此页面由 Cloud Translation API 翻译。

沙特阿拉伯王国 (KSA) 主权控制的限制和限制

本页将介绍相关限制、局限性选项。

概览

KSA 主权控制软件包支持数据访问权限控制和数据受支持的 Google Cloud 产品的驻留功能。其中部分服务的功能被 Google 限制或限制，与 KSA 的主权控制兼容。大多数限制和创建新的 Assured Workloads 文件夹时，系统会应用限制适用于 KSA 的主权控制。不过，您可以稍后通过修改组织政策。此外，一些限制和约束需要用户自行承担责任以确保合规性。

您有必要了解这些限制是如何改变或影响数据访问或数据驻留。例如，一些功能。访问限制和数据驻留。此外，如果组织政策设置发生更改，可能会导致意外后果即将数据从一个区域复制到另一个区域

支持的服务

除非另有说明，否则用户可以通过 Google Cloud 控制台

以下服务与沙特阿拉伯王国 (KSA) 的主权控制兼容：

支持的产品	API 端点	受影响的功能或组织政策
Access Approval	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> accessapproval.googleapis.com	无
Artifact Registry	区域级 API 端点： artifactregistry.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
BigQuery ^[2]	区域级 API 端点： bigquery.me-central2.googleapis.com bigqueryconnection.me-central2.googleapis.com bigqueryreservation.me-central2.googleapis.com bigquerystorage.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
Bigtable	区域级 API 端点： bigtable.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
Cloud DNS	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> dns.googleapis.com	无
Cloud HSM	区域级 API 端点： cloudkms.me-central2.rep.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
Cloud Interconnect	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> networkconnectivity.googleapis.com	受影响的功能
Cloud Key Management Service (Cloud KMS)	区域级 API 端点： cloudkms.me-central2.rep.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
Cloud Load Balancing	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> compute.googleapis.com	无
Cloud Logging	区域级 API 端点： logging.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
Cloud Monitoring	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> monitoring.googleapis.com	无
Cloud NAT	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> networkconnectivity.googleapis.com	无
Cloud Router 路由器	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> networkconnectivity.googleapis.com	无
Cloud SQL	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> sqladmin.googleapis.com	无
Cloud Storage	区域级 API 端点： storage.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
Cloud VPN	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> compute.googleapis.com	无
Compute Engine	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> compute.googleapis.com	受影响的功能和组织政策限制条件
Dataflow	区域级 API 端点： dataflow.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
Dataproc	区域级 API 端点： dataproc.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
重要联系人	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> essentialcontacts.googleapis.com	无
GKE Hub	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> gkehub.googleapis.com	无
Google Cloud 控制台	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> 不适用	无
Google Kubernetes Engine	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> container.googleapis.com containersecurity.googleapis.com	受影响的功能和组织政策限制条件
Identity and Access Management (IAM)	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> iam.googleapis.com	无
Identity-Aware Proxy	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> iap.googleapis.com	无
Network Connectivity Center	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> networkconnectivity.googleapis.com	无
组织政策服务	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> orgpolicy.googleapis.com	无
永久性磁盘	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> compute.googleapis.com	无
Pub/Sub	区域级 API 端点： pubsub.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
Resource Manager	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> cloudresourcemanager.googleapis.com	无
资源设置	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> resourcesettings.googleapis.com	无
Service Directory	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> servicedirectory.googleapis.com	无
Spanner	区域级 API 端点： spanner.me-central2.googleapis.com 。不支持 Locational API 端点。不支持全球 API 端点。	无
虚拟私有云	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> vpcaccess.googleapis.com	无
VPC Service Controls	不支持区域级 API 端点。不支持 Locational API 端点。全球 API 端点： <ph type="x-smartling-placeholder"> </ph> accesscontextmanager.googleapis.com	无

组织政策

本部分介绍默认组织对各项服务的影响使用“ ”创建文件夹或项目时的政策限制条件值 KSA 的主权控制。其他适用的限制条件 - 即使不是由默认—可提供额外的“深度防御”以进一步保护您的组织的 Google Cloud 资源。

云范围的组织政策限制条件

以下组织政策限制条件适用于任何适用的 Google Cloud 服务。

组织政策限制条件说明

gcp.resourceLocations 设置为 in:us-locations 作为 allowedValues 列表项。

如果使用以下值，则任何新资源的创建仅限“me-central2”值组。设置后，任何资源都不可设为在任何其他区域、多区域位置或 KSA.请参阅组织政策值组文档。

通过降低限制来降低此值可能会造成危害，从而更改此值数据驻留（通过允许在 KSA 之外创建或存储数据）数据边界。

gcp.restrictServiceUsage 设置为允许使用所有支持的服务。

决定可以启用和使用哪些服务。如需更多信息请参阅限制工作负载的资源用量。

组织政策限制条件	说明
`gcp.resourceLocations`	设置为 `in:us-locations` 作为 `allowedValues` 列表项。如果使用以下值，则任何新资源的创建仅限“`me-central2`”值组。设置后，任何资源都不可设为在任何其他区域、多区域位置或 KSA.请参阅组织政策值组文档。通过降低限制来降低此值可能会造成危害，从而更改此值数据驻留（通过允许在 KSA 之外创建或存储数据）数据边界。
`gcp.restrictServiceUsage`	设置为允许使用所有支持的服务。决定可以启用和使用哪些服务。如需更多信息请参阅限制工作负载的资源用量。

Compute Engine 组织政策限制条件

组织政策限制条件说明

组织政策限制条件	说明
`compute.disableInstanceDataAccessApis`	设置为 True。全局停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。启用此组织政策会阻止您在 Windows Server 虚拟机上生成凭据。如果您需要在 Windows 虚拟机上管理用户名和密码，请执行以下操作：以下： <ph type="x-smartling-placeholder"> </ph> 为 Windows 虚拟机启用 SSH。运行以下命令以更改虚拟机的密码： gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" 替换以下内容： <ph type="x-smartling-placeholder"> </ph> `VM_NAME`：您要设置密码的虚拟机的名称。 `USERNAME`：您要设置的用户的用户名密码。 `PASSWORD`：新密码。
`compute.enableComplianceMemoryProtection`	设置为 True。停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。更改此值可能会影响工作负载中的数据驻留；三建议保留这个设定的值

compute.disableInstanceDataAccessApis

设置为 True。

全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。

启用此组织政策会阻止您在 Windows Server 虚拟机上生成凭据。

如果您需要在 Windows 虚拟机上管理用户名和密码，请执行以下操作：以下： <ph type="x-smartling-placeholder">

为 Windows 虚拟机启用 SSH。
运行以下命令以更改虚拟机的密码：
```
gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
```
替换以下内容： <ph type="x-smartling-placeholder">
- VM_NAME：您要设置密码的虚拟机的名称。
- USERNAME：您要设置的用户的用户名密码。
- PASSWORD：新密码。

compute.enableComplianceMemoryProtection 设置为 True。

停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。

更改此值可能会影响工作负载中的数据驻留；三建议保留这个设定的值

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件	说明
`container.restrictNoncompliantDiagnosticDataAccess`	设置为 True。用于停用内核问题的汇总分析，这是维护工作负载的主权所必需的。更改此值可能会影响工作负载的数据主权；三建议保留这个设定的值

受影响的功能

本部分列出了每项服务的特性或功能受到的影响 KSA 的主权控制，包括使用某项功能时对用户的要求。

Compute Engine 功能

特征	说明
Google Cloud 控制台	以下 Compute Engine 功能在 Google Cloud 控制台。使用 API 或 Google Cloud CLI（如果可用）： <ph type="x-smartling-placeholder"> </ph> 健康检查网络端点组基于浏览器的 SSH 已停用
`instances.getSerialPortOutput()`	此 API 已停用；您将无法使用此 API 从指定实例获取串行端口输出。更改 `compute.disableInstanceDataAccessApis` 组织将政策限制条件值设置为 False，以启用此 API。您还可以启用并使用交互式串行端口。
`instances.getScreenshot()`	此 API 已停用；您将无法使用此 API 从指定实例获取屏幕截图。更改 `compute.disableInstanceDataAccessApis` 组织将政策限制条件值设置为 False，以启用此 API。您还可以启用并使用交互式串行端口。

Cloud Interconnect 特性

特征	说明
高可用性 (HA) VPN	使用 Cloud Interconnect 与 Cloud VPN。此外，您还必须遵守列出的加密和区域化要求此部分。

Cloud Storage 的功能

特征	说明
Google Cloud 控制台	使用管辖区 Google Cloud 控制台，适用于 KSA 的主权控制。司法辖区控制台阻止上传和下载 Cloud Storage 对象。接收者上传和下载 Cloud Storage 对象，请参阅以下内容合规 API 端点行。
合规的 API 端点	您应负责将其中一个位置端点用于 Cloud Storage请参阅 Cloud Storage 位置。

Cloud VPN 特性

特征	说明
Google Cloud 控制台	Google Cloud 控制台中不提供 Cloud VPN 功能。使用 API 或 Google Cloud CLI。

脚注

1. 支持 BigQuery，但创建新的 Assured Workloads 文件夹，因为存在内部配置过程。此过程通常但在某些情况下可能需要更长时间。要检查若要启用 BigQuery，请完成以下步骤：

在 Google Cloud 控制台中，转到 Assured Workloads 页面。
前往 Assured Workloads
从列表中选择新的 Assured Workloads 文件夹。
在文件夹详细信息页面的允许的服务部分，点击 查看可用更新。
在允许的服务窗格中，查看要添加到资源使用限制文件夹的组织政策。如果系统列出了 BigQuery 服务，请点击选择允许服务即可添加这些服务。

如果其中未列出 BigQuery 服务，请等待内部流程完成。如果服务未在文件夹创建后的 12 小时内列出，请联系 Cloud Customer Care。

启用流程完成后，您可以在自己的 Assured Workloads 文件夹。