Restrictions et limites applicables aux contrôles souverains pour le Royaume d'Arabie saoudite
Cette page décrit les restrictions, les limites et d'autres options de configuration lorsque vous utilisez le package de contrôle des contrôles souverains pour le Royaume d'Arabie saoudite.
Présentation
Le package de contrôles souverains pour le Royaume d'Arabie saoudite offre des fonctionnalités de contrôle des accès aux données et de résidence des données pour les produits Google Cloud compatibles. Google a limité ou limité certaines fonctionnalités de ces services afin d'assurer leur compatibilité avec les contrôles souverains pour le Royaume d'Arabie saoudite. La plupart de ces restrictions et limites sont appliquées lors de la création d'un dossier Assured Workloads pour les contrôles souverains pour le Royaume d'Arabie saoudite. Toutefois, certaines d'entre elles peuvent être modifiées ultérieurement en modifiant les règles d'administration. En outre, certaines restrictions et limitations impliquent l'utilisateur de se conformer aux conditions.
Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné, ou affectent l'accès aux données ou leur résidence. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir le maintien des restrictions d'accès aux données et de la résidence des données. De plus, si un paramètre de règle d'administration est modifié, cela peut avoir pour conséquence inattendue la copie de données d'une région à une autre.
Services compatibles
Sauf indication contraire, les utilisateurs peuvent accéder à tous les services compatibles via la console Google Cloud.
Les services suivants sont compatibles avec les contrôles souverains pour le Royaume d'Arabie saoudite :
| Produit compatible | points de terminaison de l'API | Fonctionnalités ou règles d'administration concernées |
|---|---|---|
| Access Approval |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Artifact Registry |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| BigQuery [2] |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Bigtable |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Cloud DNS |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Cloud HSM |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Cloud Interconnect |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Fonctionnalités concernées |
| Cloud Key Management Service (Cloud KMS) |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Cloud Load Balancing |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Cloud Logging |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Cloud Monitoring |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Cloud NAT |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Cloud Router |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Cloud SQL |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Cloud Storage |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Cloud VPN |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Compute Engine |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Dataflow |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Dataproc |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Contacts essentiels |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| GKE Hub |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Google Cloud Console |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Google Kubernetes Engine |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Identity and Access Management (IAM) |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Identity-Aware Proxy (IAP) |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Network Connectivity Center |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Service de règles d'organisation |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Persistent Disk |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Pub/Sub |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Resource Manager |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Paramètres de ressources |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Annuaire des services |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| Spanner |
Points de terminaison régionaux de l'API :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison mondiaux de l'API ne sont pas acceptés. | Aucune |
| Cloud privé virtuel |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
| VPC Service Controls |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API Locational ne sont pas acceptés. Points de terminaison mondiaux de l'API :
| Aucune |
Règles d'administration
Cette section décrit comment chaque service est affecté par les valeurs de contrainte de règle d'administration par défaut lorsque des dossiers ou des projets sont créés à l'aide de contrôles souverains pour le Royaume d'Arabie saoudite. D'autres contraintes applicables, même si elles ne sont pas définies par défaut, peuvent fournir une"défense en profondeur" supplémentaire pour mieux protéger les ressources Google Cloud de votre organisation.
Contraintes liées aux règles d'administration à l'échelle du cloud
Les contraintes liées aux règles d'administration suivantes s'appliquent à tout service Google Cloud applicable.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez in:us-locations en tant qu'élément de liste allowedValues.Cette valeur limite la création de ressources au groupe de valeurs me-central2 uniquement. Lorsque cette option est définie, aucune ressource ne peut être créée dans d'autres régions, emplacements multirégionaux ni emplacements situés en dehors du Royaume d'Arabie saoudite. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration.La modification de cette valeur en la rendant moins restrictive peut compromettre la résidence des données en permettant la création ou le stockage de données en dehors de la limite des données du Royaume d'Arabie saoudite. |
gcp.restrictServiceUsage |
Autorisez tous les services compatibles. Détermine quels services peuvent être activés et utilisés. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail. |
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.disableInstanceDataAccessApis |
Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot().L'activation de cette règle d'administration vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit :
|
compute.enableComplianceMemoryProtection |
Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour fournir une protection supplémentaire du contenu de la mémoire en cas de défaillance d'infrastructure. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie. |
Contraintes liées aux règles d'administration de Google Kubernetes Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données de votre charge de travail. Nous vous recommandons de conserver la valeur définie. |
Fonctionnalités concernées
Cette section décrit l'impact des contrôles souverains pour le Royaume d'Arabie saoudite sur les fonctionnalités de chaque service, y compris les exigences des utilisateurs lors de l'utilisation d'une fonctionnalité.
Fonctionnalités de Compute Engine
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud. Utilisez l'API ou la Google Cloud CLI, le cas échéant :
|
instances.getSerialPortOutput() |
Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.
|
instances.getScreenshot() |
Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.
|
Fonctionnalités de Cloud Interconnect
| Sélection | Description |
|---|---|
| VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation décrites dans cette section. |
Fonctionnalités de Cloud Storage
| Sélection | Description |
|---|---|
| Console Google Cloud | Il vous incombe d'utiliser la console Google Cloud juridictionnelle pour les contrôles souverains pour le Royaume d'Arabie saoudite. La console juridictionnelle empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison de l'API conforme suivante. |
| Points de terminaison d'API conformes | Il est de votre responsabilité d'utiliser l'un des points de terminaison locaux avec Cloud Storage. Pour en savoir plus, consultez la section Emplacements Cloud Storage. |
Fonctionnalités de Cloud VPN
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
notes de bas de page
1. BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Ce processus se termine normalement en 10 minutes, mais peut prendre beaucoup plus de temps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit:
- Dans la console Google Cloud, accédez à la page Assured Workloads.
- Sélectionnez votre nouveau dossier Assured Workloads dans la liste.
- Sur la page Détails du dossier de la section Services autorisés, cliquez sur Examiner les mises à jour disponibles.
- Dans le volet Services autorisés, examinez les services à ajouter à la règle d'administration Restriction d'utilisation des ressources pour le dossier. Si des services BigQuery sont répertoriés, cliquez sur Autoriser les services pour les ajouter.
Si les services BigQuery ne sont pas répertoriés, attendez la fin du processus interne. Si les services ne sont pas répertoriés dans les 12 heures suivant la création du dossier, contactez le Cloud Customer Care.
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads.