含存取依據的沙烏地阿拉伯王國資料邊界
本頁說明搭配存取理由控制套件使用 KSA 資料邊界時的限制、其他設定選項。
總覽
沙烏地阿拉伯王國資料邊界與存取依據控制項套件,可為支援 Google Cloud 的產品啟用資料存取權控管和資料落地功能。為符合沙烏地阿拉伯資料邊界和存取理由規定,Google 對這些服務的部分功能設有限制。為 KSA 資料邊界建立新 Assured Workloads 資料夾時,系統會套用大部分的限制,並要求提供存取理由。不過,部分設定之後可以透過修改機構政策變更。此外,部分限制和規範需要使用者自行遵守。
請務必瞭解這些限制如何修改特定 Google Cloud 服務的行為,或影響資料存取權或資料存放位置。舉例來說,系統可能會自動停用部分功能,確保資料存取限制和資料落地設定維持不變。此外,如果變更機構政策設定,可能會導致資料從一個地區複製到另一個地區,造成非預期的後果。
支援的服務
除非另有註明,否則使用者可以透過 Google Cloud 控制台存取所有支援的服務。
下列服務與含存取依據的沙烏地阿拉伯王國資料邊界相容:
| 支援的產品 | API 端點 | 限制 |
|---|---|---|
| 存取權核准 |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Access Context Manager |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Artifact Registry |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| BigQuery |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Bigtable |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| 憑證授權單位服務 |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Build |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud DNS |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud HSM |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Interconnect |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
受影響的功能 |
| Cloud Key Management Service (Cloud KMS) |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Load Balancing |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Logging |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Monitoring |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
受影響的功能 |
| Cloud NAT |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Router |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Run |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
受影響的功能 |
| Cloud SQL |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Service Mesh |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Cloud Storage |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
受影響的功能 |
| Cloud VPN |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
受影響的功能 |
| Compute Engine |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
受影響的功能 和機構政策限制 |
| 連結 |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Dataflow |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Dataproc |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| 重要聯絡人 |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Filestore |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| GKE Hub |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| GKE Identity Service |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Google Cloud Armor |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
受影響的功能 |
| Google Cloud console |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Google Kubernetes Engine |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
機構政策限制 |
| 身分與存取權管理 (IAM) |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Identity-Aware Proxy (IAP) |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Memorystore for Redis |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Network Connectivity Center |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| 機構政策服務 |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Persistent Disk |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Pub/Sub |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Resource Manager |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| 資源設定 |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Secret Manager |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Sensitive Data Protection |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| Service Directory |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| Spanner |
區域 API 端點:
不支援位置 API 端點。 全球 API 端點:
|
無 |
| VPC Service Controls |
不支援區域 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
| 虛擬私有雲 (VPC) |
不支援區域性 API 端點。 不支援位置 API 端點。 全球 API 端點:
|
無 |
機構政策
本節說明使用「KSA 資料邊界與存取理由」建立資料夾或專案時,各項服務如何受到預設機構政策限制值影響。其他適用的限制 (即使不是預設設定) 也能提供額外的「縱深防禦」措施,進一步保護貴機構的資源。 Google Cloud
全雲端適用的機構政策限制
下列機構政策限制適用於任何適用的 Google Cloud 服務。
| 機構政策限制 | 說明 |
|---|---|
gcp.resourceLocations |
設為 in:sa-locations 做為 allowedValues 清單項目。這個值會將所有新資源的建立作業限制在 me-central2 值群組。設定後,您就無法在沙烏地阿拉伯以外的任何其他區域、多區域或位置建立資源。如要查看可透過「資源位置」機構政策限制的資源清單,請參閱「資源位置支援的服務」,因為部分資源可能超出範圍,無法限制。如果變更這個值,放寬限制,可能會允許在符合規定的資料邊界外建立或儲存資料,進而破壞資料落地性。 |
gcp.restrictServiceUsage |
設為允許所有支援的服務。 限制對資源的執行階段存取權,決定可使用的服務。詳情請參閱「限制工作負載的資源用量」。 |
Compute Engine 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
設為 True。 禁止建立新的全域 Google Cloud Armor 安全性政策,以及在現有全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制不會禁止移除規則,也不會禁止移除或變更全域 Google Cloud Armor 安全性政策的說明和清單。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。 |
compute.disableGlobalLoadBalancing |
設為 True。 停用全域負載平衡器的建立功能。 變更這個值可能會影響工作負載中的資料駐留位置,建議保留設定值。 |
compute.disableInstanceDataAccessApis |
設為 True。 全域停用 instances.getSerialPortOutput() 和
instances.getScreenshot() API。啟用這項機構政策後,您將無法在 Windows Server VM 上產生憑證。 如要管理 Windows VM 的使用者名稱和密碼,請按照下列步驟操作:
|
compute.enableComplianceMemoryProtection |
設為 True。 停用部分內部診斷功能,在發生基礎架構故障時,提供額外的記憶體內容保護措施。 變更這個值可能會影響工作負載中的資料駐留位置,建議保留設定值。 |
Google Kubernetes Engine 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
設為 True。 用於停用核心問題的匯總分析,這是維持工作負載主權控制權的必要條件。 變更這個值可能會影響工作負載中的資料主權,建議保留設定值。 |
受影響的功能
本節列出各項服務的功能或能力如何受到沙烏地阿拉伯資料邊界 (附存取理由) 影響,包括使用功能時的使用者需求。
Bigtable 功能
| 功能 | 說明 |
|---|---|
| Data Boost | 這項功能已停用。 |
Compute Engine 的功能與特色
| 功能 | 說明 |
|---|---|
| Google Cloud 控制台 | 下列 Compute Engine 功能不適用於 Google Cloud 控制台。使用 API 或 Google Cloud CLI (如有):
|
| 將執行個體群組新增至全域負載平衡器 | 您無法將執行個體群組新增至全域負載平衡器。 這項功能已遭 compute.disableGlobalLoadBalancing機構政策
限制停用。
|
instances.getSerialPortOutput() |
這個 API 已停用,您將無法使用這個 API,從指定執行個體取得序列埠輸出內容。 將 compute.disableInstanceDataAccessApis機構政策限制值變更為 False,即可啟用這項 API。您也可以啟用及使用互動式序列埠。 |
instances.getScreenshot() |
這個 API 已停用,您無法使用這個 API 從指定執行個體擷取螢幕截圖。 將 compute.disableInstanceDataAccessApis機構政策限制值變更為 False,即可啟用這項 API。您也可以啟用及使用互動式序列埠。 |
Cloud Interconnect 功能
| 功能 | 說明 |
|---|---|
| 高可用性 (HA) VPN | 使用 Cloud Interconnect 和 Cloud VPN 時,必須啟用高可用性 (HA) VPN 功能。此外,您也必須遵守本節列出的加密和區域化規定。 |
Cloud Monitoring 功能
| 功能 | 說明 |
|---|---|
| 綜合監控項目 | 這項功能已停用。 |
| 運作時間檢查 | 這項功能已停用。 |
| 記錄面板小工具 位於「資訊主頁」 | 這項功能已停用。 您無法在資訊主頁中新增記錄面板。 |
| 錯誤報告面板小工具 位於資訊主頁 | 這項功能已停用。 您無法在資訊主頁中新增錯誤回報面板。 |
篩選器位於「資訊主頁」EventAnnotation
|
這項功能已停用。 無法在資訊主頁中設定篩選器。 EventAnnotation |
SqlCondition
in alertPolicies
|
這項功能已停用。 你無法在 alertPolicy中新增SqlCondition。
|
Cloud Run 功能
| 功能 | 說明 |
|---|---|
| 不支援的功能 | 系統不支援下列 Cloud Run 功能: |
Cloud Storage 功能
| 功能 | 說明 |
|---|---|
| Google Cloud 控制台 | 您有責任使用管轄區 Google Cloud 控制台,為沙烏地阿拉伯王國資料邊界設定存取依據。Jurisdictional 控制台會禁止上傳及下載 Cloud Storage 物件。如要上傳及下載 Cloud Storage 物件,請參閱下方的「符合規範的 API 端點」列。 |
| 符合規定的 API 端點 | 您有責任搭配 Cloud Storage 使用其中一個位置端點。詳情請參閱 Cloud Storage 位置。 |
Google Cloud Armor 功能
| 功能 | 說明 |
|---|---|
| 全域範圍的安全性政策 | 這項功能已遭compute.disableGlobalCloudArmorPolicy機構政策限制停用。 |
Cloud VPN 功能
| 功能 | 說明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不提供 Cloud VPN 功能。請改用 API 或 Google Cloud CLI。 |
註釋
1. 系統支援 BigQuery,但由於內部設定程序,建立新的 Assured Workloads 資料夾時不會自動啟用。這項程序通常會在十分鐘內完成,但在某些情況下可能需要更多時間。如要檢查程序是否完成並啟用 BigQuery,請完成下列步驟:
- 前往 Google Cloud 控制台的「Assured Workloads」頁面。
- 從清單中選取新的 Assured Workloads 資料夾。
- 在「Allowed services」(允許的服務) 區段的「Folder Details」(資料夾詳細資料) 頁面中,按一下「Review Available Updates」(查看可用更新)。
- 在「允許的服務」窗格中,檢查要新增至資料夾「資源用量限制」機構政策的服務。如果列出 BigQuery 服務,請按一下「允許服務」新增服務。
如果未列出 BigQuery 服務,請等待內部程序完成。如果資料夾建立後 12 小時內未列出服務,請與 Cloud Customer Care 聯絡。
啟用程序完成後,您就可以在 Assured Workloads 資料夾中使用 BigQuery。
Assured Workloads 不支援 Gemini in BigQuery。