Os nomes de alguns pacotes de controlos do Assured Workloads foram alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Limite de dados da UE com justificações de acesso

Esta página descreve as restrições, as limitações e outras opções de configuração quando usa o limite de dados da UE com justificações de acesso.

Vista geral

A fronteira de dados da UE com justificações de acesso oferece funcionalidades de residência e soberania dos dados para os serviços suportados Google Cloud . Para disponibilizar estas funcionalidades, algumas das funcionalidades destes serviços estão restritas ou limitadas. A maioria destas alterações é aplicada durante o processo de integração quando cria uma nova pasta ou um novo projeto num limite de dados da UE com um ambiente de justificações de acesso. No entanto, algumas delas podem ser alteradas posteriormente através da modificação das políticas da organização.

É importante compreender como estas restrições modificam o comportamento de um determinado serviço ou afetam a soberania dos dados ou a residência dos dados. Google Cloud Por exemplo, algumas funcionalidades podem ser desativadas automaticamente para verificar se a soberania e a residência dos dados são mantidas. Além disso, se uma definição da política da organização for alterada, pode ter a consequência não intencional de copiar dados de uma região para outra.

Produtos e serviços suportados

Consulte a página Produtos suportados para ver uma lista de produtos e serviços suportados pela fronteira de dados da UE com justificações de acesso.

Políticas da organização

Esta secção descreve como cada serviço é afetado pelos valores predefinidos da restrição da política de organização quando são criadas pastas ou projetos através do limite de dados da UE com justificações de acesso. Outras restrições aplicáveis, mesmo que não estejam definidas por predefinição, podem oferecer uma "defesa em profundidade" adicional para proteger ainda mais os recursos da sua organização. Google Cloud

Restrições de políticas da organização ao nível da nuvem

As seguintes restrições de políticas de organização aplicam-se a qualquer Google Cloud serviço aplicável.

Restrição de política da organização	Descrição
`gcp.resourceLocations`	Definido como `in:eu-locations` como o item da lista `allowedValues`. Este valor restringe a criação de novos recursos apenas ao grupo de valores da UE. Quando definido, não é possível criar recursos noutras regiões, multirregiões ou localizações fora da UE. Consulte o artigo Serviços suportados pelas localizações de recursos para ver uma lista de recursos que podem ser restritos pela restrição da política da organização das localizações de recursos, uma vez que alguns recursos podem estar fora do âmbito e não ser restritíveis. A alteração deste valor para um valor menos restritivo compromete potencialmente a residência de dados, permitindo que os dados sejam criados ou armazenados fora de um limite de dados em conformidade, como a substituição do grupo de valores `in:eu-locations` pelo grupo de valores `in:europe-locations`, que inclui localizações de estados-membros não pertencentes à UE.
`gcp.restrictNonCmekServices`	Definido como uma lista de todos os nomes de serviços de API> no âmbito, incluindo: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Algumas funcionalidades podem ser afetadas para cada um dos serviços indicados acima. Consulte a secção de funcionalidades afetadas abaixo. Cada serviço listado requer chaves de encriptação geridas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam encriptados com uma chave gerida por si e não pelos mecanismos de encriptação predefinidos da Google. A alteração deste valor através da remoção de um ou mais serviços suportados da lista pode comprometer a soberania dos dados>, uma vez que os novos dados em repouso são encriptados automaticamente através das chaves da Google, em vez das suas. Os dados em repouso existentes vão permanecer encriptados pela chave que forneceu.
`gcp.restrictCmekCryptoKeyProjects`	Os utilizadores podem definir este valor para projetos ou pastas destinados a utilização com o limite de dados da UE com justificações de acesso. Por exemplo: `under:folders/my-folder-name` Limita o âmbito das pastas ou dos projetos aprovados que podem fornecer chaves do KMS para encriptar dados em repouso através da CMEK. Esta restrição impede que pastas ou projetos não aprovados forneçam chaves de encriptação, o que ajuda a garantir a soberania dos dados para os dados em repouso dos serviços suportados.
`gcp.restrictServiceUsage`	Definido para permitir todos os serviços suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restrinja a utilização de recursos para cargas de trabalho.

Restrições de políticas de organização do Compute Engine

Restrição de política da organização	Descrição
`compute.enableComplianceMemoryProtection`	Definido como Verdadeiro. Desativa algumas funcionalidades de diagnóstico internas para oferecer proteção adicional dos conteúdos da memória quando ocorre uma falha de infraestrutura. A alteração deste valor pode afetar a residência ou a soberania dos dados.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`.
`compute.disableGlobalCloudArmorPolicy`	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou a modificação de regras às políticas de segurança do Google Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a capacidade de remover ou alterar a descrição e a ficha de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por esta restrição. Todas as políticas de segurança globais e regionais existentes antes da aplicação desta restrição permanecem em vigor.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre VMs confidenciais para mais informações.
`compute.trustedImageProjects`	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados ao impedir a utilização de imagens ou agentes não autorizados.

Restrições da política da organização do Cloud Storage

Restrição de política da organização Descrição

storage.uniformBucketLevelAccess Definido como Verdadeiro.

O acesso a novos contentores é gerido através de políticas de IAM em vez de listas de controlo de acesso (ACLs) do Cloud Storage. Esta restrição fornece autorizações detalhadas para contentores e o respetivo conteúdo.

Se for criado um contentor enquanto esta restrição estiver ativada, o acesso ao mesmo nunca pode ser gerido através de ACLs. Por outras palavras, o método de controlo de acesso para um contentor é definido permanentemente para usar políticas de IAM em vez de ACLs do Cloud Storage.

Restrição de política da organização	Descrição
`storage.uniformBucketLevelAccess`	Definido como Verdadeiro. O acesso a novos contentores é gerido através de políticas de IAM em vez de listas de controlo de acesso (ACLs) do Cloud Storage. Esta restrição fornece autorizações detalhadas para contentores e o respetivo conteúdo. Se for criado um contentor enquanto esta restrição estiver ativada, o acesso ao mesmo nunca pode ser gerido através de ACLs. Por outras palavras, o método de controlo de acesso para um contentor é definido permanentemente para usar políticas de IAM em vez de ACLs do Cloud Storage.

Restrições da política da organização do Google Kubernetes Engine

Restrição de política da organização	Descrição
`container.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas do kernel, que é necessária para manter o controlo soberano de uma carga de trabalho. A alteração deste valor pode afetar a soberania dos dados na sua carga de trabalho. Recomendamos vivamente que mantenha o valor definido.

Restrições da política da organização do Cloud Key Management Service

Restrição de política da organização	Descrição
`cloudkms.allowedProtectionLevels`	Definido como `EXTERNAL`. Restringe os tipos CryptoKey do Serviço de gestão de chaves na nuvem que podem ser criados e está definida para permitir apenas tipos de chaves externos.

Funcionalidades afetadas

Esta secção indica como as funcionalidades ou as capacidades de cada serviço são afetadas pela fronteira de dados da UE com justificações de acesso.

Funcionalidades do BigQuery

Funcionalidade	Descrição
Ativar o BigQuery numa nova pasta	O BigQuery é suportado, mas não é ativado automaticamente quando cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Normalmente, este processo termina em dez minutos, mas pode demorar muito mais tempo em algumas circunstâncias. Para verificar se o processo está concluído e ativar o BigQuery, conclua os seguintes passos: Na Google Cloud consola, aceda à página Assured Workloads. Aceda ao Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na secção Serviços permitidos, clique em Rever atualizações disponíveis. No painel Serviços permitidos, reveja os serviços a adicionar à política da organização Restrição de utilização de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para os adicionar. Se os serviços do BigQuery não estiverem listados, aguarde que o processo interno seja concluído. Se os serviços não forem apresentados no prazo de 12 horas após a criação da pasta, contacte o apoio técnico do Google Cloud. Após a conclusão do processo de ativação, pode usar o BigQuery na sua pasta do Assured Workloads. O Gemini no BigQuery não é suportado pelos Assured Workloads.
Funcionalidades não suportadas	As seguintes funcionalidades do BigQuery não são suportadas e não devem ser usadas na CLI do BigQuery. É da sua responsabilidade não os usar no BigQuery para o limite de dados da UE com justificações de acesso. Interação com origens de dados remotas Os modelos BQML preparados externamente não são suportados. Os modelos BQML preparados internamente são suportados. Consultas agendadas e federadas Ocultação dinâmica de dados Exportação para o GDrive Funções remotas Consultas guardadas Agendamento de fluxos de trabalho Para o BigQuery Studio, os blocos de notas não são suportados.
Integrações não suportadas	As seguintes integrações do BigQuery não são suportadas. É da sua responsabilidade não os usar com o BigQuery para o limite de dados da UE com justificações de acesso. Os métodos `CreateTag`, `SearchCatalog`, `Bulk tagging` e `Business Glossary` da API Data Catalog podem processar e armazenar dados técnicos de uma forma não suportada. É da sua responsabilidade não usar esses métodos para o limite de dados da UE com justificações de acesso.
APIs BigQuery suportadas	As seguintes APIs BigQuery são suportadas: Conjuntos de dados Empregos Modelos Projetos Reservas Rotinas Políticas de acesso ao nível da linha Leitura de armazenamento Escrita de armazenamento Tabelas Dados da tabela A API Reservations não está ativada por predefinição. Pode ativar a API seguindo as instruções nesta página.
Regiões	O BigQuery é suportado em todas as regiões da UE do BigQuery, exceto na multirregião da UE. Não é possível garantir a conformidade se um conjunto de dados for criado numa região multirregional da UE, numa região fora da UE ou numa região multirregional fora da UE. É da sua responsabilidade especificar uma região em conformidade quando criar conjuntos de dados do BigQuery. Se for enviado um pedido de lista de dados de tabelas através de uma região da UE, mas o conjunto de dados tiver sido criado noutra região da UE, o BigQuery não consegue inferir a região pretendida e a operação falha com uma mensagem de erro "conjunto de dados não encontrado".
Google Cloud consola	A interface do utilizador do BigQuery na Google Cloud consola é suportada.
CLI do BigQuery	A CLI do BigQuery é suportada.
SDK Google Cloud	Tem de usar a versão 403.0.0 ou mais recente do Google Cloud SDK para manter as garantias de regionalização de dados técnicos. Para verificar a versão atual do Google Cloud SDK, execute `gcloud --version` e, em seguida, `gcloud components update` para atualizar para a versão mais recente.
Controlos para administradores	O BigQuery desativa as APIs não suportadas, mas os administradores com autorizações suficientes para criar uma pasta do Assured Workloads podem ativar uma API não suportada. Se isto ocorrer, recebe uma notificação de potencial não conformidade através do painel de controlo de monitorização do Assured Workloads.
Carregar dados	Os conetores do Serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) da Google, fornecedores de armazenamento na nuvem externos e armazéns de dados não são suportados. É da sua responsabilidade não usar conetores do Serviço de transferência de dados do BigQuery para cargas de trabalho do limite de dados da UE com justificações de acesso.
Transferências de terceiros	O BigQuery não valida o suporte para transferências de terceiros para o Serviço de transferência de dados do BigQuery. É da sua responsabilidade verificar o apoio técnico quando usar qualquer transferência de terceiros para o Serviço de transferência de dados do BigQuery.
Modelos BQML não conformes	Os modelos BQML preparados externamente não são suportados.
Consultar tarefas	Os trabalhos de consulta só devem ser criados no limite de dados da UE com pastas de justificações de acesso.
Consultas em conjuntos de dados noutros projetos	O BigQuery não impede que os conjuntos de dados do limite de dados da UE com justificações de acesso sejam consultados a partir de projetos do limite de dados da UE com justificações de acesso. Deve garantir que qualquer consulta que tenha uma leitura ou uma junção no limite de dados da UE com dados de justificações de acesso é colocada numa pasta do limite de dados da UE com justificações de acesso. Pode especificar um nome de tabela totalmente qualificado para o resultado da consulta através de `projectname.dataset.table` na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registo. Deve desativar os contentores de registo do `_Default` ou restringir os contentores do `_Default` às regiões da UE para manter a conformidade. Para saber como definir a localização para novos `_Default` contentores ou como desativar as entradas de encaminhamento para novos `_Default` contentores, consulte o artigo Configure as predefinições para organizações e pastas.

Funcionalidades do Bigtable

Funcionalidade Descrição

Funcionalidades não suportadas

Funcionalidade	Descrição
Funcionalidades não suportadas	As seguintes funcionalidades do Bigtable e métodos da API não são suportados. É da sua responsabilidade não os usar com o limite de dados da UE para o Bigtable com justificações de acesso. O método da API `ListHotTablets` da API RPC Admin processa e armazena dados técnicos de uma forma não suportada. É da sua responsabilidade não usar esse método para o limite de dados da UE com justificações de acesso. O método da API `hotTablets.list` da API Rest Admin processa e armazena dados técnicos de uma forma não suportada. É da sua responsabilidade não usar esse método para o limite de dados da UE com justificações de acesso.
Dividir limites	O Bigtable usa um pequeno subconjunto de chaves de linhas para definir limites de divisão, que podem incluir dados de clientes e metadados. Um limite de divisão no Bigtable indica a localização onde os intervalos contíguos de linhas numa tabela são divididos em tablets. Estas divisões estão acessíveis ao pessoal da Google para fins de apoio técnico e depuração, e não estão sujeitas a controlos de dados de acesso administrativos no limite de dados da UE com justificações de acesso.

As seguintes funcionalidades do Bigtable e métodos da API não são suportados. É da sua responsabilidade não os usar com o limite de dados da UE para o Bigtable com justificações de acesso.

O método da API ListHotTablets da API RPC Admin processa e armazena dados técnicos de uma forma não suportada. É da sua responsabilidade não usar esse método para o limite de dados da UE com justificações de acesso.
O método da API hotTablets.list da API Rest Admin processa e armazena dados técnicos de uma forma não suportada. É da sua responsabilidade não usar esse método para o limite de dados da UE com justificações de acesso.

Dividir limites O Bigtable usa um pequeno subconjunto de chaves de linhas para definir limites de divisão, que podem incluir dados de clientes e metadados. Um limite de divisão no Bigtable indica a localização onde os intervalos contíguos de linhas numa tabela são divididos em tablets.

Estas divisões estão acessíveis ao pessoal da Google para fins de apoio técnico e depuração, e não estão sujeitas a controlos de dados de acesso administrativos no limite de dados da UE com justificações de acesso.

Funcionalidades do Google Cloud Armor

Funcionalidade	Descrição
Políticas de segurança com âmbito global	Esta funcionalidade está desativada pela restrição da política da organização.`compute.disableGlobalCloudArmorPolicy`

Funcionalidades do Spanner

Funcionalidade	Descrição
Dividir limites	O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados de clientes e metadados. Um limite de divisão no Spanner indica a localização onde os intervalos contíguos de linhas são divididos em partes mais pequenas. Estas divisões estão acessíveis ao pessoal da Google para fins de apoio técnico e depuração, e não estão sujeitas a controlos de dados de acesso administrativos no limite de dados da UE com justificações de acesso.

Funcionalidade

Descrição

Dividir limites

O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados de clientes e metadados. Um limite de divisão no Spanner indica a localização onde os intervalos contíguos de linhas são divididos em partes mais pequenas.

Estas divisões estão acessíveis ao pessoal da Google para fins de apoio técnico e depuração, e não estão sujeitas a controlos de dados de acesso administrativos no limite de dados da UE com justificações de acesso.

Funcionalidades do catálogo universal do Dataplex

Funcionalidade	Descrição
Metadados de aspetos e glossários	Os aspetos e os glossários não são suportados. Não pode pesquisar nem gerir aspetos e glossários, nem importar metadados personalizados.
Atribua uma loja	Esta funcionalidade está descontinuada e desativada.
Catálogo de dados	Esta funcionalidade está descontinuada e desativada. Não pode pesquisar nem gerir os seus metadados no Data Catalog.
Qualidade de dados e análise do perfil de dados	A exportação dos resultados da análise de qualidade de dados não é suportada.
Descoberta	Esta funcionalidade está desativada. Não pode executar as análises de deteção para extrair metadados dos seus dados.
Lagos e zonas	Esta funcionalidade está desativada. Não pode gerir lagos, zonas nem tarefas.

Funcionalidades do Dataproc

Funcionalidade	Descrição
Google Cloud consola	Atualmente, o Dataproc não suporta a consola JurisdicionalGoogle Cloud . Para aplicar a residência de dados, certifique-se de que usa a CLI Google Cloud ou a API quando usar o Dataproc.

Funcionalidades do GKE

Funcionalidade	Descrição
Restrições de recursos do cluster	Certifique-se de que a configuração do cluster não usa recursos para serviços que não são suportados no limite de dados da UE com justificações de acesso. Por exemplo, a configuração seguinte é inválida porque requer a ativação ou a utilização de um serviço não suportado: set `binaryAuthorization.evaluationMode` to `enabled`

Funcionalidades do Cloud Logging

Para usar o Cloud Logging com chaves de encriptação geridas pelo cliente (CMEK), tem de concluir os passos na página Ative as CMEK para uma organização na documentação do Cloud Logging.

Funcionalidade	Descrição
Sinks de registo	Os filtros não devem conter dados de clientes. Os destinos de registos incluem filtros que são armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas do registo de monitorização em tempo real	Os filtros não devem conter dados de clientes. Uma sessão de monitorização em tempo real inclui um filtro que é armazenado como configuração. O acompanhamento de registos não armazena dados de entradas de registos propriamente ditos, mas pode consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.
Alertas baseados em registos	Esta funcionalidade está desativada. Não pode criar alertas baseados em registos na Google Cloud consola.
URLs abreviados para consultas do Explorador de registos	Esta funcionalidade está desativada. Não pode criar URLs encurtados de consultas na Google Cloud consola.
Guardar consultas no Explorador de registos	Esta funcionalidade está desativada. Não pode guardar consultas na Google Cloud consola.
Registe a análise com o BigQuery	Esta funcionalidade está desativada. Não pode usar a funcionalidade de análise de registos.
Políticas de alerta baseadas em SQL	Esta funcionalidade está desativada. Não pode usar a funcionalidade de políticas de alerta baseadas em SQL.

Funcionalidades do Cloud Monitoring

Funcionalidade	Descrição
Monitor sintético	Esta funcionalidade está desativada.
Verificação de tempo de atividade	Esta funcionalidade está desativada.
Widgets do painel de registo em Painéis de controlo	Esta funcionalidade está desativada. Não pode adicionar um painel de registo a um painel de controlo.
Widgets do painel de relatórios de erros em Painéis de controlo	Esta funcionalidade está desativada. Não pode adicionar um painel de relatórios de erros a um painel de controlo.
Filtre em `EventAnnotation` para Painéis de controlo	Esta funcionalidade está desativada. O filtro de `EventAnnotation` não pode ser definido num painel de controlo.
`SqlCondition` em `alertPolicies`	Esta funcionalidade está desativada. Não pode adicionar um `SqlCondition` a um `alertPolicy`.

Funcionalidades do Cloud Run

Funcionalidade	Descrição
Funcionalidades não suportadas	As seguintes funcionalidades do Cloud Run não são suportadas: Integração do Cloud Trace Funções do Cloud Run Acionadores do Eventarc

Funcionalidades do Compute Engine

Funcionalidade	Descrição
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado atualmente através da CMEK. Consulte a restrição de política `gcp.restrictNonCmekServices` org na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
SSDs locais	Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque, atualmente, não é possível encriptá-los com a CMEK. Consulte a restrição de política de organização `gcp.restrictNonCmekServices` na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
Ambiente convidado	É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações deste software podem ser instaladas por predefinição. Consulte Ambiente de convidado para ver informações específicas sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos e processos de segurança internos. No entanto, se quiser controlo adicional, também pode selecionar as suas próprias imagens ou agentes e, opcionalmente, usar a `compute.trustedImageProjects` restrição da política da organização. Consulte a página Criar uma imagem personalizada para mais informações.
Políticas de SO no VM Manager	Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK). Por conseguinte, não inclua informações confidenciais nestes ficheiros. Em alternativa, considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os exemplos de políticas de SO. Se quiser restringir a criação ou a modificação de recursos de políticas do SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para mais informações, consulte Restrições para a configuração do SO.
`instances.getSerialPortOutput()`	Esta API está desativada. Não vai poder obter a saída da porta de série da instância especificada através desta API. Altere o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções nesta página.
`instances.getScreenshot()`	Esta API está desativada. Não vai poder obter uma captura de ecrã da instância especificada através desta API. Altere o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções nesta página.