Esta página foi traduzida pela API Cloud Translation.

Restrições e limitações nos controles soberanos para a UE

Esta página descreve as restrições, limitações e outras opções de configuração ao usar os controles soberanos para a UE.

Visão geral

Os controles de soberania para a UE oferecem recursos de residência e soberania de dados para serviços Google Cloud com suporte. Para fornecer esses recursos, alguns deles são restritos ou limitados. A maioria dessas mudanças é aplicada durante o processo de integração ao criar uma nova pasta ou projeto em um ambiente de controles soberanos para a UE. No entanto, alguns deles podem ser alterados mais tarde modificando as políticas da organização.

É importante entender como essas restrições modificam o comportamento de um determinado serviço Google Cloud ou afetam a soberania de dados ou a residência de dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir a soberania e a residência de dados. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.

Produtos e serviços com suporte

Consulte a página Produtos com suporte para conferir uma lista de produtos e serviços com suporte dos controles de soberania para a UE.

Políticas da organização

Nesta seção, descrevemos como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando os controles de soberania para a UE. Outras restrições aplicáveis, mesmo que não sejam definidas por padrão, podem fornecer "defesa em profundidade" adicional para proteger ainda mais os recursos Google Cloud da sua organização.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer serviço Google Cloud aplicável.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Defina como `in:eu-locations` como o item da lista `allowedValues`. Esse valor restringe a criação de novos recursos somente ao grupo de valores da UE. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da UE. Consulte a documentação Grupos de valores de política da organização para mais informações. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a soberania e a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite da UE. Por exemplo: substituir o grupo de valores `in:eu-locations` pelo `in:europe-locations`, que inclui locais de estado não membros da UE.
`gcp.restrictNonCmekServices`	Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Alguns recursos podem ser afetados para cada um dos serviços listados acima. Consulte a seção "Recursos afetados" abaixo. Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços com suporte da listagem pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
`gcp.restrictCmekCryptoKeyProjects`	Os usuários podem definir esse valor para projetos ou pastas usados com o Sovereign Controls para a UE. Por exemplo: `under:folders/my-folder-name` Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves KMS para criptografia de dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços com suporte.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
`compute.enableComplianceMemoryProtection`	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar sua residência ou soberania de dados.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre VMs confidenciais para mais informações.
`compute.trustedImageProjects`	(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa em profundidade adicional. A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Restrições da política da organização do Cloud Storage

Restrição da política da organização Descrição

storage.uniformBucketLevelAccess Definido como Verdadeiro.

O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles.

Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.

Restrição da política da organização	Descrição
`storage.uniformBucketLevelAccess`	Definido como Verdadeiro. O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles. Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
`container.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É altamente recomendável manter o valor definido.

Restrições da política da organização do Cloud Key Management Service

Restrição da política da organização	Descrição
`cloudkms.allowedProtectionLevels`	Defina como `EXTERNAL`. Restringe os tipos de CryptoKey do Cloud Key Management Service que podem ser criados e é definido para permitir apenas tipos de chave externos.

Recursos afetados

Esta seção lista como os recursos ou recursos de cada serviço são afetados pelos controles de soberania para a UE.

Recursos do BigQuery

Recurso	Descrição
Como ativar o BigQuery em uma nova pasta	O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova pasta de cargas de trabalho garantidas devido a um processo de configuração interno. Esse processo normalmente termina em 10 minutos, mas pode levar muito mais tempo em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas: No console do Google Cloud, acesse a página Assured Workloads. Acesse o Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis. No painel Serviços permitidos, analise os serviços que serão adicionados à política da organização de restrição de uso de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los. Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care. Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta Assured Workloads. O Gemini no BigQuery não é compatível com as cargas de trabalho garantidas.
Recursos não suportados	Os recursos do BigQuery a seguir não são compatíveis e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para controles soberanos da UE. Interação com fontes de dados remotas Não é possível usar modelos do BQML treinados externamente. Os modelos do BQML treinados internamente são aceitos. Consultas programadas e federadas Mascaramento de dados dinâmico Exportação do GDrive Funções remotas Consultas salvas Programação do fluxo de trabalho O BigQuery Studio não oferece suporte a notebooks.
Integrações sem suporte	As integrações do BigQuery a seguir não são compatíveis. É sua responsabilidade não usá-los com o BigQuery para controles soberanos da UE. Os métodos da API `CreateTag`, `SearchCatalog`, `Bulk tagging` e `Business Glossary` da API Data Catalog podem processar e armazenar dados técnicos de uma maneira que não é compatível. É sua responsabilidade não usar esses métodos para controles soberanos da UE.
APIs do BigQuery com suporte	As seguintes APIs do BigQuery são compatíveis: Conjuntos de dados Jobs Modelos Projetos Reservas Rotinas Políticas de acesso de linha Leitura de armazenamento Gravação de armazenamento Tabelas Dados da tabela A API Reservations não é ativada por padrão. É possível ativar a API usando as instruções em esta página.
Regiões	O BigQuery é compatível com todas as regiões do BigQuery EU, exceto a multirregião da UE. Não é possível garantir a conformidade se um conjunto de dados for criado em uma multirregião da UE, fora da UE ou fora da multirregião. É sua responsabilidade especificar uma região compatível ao criar conjuntos de dados do BigQuery. Se uma solicitação de lista de dados de tabela for enviada usando uma região da UE, mas o conjunto de dados tiver sido criado em outra região da UE, o BigQuery não poderá inferir qual região você pretendia, e a operação vai falhar com uma mensagem de erro "conjunto de dados não encontrado".
Console do Google Cloud	A interface do usuário do BigQuery no console do Google Cloud é compatível.
CLI do BigQuery	A CLI do BigQuery é compatível.
SDK do Google Cloud	É necessário usar o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados técnicos. Para verificar a versão atual do SDK do Google Cloud, execute `gcloud --version` e, em seguida, `gcloud components update` para atualizar para a versão mais recente.
Controles do administrador	O BigQuery desativa APIs sem suporte, mas administradores com permissões suficientes para criar uma pasta de cargas de trabalho garantidas podem ativar uma API sem suporte. Se isso acontecer, você vai receber um aviso de possível não conformidade no painel de monitoramento do Assured Workloads.
Carregando dados	Não há suporte para conector do serviço de transferência de dados do BigQuery para apps de Software as a Service (SaaS) do Google, provedores de armazenamento em nuvem externos e data warehouses. É sua responsabilidade não usar os conectores do serviço de transferência de dados do BigQuery para controles soberanos de workloads da UE.
Transferências de terceiros	O BigQuery não verifica o suporte a transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua a responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML sem compliance	Não é possível usar modelos do BQML treinados externamente.
Jobs de consulta	Os jobs de consulta com precisam ser criados apenas em pastas Sovereign Controls para a UE.
Consultas em conjuntos de dados em outros projetos	O BigQuery não impede que os controles soberanos para conjuntos de dados da UE sejam consultados em projetos da UE que não são soberanos. É necessário garantir que qualquer consulta que tenha uma leitura ou uma mesclagem nos dados de Controles soberanos para a UE seja colocada em uma pasta de Controles soberanos para a UE. É possível especificar um nome de tabela totalmente qualificado para o resultado da consulta usando `projectname.dataset.table` na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative os buckets de registro `_Default` ou restrinja os buckets `_Default` a regiões da UE para manter a conformidade. Para saber como definir o local para novos buckets `_Default` ou como desativar as entradas de roteamento para novos buckets `_Default`, consulte Configurar configurações padrão para organizações e pastas.

Recursos do Bigtable

Recurso Descrição

Recursos não suportados

Recurso	Descrição
Recursos não suportados	Os recursos e métodos de API do Bigtable a seguir não têm suporte. É sua responsabilidade não usá-los com o Bigtable para controles soberanos da UE. O método da API `ListHotTablets` da API RPC Admin processa e armazena dados técnicos de uma maneira que não tem suporte. É sua atribuição não usar esse método para controles soberanos da UE. O método da API `hotTablets.list` da API Rest Admin processa e armazena dados técnicos de uma maneira que não é compatível. É sua atribuição não usar esse método para controles soberanos da UE.
Limites de divisão	O Bigtable usa um pequeno subconjunto de chaves de linha para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Bigtable denota o local em que os intervalos contíguos de linhas em uma tabela são divididos em blocos. Esses limites divididos são acessíveis pela equipe do Google para fins de suporte técnico e depuração e não estão sujeitos a controles administrativos de acesso a dados nos controles soberanos da UE.

Os recursos e métodos de API do Bigtable a seguir não têm suporte. É sua responsabilidade não usá-los com o Bigtable para controles soberanos da UE.

O método da API ListHotTablets da API RPC Admin processa e armazena dados técnicos de uma maneira que não tem suporte. É sua atribuição não usar esse método para controles soberanos da UE.
O método da API hotTablets.list da API Rest Admin processa e armazena dados técnicos de uma maneira que não é compatível. É sua atribuição não usar esse método para controles soberanos da UE.

Limites de divisão O Bigtable usa um pequeno subconjunto de chaves de linha para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Bigtable denota o local em que os intervalos contíguos de linhas em uma tabela são divididos em blocos.

Esses limites divididos são acessíveis pela equipe do Google para fins de suporte técnico e depuração e não estão sujeitos a controles administrativos de acesso a dados nos controles soberanos da UE.

Recursos do Spanner

Recurso	Descrição
Limites de divisão	O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Uma divisão no Spanner denota o local em que os intervalos contíguos de linhas são divididos em partes menores. Esses limites divididos são acessíveis pela equipe do Google para fins de suporte técnico e depuração e não estão sujeitos a controles administrativos de acesso a dados nos controles soberanos da UE.

Recurso

Descrição

Limites de divisão

O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Uma divisão no Spanner denota o local em que os intervalos contíguos de linhas são divididos em partes menores.

Esses limites divididos são acessíveis pela equipe do Google para fins de suporte técnico e depuração e não estão sujeitos a controles administrativos de acesso a dados nos controles soberanos da UE.

Recursos do Dataproc

Recurso	Descrição
Console do Google Cloud	No momento, o Dataproc não oferece suporte ao console jurisdicional do Google Cloud. Para aplicar a residência de dados, use a CLI do Google Cloud ou a API ao usar o Dataproc.

Recursos do GKE

Recurso	Descrição
Restrições de recursos do cluster	Verifique se a configuração do cluster não usa recursos de serviços que não têm suporte nos controles soberanos para a UE. Por exemplo, a configuração a seguir é inválida porque exige a ativação ou o uso de um serviço sem suporte: set `binaryAuthorization.evaluationMode` to `enabled`

Recursos do Cloud Logging

Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), é preciso concluir as etapas da página Ativar CMEK para uma organização na documentação do Cloud Logging.

Recurso	Descrição
Coletores de registros	Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo	Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.
Alertas com base em registros	Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud.
URLs encurtados para consultas do Buscador de registros	Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console do Google Cloud.
Salvar consultas no Buscador de registros	Este recurso está desativado. Não é possível salvar consultas no console do Google Cloud.
Registrar análises usando o BigQuery	Este recurso está desativado. Não é possível usar o recurso de análise de registros.
Políticas de alerta baseadas em SQL	Este recurso está desativado. Não é possível usar o recurso de políticas de alertas baseadas em SQL.

Recursos do Cloud Monitoring

Recurso	Descrição
Monitor sintético	Este recurso está desativado.
Verificação de tempo de atividade	Este recurso está desativado.
Widgets do painel de registro em Painéis	Esse recurso está desativado. Não é possível adicionar um painel de registro a um painel.
Widgets do painel de relatórios de erros em Painéis	Esse recurso está desativado. Não é possível adicionar um painel de relatórios de erros a um painel.
Filtre em `EventAnnotation` para Painéis	Esse recurso está desativado. O filtro de `EventAnnotation` não pode ser definido em um painel.
`SqlCondition` em `alertPolicies`	Esse recurso está desativado. Não é possível adicionar um `SqlCondition` a um `alertPolicy`.

Recursos do Compute Engine

Seleção de	Descrição
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente. O armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEKs. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque atualmente não é possível fazer a criptografia deles usando CMEKs. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para ver informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização `compute.trustedImageProjects`. Para mais informações, consulte a página Como criar uma imagem personalizada.
`instances.getSerialPortOutput()`	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição de política da organização `compute.disableInstanceDataAccessApis` para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em esta página.
`instances.getScreenshot()`	Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API. Mude o valor da restrição de política da organização `compute.disableInstanceDataAccessApis` para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em esta página.