Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Halaman ini diterjemahkan oleh Cloud Translation API.

Batas Data Uni Eropa dengan Justifikasi Akses

Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan Batas Data Uni Eropa dengan Justifikasi Akses.

Ringkasan

Batas Data Uni Eropa dengan Alasan Akses menyediakan fitur residensi data dan kedaulatan data untuk layanan yang didukung Google Cloud . Untuk menyediakan fitur ini, beberapa fitur layanan ini dibatasi atau dibatasi. Sebagian besar perubahan ini diterapkan selama proses aktivasi saat membuat folder atau project baru di lingkungan Batas Data Uni Eropa dengan Pembenaran Akses, tetapi beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi.

Penting untuk memahami bagaimana batasan ini mengubah perilaku untuk layanan tertentu atau memengaruhi kedaulatan data atau lokasi data. Google Cloud Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memverifikasi bahwa kedaulatan data dan residensi data tetap dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, hal ini dapat menyebabkan konsekuensi yang tidak diinginkan, yaitu menyalin data dari satu region ke region lain.

Produk dan layanan yang didukung

Lihat halaman Produk yang didukung untuk mengetahui daftar produk dan layanan yang didukung oleh Batas Data Uni Eropa dengan Justifikasi Akses.

Kebijakan organisasi

Bagian ini menjelaskan pengaruh nilai batasan kebijakan organisasi default terhadap setiap layanan saat folder atau project dibuat menggunakan Batas Data Uni Eropa dengan Alasan Akses. Batasan lain yang berlaku — meskipun tidak ditetapkan secara default — dapat memberikan "pertahanan mendalam" tambahan untuk lebih melindungi sumber daya Google Cloud organisasi Anda.

Batasan kebijakan organisasi di seluruh cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang relevan.

Batasan Kebijakan Organisasi	Deskripsi
`gcp.resourceLocations`	Ditetapkan ke `in:eu-locations` sebagai item daftar `allowedValues`. Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai Uni Eropa. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar Uni Eropa. Lihat Layanan yang didukung lokasi resource untuk mengetahui daftar resource yang dapat dibatasi oleh batasan kebijakan organisasi Lokasi Resource, karena beberapa resource mungkin di luar cakupan dan tidak dapat dibatasi. Mengubah nilai ini dengan membuatnya kurang ketat berpotensi merusak lokalitas data dengan mengizinkan data dibuat atau disimpan di luar batas data yang sesuai, seperti mengganti grup nilai `in:eu-locations` dengan grup nilai `in:europe-locations`, yang mencakup lokasi negara anggota non-Uni Eropa.
`gcp.restrictNonCmekServices`	Disetel ke daftar semua nama layanan API dalam cakupan, termasuk: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Lihat bagian Fitur yang Terpengaruh di bawah. Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan data saat istirahat dienkripsi dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan yang didukung dari daftar dapat mengurangi kedaulatan data, karena data saat istirahat yang baru akan dienkripsi secara otomatis menggunakan kunci Google sendiri, bukan kunci Anda. Data istirahat yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
`gcp.restrictCmekCryptoKeyProjects`	Pengguna dapat menetapkan nilai ini ke project atau folder yang ditujukan untuk digunakan dengan Batas Data Uni Eropa dengan Alasan Akses. Misalnya: `under:folders/my-folder-name` Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci KMS untuk mengenkripsi data saat tidak digunakan menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data dalam penyimpanan layanan yang didukung.
`gcp.restrictServiceUsage`	Disetel untuk mengizinkan semua layanan yang didukung. Menentukan layanan mana yang dapat digunakan dengan membatasi akses runtime ke resource-nya. Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.

Batasan kebijakan organisasi Compute Engine

Batasan Kebijakan Organisasi	Deskripsi
`compute.enableComplianceMemoryProtection`	Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kesalahan infrastruktur. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data Anda.
`compute.disableInstanceDataAccessApis`	Tetapkan ke True. Menonaktifkan `instances.getSerialPortOutput()` dan `instances.getScreenshot()` API secara global.
`compute.disableGlobalCloudArmorPolicy`	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru, dan penambahan atau modifikasi aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan listingan kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum pemberlakuan batasan ini tetap berlaku.
`compute.restrictNonConfidentialComputing`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
`compute.trustedImageProjects`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Menyetel nilai ini akan membatasi penyimpanan image dan instansiasi disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Batasan kebijakan organisasi Cloud Storage

Batasan Kebijakan Organisasi Deskripsi

storage.uniformBucketLevelAccess Tetapkan ke True.

Akses ke bucket baru dikelola menggunakan kebijakan IAM bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin mendetail untuk bucket dan isinya.

Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen untuk menggunakan kebijakan IAM alih-alih ACL Cloud Storage.

Batasan Kebijakan Organisasi	Deskripsi
`storage.uniformBucketLevelAccess`	Tetapkan ke True. Akses ke bucket baru dikelola menggunakan kebijakan IAM bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin mendetail untuk bucket dan isinya. Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen untuk menggunakan kebijakan IAM alih-alih ACL Cloud Storage.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan Kebijakan Organisasi	Deskripsi
`container.restrictNoncompliantDiagnosticDataAccess`	Tetapkan ke True. Digunakan untuk menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol berdaulat atas workload. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.

Batasan kebijakan organisasi Cloud Key Management Service

Batasan Kebijakan Organisasi	Deskripsi
`cloudkms.allowedProtectionLevels`	Tetapkan ke `EXTERNAL`. Membatasi jenis CryptoKey Cloud Key Management Service yang dapat dibuat, dan ditetapkan agar hanya mengizinkan jenis kunci eksternal.

Fitur yang terpengaruh

Bagian ini mencantumkan dampak Batas Data Uni Eropa dengan Justifikasi Akses terhadap fitur atau kemampuan setiap layanan.

Fitur BigQuery

Fitur	Deskripsi
Mengaktifkan BigQuery di folder baru	BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Assured Workloads baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dapat memakan waktu lebih lama dalam beberapa keadaan. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut: Di konsol Google Cloud , buka halaman Assured Workloads. Buka Assured Workloads Pilih folder Assured Workloads baru Anda dari daftar. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Pembatasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya. Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care. Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Assured Workloads Anda. Gemini di BigQuery tidak didukung oleh Assured Workloads.
Fitur yang tidak didukung	Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di CLI BigQuery. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Batas Data Uni Eropa dengan Justifikasi Akses. Interaksi dengan sumber data jarak jauh Model BQML yang dilatih secara eksternal tidak didukung. Model BQML yang dilatih secara internal didukung. Kueri terjadwal dan gabungan Penyamaran data dinamis Ekspor GDrive Fungsi jarak jauh Kueri tersimpan Penjadwalan alur kerja Untuk BigQuery Studio, notebook tidak didukung.
Integrasi yang tidak didukung	Integrasi BigQuery berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan BigQuery untuk Batas Data Uni Eropa dengan Justifikasi Akses. Metode API `CreateTag`, `SearchCatalog`, `Bulk tagging`, dan `Business Glossary` dari Data Catalog API dapat memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Batas Data Uni Eropa dengan Justifikasi Akses.
BigQuery API yang didukung	BigQuery API berikut didukung: Set data Pekerjaan Model Projects Pemesanan Rutinitas Kebijakan Akses Baris Pembacaan Penyimpanan Storage Write Tables Data Tabel Reservations API tidak diaktifkan secara default. Anda dapat mengaktifkan API menggunakan petunjuk di halaman ini.
Region	BigQuery didukung untuk semua region BigQuery Uni Eropa, kecuali multi-region Uni Eropa. Kepatuhan tidak dapat dijamin jika set data dibuat di multi-region Uni Eropa, region non-Uni Eropa, atau multi-region non-Uni Eropa. Anda bertanggung jawab untuk menentukan region yang mematuhi kepatuhan saat membuat set data BigQuery. Jika permintaan daftar data tabel dikirim menggunakan satu region Uni Eropa, tetapi set data dibuat di region Uni Eropa lain, BigQuery tidak dapat menyimpulkan region yang Anda maksud dan operasi akan gagal dengan pesan error "set data tidak ditemukan".
Google Cloud console	Antarmuka pengguna BigQuery di konsol Google Cloud didukung.
CLI BigQuery	BigQuery CLI didukung.
Google Cloud SDK	Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data untuk data teknis. Untuk memverifikasi versi Google Cloud SDK Anda saat ini, jalankan `gcloud --version`, lalu jalankan `gcloud components update` untuk mengupdate ke versi terbaru.
Kontrol administrator	BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Assured Workloads dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data	Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk beban kerja Batas Data Uni Eropa dengan Justifikasi Akses.
Transfer pihak ketiga	BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service.
Model BQML yang tidak sesuai	Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri	Pekerjaan kueri hanya boleh dibuat dalam folder Batas Data Uni Eropa dengan Justifikasi Akses.
Kueri pada set data di project lain	BigQuery tidak mencegah set data Batas Data Uni Eropa dengan Pembenaran Akses dikueri dari project Batas Data non-Uni Eropa dengan Pembenaran Akses. Anda harus memastikan bahwa setiap kueri yang memiliki operasi baca atau gabung pada data Batas Data Uni Eropa dengan Pembenaran Akses ditempatkan di folder Batas Data Uni Eropa dengan Pembenaran Akses. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kuerinya menggunakan `projectname.dataset.table` di BigQuery CLI.
Cloud Logging	BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging `_Default` atau membatasi bucket `_Default` ke wilayah Uni Eropa untuk menjaga kepatuhan. Untuk mempelajari cara menetapkan lokasi untuk bucket `_Default` baru atau cara menonaktifkan entri perutean ke bucket `_Default` baru, lihat Mengonfigurasi setelan default untuk organisasi dan folder.

Fitur Bigtable

Fitur Deskripsi

Fitur yang tidak didukung

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur dan metode API Bigtable berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan Bigtable untuk Batas Data Uni Eropa dengan Justifikasi Akses. Metode API `ListHotTablets` dari RPC Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Batas Data Uni Eropa dengan Pembenaran Akses. Metode API `hotTablets.list` dari Rest Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Batas Data Uni Eropa dengan Pembenaran Akses.
Membagi batas	Bigtable menggunakan subset kecil kunci baris untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Bigtable menunjukkan lokasi tempat rentang baris yang berdekatan dalam tabel dibagi menjadi tablet. Batas yang terpisah ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol data akses administratif di Batas Data Uni Eropa dengan Alasan Akses.

Fitur dan metode API Bigtable berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan Bigtable untuk Batas Data Uni Eropa dengan Justifikasi Akses.

Metode API ListHotTablets dari RPC Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Batas Data Uni Eropa dengan Pembenaran Akses.
Metode API hotTablets.list dari Rest Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Batas Data Uni Eropa dengan Pembenaran Akses.

Membagi batas Bigtable menggunakan subset kecil kunci baris untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Bigtable menunjukkan lokasi tempat rentang baris yang berdekatan dalam tabel dibagi menjadi tablet.

Batas yang terpisah ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol data akses administratif di Batas Data Uni Eropa dengan Alasan Akses.

Fitur Google Cloud Armor

Fitur	Deskripsi
Kebijakan keamanan dengan cakupan global	Fitur ini dinonaktifkan oleh batasan kebijakan organisasi.`compute.disableGlobalCloudArmorPolicy`

Fitur Spanner

Fitur	Deskripsi
Membagi batas	Spanner menggunakan subset kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil. Batas yang terpisah ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol data akses administratif di Batas Data Uni Eropa dengan Alasan Akses.

Fitur

Deskripsi

Membagi batas

Spanner menggunakan subset kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil.

Batas yang terpisah ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol data akses administratif di Batas Data Uni Eropa dengan Alasan Akses.

Fitur Katalog Universal Dataplex

Fitur	Deskripsi
Metadata aspek dan glosarium	Aspek dan glosarium tidak didukung. Anda tidak dapat menelusuri atau mengelola aspek dan glosarium, serta tidak dapat mengimpor metadata kustom.
Attribute Store	Fitur ini tidak digunakan lagi dan dinonaktifkan.
Data Catalog	Fitur ini tidak digunakan lagi dan dinonaktifkan. Anda tidak dapat menelusuri atau mengelola metadata di Data Catalog.
Pemindaian Profil Data dan Kualitas Data	Ekspor hasil Pemindaian Kualitas Data tidak didukung.
Discovery	Fitur ini dinonaktifkan. Anda tidak dapat menjalankan pemindaian Penemuan untuk mengekstrak metadata dari data Anda.
Lake dan Zona	Fitur ini dinonaktifkan. Anda tidak dapat mengelola lake, zona, dan tugas.

Fitur Dataproc

Fitur	Deskripsi
Google Cloud console	Saat ini, Dataproc tidak mendukung Jurisdictional Google Cloud console. Untuk menerapkan residensi data, pastikan Anda menggunakan Google Cloud CLI atau API saat menggunakan Dataproc.

Fitur GKE

Fitur	Deskripsi
Batasan resource cluster	Pastikan konfigurasi cluster Anda tidak menggunakan resource untuk layanan yang tidak didukung di Batas Data Uni Eropa dengan Justifikasi Akses. Misalnya, konfigurasi berikut tidak valid karena memerlukan pengaktifan atau penggunaan layanan yang tidak didukung: set `binaryAuthorization.evaluationMode` to `enabled`

Fitur Cloud Logging

Untuk menggunakan Cloud Logging dengan Kunci Enkripsi yang Dikelola Pelanggan (CMEK), Anda harus menyelesaikan langkah-langkah di halaman Mengaktifkan CMEK untuk organisasi dalam dokumentasi Cloud Logging.

Fitur	Deskripsi
Sink log	Filter tidak boleh berisi Data Pelanggan. Sink log mencakup filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Mengikuti entri log secara langsung	Filter tidak boleh berisi Data Pelanggan. Sesi tailing langsung mencakup filter yang disimpan sebagai konfigurasi. Mengikuti log tidak menyimpan data entri log apa pun, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.
Pemberitahuan berbasis log	Fitur ini dinonaktifkan. Anda tidak dapat membuat pemberitahuan berbasis log di konsol Google Cloud .
URL yang dipersingkat untuk kueri Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat membuat URL kueri yang dipendek di konsol Google Cloud .
Menyimpan kueri di Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat menyimpan kueri apa pun di konsol Google Cloud .
Log Analytics menggunakan BigQuery	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur Log Analytics.
Kebijakan pemberitahuan berbasis SQL	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur kebijakan pemberitahuan berbasis SQL.

Fitur Cloud Monitoring

Fitur	Deskripsi
Monitor Sintetis	Fitur ini dinonaktifkan.
Cek uptime	Fitur ini dinonaktifkan.
Widget panel log di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di `EventAnnotation` untuk Dasbor	Fitur ini dinonaktifkan. Filter `EventAnnotation` tidak dapat disetel di dasbor.
`SqlCondition` di `alertPolicies`	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan `SqlCondition` ke `alertPolicy`.

Fitur Cloud Run

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur Cloud Run berikut tidak didukung: Integrasi Cloud Trace Cloud Run Functions Pemicu Eventarc

Fitur Compute Engine

Fitur	Deskripsi
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan `gcp.restrictNonCmekServices` org di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data dari pengaktifan fitur ini.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena saat ini SSD tersebut tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan `gcp.restrictNonCmekServices` org di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data dari pengaktifan fitur ini.
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data yang tidak dienkripsi saat istirahat dan saat digunakan. Bergantung pada konfigurasi VM Anda, update software ini mungkin diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan `compute.trustedImageProjects` batasan kebijakan organisasi. Lihat halaman Membangun image kustom untuk mengetahui informasi selengkapnya.
Kebijakan OS di VM Manager	Skrip inline dan file output biner dalam file kebijakan OS tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Oleh karena itu, jangan sertakan informasi sensitif apa pun dalam file ini. Atau, pertimbangkan untuk menyimpan skrip dan file output ini di bucket Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Contoh kebijakan OS. Jika Anda ingin membatasi pembuatan atau modifikasi resource kebijakan OS yang menggunakan skrip inline atau file output biner, aktifkan batasan kebijakan organisasi `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Untuk mengetahui informasi selengkapnya, lihat Batasan untuk Konfigurasi OS.
`instances.getSerialPortOutput()`	API ini dinonaktifkan; Anda tidak akan dapat memperoleh output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di halaman ini.
`instances.getScreenshot()`	API ini dinonaktifkan; Anda tidak akan dapat mengambil screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di halaman ini.