沙特阿拉伯王国 (KSA) 主权控制的限制和限制
本页将介绍相关限制、局限性 选项。
概览
KSA 主权控制软件包支持数据访问权限控制和数据 受支持的 Google Cloud 产品的驻留功能。 其中部分服务的功能被 Google 限制或限制, 与 KSA 的主权控制兼容。大多数限制和 创建新的 Assured Workloads 文件夹时,系统会应用限制 适用于 KSA 的主权控制。不过,您可以稍后通过 修改 组织政策。 此外,一些限制和约束需要用户自行承担责任 以确保合规性。
您有必要了解这些限制是如何改变 或影响数据访问或 数据驻留。例如,一些 功能。 访问限制和数据驻留。此外,如果 组织政策设置发生更改,可能会导致意外后果 即将数据从一个区域复制到另一个区域
支持的服务
除非另有说明,否则用户可以通过 Google Cloud 控制台
以下服务与沙特阿拉伯王国 (KSA) 的主权控制兼容:
支持的产品 | API 端点 | 受影响的功能或组织政策 |
---|---|---|
Access Approval |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Artifact Registry |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
BigQuery [2] |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Bigtable |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud DNS |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Cloud HSM |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud Interconnect |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Cloud Key Management Service (Cloud KMS) |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud Load Balancing |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Cloud Logging |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud Monitoring |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Cloud NAT |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Cloud Router 路由器 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Cloud SQL |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Cloud Storage |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud VPN |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Compute Engine |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 和组织政策限制条件 |
Dataflow |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Dataproc |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
重要联系人 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
GKE Hub |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Google Cloud 控制台 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Google Kubernetes Engine |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 和组织政策限制条件 |
Identity and Access Management (IAM) |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Identity-Aware Proxy |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Network Connectivity Center |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
组织政策服务 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
永久性磁盘 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Pub/Sub |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Resource Manager |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
资源设置 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Service Directory |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Spanner |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
虚拟私有云 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
VPC Service Controls |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
组织政策
本部分介绍默认组织对各项服务的影响 使用“ ”创建文件夹或项目时的政策限制条件值 KSA 的主权控制。其他适用的限制条件 - 即使不是由 默认—可提供额外的“深度防御”以进一步保护您的 组织的 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
组织政策限制条件 | 说明 |
---|---|
gcp.resourceLocations |
设置为 in:us-locations 作为 allowedValues 列表项。如果使用以下值,则任何新资源的创建 仅限“ me-central2 ”值组。设置后,任何资源都不可设为
在任何其他区域、多区域位置或
KSA.请参阅
组织政策值组
文档。通过降低限制来降低此值可能会造成危害,从而更改此值 数据驻留(通过允许在 KSA 之外创建或存储数据) 数据边界。 |
gcp.restrictServiceUsage |
设置为允许使用所有支持的服务。 决定可以启用和使用哪些服务。如需更多信息 请参阅 限制工作负载的资源用量。 |
Compute Engine 组织政策限制条件
组织政策限制条件 | 说明 |
---|---|
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策会阻止您 在 Windows Server 虚拟机上生成凭据。 如果您需要在 Windows 虚拟机上管理用户名和密码,请执行以下操作: 以下: <ph type="x-smartling-placeholder">
|
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
Google Kubernetes Engine 组织政策限制条件
组织政策限制条件 | 说明 |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载的数据主权;三 建议保留这个设定的值 |
受影响的功能
本部分列出了每项服务的特性或功能受到的影响 KSA 的主权控制,包括使用某项功能时对用户的要求。
Compute Engine 功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | 以下 Compute Engine 功能在
Google Cloud 控制台。使用 API 或 Google Cloud CLI(如果可用):
<ph type="x-smartling-placeholder"> |
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 更改 compute.disableInstanceDataAccessApis 组织
将政策限制条件值设置为 False,以启用此 API。您还可以
启用并使用交互式串行端口。
|
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 更改 compute.disableInstanceDataAccessApis 组织
将政策限制条件值设置为 False,以启用此 API。您还可以
启用并使用交互式串行端口。
|
Cloud Interconnect 特性
特征 | 说明 |
---|---|
高可用性 (HA) VPN | 使用 Cloud Interconnect 与 Cloud VPN。此外,您还必须遵守 列出的加密和区域化要求 此部分。 |
Cloud Storage 的功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | 使用 管辖区 Google Cloud 控制台,适用于 KSA 的主权控制。司法辖区 控制台阻止上传和下载 Cloud Storage 对象。接收者 上传和下载 Cloud Storage 对象,请参阅以下内容 合规 API 端点行。 |
合规的 API 端点 | 您应负责将其中一个位置端点用于 Cloud Storage请参阅 Cloud Storage 位置 。 |
Cloud VPN 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud VPN 功能。使用 API 或 Google Cloud CLI。 |
脚注
1. 支持 BigQuery,但创建新的
Assured Workloads 文件夹,因为存在内部配置过程。此过程通常
但在某些情况下可能需要更长时间。要检查
若要启用 BigQuery,请完成以下步骤:
- 在 Google Cloud 控制台中,转到 Assured Workloads 页面。
- 从列表中选择新的 Assured Workloads 文件夹。
- 在文件夹详细信息页面的允许的服务部分,点击 查看可用更新。
- 在允许的服务窗格中,查看要添加到
资源使用限制
文件夹的组织政策。如果系统列出了 BigQuery 服务,请点击
选择允许服务即可添加这些服务。
如果其中未列出 BigQuery 服务,请等待内部流程完成。如果 服务未在文件夹创建后的 12 小时内列出,请联系 Cloud Customer Care。
启用流程完成后,您可以在自己的 Assured Workloads 文件夹。