Limite dos dados para a Proteção B do Canadá
Esta página descreve o conjunto de controlos que são aplicados no limite de dados para cargas de trabalho Protected B no Canadá no Assured Workloads. Fornece informações detalhadas sobre a residência de dados, os produtos Google Cloud suportados e os respetivos pontos finais da API, bem como quaisquer restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais aplicam-se ao Limite de dados para o nível de confidencialidade "Protegido B" do Canadá:
- Residência dos dados: o pacote de controlos Protected B do limite de dados para o Canadá define controlos de localização dos dados para suportar regiões apenas no Canadá. Consulte a secção Google CloudRestrições da política da organização ao nível da organização para mais informações.
- Apoio técnico: os serviços de apoio técnico para cargas de trabalho Protected B do limite de dados para o Canadá estão disponíveis com subscrições do Cloud Customer Care Melhorado ou Premium. Os registos de apoio técnico de cargas de trabalho Protected B do limite de dados para o Canadá são encaminhados para funcionários de apoio técnico canadianos que concluíram as verificações do estado de fiabilidade. Consulte o artigo Receber apoio técnico para mais informações.
- Preços: o pacote de controlo da fronteira de dados Protected B para o Canadá está incluído no nível Premium dos Assured Workloads, que incorre num custo adicional de 5%. Consulte os preços do Assured Workloads para mais informações.
Produtos e pontos finais da API compatíveis
Salvo indicação em contrário, os utilizadores podem aceder a todos os produtos suportados através da Google Cloud consola. As restrições ou as limitações que afetam as funcionalidades de um produto suportado, incluindo as que são aplicadas através das definições de restrições da política da organização, estão listadas na tabela seguinte.
Se um produto não estiver listado, significa que não é suportado e não cumpriu os requisitos de controlo da fronteira de dados para o nível B protegido do Canadá. Não é recomendado usar produtos não suportados sem a devida diligência e uma compreensão exaustiva das suas responsabilidades no modelo de responsabilidade partilhada. Antes de usar um produto não suportado, certifique-se de que tem conhecimento e está disposto a aceitar os riscos associados envolvidos, como impactos negativos na residência ou soberania dos dados.
| Produto suportado | Pontos finais da API | Restrições ou limitações |
|---|---|---|
| Aprovação de acesso |
accessapproval.googleapis.com |
Nenhum |
| Gestor de acesso sensível ao contexto |
accesscontextmanager.googleapis.com |
Nenhum |
| Transparência de acesso |
accessapproval.googleapis.com |
Nenhum |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
Nenhum |
| Apigee Hybrid |
apigee.googleapis.com |
Nenhum |
| Apigee |
apigee.googleapis.com |
Nenhum |
| Artifact Registry |
artifactregistry.googleapis.com |
Nenhum |
| Cópia de segurança do GKE |
gkebackup.googleapis.com |
Nenhum |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funcionalidades afetadas |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Nenhum |
| Autorização binária |
binaryauthorization.googleapis.com |
Nenhum |
| Certificate Authority Service |
privateca.googleapis.com |
Nenhum |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
Nenhum |
| Cloud Build |
cloudbuild.googleapis.com |
Nenhum |
| Cloud Composer |
composer.googleapis.com |
Nenhum |
| Cloud DNS |
dns.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Nenhum |
| Funções do Cloud Run |
cloudfunctions.googleapis.com |
Nenhum |
| Cloud HSM |
cloudkms.googleapis.com |
Nenhum |
| Cloud Interconnect |
compute.googleapis.com |
Nenhum |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nenhum |
| Cloud Load Balancing |
compute.googleapis.com |
Nenhum |
| Cloud Logging |
logging.googleapis.com |
Funcionalidades afetadas |
| Cloud Monitoring |
monitoring.googleapis.com |
Nenhum |
| NAT na nuvem |
compute.googleapis.com |
Nenhum |
| API Cloud OS Login |
oslogin.googleapis.com |
Nenhum |
| Cloud Router |
compute.googleapis.com |
Nenhum |
| Cloud Run |
run.googleapis.com |
Funcionalidades afetadas |
| Funções do Cloud Run |
run.googleapis.com |
Nenhum |
| Cloud SQL |
sqladmin.googleapis.com |
Nenhum |
| Cloud SQL para PostgreSQL |
sqladmin.googleapis.com |
Nenhum |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comnetworkservices.googleapis.com |
Nenhum |
| Cloud Storage |
storage.googleapis.com |
Nenhum |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nenhum |
| Cloud VPN |
compute.googleapis.com |
Funcionalidades afetadas |
| Cloud Vision API |
vision.googleapis.com |
Nenhum |
| Cloud Workstations |
workstations.googleapis.com |
Nenhum |
| Compute Engine |
compute.googleapis.com |
Funcionalidades afetadas e restrições da política da organização |
| Config Sync |
anthosconfigmanagement.googleapis.com |
Nenhum |
| Associar |
gkeconnect.googleapis.com |
Nenhum |
| Centro de bases de dados |
Not applicable |
Nenhum |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Nenhum |
| Dataform |
dataform.googleapis.com |
Nenhum |
| Catálogo universal do Dataplex |
dataplex.googleapis.comdatalineage.googleapis.com |
Nenhum |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Nenhum |
| Document AI |
documentai.googleapis.com |
Nenhum |
| Contactos essenciais |
essentialcontacts.googleapis.com |
Nenhum |
| Eventarc |
eventarc.googleapis.com |
Nenhum |
| Balanceador de carga de rede de passagem externo |
compute.googleapis.com |
Nenhum |
| Filestore |
file.googleapis.com |
Nenhum |
| Regras de segurança do Firebase |
firebaserules.googleapis.com |
Nenhum |
| Firestore |
firestore.googleapis.com |
Nenhum |
| GKE Hub |
gkehub.googleapis.com |
Nenhum |
| Serviço de identidade do GKE |
anthosidentityservice.googleapis.com |
Nenhum |
| IA generativa na Vertex AI |
aiplatform.googleapis.com |
Nenhum |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Funcionalidades afetadas |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
Funcionalidades afetadas |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
Nenhum |
| SIEM do Google Security Operations |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
Nenhum |
| SOAR do Google Security Operations |
Not applicable |
Nenhum |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Nenhum |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Nenhum |
| Infrastructure Manager |
config.googleapis.com |
Nenhum |
| Balanceador de carga de rede de passagem interno |
compute.googleapis.com |
Nenhum |
| Looker (Google Cloud core) |
looker.googleapis.com |
Nenhum |
| Memorystore para Redis |
redis.googleapis.com |
Nenhum |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Nenhum |
| Serviço de políticas da organização |
orgpolicy.googleapis.com |
Nenhum |
| Persistent Disk |
compute.googleapis.com |
Nenhum |
| Estado de funcionamento do serviço personalizado |
servicehealth.googleapis.com |
Nenhum |
| Pub/Sub |
pubsub.googleapis.com |
Nenhum |
| Balanceador de carga de aplicações externo regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de rede de proxy externo regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de aplicações interno regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de rede de proxy interno regional |
compute.googleapis.com |
Nenhum |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Nenhum |
| Definições de recursos |
resourcesettings.googleapis.com |
Nenhum |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Nenhum |
| Proteção de dados confidenciais |
dlp.googleapis.com |
Nenhum |
| Acesso a VPC sem servidor |
vpcaccess.googleapis.com |
Nenhum |
| Diretório de serviços |
servicedirectory.googleapis.com |
Nenhum |
| Spanner |
spanner.googleapis.com |
Nenhum |
| Conversão de voz em texto |
speech.googleapis.com |
Nenhum |
| Serviço de transferência de armazenamento |
storagetransfer.googleapis.com |
Nenhum |
| Conversão de texto em voz |
texttospeech.googleapis.com |
Nenhum |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Nenhum |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI Search |
discoveryengine.googleapis.com |
Nenhum |
| Vertex AI Training |
aiplatform.googleapis.com |
Nenhum |
| Nuvem virtual privada (VPC) |
compute.googleapis.com |
Nenhum |
| Web Risk |
webrisk.googleapis.com |
Nenhum |
Restrições e limitações
As secções seguintes descrevem as restrições ou as limitações ao nível da organização ou específicas do produto para funcionalidades, incluindo quaisquer restrições da política da organização que são definidas por predefinição em pastas da fronteira de dados para o Canadá Protected B. Google CloudOutras restrições de políticas organizacionais aplicáveis, mesmo que não estejam definidas por predefinição, podem fornecer uma defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.
Google Cloudde largura
Google Cloudrestrições de políticas da organização ao nível da entidade
As seguintes restrições de políticas da organização aplicam-se em Google Cloud.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Definido para as seguintes localizações na lista allowedValues:
Alterar este valor tornando-o menos restritivo compromete potencialmente a residência de dados, uma vez que permite que os dados sejam criados ou armazenados fora de um limite de dados em conformidade. |
gcp.restrictServiceUsage |
Definido para permitir todos os produtos e pontos finais da API suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restringir a utilização de recursos. |
gcp.restrictTLSVersion |
Definido para recusar as seguintes versões do TLS:
|
BigQuery
Funcionalidades do BigQuery afetadas
| Funcionalidade | Descrição |
|---|---|
| Ativar o BigQuery numa nova pasta | O BigQuery é suportado, mas não é ativado automaticamente quando cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Normalmente, este processo termina em dez minutos, mas pode demorar muito mais tempo em algumas circunstâncias. Para verificar se o processo está concluído e ativar o BigQuery, conclua os seguintes passos:
Após a conclusão do processo de ativação, pode usar o BigQuery na sua pasta do Assured Workloads. O Gemini no BigQuery não é suportado pelos Assured Workloads. |
| Funcionalidades não suportadas | As seguintes funcionalidades do BigQuery não são suportadas e não devem ser usadas na
CLI do BigQuery. É da sua responsabilidade não os usar no BigQuery para
Assured Workloads.
|
| CLI do BigQuery | A CLI do BigQuery é suportada.
|
| SDK Google Cloud | Tem de usar a versão 403.0.0 ou mais recente do Google Cloud SDK para manter as garantias de regionalização de dados para dados técnicos. Para verificar a sua versão atual do Google Cloud SDK, execute o comando
gcloud --version e, em seguida, gcloud components update para atualizar para
a versão mais recente.
|
| Controlos para administradores | O BigQuery desativa as APIs não suportadas, mas os administradores com autorizações suficientes para criar uma pasta do Assured Workloads podem ativar uma API não suportada. Se isto ocorrer, recebe uma notificação sobre a potencial não conformidade através do painel de controlo de monitorização do Assured Workloads. |
| Carregar dados | Os conetores do Serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) da Google, fornecedores de armazenamento na nuvem externos e armazéns de dados não são suportados. É da sua responsabilidade não usar conetores do Serviço de transferência de dados do BigQuery para cargas de trabalho de limite de dados para o nível B protegido do Canadá. |
| Transferências de terceiros | O BigQuery não valida o suporte para transferências de terceiros para o Serviço de transferência de dados do BigQuery. É da sua responsabilidade verificar o apoio técnico quando usar qualquer transferência de terceiros para o Serviço de transferência de dados do BigQuery. |
| Modelos BQML não conformes | Os modelos BQML preparados externamente não são suportados. |
| Consultar tarefas | Os trabalhos de consulta só devem ser criados em pastas do Assured Workloads. |
| Consultas em conjuntos de dados noutros projetos | O BigQuery não impede que os conjuntos de dados dos Assured Workloads sejam consultados
a partir de projetos que não sejam dos Assured Workloads. Deve garantir que qualquer consulta que tenha uma leitura ou uma junção em dados do Assured Workloads é colocada numa pasta do Assured Workloads. Pode especificar um
nome de tabela totalmente qualificado
para o resultado da consulta através de projectname.dataset.table na
CLI do BigQuery.
|
| Cloud Logging | O BigQuery usa o Cloud Logging para alguns dos seus dados de registo. Deve desativar os contentores de registo _default ou restringir os contentores _default às regiões no âmbito para manter a conformidade através do seguinte comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Consulte o artigo Regionalize os seus registos para mais informações. |
Cloud Interconnect
Funcionalidades do Cloud Interconnect afetadas
| Funcionalidade | Descrição |
|---|---|
| VPN de alta disponibilidade (HA) | Tem de ativar a funcionalidade de VPN de alta disponibilidade (HA) quando usar o Cloud Interconnect com o Cloud VPN. Além disso, tem de cumprir os requisitos de encriptação e regionalização indicados na secção Funcionalidades da VPN na nuvem afetadas. |
Cloud Logging
Funcionalidades do Cloud Logging afetadas
| Funcionalidade | Descrição |
|---|---|
| Sinks de registo | Os filtros não devem conter dados de clientes. Os destinos de registos incluem filtros que são armazenados como configuração. Não crie filtros que contenham dados de clientes. |
| Monitorização em tempo real de entradas do registo | Os filtros não devem conter dados de clientes. Uma sessão de monitorização em tempo real inclui um filtro que é armazenado como configuração. A monitorização de registos não armazena dados de entradas de registo, mas pode consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes. |
Cloud Monitoring
Funcionalidades do Cloud Monitoring afetadas
| Funcionalidade | Descrição |
|---|---|
| Monitor sintético | Esta funcionalidade está desativada. |
| Verificações de tempo de atividade | Esta funcionalidade está desativada. |
Cloud Run
Funcionalidades do Cloud Run afetadas
| Funcionalidade | Descrição |
|---|---|
| Funcionalidades não suportadas | As seguintes funcionalidades do Cloud Run não são suportadas: |
Cloud VPN
Funcionalidades do Cloud VPN afetadas
| Funcionalidade | Descrição |
|---|---|
| Endpoints da VPN | Tem de usar apenas pontos finais da VPN do Google Cloud localizados numa região dentro do âmbito. Certifique-se de que o gateway de VPN está configurado para utilização apenas numa região no âmbito. |
Compute Engine
Funcionalidades do Compute Engine afetadas
| Funcionalidade | Descrição |
|---|---|
| Ambiente convidado | É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações a este software podem ser instaladas por predefinição. Consulte o
ambiente de convidado para ver informações específicas
sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos de segurança internos e processos. No entanto, se quiser um controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a restrição da compute.trustedImageProjects política da organização.
Consulte a página Criar uma imagem personalizada para mais informações. |
| Políticas de SO no VM Manager |
Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK).
Por conseguinte, não inclua informações confidenciais nestes ficheiros.
Em alternativa, considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os
exemplos de políticas de SO. Se quiser restringir a criação ou a modificação de recursos de políticas do SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Para mais informações, consulte Restrições para a configuração do SO. |
Restrições de políticas de organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras a políticas de segurança do Google Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a capacidade de remover ou alterar a descrição e a ficha de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por esta restrição. Todas as políticas de segurança globais e regionais que existirem antes da aplicação desta restrição permanecem em vigor. |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Consulte a
documentação sobre a VM confidencial
para mais informações. |
compute.trustedImageProjects |
(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional.
A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados, impedindo a utilização de imagens ou agentes não autorizados. |
Spanner
Restrições da política da organização do Spanner
| Restrição da política da organização | Descrição |
|---|---|
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Definido como Verdadeiro. Desativa a capacidade de criar instâncias do Spanner de várias regiões para aplicar a residência e a soberania dos dados. |
spanner.assuredWorkloadsAdvancedServiceControls |
Definido como Verdadeiro. Aplica controlos de soberania e capacidade de suporte de dados adicionais aos recursos do Spanner. |
O que se segue?
- Saiba como criar uma pasta do Assured Workloads
- Compreenda os preços do Assured Workloads