Han cambiado los nombres de algunos paquetes de control de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta Controlar el aviso de cambio de nombre del paquete.

Esta página se ha traducido con Cloud Translation API.

Límite de datos de Hong Kong

En esta página se describe el conjunto de controles que se aplican a las cargas de trabajo de límite de datos de Hong Kong en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos Google Cloud compatibles y sus endpoints de API, así como las restricciones o limitaciones aplicables a esos productos. La siguiente información adicional se aplica a la frontera de datos de Hong Kong:

Residencia de datos: el paquete de control de la frontera de datos de Hong Kong establece controles de ubicación de datos para admitir regiones solo de Hong Kong. Consulta la sección Restricciones de las políticas de toda la organización deGoogle Cloud para obtener más información.
Asistencia: los servicios de asistencia técnica para cargas de trabajo de la frontera de datos de Hong Kong están disponibles con las suscripciones a Cloud Customer Care Standard, Enhanced o Premium. Los casos de asistencia de las cargas de trabajo de la frontera de datos de Hong Kong se derivan al personal de asistencia global.
Precios: el paquete de control de la frontera de datos de Hong Kong se incluye en el nivel gratuito de Assured Workloads, que no conlleva ningún cargo adicional. Consulta los precios de Assured Workloads para obtener más información.

Productos y endpoints de API admitidos

A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos admitidos a través de la consola de Google Cloud . En la siguiente tabla se indican las restricciones o limitaciones que afectan a las funciones de un producto admitido, incluidas las que se aplican mediante los ajustes de restricciones de la política de la organización.

Si un producto no aparece en la lista, significa que no se admite y que no cumple los requisitos de control de la frontera de datos de Hong Kong. No se recomienda usar productos no admitidos sin haber tomado las precauciones necesarias y sin conocer a fondo las responsabilidades que te corresponden en el modelo de responsabilidad compartida. Antes de usar un producto no admitido, asegúrate de que conoces y aceptas los riesgos asociados, como los efectos negativos en la residencia o la soberanía de los datos.

Producto admitido	Endpoints de API	Restricciones o limitaciones
Access Approval	`accessapproval.googleapis.com`	Ninguno
Administrador de contextos de acceso	`accesscontextmanager.googleapis.com`	Ninguno
Transparencia de acceso	`accessapproval.googleapis.com`	Ninguno
AlloyDB for PostgreSQL	`alloydb.googleapis.com`	Ninguno
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	Ninguno
Artifact Registry	`artifactregistry.googleapis.com`	Ninguno
Copia de seguridad de GKE	`gkebackup.googleapis.com`	Ninguno
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Funciones afectadas
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Ninguno
Autorización binaria	`binaryauthorization.googleapis.com`	Ninguno
Servicio de Autoridades de Certificación	`privateca.googleapis.com`	Ninguno
Inventario de Recursos de Cloud	`cloudasset.googleapis.com`	Ninguno
Cloud Build	`cloudbuild.googleapis.com`	Ninguno
Cloud Composer	`composer.googleapis.com`	Ninguno
Cloud DNS	`dns.googleapis.com`	Ninguno
Cloud Data Fusion	`datafusion.googleapis.com`	Ninguno
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Ninguno
Cloud HSM	`cloudkms.googleapis.com`	Ninguno
Cloud Interconnect	`compute.googleapis.com`	Ninguno
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Ninguno
Cloud Load Balancing	`compute.googleapis.com`	Ninguno
Cloud Logging	`logging.googleapis.com`	Funciones afectadas
Cloud Monitoring	`monitoring.googleapis.com`	Ninguno
Cloud NAT	`compute.googleapis.com`	Ninguno
API de Cloud OS Login	`oslogin.googleapis.com`	Ninguno
Cloud Router	`compute.googleapis.com`	Ninguno
Cloud Run	`run.googleapis.com`	Funciones afectadas
Cloud Run Functions	`run.googleapis.com`	Ninguno
Cloud SQL	`sqladmin.googleapis.com`	Ninguno
Cloud SQL para PostgreSQL	`sqladmin.googleapis.com`	Ninguno
Cloud Storage	`storage.googleapis.com`	Ninguno
Cloud Tasks	`cloudtasks.googleapis.com`	Ninguno
Cloud VPN	`compute.googleapis.com`	Ninguno
API de Cloud Vision	`vision.googleapis.com`	Ninguno
Cloud Workstations	`workstations.googleapis.com`	Ninguno
Compute Engine	`compute.googleapis.com`	Funciones afectadas y restricciones de política de organización
Config Sync	`anthosconfigmanagement.googleapis.com`	Ninguno
Connect	`gkeconnect.googleapis.com`	Ninguno
Protección de Datos Sensibles	`dlp.googleapis.com`	Ninguno
Database Center	`Not applicable`	Ninguno
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Ninguno
Dataform	`dataform.googleapis.com`	Ninguno
Dataplex Universal Catalog	`dataplex.googleapis.com` `datalineage.googleapis.com`	Ninguno
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Ninguno
Document AI	`documentai.googleapis.com`	Ninguno
Contactos esenciales	`essentialcontacts.googleapis.com`	Ninguno
Eventarc	`eventarc.googleapis.com`	Ninguno
Filestore	`file.googleapis.com`	Ninguno
Reglas de seguridad de Firebase	`firebaserules.googleapis.com`	Ninguno
Firestore	`firestore.googleapis.com`	Ninguno
Hub de GKE	`gkehub.googleapis.com`	Ninguno
Servicio de identidad de GKE	`anthosidentityservice.googleapis.com`	Ninguno
IA generativa en Vertex AI	`aiplatform.googleapis.com`	Ninguno
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	Funciones afectadas
Google Cloud NetApp Volumes	`netapp.googleapis.com`	Funciones afectadas
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Ninguno
Google Security Operations SIEM	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	Ninguno
Google Security Operations SOAR	`Not applicable`	Ninguno
Gestión de identidades y accesos (IAM)	`iam.googleapis.com`	Ninguno
Identity‑Aware Proxy	`iap.googleapis.com`	Ninguno
Infrastructure Manager	`config.googleapis.com`	Ninguno
Looker (servicio principal de Google Cloud)	`looker.googleapis.com`	Ninguno
Memorystore para Redis	`redis.googleapis.com`	Ninguno
Network Connectivity Center	`networkconnectivity.googleapis.com`	Ninguno
Servicio de política de organización	`orgpolicy.googleapis.com`	Ninguno
Persistent Disk	`compute.googleapis.com`	Ninguno
Personalized Service Health	`servicehealth.googleapis.com`	Ninguno
Pub/Sub	`pubsub.googleapis.com`	Ninguno
Resource Manager	`cloudresourcemanager.googleapis.com`	Ninguno
Secure Source Manager	`securesourcemanager.googleapis.com`	Ninguno
Acceso a VPC sin servidor	`vpcaccess.googleapis.com`	Ninguno
Speech-to-Text	`speech.googleapis.com`	Ninguno
Servicio de transferencia de Storage	`storagetransfer.googleapis.com`	Ninguno
Text-to-Speech	`texttospeech.googleapis.com`	Ninguno
Cloud Service Mesh	`trafficdirector.googleapis.com`	Ninguno
Controles de Servicio de VPC	`accesscontextmanager.googleapis.com`	Ninguno
Predicción en lote de Vertex AI	`aiplatform.googleapis.com`	Ninguno
Vertex AI Model Monitoring	`aiplatform.googleapis.com`	Ninguno
Registro de modelos de Vertex AI	`aiplatform.googleapis.com`	Ninguno
Predicción online de Vertex AI	`aiplatform.googleapis.com`	Ninguno
Vertex AI Pipelines	`aiplatform.googleapis.com`	Ninguno
Vertex AI Search	`discoveryengine.googleapis.com`	Ninguno
Vertex AI Training	`aiplatform.googleapis.com`	Ninguno
Nube privada virtual (VPC)	`compute.googleapis.com`	Ninguno
Web Risk	`webrisk.googleapis.com`	Ninguno

Restricciones y limitaciones

En las siguientes secciones se describen las restricciones o limitaciones de las funciones en todo Google Cloudo en productos específicos, incluidas las restricciones de políticas de la organización que se definen de forma predeterminada en las carpetas de la frontera de datos de Hong Kong. Otras restricciones de políticas de la organización aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización. Google Cloud

Google Cloudde ancho

Restricciones de las políticas de organización deGoogle Cloud

Las siguientes restricciones de la política de la organización se aplican en Google Cloud.

Restricción de política de organización	Descripción
`gcp.resourceLocations`	Selecciona las siguientes ubicaciones en la lista `allowedValues`: `asia-east2` Este valor restringe la creación de recursos nuevos a los valores seleccionados. Si se define, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación fuera de la selección. Consulta la sección Servicios admitidos en ubicaciones de recursos para ver una lista de los recursos que se pueden restringir mediante la restricción de la política de organización de ubicaciones de recursos, ya que algunos recursos pueden estar fuera del ámbito y no se pueden restringir. Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o almacenen datos fuera de un límite de datos conforme.
`gcp.restrictServiceUsage`	Se define para permitir todos los productos y endpoints de API admitidos. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos.
`gcp.restrictTLSVersion`	Definir para denegar las siguientes versiones de TLS: `TLS_1_0` `TLS_1_1` Consulta la página Restringir versiones de TLS para obtener más información.

BigQuery

Funciones de BigQuery afectadas

Función	Descripción
Habilitar BigQuery en una carpeta nueva	BigQuery es compatible, pero no se habilita automáticamente al crear una carpeta de Assured Workloads debido a un proceso de configuración interno. Este proceso suele completarse en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para comprobar si el proceso ha finalizado y habilitar BigQuery, sigue estos pasos: En la Google Cloud consola, ve a la página Assured Workloads. Ir a Assured Workloads Selecciona la nueva carpeta de Assured Workloads de la lista. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Ver actualizaciones disponibles. En el panel Servicios permitidos, revisa los servicios que se van a añadir a la política de organización Restricción de uso de recursos de la carpeta. Si aparecen servicios de BigQuery, haga clic en Permitir servicios para añadirlos. Si los servicios de BigQuery no aparecen en la lista, espera a que se complete el proceso interno. Si los servicios no aparecen en un plazo de 12 horas desde que se creó la carpeta, ponte en contacto con Asistencia de Google Cloud. Una vez que se haya completado el proceso de habilitación, podrá usar BigQuery en su carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery.
Funciones no compatibles	Las siguientes funciones de BigQuery no se admiten y no deben usarse en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads. Interacción con fuentes de datos remotas No se admiten los modelos de BQML entrenados externamente. Se admiten los modelos de BQML entrenados internamente. Enmascaramiento de datos dinámico Exportación de GDrive Funciones remotas Consultas guardadas Programación de flujos de trabajo En BigQuery Studio, los cuadernos no se admiten. Gemini en BigQuery no es compatible.
CLI de BigQuery	Se admite la CLI de BigQuery.
SDK de Google Cloud	Debes usar la versión 403.0.0 o una posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar la versión actual del SDK de Google Cloud, ejecuta `gcloud --version` y, a continuación, `gcloud components update` para actualizar a la versión más reciente.
Controles del administrador	BigQuery inhabilitará las APIs no admitidas, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no admitida. Si esto ocurre, se te informará de las posibles infracciones a través del panel de control de monitorización de Assured Workloads.
Cargando datos	No se admiten los conectores de BigQuery Data Transfer Service para aplicaciones de software como servicio (SaaS) de Google, proveedores de almacenamiento en la nube externos y almacenes de datos. Es tu responsabilidad no usar los conectores de BigQuery Data Transfer Service para cargas de trabajo de la frontera de datos de Hong Kong.
Transferencias de terceros	BigQuery no verifica la compatibilidad con las transferencias de terceros de BigQuery Data Transfer Service. Es tu responsabilidad verificar la compatibilidad cuando utilices una transferencia de terceros con BigQuery Data Transfer Service.
Modelos de BQML no conformes	No se admiten los modelos de BQML entrenados externamente.
Tareas de consulta	Los trabajos de consulta solo se deben crear en carpetas de Assured Workloads.
Consultas en conjuntos de datos de otros proyectos	BigQuery no impide que se consulten conjuntos de datos de Assured Workloads desde proyectos que no sean de Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una lectura o una combinación de datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completo para el resultado de la consulta con `projectname.dataset.table` en la CLI de BigQuery.
Cloud Logging	BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar los segmentos de registros `_default` o restringir los segmentos `_default` a las regiones incluidas en el ámbito para mantener el cumplimiento mediante el siguiente comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Consulta Regionalizar los registros para obtener más información.

Compute Engine

Funciones de Compute Engine afectadas

Función Descripción

Entorno de invitado Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu máquina virtual, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta el entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete.

Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización compute.trustedImageProjects.

Consulta la página Crear una imagen personalizada para obtener más información.

Políticas de SO en VM Manager Las secuencias de comandos insertadas y los archivos de salida binarios de los archivos de políticas del SO no se cifran con claves de cifrado gestionadas por el cliente (CMEK). Por lo tanto, no incluyas información sensible en estos archivos. También puedes almacenar estos archivos de secuencias de comandos y de salida en segmentos de Cloud Storage. Para obtener más información, consulta los ejemplos de políticas de SO.

Si quieres restringir la creación o modificación de recursos de políticas de SO que usen secuencias de comandos insertadas o archivos de salida binarios, habilita la restricción de la política de organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Para obtener más información, consulta Restricciones de configuración del SO.

Función	Descripción
Entorno de invitado	Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu máquina virtual, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta el entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete. Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización `compute.trustedImageProjects`. Consulta la página Crear una imagen personalizada para obtener más información.
Políticas de SO en VM Manager	Las secuencias de comandos insertadas y los archivos de salida binarios de los archivos de políticas del SO no se cifran con claves de cifrado gestionadas por el cliente (CMEK). Por lo tanto, no incluyas información sensible en estos archivos. También puedes almacenar estos archivos de secuencias de comandos y de salida en segmentos de Cloud Storage. Para obtener más información, consulta los ejemplos de políticas de SO. Si quieres restringir la creación o modificación de recursos de políticas de SO que usen secuencias de comandos insertadas o archivos de salida binarios, habilita la restricción de la política de organización `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para obtener más información, consulta Restricciones de configuración del SO.

Restricciones de las políticas de organización de Compute Engine

Restricción de política de organización	Descripción
`compute.disableGlobalCloudArmorPolicy`	Su valor debe ser True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales, así como la adición o modificación de reglas en las políticas de seguridad de Google Cloud Armor globales. Esta restricción no limita la eliminación de reglas ni la capacidad de eliminar o cambiar la descripción y la lista de políticas de seguridad globales de Google Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Google Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de que se aplique esta restricción seguirán vigentes.
`compute.restrictNonConfidentialComputing`	(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la documentación sobre máquinas virtuales confidenciales.
`compute.trustedImageProjects`	(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Si se define este valor, el almacenamiento de imágenes y la creación de instancias de disco se limitarán a la lista de proyectos especificada. Este valor afecta a la soberanía de los datos, ya que impide el uso de imágenes o agentes no autorizados.

Cloud Logging

Funciones de Cloud Logging afectadas

Función	Descripción
Sumideros de registros	Los filtros no deben contener datos de clientes. Los receptores de registro incluyen filtros que se almacenan como configuración. No cree filtros que contengan Datos de Clientes.
Seguimiento en tiempo real de entradas de registro	Los filtros no deben contener datos de clientes. Una sesión de seguimiento en directo incluye un filtro que se almacena como configuración. La función de seguimiento de registros no almacena ningún dato de entrada de registro, pero puede consultar y transmitir datos entre regiones. No cree filtros que contengan Datos de Clientes.

Google Cloud NetApp Volumes

Funciones de NetApp Volumes de Google Cloud afectadas

Función	Descripción
Nivel de servicio flexible	El nivel de servicio Flexible no está disponible en el paquete de control de la frontera de datos de Hong Kong.

Siguientes pasos

Consulta cómo crear una carpeta de Assured Workloads.
Consulta los precios de Assured Workloads