查 Google 群組的成員資格。因此，當同盟身分分析主體的存取權時，查詢結果不會包含主體因所屬群組而擁有的權限和角色。
• 分析存取權時，同盟身分無法啟用「 expand_groups 」選項。

analyzeMove 身分聯盟不支援。

• 僅支援 可開立月結單的帳單帳戶 。

• 只有 可開立月結單的帳單帳戶 支援身分聯合。

• 只有在 Composer 2.1.11 以上版本和 Airflow 2.4.3 以上版本中建立的環境，才支援 Workforce Identity Federation。從舊版升級環境不會啟用員工身分聯盟支援功能。
• 從 Airflow 傳送的電子郵件只會包含 Google 帳戶可存取的 Airflow UI 連結。 如要以員工身分聯盟使用者身分存取 Airflow UI，必須手動更新連結 (變更為員工身分聯盟的網址) 。
• Cloud Storage 限制適用於 Cloud Composer 環境值區。

• 登入時選取的語言偏好設定無法在主控台中更新。
• 你無法在「通訊偏好設定」 頁面啟用產品通知、最新動態和優惠。
• 系統不支援根據 Google Cloud 主機活動記錄提供個人化內容。
• 「資訊公開和控制中心」 頁面無法使用。

• 由於 員工身分聯盟的 Cloud Billing 限制 ，只有機構管理員可透過設定帳單帳戶時所用的 Google Cloud 帳戶，取得帳單相關支援服務。
• 員工身分聯盟使用者可以上傳支援案件相關檔案，但無法下載。處理案件的支援工程師可以查看這些檔案。
• 與支援團隊開始互動後，員工身分聯盟使用者的聯絡資訊 (例如電子郵件地址) 就無法變更。
• 員工身分聯盟使用者無法透過即時通訊支援管道建立案件。

• 使用身分同盟登入的使用者可以查看 為以指標為準的政策新增的事件註解，但無法新增註解。
• 使用身分同盟登入的使用者可以查看 為以記錄為準的政策新增至事件的註解，但無法新增註解。

• 使用 Cloud Build 持續部署 員工身分聯盟已停用這項功能。
• 員工身分聯盟不會列出既有的 虛擬私有雲連接器。您必須手動建立。

• 員工身分聯盟不會列出既有的 虛擬私有雲連接器。您必須手動建立。
• 員工身分聯盟不支援建立工作人員集區。
• 員工身分聯盟不支援預先部署測試。

• 員工身分聯盟使用者無法使用 App Engine Cron 工作分頁。
• 目標類型設定中的 App Engine 選項不適用於員工身分聯盟使用者。

• 不支援使用說明小幫手。
• 使用者登入時，MySQL 適用的 Cloud SQL 或 PostgreSQL 適用的 Cloud SQL 資料庫不支援 IAM 資料庫驗證。

• 如要查看物件詳細資料，必須為值區啟用 統一值區層級存取權 。
• 系統不支援透過 Cloud Run 函式處理。
• 系統不支援透過 Cloud Data Loss Prevention 掃描。

• 只有 統一值區層級存取權值區，才支援與所有 Cloud Storage API 進行身分同盟。系統會拒絕透過身分同盟存取具有精細 存取控制清單 (ACL) 的值區。
• 雖然所有使用者和工作負載都可以使用現有的 簽署網址，但身分聯盟使用者和工作負載無法產生簽署網址。
• 身分聯盟使用者和工作負載無法使用 物件變更通知 。

• App Engine 佇列： 由於 App Engine 佇列 (使用 queue.yaml 或 queue.xml 檔案建立的佇列) 只包含以 App Engine 為目標的工作，因此不支援這些佇列中的工作。
• 一般佇列： 一般 Cloud Tasks 佇列支援使用 HTTP 目標的工作。系統不支援以 App Engine 為目標的工作 (即使佇列不是 App Engine 佇列)。

• 如要從 Cloud Storage 值區匯入及匯出圖片，必須為該值區啟用 統一值區層級存取權。
• VMware Engine 不支援。
• 不支援 Bare Metal 解決方案 。

• 在 Google Cloud 控制台和 API 中新增主體時，「群組 ID」文字欄位不支援自動完成功能，也不會為員工身分聯盟使用者提供驗證。
• 員工身分聯盟使用者會以 ID (而非名稱) 識別 Google 群組。

• Dataplex Explore Workbench 不支援員工身分聯盟。
• 透過探索工作台排定的指令碼和筆記本 不支援員工身分聯盟。
• 安全檢視畫面 不支援員工身分聯盟。

• Workforce Identity Federation 使用者可以在「叢集」、「工作」和「批次」清單頁面中，執行建立、查看、更新和刪除作業。員工身分聯盟無法使用工作流程、自動調度資源政策和元件交換功能。
• 您可以使用叢集建立功能，但無法建立 Dataproc on GKE 叢集、使用個人驗證的 Dataproc Compute Engine 叢集，或啟用元件閘道的叢集。
• 員工身分聯盟使用者無法在「批次」和「工作詳細資料」頁面中查看「輸出」
• 員工身分聯盟使用者無法在「叢集和工作清單」頁面中查看「建議警報」 部分。

• Dataproc on GKE
• Dataproc 個人叢集驗證
• 以 Dataproc 服務帳戶為基礎的多用戶群安全架構

• 安全性規則 不支援員工身分聯盟。
• Key Visualizer 不支援員工身分聯盟。

• 登入任何外部 (GKE Enterprise) 叢集時，員工身分聯盟無法使用「使用您的 Google 身分」 選項。
• 建立或附加任何外部 (GKE Enterprise) 叢集時，您不會自動新增為 Workforce Identity Federation 的管理員。

• Cloud Marketplace 包含 Google 網域的連結，這些網域可能不支援員工身分聯盟。
• 使用 Deployment Manager 的所有 VM 產品都會停用「啟動」 按鈕，因為 Deployment Manager 不支援員工身分聯盟。
• 軟體即服務 (SaaS) 註冊和單一登入 (SSO) 登入不支援員工身分聯盟。
• Producer Portal 不支援員工身分聯盟。
• 「要求採購」 不支援員工身分聯盟。
• Service Catalog 不支援員工身分聯盟。

• 員工身分聯盟使用者無法匯出總持有成本報表 (TCO 報表)。
• 員工身分聯盟使用者無法匯出資產。

• IAM 表格中的「名稱」 欄不會顯示 Google 身分的顯示名稱。
• 新增主體至允許政策時，「新增主體」 文字欄位僅支援服務帳戶的自動完成功能。
• 「稽核記錄」頁面中的「新增豁免主體」文字欄位僅支援服務帳戶的自動完成功能。

• 在「應用程式」分頁中，「方法」 欄會停用，使用者無法使用外部身分進行授權。
• 「應用程式」分頁無法列出 App Engine 資源。
• more_vert 動作選單中沒有「前往 OAuth 設定」 項目。
• 在「應用程式」 分頁中，無法新增或列出內部部署連接器。

• 使用 Cloud Build 持續部署 不支援員工身分聯盟。
• 使用 Cloud Domains 註冊網域 不支援員工身分聯盟。

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached
• Memorystore for Valkey

如果員工身分聯盟使用者透過 Google Cloud 員工身分聯盟控制台使用下列 Policy Intelligence 功能，會受到限制：

• 政策疑難排解工具 ： 員工身分聯盟使用者無法在控制台 (聯合) 中排解存取權問題。
• 政策分析工具 : 員工身分聯盟使用者無法在控制台 (聯合) 中分析存取權。
• Policy Simulator : 員工身分聯盟使用者無法在控制台 (已同盟) 中模擬允許政策的變更。
• IAM 建議事項 ：Workforce Identity Federation 使用者無法在控制台 (已同盟) 中查看建議事項。

下列 Policy Intelligence 功能對同盟身分設有 API 限制：

• 政策疑難排解工具 : 在允許和拒絕政策中，同盟身分無法檢查 Google 群組的成員資格；在拒絕政策中，同盟身分無法檢查 Cloud Identity 帳戶 (網域) 的成員資格。當同盟身分呼叫 iam.troubleshoot 方法時，如果角色繫結和拒絕規則包含群組或網域，存取結果會是「Unknown」(不明) ，除非角色繫結或拒絕規則也明確包含主體。

• 呼叫 analyzeIamPolicy 或 analyzeIamPolicyLongrunning 方法時，由於下列原因，聯邦身分可能會收到不完整的分析結果：

  • 同盟身分無法在允許政策中檢查 Google 群組的成員資格。因此，當同盟身分分析主體的存取權時，查詢結果不會包含主體因所屬群組而擁有的權限和角色。
  • 分析存取權時，同盟身分無法啟用「 expand-groups 」選項。

  同盟身分無法使用下列 API 方法：

  • analyzeMove
• 政策 模擬器 ：同盟身分無法使用政策模擬器 API ( policysimulator.googleapis.com )。
• 活動分析器 ：同盟身分無法使用 Policy Analyzer API ( policyanalyzer.googleapis.com )。
• IAM Recommender : 聯邦身分無法使用 Recommender API ( recommender.googleapis.com )。

• 員工身分聯盟使用者無法透過電子郵件設定多重驗證。如需協助，請 聯絡銷售人員 。
• 員工身分聯盟使用者無法使用 Cloud Shell 中的示範網站。

• 員工身分聯盟使用者只能查看及操作已設定員工身分聯盟的機構。使用者加入的其他機構不會顯示在 Google Cloud 控制台中。
• 某些作業需要較長時間才會反映在使用者介面中，例如建立專案或資料夾。

• 使用者事件資訊 會對員工身分聯盟使用者隱藏。
• Merchant Center 帳戶 不支援員工身分聯盟使用者。
• 放送設定 員工身分聯盟使用者無法查看 Analytics 和使用次數。
• 模型資料要求 會對員工身分聯盟使用者隱藏。

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• 身分同盟使用者必須先透過 Secure Source Manager 執行個體 網頁介面 登入，才能執行下列任一指令：
  • Git CLI 指令
  • 對 資料平面端點 發出的 API 呼叫
• 身分同盟使用者必須在每個工作階段過期後，透過 Secure Source Manager 執行個體 網頁介面 登入，才能繼續使用 Git SSH CLI 指令搭配使用者 SSH 金鑰。

• 如要使用員工身分聯盟，必須建立新的 Secure Source Manager 執行個體。現有執行個體無法更新。
• 用於 Secure Source Manager 的工作團隊身分集區提供者必須提供 google.subject 和 google.email 屬性對應。
• 您只能使用聯盟身分登入已設定使用員工身分聯盟的 Secure Source Manager 執行個體。
• 如果執行個體已設定員工身分聯盟，則不支援接收 Secure Source Manager 的電子郵件通知。

• 將發現項目匯出為 CSV 檔案
• 將發現項目匯出至 Cloud Storage
• 提供意見 按鈕
• Google SecOps 匯出設定無法在同盟環境中管理，因此在「持續匯出」頁面中，無法使用「Google SecOps」橫幅。
• 警告對話方塊，說明服務啟用頁面預設會沿用啟用狀態
• 您無法使用 Google Cloud 控制台管理安全性狀態服務。

1. 使用 Site Verification API 將服務帳戶新增至網域擁有者 。
2. 模擬這個服務帳戶 建立代管服務。

• Vertex AI 代理程式 不支援建立和預覽。
• 系統不支援建立 Google 雲端硬碟資料儲存庫。

• Vertex AI Workbench 代管型筆記本 ( 已淘汰 ) 不支援員工身分聯盟。
• Vertex AI Workbench 使用者自管筆記本 ( 已淘汰 ) 不支援 Workforce Identity Federation。

• 存取權政策
• 服務範圍的輸入和輸出規則

• v1alpha API 無法供聯合身分使用。
• VPC Service Controls 僅支援 v1 principal principalSet IAM v1 API 主體 ID 前置字串開頭的 Workforce Identity Federation 和 Workload Identity Federation 主體。您可以在服務周邊輸入和輸出規則中使用這些主體 ID。