Restricciones y limitaciones de las Regiones y la asistencia de la UE con controles de soberanía

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando usas Regiones de la UE y asistencia con controles de soberanía.

Descripción general

Las Regiones de la UE y la asistencia con controles de soberanía proporcionan funciones de residencia de datos y soberanía de datos para los servicios de Google Cloud admitidos. Para proporcionar estas funciones, algunas de las funciones del servicio están restringidas o limitadas. La mayoría de estos cambios son se aplican durante el proceso de incorporación, cuando se crea una nueva carpeta o proyecto en asistencia y regiones de la UE con un entorno de controles de soberanía; sin embargo, algunas de ellas pueden modificarse más adelante modificando políticas de la organización.

Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio determinado de Google Cloud o afectan la soberanía de los datos o la residencia de datos. Para Por ejemplo, algunas funciones o capacidades pueden inhabilitarse automáticamente para garantizar para garantizar que se mantengan la residencia y la soberanía de los datos. Además, si se cambia la configuración de una política de la organización, podría tener la consecuencia no deseada de copiar datos de una región a otra.

Productos y servicios admitidos

Consulta la página Productos admitidos. para obtener una lista de los productos y servicios compatibles con las regiones de la UE y la asistencia con controles de soberanía.

Políticas de la organización

En esta sección, se describe la forma en que la organización predeterminada afecta cada servicio valores de restricción de política cuando se crean carpetas o proyectos Asistencia y regiones de la UE con controles de soberanía. Otras restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una “defensa en profundidad” adicional para proteger aún más los recursos de Google Cloud de tu organización.

Restricciones de la política de la organización en toda la nube

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización Descripción
gcp.resourceLocations Se establece en in:eu-locations como el elemento de lista allowedValues.

Este valor restringe la creación de recursos nuevos solo al grupo de valores EU. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la UE. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información.

Si cambias este valor y lo haces menos restrictivo, podrías socavar la soberanía de los datos y la residencia de datos, ya que permitirá que se creen o almacenen datos fuera del límite de datos de la UE. Por ejemplo, reemplazar el grupo de valores in:eu-locations por el grupo de valores in:europe-locations, que incluye ubicaciones de estados que no son miembros de la UE.
gcp.restrictNonCmekServices Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Algunas funciones pueden verse afectadas por cada uno de los servicios mencionados anteriormente. Consulta la sección de funciones afectadas a continuación.

Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). CMEK permite que los datos en reposo se encripten con una clave administrada por ti, no los mecanismos de encriptación predeterminados de Google.

Si cambias este valor, quita uno o más servicios compatibles del la lista puede socavar soberanía de los datos, ya que los nuevos datos en reposo se encriptarán automáticamente mediante el almacenamiento en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
gcp.restrictCmekCryptoKeyProjects Los usuarios pueden establecer este valor en proyectos o carpetas que están destinados a usarse con Regiones de la UE y asistencia con controles de soberanía. Por ejemplo: under:folders/my-folder-name

Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios compatibles.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización Descripción
compute.enableComplianceMemoryProtection Configurado como True.

Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos.
compute.disableInstanceDataAccessApis Configurado como True.

Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot().

compute.restrictNonConfidentialComputing

(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.

compute.trustedImageProjects

(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional.

Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados.

Restricciones de la política de la organización de Cloud Storage

Restricción de las políticas de la organización Descripción
storage.uniformBucketLevelAccess Configurado como True.

El acceso a los depósitos nuevos se administra mediante políticas de IAM en lugar de Listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos específicos para los depósitos y su contenido.

Si se crea un bucket mientras está habilitada esta restricción, el acceso a la ruta nunca se puede administrar mediante LCA. En otras palabras, el método de control de acceso para un bucket se establece de forma permanente con las políticas de IAM en lugar de las LCA de Cloud Storage.

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización Descripción
container.restrictNoncompliantDiagnosticDataAccess Configurado como True.

Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo.

Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Restricciones de las políticas de la organización de Cloud Key Management Service

Restricción de las políticas de la organización Descripción
cloudkms.allowedProtectionLevels Se define en EXTERNAL.

Restringe los tipos de CryptoKey de Cloud Key Management Service que se pueden crear y está configurado para permitir solo tipos de clave externos.

Funciones afectadas

En esta sección, se enumera cómo las funciones o capacidades de cada servicio se ven afectadas por las Regiones de la UE y la asistencia con controles de soberanía.

Características de BigQuery

Atributo Descripción
Habilita BigQuery en una carpeta nueva BigQuery es compatible, pero no se habilita automáticamente cuando creas una nueva carpeta de cargas de trabajo aseguradas debido a un proceso de configuración interno. Este proceso normalmente finaliza en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
  1. En la consola de Google Cloud, ve a la página Assured Workloads.

    Ve a Assured Workloads

  2. Selecciona tu nueva carpeta de Assured Workloads de la lista.
  3. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisa las actualizaciones disponibles.
  4. En el panel Servicios permitidos, revisa los servicios que deseas agregar al Restricción del uso de recursos política de la organización para la carpeta. Si los servicios de BigQuery aparecen en la lista, haz clic en Permitir servicios para agregarlos.

    Si no aparecen los servicios de BigQuery, espera a que se complete el proceso interno. Si el botón no aparecen en un plazo de 12 horas a partir de la creación de la carpeta, comunícate con Atención al cliente de Cloud.

Una vez completado el proceso de habilitación, puedes usar BigQuery en tu Assured Workloads.

Gemini en BigQuery no es compatible con Assured Workloads.

Características no compatibles Las siguientes funciones de BigQuery no son compatibles y deberían no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlas en BigQuery para regiones de la UE y asistencia con controles de soberanía.
Integraciones no admitidas No se admiten las siguientes integraciones de BigQuery. Es tu responsabilidad no usarlos con BigQuery para regiones de la UE y asistencia con controles de soberanía.
  • Los métodos de la API de CreateTag, SearchCatalog, Bulk tagging y Business Glossary de la API de Data Catalog pueden procesar y almacenar datos técnicos de una manera que no es compatible. Es tu responsabilidad no usar esos métodos para las regiones de la UE y la asistencia con controles de soberanía.
APIs de BigQuery compatibles Se admiten las siguientes APIs de BigQuery:


Regiones BigQuery es compatible con todas las regiones de BigQuery EU excepto la multirregión de la UE. No se puede garantizar el cumplimiento si se crea un conjunto de datos en una multirregión de la UE, una región fuera de la UE o una multirregión fuera de la UE. Es tu responsabilidad especificar una región que cumpla con los requisitos cuando crees conjuntos de datos de BigQuery.

Si se envía una solicitud de lista de datos de tabla con una región de la UE, pero el conjunto de datos se creó en otra región de la UE, BigQuery no puede inferir a qué región te referías y la operación fallará con un mensaje de error que indica que no se encontró el conjunto de datos.
Consola de Google Cloud La interfaz de usuario de BigQuery en la consola de Google Cloud es no es compatible.

CLI de BigQuery Se admite la CLI de BigQuery.

SDK de Google Cloud Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener los datos y las garantías de regionalización para datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
Controles de administrador BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads puedes habilitar una API no compatible. Si esto ocurre, se te notificará el posible incumplimiento a través del panel de supervisión de Assured Workloads.
Cargando datos No se admiten los conectores del Servicio de transferencia de datos de BigQuery para apps de software de Google como servicio (SaaS), proveedores externos de almacenamiento en la nube y almacenes de datos. Es tu responsabilidad no usar los conectores del Servicio de transferencia de datos de BigQuery Asistencia y regiones de la UE con cargas de trabajo de controles de soberanía.
Terceros transferencias BigQuery no verifica la compatibilidad con transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad de verificar la asistencia cuando se utiliza cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery.
Modelos de BQML que no cumplen con las políticas No se admiten los modelos de BQML con entrenamiento externo.
Trabajos de consulta Las tareas de consulta solo deben crearse en las carpetas de Regiones y asistencia de la UE con controles de soberanía.
Consultas en conjuntos de datos en otros proyectos BigQuery no impide que se envíen conjuntos de datos de asistencia y regiones de la UE con controles de soberanía se consultan desde regiones que no pertenecen a la UE y la asistencia con proyectos de controles de soberanía. Debes asegurarte de que cualquier consulta que tenga una operación de lectura o unión en los datos de Regiones y asistencia de la UE con controles de soberanía se coloque en una carpeta de Regiones y asistencia de la UE con controles de soberanía. Puedes especificar completamente calificado nombre de la tabla para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
Cloud Logging BigQuery usa Cloud Logging para algunos de tus datos de registros. Debes inhabilitar tus buckets de registros de _default o restringir _default buckets a regiones de la UE para mantener el cumplimiento con el siguiente comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Consulta esta página para obtener más información información.

Funciones de Bigtable

Atributo Descripción
Características no compatibles Las siguientes funciones y métodos de la API de Bigtable no son no es compatible. Es tu responsabilidad no usarlos con Bigtable para regiones de la UE y asistencia con controles de soberanía.
  • El método de la API de ListHotTablets de la API de RPC Admin procesa y almacena datos técnicos de una manera que no es compatible. Es tu responsabilidad no usar ese método para las regiones de la UE y la asistencia con controles de soberanía.
  • El método de API hotTablets.list de la Proceso de la API de Administrador de REST y almacenar datos técnicos de un modo no admitido. Es tu responsabilidad no usar ese método para las regiones de la UE y la asistencia con controles de soberanía.
Límites de división Bigtable usa un subconjunto pequeño de claves de fila para definir los límites de división, que pueden incluir datos y metadatos de los clientes. Un límite de división en Bigtable denota la ubicación donde los rangos contiguos de filas de una tabla se dividen en tablets.

El personal de Google puede acceder a estos límites de división por cuestiones técnicas con fines de asistencia y depuración, y no están sujetos a acceso a controles de datos en regiones de la UE y asistencia con controles de soberanía.

Funciones de Spanner

Atributo Descripción
Límites de división Spanner usa un pequeño subconjunto de claves primarias y columnas para definir dividir límites, que pueden incluir datos y metadatos de clientes. Una división límite en Spanner denota la ubicación donde los rangos contiguos de filas se dividen en partes más pequeñas.

El personal de Google puede acceder a estos límites de división por cuestiones técnicas con fines de asistencia y depuración, y no están sujetos a acceso a controles de datos en regiones de la UE y asistencia con controles de soberanía.

Funciones de Dataproc

Atributo Descripción
Consola de Google Cloud Actualmente, Dataproc no admite Jurisdicción Consola de Google Cloud. Para aplicar la residencia de datos, asegúrate de usar con Google Cloud CLI o la API cuando se usa Dataproc.

Funciones de GKE

Atributo Descripción
Restricciones de recursos del clúster Asegúrate de que la configuración del clúster no use recursos para servicios no compatibles con regiones de la UE y asistencia con controles de soberanía. Por ejemplo, el siguiente configuración no es válida porque requiere que la habilites o uses un servicio no compatible:

set `binaryAuthorization.evaluationMode` to `enabled`

Funciones de Cloud Logging

Para usar Cloud Logging con claves de encriptación administradas por el cliente (CMEK), debes completa los pasos del Habilita CMEK para una organización en la documentación de Cloud Logging.

Atributo Descripción
Receptores de registros Los filtros no deben contener datos del cliente.

Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos del cliente.
Entradas de registro de transmisión de registros en tiempo real Los filtros no deben contener datos del cliente.

Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos de clientes.
Alertas basadas en registros Se inhabilitó esta función.

No puedes crear alertas basadas en registros en la consola de Google Cloud.
URL reducidas para las consultas del Explorador de registros Se inhabilitó esta función.

No puedes crear URL acortadas de consultas en la consola de Google Cloud.
Guarda consultas en el Explorador de registros Se inhabilitó esta función.

No puedes guardar ninguna consulta en la consola de Google Cloud.
Estadísticas de registros con BigQuery Se inhabilitó esta función.

No puedes usar la función de estadísticas de registros.
Políticas de alertas basadas en SQL Se inhabilitó esta función.

No puedes usar la función de políticas de alertas basadas en SQL.

Funciones de Cloud Monitoring

Atributo Descripción
Monitor sintético Se inhabilitó esta función.
Verificación del tiempo de actividad Se inhabilitó esta función.
Widgets del panel de registros en Paneles de control Esta función está inhabilitada.

No puedes agregar un panel de registros a un o un panel dinámico más robusto.
Widgets del panel de informes de errores en Paneles Esta función está inhabilitada.

No puedes agregar un informe de errores un panel nuevo a un panel.
Filtra en EventAnnotation por Paneles. Esta función está inhabilitada.

No se puede configurar el filtro de EventAnnotation en un panel.
SqlCondition en alertPolicies Esta función está inhabilitada.

No puedes agregar un SqlCondition a un alertPolicy.

Características de Compute Engine

Atributo Descripción
Suspende y reanuda una instancia de VM Se inhabilitó esta función.

La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar mediante el uso de CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
SSD locales Se inhabilitó esta función.

No podrás crear una instancia con SSD locales porque, por el momento, no se pueden encriptar mediante CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
Entorno huésped Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más.

Estos componentes te ayudan a cumplir con la soberanía de los datos mediante procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización compute.trustedImageProjects.

Consulta la página Cómo compilar una imagen personalizada para obtener más información.
instances.getSerialPortOutput() Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en esta página.
instances.getScreenshot() Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en esta página.