Limite dos dados para a publicação 1075 do IRS
Esta página descreve o conjunto de controlos aplicados no limite de dados para cargas de trabalho do IRS 1075 no Assured Workloads. Fornece informações detalhadas sobre a residência de dados, os produtos Google Cloud suportados e os respetivos pontos finais da API, bem como quaisquer restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais aplicam-se ao limite de dados para o formulário 1075 do IRS:
- Residência dos dados: o limite de dados para o pacote de controlo da IRS 1075 define controlos de localização de dados para suportar regiões apenas nos EUA. Consulte a secção Google CloudRestrições da política da organização ao nível da organização para mais informações.
Apoio técnico: os serviços de apoio técnico para cargas de trabalho do limite de dados para o IRS 1075 estão disponíveis com subscrições do Cloud Customer Care Melhorado ou Premium. Os registos de apoio técnico do limite de dados para cargas de trabalho do IRS 1075 são encaminhados para pessoas dos EUA localizadas nos EUA que concluíram verificações de antecedentes baseadas em impressões digitais do CJIS, verificações de aplicação da lei ao nível estadual e validação da cidadania. Para mais informações, consulte o artigo Receber apoio técnico.
Preços: o limite de dados para o pacote de controlo IRS 1075 está incluído no nível Premium do Assured Workloads, que incorre num custo adicional de 20%. Consulte os preços do Assured Workloads para mais informações.
Pré-requisitos
Para permanecer em conformidade como utilizador do pacote de controlos do limite de dados para o IRS 1075, verifique se cumpre e respeita os seguintes pré-requisitos:
- Crie um limite de dados para a pasta IRS 1075 através dos Assured Workloads e implemente o limite de dados para cargas de trabalho IRS 1075 apenas nessa pasta.
- Ative e use apenas a Data Boundary no âmbito dos serviços IRS 1075 para a Data Boundary para cargas de trabalho IRS 1075.
- Não altere os valores predefinidos da restrição da política da organização, a menos que compreenda e esteja disposto a aceitar os riscos de residência de dados que possam ocorrer.
- Considere adotar as práticas recomendadas de segurança gerais fornecidas no Google Cloud centro de práticas recomendadas de segurança.
- Quando acede à Google Cloud consola, tem a opção de usar a consola jurisdicional Google Cloud .
Não tem de usar a consola Google Cloud jurisdicional para o limite de dados para o IRS 1075. Pode aceder a este conteúdo através de um dos seguintes URLs:
- console.us.cloud.google.com
- console.us.cloud.google para utilizadores de identidade federada
Produtos e pontos finais da API compatíveis
Salvo indicação em contrário, os utilizadores podem aceder a todos os produtos suportados através da Google Cloud consola. As restrições ou as limitações que afetam as funcionalidades de um produto suportado, incluindo as que são aplicadas através das definições de restrições da política da organização, estão listadas na tabela seguinte.
Se um produto não estiver listado, significa que não é suportado e não cumpriu os requisitos de controlo da fronteira de dados para o IRS 1075. Não é recomendado usar produtos não suportados sem a devida diligência e uma compreensão exaustiva das suas responsabilidades no modelo de responsabilidade partilhada. Antes de usar um produto não suportado, certifique-se de que tem conhecimento e está disposto a aceitar os riscos associados envolvidos, como impactos negativos na residência ou soberania dos dados.
| Produto suportado | Pontos finais da API | Restrições ou limitações |
|---|---|---|
| Gestor de acesso sensível ao contexto |
accesscontextmanager.googleapis.com |
Nenhum |
| Transparência de acesso |
accessapproval.googleapis.com |
Nenhum |
| Agente de ajuda |
dialogflow.googleapis.com |
Nenhum |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
Nenhum |
| Apigee |
apigee.googleapis.com |
Nenhum |
| App Hub |
apphub.googleapis.com |
Nenhum |
| Integração de aplicações |
integrations.googleapis.com |
Nenhum |
| Artifact Registry |
artifactregistry.googleapis.com |
Nenhum |
| Cópia de segurança do GKE |
gkebackup.googleapis.com |
Nenhum |
| BigQuery |
bigquery.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funcionalidades afetadas |
| Serviço de transferência de dados do BigQuery |
bigquerydatatransfer.googleapis.com |
Funcionalidades afetadas |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Nenhum |
| Autorização binária |
binaryauthorization.googleapis.com |
Nenhum |
| Certificate Authority Service |
privateca.googleapis.com |
Nenhum |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
Nenhum |
| Cloud Build |
cloudbuild.googleapis.com |
Nenhum |
| Cloud Composer |
composer.googleapis.com |
Nenhum |
| Google Cloud consola |
N/A |
Nenhum |
| Cloud DNS |
dns.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Cloud Deploy |
clouddeploy.googleapis.com |
Nenhum |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Nenhum |
| Funções do Cloud Run |
cloudfunctions.googleapis.com |
Restrições de políticas da organização |
| Cloud HSM |
cloudkms.googleapis.com |
Nenhum |
| Cloud Healthcare API |
healthcare.googleapis.com |
Nenhum |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
Funcionalidades afetadas |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nenhum |
| Cloud Logging |
logging.googleapis.com |
Funcionalidades afetadas |
| Cloud Monitoring |
monitoring.googleapis.com |
Funcionalidades afetadas |
| NAT na nuvem |
networkconnectivity.googleapis.com |
Nenhum |
| API Cloud OS Login |
oslogin.googleapis.com |
Nenhum |
| Cloud Router |
networkconnectivity.googleapis.com |
Nenhum |
| Cloud Run |
run.googleapis.com |
Funcionalidades afetadas |
| Cloud SQL |
sqladmin.googleapis.com |
Nenhum |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
Nenhum |
| Cloud Storage |
storage.googleapis.com |
Nenhum |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nenhum |
| Cloud VPN |
compute.googleapis.com |
Funcionalidades afetadas |
| Cloud Vision API |
vision.googleapis.com |
Nenhum |
| Cloud Workstations |
workstations.googleapis.com |
Nenhum |
| Compute Engine |
compute.googleapis.com |
Funcionalidades afetadas e restrições da política da organização |
| Associar |
gkeconnect.googleapis.com |
Nenhum |
| Dialogflow CX |
dialogflow.googleapis.com |
Nenhum |
| Estatísticas de conversas |
contactcenterinsights.googleapis.com |
Nenhum |
| Proteção de dados confidenciais |
dlp.googleapis.com |
Nenhum |
| Centro de bases de dados |
databasecenter.googleapis.com |
Nenhum |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Nenhum |
| Dataform |
dataform.googleapis.com |
Nenhum |
| Catálogo universal do Dataplex |
dataplex.googleapis.comdatalineage.googleapis.com |
Nenhum |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Nenhum |
| Document AI |
documentai.googleapis.com |
Nenhum |
| Contactos essenciais |
essentialcontacts.googleapis.com |
Nenhum |
| Eventarc |
eventarc.googleapis.com |
Nenhum |
| Balanceador de carga de rede de passagem externo |
compute.googleapis.com |
Nenhum |
| Filestore |
file.googleapis.com |
Nenhum |
| Firebase Authentication |
N/A |
Nenhum |
| Firestore |
firestore.googleapis.com |
Nenhum |
| GKE Hub |
gkehub.googleapis.com |
Nenhum |
| Serviço de identidade do GKE |
anthosidentityservice.googleapis.com |
Nenhum |
| IA generativa na Vertex AI |
aiplatform.googleapis.com |
Nenhum |
| Google Agentspace |
discoveryengine.googleapis.com |
Nenhum |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Funcionalidades afetadas |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
Funcionalidades afetadas |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Nenhum |
| SIEM do Google Security Operations |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
Nenhum |
| SOAR do Google Security Operations |
Not applicable |
Nenhum |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Nenhum |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Nenhum |
| Infrastructure Manager |
config.googleapis.com |
Nenhum |
| Conetores de integração |
connectors.googleapis.com |
Nenhum |
| Balanceador de carga de rede de passagem interno |
compute.googleapis.com |
Nenhum |
| Consola Google Cloud jurisdicional |
N/A |
Nenhum |
| Justificações de acesso às chaves |
cloudekm.googleapis.com |
Nenhum |
| Looker (Google Cloud core) |
looker.googleapis.com |
Nenhum |
| Memorystore para Redis |
redis.googleapis.com |
Nenhum |
| Model Armor |
modelarmor.googleapis.com |
Nenhum |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Nenhum |
| Serviço de políticas da organização |
orgpolicy.googleapis.com |
Nenhum |
| Persistent Disk |
compute.googleapis.com |
Nenhum |
| Pub/Sub |
pubsub.googleapis.com |
Nenhum |
| Balanceador de carga de aplicações externo regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de rede de proxy externo regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de aplicações interno regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de rede de proxy interno regional |
compute.googleapis.com |
Nenhum |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Nenhum |
| Secret Manager |
secretmanager.googleapis.com |
Nenhum |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Nenhum |
| Spanner |
spanner.googleapis.com |
Nenhum |
| Conversão de voz em texto |
speech.googleapis.com |
Funcionalidades afetadas |
| Serviço de transferência de armazenamento |
storagetransfer.googleapis.com |
Nenhum |
| Conversão de texto em voz |
texttospeech.googleapis.com |
Nenhum |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Nenhum |
| Previsão em lote da Vertex AI |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
Nenhum |
| Registo de modelos Vertex AI |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI Online Prediction |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI Search |
discoveryengine.googleapis.com |
Nenhum |
| Vertex AI Training |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI Workbench |
aiplatform.googleapis.com |
Nenhum |
| Nuvem virtual privada (VPC) |
compute.googleapis.com |
Nenhum |
| Web Risk |
webrisk.googleapis.com |
Nenhum |
| Federação de identidade da força de trabalho |
iam.googleapis.comsts.googleapis.com |
Nenhum |
Restrições e limitações
As secções seguintes descrevem as restrições ou as limitações Google Cloudao nível da organização ou específicas do produto para funcionalidades, incluindo quaisquer restrições da política da organização que estejam definidas por predefinição na Data Boundary para pastas do IRS 1075. Outras restrições de políticas organizacionais aplicáveis, mesmo que não estejam definidas por predefinição, podem fornecer uma defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.
Google Cloudde largura
Funcionalidades afetadas Google Cloud
| Funcionalidade | Descrição |
|---|---|
| Google Cloud consola | Para aceder à Google Cloud consola quando usar o limite de dados para o pacote de controlo IRS 1075,
tem a opção de usar a consola Google Cloud jurisdicional. A consola Jurisdictional
Google Cloud não é necessária para o limite de dados para o IRS 1075 e pode ser acedida através de
um dos seguintes URLs:
|
Google Cloudrestrições de políticas da organização ao nível da entidade
As seguintes restrições de políticas da organização aplicam-se em Google Cloud.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Definido para as seguintes localizações na lista allowedValues:
Alterar este valor tornando-o menos restritivo compromete potencialmente a residência de dados, uma vez que permite que os dados sejam criados ou armazenados fora de um limite de dados em conformidade. |
gcp.restrictNonCmekServices |
Definido como uma lista de todos os nomes de serviços da API no âmbito, incluindo:
Cada serviço listado requer chaves de encriptação geridas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam encriptados com uma chave gerida por si e não com os mecanismos de encriptação predefinidos da Google. Se alterar este valor removendo um ou mais serviços no âmbito da lista, pode comprometer a soberania dos dados, porque os novos dados em repouso são encriptados automaticamente com as chaves da Google em vez das suas. Os dados em repouso existentes vão permanecer encriptados pela chave que forneceu. |
gcp.restrictServiceUsage |
Definido para permitir todos os produtos e pontos finais da API suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restringir a utilização de recursos. |
gcp.restrictTLSVersion |
Definido para recusar as seguintes versões do TLS:
|
BigQuery
Funcionalidades do BigQuery afetadas
| Funcionalidade | Descrição |
|---|---|
| Ativar o BigQuery numa nova pasta | O BigQuery é suportado, mas não é ativado automaticamente quando cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Normalmente, este processo termina em dez minutos, mas pode demorar muito mais tempo em algumas circunstâncias. Para verificar se o processo está concluído e ativar o BigQuery, conclua os seguintes passos:
Após a conclusão do processo de ativação, pode usar o BigQuery na sua pasta do Assured Workloads. O Gemini no BigQuery não é suportado pelos Assured Workloads. |
| Funcionalidades não suportadas | As seguintes funcionalidades do BigQuery não são suportadas e não devem ser usadas na
CLI do BigQuery. É da sua responsabilidade não os usar no BigQuery para
Assured Workloads.
|
| CLI do BigQuery | A CLI do BigQuery é suportada.
|
| SDK Google Cloud | Tem de usar a versão 403.0.0 ou mais recente do Google Cloud SDK para manter as garantias de regionalização de dados para dados técnicos. Para verificar a sua versão atual do Google Cloud SDK, execute o comando
gcloud --version e, em seguida, gcloud components update para atualizar para
a versão mais recente.
|
| Controlos para administradores | O BigQuery desativa as APIs não suportadas, mas os administradores com autorizações suficientes para criar uma pasta do Assured Workloads podem ativar uma API não suportada. Se isto ocorrer, recebe uma notificação sobre a potencial não conformidade através do painel de controlo de monitorização do Assured Workloads. |
| Carregar dados | Os conetores do Serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) da Google, fornecedores de armazenamento na nuvem externos e armazéns de dados não são suportados. É da sua responsabilidade não usar os conetores do Serviço de transferência de dados do BigQuery para cargas de trabalho do limite de dados para o IRS 1075. |
| Transferências de terceiros | O BigQuery não valida o suporte para transferências de terceiros para o Serviço de transferência de dados do BigQuery. É da sua responsabilidade verificar o apoio técnico quando usar qualquer transferência de terceiros para o Serviço de transferência de dados do BigQuery. |
| Modelos BQML não conformes | Os modelos BQML preparados externamente não são suportados. |
| Consultar tarefas | Os trabalhos de consulta só devem ser criados em pastas do Assured Workloads. |
| Consultas em conjuntos de dados noutros projetos | O BigQuery não impede que os conjuntos de dados dos Assured Workloads sejam consultados
a partir de projetos que não sejam dos Assured Workloads. Deve garantir que qualquer consulta que tenha uma leitura ou uma junção em dados do Assured Workloads é colocada numa pasta do Assured Workloads. Pode especificar um
nome de tabela totalmente qualificado
para o resultado da consulta através de projectname.dataset.table na
CLI do BigQuery.
|
| Cloud Logging | O BigQuery usa o Cloud Logging para alguns dos seus dados de registo. Deve desativar os contentores de registo _default ou restringir os contentores _default às regiões no âmbito para manter a conformidade através do seguinte comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Consulte o artigo Regionalize os seus registos para mais informações. |
Compute Engine
Funcionalidades do Compute Engine afetadas
| Funcionalidade | Descrição |
|---|---|
| Suspender e retomar uma instância de VM | Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado atualmente através da CMEK. Consulte a restrição da gcp.restrictNonCmekServices política da organização
na secção acima para compreender as implicações da soberania e residência dos dados
da ativação desta funcionalidade.
|
| SSDs locais | Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque, atualmente, não podem ser encriptados através da CMEK. Consulte a restrição da gcp.restrictNonCmekServices política da organização
na secção acima para compreender as implicações da soberania e residência dos dados
da ativação desta funcionalidade.
|
| Ambiente convidado | É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações a este software podem ser instaladas por predefinição. Consulte o
ambiente de convidado para ver informações específicas
sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos de segurança internos e processos. No entanto, se quiser um controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a restrição da compute.trustedImageProjects política da organização.
Consulte a página Criar uma imagem personalizada para mais informações. |
| Políticas de SO no VM Manager |
Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK).
Por conseguinte, não inclua informações confidenciais nestes ficheiros.
Em alternativa, considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os
exemplos de políticas de SO. Se quiser restringir a criação ou a modificação de recursos de políticas do SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Para mais informações, consulte Restrições para a configuração do SO. |
Restrições de políticas de organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras a políticas de segurança do Google Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a capacidade de remover ou alterar a descrição e a ficha de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por esta restrição. Todas as políticas de segurança globais e regionais que existirem antes da aplicação desta restrição permanecem em vigor. |
compute.disableGlobalLoadBalancing |
Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho. |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Consulte a
documentação sobre a VM confidencial
para mais informações. |
compute.trustedImageProjects |
(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional.
A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados, impedindo a utilização de imagens ou agentes não autorizados. |
Funções do Cloud Run
Restrições da política da organização das funções do Cloud Run
| Restrição da política da organização | Descrição |
|---|---|
cloudfunctions.restrictAllowedGenerations |
Definido para negar a seguinte geração de funções do Cloud Run que pode ser usada para criar novos recursos de funções do Cloud Run:
|
Cloud Interconnect
Funcionalidades do Cloud Interconnect afetadas
| Funcionalidade | Descrição |
|---|---|
| VPN de alta disponibilidade (HA) | Tem de ativar a funcionalidade de VPN de alta disponibilidade (HA) quando usar o Cloud Interconnect com o Cloud VPN. Além disso, tem de cumprir os requisitos de encriptação e regionalização indicados na secção Funcionalidades da VPN na nuvem afetadas. |
Cloud KMS
Restrições da política de organização do Cloud KMS
| Restrição da política da organização | Descrição |
|---|
Cloud Logging
Funcionalidades do Cloud Logging afetadas
| Funcionalidade | Descrição |
|---|---|
| Sinks de registo | Os filtros não devem conter dados de clientes. Os destinos de registos incluem filtros que são armazenados como configuração. Não crie filtros que contenham dados de clientes. |
| Monitorização em tempo real de entradas do registo | Os filtros não devem conter dados de clientes. Uma sessão de monitorização em tempo real inclui um filtro que é armazenado como configuração. A monitorização de registos não armazena dados de entradas de registo, mas pode consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes. |
Cloud Monitoring
Funcionalidades do Cloud Monitoring afetadas
| Funcionalidade | Descrição |
|---|---|
| Monitor sintético | Esta funcionalidade está desativada. |
| Verificações de tempo de atividade | Esta funcionalidade está desativada. |
Cloud Run
Funcionalidades do Cloud Run afetadas
| Funcionalidade | Descrição |
|---|---|
| Funcionalidades não suportadas | As seguintes funcionalidades do Cloud Run não são suportadas: |
Conversão de voz em texto
Funcionalidades de conversão de voz em texto afetadas
| Funcionalidade | Descrição |
|---|---|
| Modelos de conversão de voz em texto personalizados | É da sua responsabilidade não usar modelos personalizados de conversão de voz em texto, uma vez que não estão em conformidade com o limite de dados para o formulário 1075 do IRS. |
Cloud VPN
Funcionalidades do Cloud VPN afetadas
| Funcionalidade | Descrição |
|---|---|
| Endpoints da VPN | Tem de usar apenas pontos finais da VPN do Google Cloud localizados numa região dentro do âmbito. Certifique-se de que o gateway de VPN está configurado para utilização apenas numa região no âmbito. |
O que se segue?
- Saiba como criar uma pasta do Assured Workloads
- Compreenda os preços do Assured Workloads