Paquete de control de Regiones y asistencia de la UE

En esta página, se describe el conjunto de controles que se aplican a las cargas de trabajo de Regiones y asistencia de la UE en Assured Workloads. Proporciona información detallada sobre la residencia de datos, los productos Google Cloud compatibles y sus extremos de API, y cualquier restricción o limitación aplicable a esos productos. La siguiente información adicional se aplica a las regiones y la asistencia de la UE:

  • Residencia de datos: El paquete de control de Regiones y asistencia de la UE establece controles de ubicación de datos para admitir regiones solo de la UE. Consulta la sección restricciones de las políticas de la organización deGoogle Cloud para obtener más información.
  • Asistencia: Los servicios de asistencia técnica para las cargas de trabajo de las Regiones y la Asistencia de la UE están disponibles con las suscripciones a la Atención al cliente de Cloud mejorada o premium. Los casos de asistencia de las cargas de trabajo de Regiones y asistencia de la UE se dirigen al personal de la UE ubicado en la UE. Consulta Cómo obtener asistencia para obtener más información.
  • Precios: El paquete de control de Regiones y asistencia de la UE se incluye en el nivel Premium de Assured Workloads, que genera un cargo adicional del 20%. Consulta los precios de Assured Workloads para obtener más información.

Productos y extremos de API compatibles

A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos compatibles a través de la Google Cloud consola. En la siguiente tabla, se enumeran las restricciones o limitaciones que afectan las funciones de un producto compatible, incluidas las que se aplican a través de la configuración de restricciones de la política de la organización.

Si un producto no aparece en la lista, significa que no es compatible y no cumple con los requisitos de control para las Regiones y la Asistencia de la UE. No se recomienda el uso de productos no compatibles sin la diligencia debida y una comprensión profunda de tus responsabilidades en el modelo de responsabilidad compartida. Antes de usar un producto no compatible, asegúrate de conocer y aceptar los riesgos asociados, como los impactos negativos en la residencia o soberanía de los datos.

Producto compatible extremos de API Restricciones o limitaciones
Aprobación de acceso accessapproval.googleapis.com
 Ninguno
Access Context Manager accesscontextmanager.googleapis.com
 Ninguno
Transparencia de acceso accessapproval.googleapis.com
 Ninguno
AlloyDB para PostgreSQL alloydb.googleapis.com
 Ninguno
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
 Ninguno
Apigee apigee.googleapis.com
 Ninguno
Artifact Registry artifactregistry.googleapis.com
 Ninguno
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerydatatransfer.googleapis.com
bigquerymigration.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
 Funciones afectadas
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
 Ninguno
Certificate Authority Service privateca.googleapis.com
 Ninguno
Cloud Build cloudbuild.googleapis.com
 Ninguno
Cloud Composer composer.googleapis.com
 Ninguno
Cloud DNS dns.googleapis.com
 Ninguno
Cloud Data Fusion datafusion.googleapis.com
 Ninguno
Cloud External Key Manager (Cloud EKM) cloudkms.googleapis.com
 Ninguno
Cloud Run Functions cloudfunctions.googleapis.com
 Ninguno
Cloud HSM cloudkms.googleapis.com
 Ninguno
Cloud Interconnect compute.googleapis.com
 Ninguno
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
 Ninguno
Cloud Load Balancing compute.googleapis.com
 Ninguno
Cloud Logging logging.googleapis.com
 Funciones afectadas
Cloud Monitoring monitoring.googleapis.com
 Ninguno
Cloud NAT compute.googleapis.com
 Ninguno
API de Cloud OS Login oslogin.googleapis.com
 Ninguno
Cloud Router compute.googleapis.com
 Ninguno
Cloud Run run.googleapis.com
 Funciones afectadas
Cloud SQL sqladmin.googleapis.com
 Ninguno
Cloud SQL para PostgreSQL sqladmin.googleapis.com
 Ninguno
Cloud Storage storage.googleapis.com
 Ninguno
Cloud Tasks cloudtasks.googleapis.com
 Ninguno
Cloud VPN compute.googleapis.com
 Ninguno
API de Cloud Vision vision.googleapis.com
 Ninguno
Cloud Workstations workstations.googleapis.com
 Ninguno
Compute Engine compute.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Connect gkeconnect.googleapis.com
 Ninguno
Sensitive Data Protection dlp.googleapis.com
 Ninguno
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
 Ninguno
Dataform dataform.googleapis.com
 Ninguno
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
 Ninguno
Document AI documentai.googleapis.com
 Ninguno
Eventarc eventarc.googleapis.com
 Ninguno
Filestore file.googleapis.com
 Ninguno
Reglas de seguridad de Firebase firebaserules.googleapis.com
 Ninguno
Firestore firestore.googleapis.com
 Ninguno
GKE Hub gkehub.googleapis.com
 Ninguno
GKE Identity Service anthosidentityservice.googleapis.com
 Ninguno
IA generativa en Vertex AI aiplatform.googleapis.com
 Ninguno
Google Cloud Armor compute.googleapis.com
networksecurity.googleapis.com
 Funciones afectadas
Google Kubernetes Engine (GKE) container.googleapis.com
containersecurity.googleapis.com
 Ninguno
Google Cloud NetApp Volumes netapp.googleapis.com
 Funciones afectadas
Google Security Operations SIEM chronicle.googleapis.com
chronicleservicemanager.googleapis.com
 Ninguno
Administración de identidades y accesos (IAM) iam.googleapis.com
 Ninguno
Identity-Aware Proxy (IAP) iap.googleapis.com
 Ninguno
Memorystore para Redis redis.googleapis.com
 Ninguno
Network Connectivity Center networkconnectivity.googleapis.com
 Ninguno
Persistent Disk compute.googleapis.com
 Ninguno
Pub/Sub pubsub.googleapis.com
 Ninguno
Resource Manager cloudresourcemanager.googleapis.com
 Ninguno
Secret Manager secretmanager.googleapis.com
 Ninguno
Secure Source Manager securesourcemanager.googleapis.com
 Ninguno
Spanner spanner.googleapis.com
 Ninguno
Speech-to-Text speech.googleapis.com
 Ninguno
Servicio de transferencia de almacenamiento storagetransfer.googleapis.com
 Ninguno
Cloud Service Mesh trafficdirector.googleapis.com
 Ninguno
Controles del servicio de VPC accesscontextmanager.googleapis.com
 Ninguno
Vertex AI Search discoveryengine.googleapis.com
 Ninguno
Nube privada virtual (VPC) compute.googleapis.com
 Ninguno

Restricciones y limitaciones

En las siguientes secciones, se describen las restricciones o limitaciones de las funciones de Google Cloudo específicas del producto, incluidas las restricciones de las políticas de la organización que se establecen de forma predeterminada en las carpetas de asistencia y regiones de la UE. Otras restricciones aplicables de la política de la organización, incluso si no se establecen de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos Google Cloud de tu organización.

Ancho deGoogle Cloud

Restricciones de las políticas de la organización enGoogle Cloud

Las siguientes restricciones de la política de la organización se aplican a Google Cloud.

Restricción de las políticas de la organización Descripción
gcp.resourceLocations Establece las siguientes ubicaciones en la lista allowedValues:
  • eu-locations
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • europe-west10
  • europe-west12
Este valor restringe la creación de recursos nuevos a los valores seleccionados. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la selección. Consulta Servicios compatibles con las ubicaciones de recursos para obtener una lista de los recursos que pueden restringirse con la restricción de la política de la organización de ubicaciones de recursos, ya que algunos recursos pueden estar fuera del alcance y no se pueden restringir.

Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con las políticas.
gcp.restrictServiceUsage Se establece para permitir todos los productos y extremos de API compatibles.

Determina qué servicios se pueden usar mediante la restricción del acceso del entorno de ejecución a sus recursos. Para obtener más información, consulta Restringe el uso de recursos.
gcp.restrictTLSVersion Se establece para denegar las siguientes versiones de TLS:
  • TLS_1_0
  • TLS_1_1
Consulta la página Cómo restringir las versiones de TLS para obtener más información.

BigQuery

Funciones de BigQuery afectadas

Función Descripción
Habilita BigQuery en una carpeta nueva BigQuery es compatible, pero no se habilita automáticamente cuando creas una nueva carpeta de Assured Workloads debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
  1. En la consola de Google Cloud , ve a la página Assured Workloads.

    Ve a Assured Workloads

  2. Selecciona tu nueva carpeta de Assured Workloads en la lista.
  3. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisar actualizaciones disponibles.
  4. En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización Restringir el uso de recursos de la carpeta. Si los servicios de BigQuery aparecen en la lista, haz clic en Permitir servicios para agregarlos.

    Si no aparecen los servicios de BigQuery, espera a que se complete el proceso interno. Si los servicios no aparecen en la lista en un plazo de 12 horas después de crear la carpeta, comunícate con Atención al cliente de Cloud.

Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta Assured Workloads.

Gemini en BigQuery no es compatible con Assured Workloads.
Características no compatibles Las siguientes funciones de BigQuery no son compatibles y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads.
CLI de BigQuery Se admite la CLI de BigQuery.

SDK de Google Cloud Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos para los datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
Controles del administrador BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no compatible. Si esto ocurre, se te notificará sobre un posible incumplimiento a través del panel de supervisión de Assured Workloads.
Carga datos No se admiten los conectores del Servicio de transferencia de datos de BigQuery para apps de software de Google como servicio (SaaS), proveedores externos de almacenamiento en la nube y almacenes de datos. Es tu responsabilidad no usar los conectores del Servicio de transferencia de datos de BigQuery para las cargas de trabajo de regiones de la UE y de asistencia.
Transferencias de terceros BigQuery no verifica la compatibilidad con transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad verificar la compatibilidad cuando uses cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery.
Modelos de BQML que no cumplen con los requisitos No se admiten modelos de BQML entrenados de forma externa.
Trabajos de consulta Las tareas de consulta solo deben crearse dentro de las carpetas de Assured Workloads.
Consultas en conjuntos de datos de otros proyectos BigQuery no impide que se consulten conjuntos de datos de Assured Workloads desde proyectos que no son de Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una operación de lectura o unión en los datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completamente calificado para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
Cloud Logging BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Para mantener el cumplimiento, debes inhabilitar tus buckets de registro _default o restringir los buckets _default a regiones dentro del alcance con el siguiente comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Consulta Regionaliza los registros para obtener más información.

Compute Engine

Funciones de Compute Engine afectadas

Función Descripción
Entorno huésped Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más.

Estos componentes te ayudan a cumplir con la soberanía de los datos mediante procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización compute.trustedImageProjects.

Consulta la página Cómo compilar una imagen personalizada para obtener más información.
Políticas del SO en VM Manager Las secuencias de comandos intercaladas y los archivos de salida binarios dentro de los archivos de políticas del SO no se encriptan con claves de encriptación administradas por el cliente (CMEK). Por lo tanto, no incluyas información sensible en estos archivos. Como alternativa, considera almacenar estas secuencias de comandos y archivos de salida en buckets de Cloud Storage. Para obtener más información, consulta Ejemplos de políticas del SO.

Si deseas restringir la creación o modificación de recursos de políticas del SO que usan secuencias de comandos intercaladas o archivos de salida binarios, habilita la restricción de políticas de la organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Para obtener más información, consulta Restricciones para la configuración del SO.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización Descripción
compute.disableGlobalCloudArmorPolicy Configurado como True.

Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad globales de Google Cloud Armor existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes.
compute.restrictNonConfidentialComputing

 (Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.
compute.trustedImageProjects

 (Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional.

Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados.

Google Cloud NetApp Volumes

Funciones de Google Cloud NetApp Volumes afectadas

Función Descripción
Nivel de servicio flexible El nivel de servicio Flex no está disponible en el paquete de control de Regiones y asistencia de la UE.

Cloud Logging

Funciones de Cloud Logging afectadas

Función Descripción
Receptores de registros Los filtros no deben contener datos del cliente.

Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos del cliente.
Entradas de registro de transmisión de registros en tiempo real Los filtros no deben contener datos del cliente.

Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos del cliente.

¿Qué sigue?