Os nomes de alguns pacotes de controlos do Assured Workloads foram alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Limite de dados do Catar

Esta página descreve o conjunto de controlos que são aplicados em cargas de trabalho da fronteira de dados do Catar no Assured Workloads. Fornece informações detalhadas sobre a residência de dados, os produtos Google Cloud suportados e os respetivos pontos finais da API, bem como quaisquer restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais aplicam-se à fronteira de dados do Catar:

Residência dos dados: o pacote de controlo do limite de dados do Catar define os controlos de localização dos dados para suportar regiões apenas no Catar. Consulte a secção Google CloudRestrições da política da organização ao nível da organização para mais informações.
Apoio técnico: os serviços de apoio técnico para cargas de trabalho do limite de dados do Catar estão disponíveis com subscrições do apoio ao cliente do Google Cloud Standard, Enhanced ou Premium. Os registos de apoio técnico de cargas de trabalho do limite de dados do Catar são encaminhados para o pessoal de apoio técnico global.
Preços: o pacote de controlo do limite de dados do Catar está incluído no nível gratuito dos Assured Workloads, que não incorre em custos adicionais. Consulte os preços do Assured Workloads para mais informações.

Produtos e pontos finais da API compatíveis

Salvo indicação em contrário, os utilizadores podem aceder a todos os produtos suportados através da Google Cloud consola. As restrições ou as limitações que afetam as funcionalidades de um produto suportado, incluindo as que são aplicadas através das definições de restrições da política da organização, estão listadas na tabela seguinte.

Se um produto não estiver listado, significa que não é suportado e não cumpriu os requisitos de controlo da fronteira de dados do Catar. Não é recomendado usar produtos não suportados sem a devida diligência e uma compreensão exaustiva das suas responsabilidades no modelo de responsabilidade partilhada. Antes de usar um produto não suportado, certifique-se de que tem conhecimento e está disposto a aceitar os riscos associados envolvidos, como impactos negativos na residência ou soberania dos dados.

Produto suportado	Pontos finais da API	Restrições ou limitações
Aprovação de acesso	`accessapproval.googleapis.com`	Nenhum
Gestor de acesso sensível ao contexto	`accesscontextmanager.googleapis.com`	Nenhum
Transparência de acesso	`accessapproval.googleapis.com`	Nenhum
AlloyDB para PostgreSQL	`alloydb.googleapis.com`	Nenhum
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	Nenhum
Artifact Registry	`artifactregistry.googleapis.com`	Nenhum
Cópia de segurança do GKE	`gkebackup.googleapis.com`	Nenhum
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Funcionalidades afetadas
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Nenhum
Autorização binária	`binaryauthorization.googleapis.com`	Nenhum
Certificate Authority Service	`privateca.googleapis.com`	Nenhum
Cloud Asset Inventory	`cloudasset.googleapis.com`	Nenhum
Cloud Build	`cloudbuild.googleapis.com`	Nenhum
Cloud Composer	`composer.googleapis.com`	Nenhum
Cloud DNS	`dns.googleapis.com`	Nenhum
Cloud Data Fusion	`datafusion.googleapis.com`	Nenhum
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Nenhum
Cloud HSM	`cloudkms.googleapis.com`	Nenhum
Cloud Interconnect	`compute.googleapis.com`	Nenhum
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Nenhum
Cloud Load Balancing	`compute.googleapis.com`	Nenhum
Cloud Logging	`logging.googleapis.com`	Funcionalidades afetadas
Cloud Monitoring	`monitoring.googleapis.com`	Nenhum
NAT na nuvem	`compute.googleapis.com`	Nenhum
API Cloud OS Login	`oslogin.googleapis.com`	Nenhum
Cloud Router	`compute.googleapis.com`	Nenhum
Cloud Run	`run.googleapis.com`	Funcionalidades afetadas
Funções do Cloud Run	`run.googleapis.com`	Nenhum
Cloud SQL	`sqladmin.googleapis.com`	Nenhum
Cloud SQL para PostgreSQL	`sqladmin.googleapis.com`	Nenhum
Cloud Storage	`storage.googleapis.com`	Nenhum
Cloud Tasks	`cloudtasks.googleapis.com`	Nenhum
Cloud VPN	`compute.googleapis.com`	Nenhum
Cloud Vision API	`vision.googleapis.com`	Nenhum
Cloud Workstations	`workstations.googleapis.com`	Nenhum
Compute Engine	`compute.googleapis.com`	Funcionalidades afetadas e restrições da política da organização
Config Sync	`anthosconfigmanagement.googleapis.com`	Nenhum
Associar	`gkeconnect.googleapis.com`	Nenhum
Proteção de dados confidenciais	`dlp.googleapis.com`	Nenhum
Centro de bases de dados	`Not applicable`	Nenhum
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Nenhum
Dataform	`dataform.googleapis.com`	Nenhum
Catálogo universal do Dataplex	`dataplex.googleapis.com` `datalineage.googleapis.com`	Nenhum
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nenhum
Document AI	`documentai.googleapis.com`	Nenhum
Contactos essenciais	`essentialcontacts.googleapis.com`	Nenhum
Eventarc	`eventarc.googleapis.com`	Nenhum
Filestore	`file.googleapis.com`	Nenhum
Regras de segurança do Firebase	`firebaserules.googleapis.com`	Nenhum
Firestore	`firestore.googleapis.com`	Nenhum
GKE Hub	`gkehub.googleapis.com`	Nenhum
Serviço de identidade do GKE	`anthosidentityservice.googleapis.com`	Nenhum
IA generativa na Vertex AI	`aiplatform.googleapis.com`	Nenhum
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	Funcionalidades afetadas
Google Cloud NetApp Volumes	`netapp.googleapis.com`	Funcionalidades afetadas
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Nenhum
SIEM do Google Security Operations	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	Nenhum
SOAR do Google Security Operations	`Not applicable`	Nenhum
Identity and Access Management (IAM)	`iam.googleapis.com`	Nenhum
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Nenhum
Infrastructure Manager	`config.googleapis.com`	Nenhum
Looker (Google Cloud core)	`looker.googleapis.com`	Nenhum
Memorystore para Redis	`redis.googleapis.com`	Nenhum
Network Connectivity Center	`networkconnectivity.googleapis.com`	Nenhum
Serviço de políticas da organização	`orgpolicy.googleapis.com`	Nenhum
Persistent Disk	`compute.googleapis.com`	Nenhum
Estado de funcionamento do serviço personalizado	`servicehealth.googleapis.com`	Nenhum
Pub/Sub	`pubsub.googleapis.com`	Nenhum
Resource Manager	`cloudresourcemanager.googleapis.com`	Nenhum
Secure Source Manager	`securesourcemanager.googleapis.com`	Nenhum
Acesso a VPC sem servidor	`vpcaccess.googleapis.com`	Nenhum
Conversão de voz em texto	`speech.googleapis.com`	Nenhum
Serviço de transferência de armazenamento	`storagetransfer.googleapis.com`	Nenhum
Conversão de texto em voz	`texttospeech.googleapis.com`	Nenhum
Cloud Service Mesh	`trafficdirector.googleapis.com`	Nenhum
VPC Service Controls	`accesscontextmanager.googleapis.com`	Nenhum
Previsão em lote da Vertex AI	`aiplatform.googleapis.com`	Nenhum
Vertex AI Model Monitoring	`aiplatform.googleapis.com`	Nenhum
Registo de modelos Vertex AI	`aiplatform.googleapis.com`	Nenhum
Vertex AI Online Prediction	`aiplatform.googleapis.com`	Nenhum
Vertex AI Pipelines	`aiplatform.googleapis.com`	Nenhum
Vertex AI Search	`discoveryengine.googleapis.com`	Nenhum
Vertex AI Training	`aiplatform.googleapis.com`	Nenhum
Nuvem virtual privada (VPC)	`compute.googleapis.com`	Nenhum
Web Risk	`webrisk.googleapis.com`	Nenhum

Restrições e limitações

As secções seguintes descrevem as restrições ou as limitações ao nível da organização ou específicas do produto para funcionalidades, incluindo quaisquer restrições de políticas organizacionais que sejam predefinidas nas pastas do limite de dados do Catar. Google CloudOutras restrições de políticas organizacionais aplicáveis, mesmo que não estejam definidas por predefinição, podem fornecer uma defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.

Google Cloudde largura

Google Cloudrestrições de políticas da organização ao nível da entidade

As seguintes restrições de políticas da organização aplicam-se em Google Cloud.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Definido para as seguintes localizações na lista `allowedValues`: `me-central1` Este valor restringe a criação de novos recursos aos valores selecionados. Quando definido, não é possível criar recursos noutras regiões, multirregiões ou localizações fora da seleção. Consulte o artigo Serviços suportados por localizações de recursos para ver uma lista de recursos que podem ser restritos pela restrição da política da organização de localizações de recursos, uma vez que alguns recursos podem estar fora do âmbito e não ser restritíveis. Alterar este valor tornando-o menos restritivo compromete potencialmente a residência de dados, uma vez que permite que os dados sejam criados ou armazenados fora de um limite de dados em conformidade.
`gcp.restrictServiceUsage`	Definido para permitir todos os produtos e pontos finais da API suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restringir a utilização de recursos.
`gcp.restrictTLSVersion`	Definido para recusar as seguintes versões do TLS: `TLS_1_0` `TLS_1_1` Consulte a página Restrinja as versões de TLS para mais informações.

BigQuery

Funcionalidades do BigQuery afetadas

Funcionalidade	Descrição
Ativar o BigQuery numa nova pasta	O BigQuery é suportado, mas não é ativado automaticamente quando cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Normalmente, este processo termina em dez minutos, mas pode demorar muito mais tempo em algumas circunstâncias. Para verificar se o processo está concluído e ativar o BigQuery, conclua os seguintes passos: Na Google Cloud consola, aceda à página Assured Workloads. Aceda ao Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na secção Serviços permitidos, clique em Rever atualizações disponíveis. No painel Serviços permitidos, reveja os serviços a adicionar à política da organização Restrição de utilização de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para os adicionar. Se os serviços do BigQuery não estiverem listados, aguarde que o processo interno seja concluído. Se os serviços não forem apresentados no prazo de 12 horas após a criação da pasta, contacte o apoio técnico do Google Cloud. Após a conclusão do processo de ativação, pode usar o BigQuery na sua pasta do Assured Workloads. O Gemini no BigQuery não é suportado pelos Assured Workloads.
Funcionalidades não suportadas	As seguintes funcionalidades do BigQuery não são suportadas e não devem ser usadas na CLI do BigQuery. É da sua responsabilidade não os usar no BigQuery para Assured Workloads. Interação com origens de dados remotas Os modelos BQML preparados externamente não são suportados. Os modelos BQML preparados internamente são suportados. Ocultação dinâmica de dados Exportação para o GDrive Funções remotas Consultas guardadas Agendamento de fluxos de trabalho Para o BigQuery Studio, os blocos de notas não são suportados. O Gemini no BigQuery não é suportado.
CLI do BigQuery	A CLI do BigQuery é suportada.
SDK Google Cloud	Tem de usar a versão 403.0.0 ou mais recente do Google Cloud SDK para manter as garantias de regionalização de dados para dados técnicos. Para verificar a sua versão atual do Google Cloud SDK, execute o comando `gcloud --version` e, em seguida, `gcloud components update` para atualizar para a versão mais recente.
Controlos para administradores	O BigQuery desativa as APIs não suportadas, mas os administradores com autorizações suficientes para criar uma pasta do Assured Workloads podem ativar uma API não suportada. Se isto ocorrer, recebe uma notificação sobre a potencial não conformidade através do painel de controlo de monitorização do Assured Workloads.
Carregar dados	Os conetores do Serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) da Google, fornecedores de armazenamento na nuvem externos e armazéns de dados não são suportados. É da sua responsabilidade não usar conetores do Serviço de transferência de dados do BigQuery para cargas de trabalho do limite de dados do Catar.
Transferências de terceiros	O BigQuery não valida o suporte para transferências de terceiros para o Serviço de transferência de dados do BigQuery. É da sua responsabilidade verificar o apoio técnico quando usar qualquer transferência de terceiros para o Serviço de transferência de dados do BigQuery.
Modelos BQML não conformes	Os modelos BQML preparados externamente não são suportados.
Consultar tarefas	Os trabalhos de consulta só devem ser criados em pastas do Assured Workloads.
Consultas em conjuntos de dados noutros projetos	O BigQuery não impede que os conjuntos de dados dos Assured Workloads sejam consultados a partir de projetos que não sejam dos Assured Workloads. Deve garantir que qualquer consulta que tenha uma leitura ou uma junção em dados do Assured Workloads é colocada numa pasta do Assured Workloads. Pode especificar um nome de tabela totalmente qualificado para o resultado da consulta através de `projectname.dataset.table` na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registo. Deve desativar os contentores de registo `_default` ou restringir os contentores `_default` às regiões no âmbito para manter a conformidade através do seguinte comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Consulte o artigo Regionalize os seus registos para mais informações.

Compute Engine

Funcionalidades do Compute Engine afetadas

Funcionalidade Descrição

Ambiente convidado É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações a este software podem ser instaladas por predefinição. Consulte o ambiente de convidado para ver informações específicas sobre o conteúdo, o código-fonte e muito mais de cada pacote.

Estes componentes ajudam a cumprir a soberania dos dados através de controlos de segurança internos e processos. No entanto, se quiser um controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a restrição da compute.trustedImageProjects política da organização.

Consulte a página Criar uma imagem personalizada para mais informações.

Políticas de SO no VM Manager Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK). Por conseguinte, não inclua informações confidenciais nestes ficheiros. Em alternativa, considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os exemplos de políticas de SO.

Se quiser restringir a criação ou a modificação de recursos de políticas do SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Para mais informações, consulte Restrições para a configuração do SO.

Funcionalidade	Descrição
Ambiente convidado	É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações a este software podem ser instaladas por predefinição. Consulte o ambiente de convidado para ver informações específicas sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos de segurança internos e processos. No entanto, se quiser um controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a restrição da `compute.trustedImageProjects` política da organização. Consulte a página Criar uma imagem personalizada para mais informações.
Políticas de SO no VM Manager	Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK). Por conseguinte, não inclua informações confidenciais nestes ficheiros. Em alternativa, considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os exemplos de políticas de SO. Se quiser restringir a criação ou a modificação de recursos de políticas do SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para mais informações, consulte Restrições para a configuração do SO.

Restrições de políticas de organização do Compute Engine

Restrição da política da organização	Descrição
`compute.disableGlobalCloudArmorPolicy`	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras a políticas de segurança do Google Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a capacidade de remover ou alterar a descrição e a ficha de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por esta restrição. Todas as políticas de segurança globais e regionais que existirem antes da aplicação desta restrição permanecem em vigor.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre a VM confidencial para mais informações.
`compute.trustedImageProjects`	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados, impedindo a utilização de imagens ou agentes não autorizados.

Cloud Logging

Funcionalidades do Cloud Logging afetadas

Funcionalidade	Descrição
Sinks de registo	Os filtros não devem conter dados de clientes. Os destinos de registos incluem filtros que são armazenados como configuração. Não crie filtros que contenham dados de clientes.
Monitorização em tempo real de entradas do registo	Os filtros não devem conter dados de clientes. Uma sessão de monitorização em tempo real inclui um filtro que é armazenado como configuração. A monitorização de registos não armazena dados de entradas de registo, mas pode consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.

Google Cloud NetApp Volumes

Funcionalidades do Google Cloud NetApp Volumes afetadas

Funcionalidade	Descrição
Nível de serviço flexível	O nível de serviço Flex não está disponível no pacote de controlo da fronteira de dados do Catar.

O que se segue?

Saiba como criar uma pasta do Assured Workloads
Compreenda os preços do Assured Workloads