Esta página foi traduzida pela API Cloud Translation.

Restrições e limitações para controles soberanos no Reino da Arábia Saudita (KSA)

Esta página descreve as restrições, limitações e outras opções de configuração ao usar o pacote de controle Sovereign Controls para o Reino da Arábia Saudita (KSA).

Visão geral

O pacote de controle "Sovereign Controls for KSA" ativa o controle de acesso a dados e os recursos de residência de dados para produtos Google Cloud com suporte. Alguns recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com os controles soberanos do KSA. A maioria dessas restrições e limitações é aplicada ao criar uma nova pasta do Assured Workloads para controles soberanos da Arábia Saudita. No entanto, algumas delas podem ser alteradas depois modificando as políticas da organização. Além disso, algumas restrições e limitações exigem a responsabilidade do usuário para a adesão.

É importante entender como essas restrições modificam o comportamento de um determinado serviço Google Cloud ou afetam o acesso a dados ou a residência de dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir que as restrições de acesso aos dados e a residência deles sejam mantidas. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.

Serviços compatíveis

A menos que indicado de outra forma, os usuários podem acessar todos os serviços com suporte pelo console do Google Cloud.

Os seguintes serviços são compatíveis com os controles soberanos do Reino da Arábia Saudita (KSA):

Produto compatível	Endpoints de API	Restrições ou limitações
Aprovação de acesso	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: accessapproval.googleapis.com	Nenhum
Artifact Registry	Endpoints regionais da API: artifactregistry.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
BigQuery	Endpoints regionais da API: bigquery.me-central2.rep.googleapis.com bigqueryconnection.me-central2.rep.googleapis.com bigqueryreservation.me-central2.rep.googleapis.com bigquerystorage.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Bigtable	Endpoints regionais da API: bigtable.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Console do Google Cloud	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: N/A	Nenhum
Compute Engine	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: compute.googleapis.com	Recursos afetados e restrições da política da organização
Cloud DNS	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: dns.googleapis.com	Nenhum
Proteção de Dados Sensíveis	Endpoints regionais da API: dlp.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Dataflow	Endpoints regionais da API: dataflow.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Dataproc	Endpoints regionais da API: dataproc.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Contatos essenciais	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: essentialcontacts.googleapis.com	Nenhum
Filestore	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: file.googleapis.com	Nenhum
Cloud Storage	Endpoints regionais da API: storage.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Recursos afetados
Google Kubernetes Engine	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: container.googleapis.com containersecurity.googleapis.com	Restrições da política da organização
Hub GKE	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: gkehub.googleapis.com	Nenhum
Google Cloud Armor	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: compute.googleapis.com	Nenhum
Cloud HSM	Endpoints regionais da API: cloudkms.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Gerenciamento de identidade e acesso (IAM)	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: iam.googleapis.com	Nenhum
Identity-Aware Proxy (IAP)	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: iap.googleapis.com	Nenhum
Cloud Interconnect	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: networkconnectivity.googleapis.com	Recursos afetados
Cloud Key Management Service (Cloud KMS)	Endpoints regionais da API: cloudkms.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Cloud Load Balancing	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: compute.googleapis.com	Nenhum
Cloud Logging	Endpoints regionais da API: logging.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Cloud Monitoring	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: monitoring.googleapis.com	Recursos afetados
Cloud NAT	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: networkconnectivity.googleapis.com	Nenhum
Network Connectivity Center	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: networkconnectivity.googleapis.com	Nenhum
Organization Policy Service	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: orgpolicy.googleapis.com	Nenhum
Persistent Disk	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: compute.googleapis.com	Nenhum
Pub/Sub	Endpoints regionais da API: pubsub.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Resource Manager	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: cloudresourcemanager.googleapis.com	Nenhum
Configurações de recursos	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: resourcesettings.googleapis.com	Nenhum
Cloud Router	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: networkconnectivity.googleapis.com	Nenhum
Cloud Run	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: run.googleapis.com	Nenhum
Cloud SQL	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: sqladmin.googleapis.com	Nenhum
Secret Manager	Endpoints regionais da API: secretmanager.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Diretório de serviços	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: servicedirectory.googleapis.com	Nenhum
Spanner	Endpoints regionais da API: spanner.me-central2.rep.googleapis.com Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API.	Nenhum
Nuvem privada virtual (VPC)	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: compute.googleapis.com	Nenhum
VPC Service Controls	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: accesscontextmanager.googleapis.com	Nenhum
Cloud VPN	Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global: compute.googleapis.com	Recursos afetados

Políticas da organização

Esta seção descreve como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando os controles soberanos para a Arábia Saudita. Outras restrições aplicáveis, mesmo que não sejam definidas por padrão, podem fornecer "defesa em profundidade" adicional para proteger ainda mais os recursos Google Cloud da sua organização.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer serviço Google Cloud aplicável.

Restrição da política da organização Descrição

gcp.resourceLocations Defina como in:sa-locations como o item da lista allowedValues.

Esse valor restringe a criação de novos recursos somente ao grupo de valores me-central2. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da Arábia Saudita. Consulte a documentação Grupos de valores de política da organização para mais informações.

Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite de dados KSA.

gcp.restrictServiceUsage Permita todos os serviços compatíveis.

Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Defina como `in:sa-locations` como o item da lista `allowedValues`. Esse valor restringe a criação de novos recursos somente ao grupo de valores `me-central2`. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da Arábia Saudita. Consulte a documentação Grupos de valores de política da organização para mais informações. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite de dados KSA.
`gcp.restrictServiceUsage`	Permita todos os serviços compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
`compute.disableGlobalLoadBalancing`	Definido como Verdadeiro. Desativa a criação de balanceadores de carga globais. Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`. A ativação dessa política da organização impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte: Ative o SSH para VMs do Windows. Execute o comando a seguir para mudar a senha da VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Substitua: `VM_NAME`: o nome da VM para a qual você está definindo a senha. `USERNAME`: o nome de usuário do usuário para quem você está definindo a senha. `PASSWORD`: a nova senha.
`compute.enableComplianceMemoryProtection`	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
`container.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É recomendável manter o valor definido.

Recursos afetados

Nesta seção, listamos como os recursos ou recursos de cada serviço são afetados pelos controles de soberania para a Arábia Saudita, incluindo os requisitos do usuário ao usar um recurso.

Recursos do Bigtable

Recurso	Descrição
Data Boost	Este recurso está desativado.

Recursos do Compute Engine

Seleção de	Descrição
Console do Google Cloud	Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI, quando disponível: Verificações de integridade Grupos de endpoints de rede O SSH baseado no navegador está desativado
Como adicionar um grupo de instâncias a um balanceador de carga global	Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Esse recurso é desativado pela restrição da política da organização `compute.disableGlobalLoadBalancing`.
`instances.getSerialPortOutput()`	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição de política da organização `compute.disableInstanceDataAccessApis` para False para ativar essa API. Também é possível ativar e usar a porta serial interativa.
`instances.getScreenshot()`	Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API. Mude o valor da restrição de política da organização `compute.disableInstanceDataAccessApis` para False para ativar essa API. Também é possível ativar e usar a porta serial interativa.

Recursos do Cloud Interconnect

Recurso	Descrição
VPN de alta disponibilidade (HA)	É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, você precisa obedecer aos requisitos de criptografia e regionalização listados nesta seção.

Recursos do Cloud Monitoring

Recurso	Descrição
Monitor sintético	Este recurso está desativado.
Verificação de tempo de atividade	Este recurso está desativado.
Widgets do painel de registro em Painéis	Esse recurso está desativado. Não é possível adicionar um painel de registro a um painel.
Widgets do painel de relatórios de erros em Painéis	Esse recurso está desativado. Não é possível adicionar um painel de relatórios de erros a um painel.
Filtre em `EventAnnotation` para Painéis	Esse recurso está desativado. O filtro de `EventAnnotation` não pode ser definido em um painel.
`SqlCondition` em `alertPolicies`	Esse recurso está desativado. Não é possível adicionar um `SqlCondition` a um `alertPolicy`.

Recursos do Cloud Storage

Recurso	Descrição
Console do Google Cloud	É sua responsabilidade usar o console jurisdicional do Google Cloud para controles soberanos do KSA. O console de jurisdição impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints da API em conformidade a seguir.
Endpoints de API compatíveis	É sua responsabilidade usar um dos endpoints de local com o Cloud Storage. Consulte Locais do Cloud Storage para mais informações.

Recursos do Cloud VPN

Recurso	Descrição
Console do Google Cloud	Os recursos da VPN do Cloud não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Notas de rodapé

1. O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova pasta de cargas de trabalho garantidas devido a um processo de configuração interno. Esse processo normalmente termina em 10 minutos, mas pode levar muito mais tempo em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:

No console do Google Cloud, acesse a página Assured Workloads.
Acesse o Assured Workloads
Selecione a nova pasta do Assured Workloads na lista.
Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis.
No painel Serviços permitidos, analise os serviços que serão adicionados à política da organização de restrição de uso de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los.

Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care.

Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta Assured Workloads.

O Gemini no BigQuery não é compatível com as cargas de trabalho garantidas.