Batasan dan batasan untuk Sovereign Controls untuk Kerajaan Arab Saudi (KSA)
Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan paket kontrol Sovereign Controls for Kingdom of Saudi Arabia (KSA).
Ringkasan
Paket kontrol Sovereign Controls for KSA memungkinkan kontrol akses data dan fitur residensi data untuk produk Google Cloud yang didukung. Beberapa fitur layanan ini dibatasi atau dibatasi oleh Google agar kompatibel dengan Sovereign Controls untuk KSA. Sebagian besar batasan dan pembatasan ini diterapkan saat membuat folder Assured Workloads baru untuk Sovereign Controls untuk KSA. Namun, beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi. Selain itu, beberapa batasan dan pembatasan memerlukan tanggung jawab pengguna untuk kepatuhan.
Penting untuk memahami bagaimana batasan ini mengubah perilaku untuk layanan Google Cloud tertentu atau memengaruhi akses data atau residensi data. Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memastikan bahwa pembatasan akses data dan retensi data dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, tindakan ini dapat menyebabkan konsekuensi yang tidak diinginkan, yaitu menyalin data dari satu region ke region lain.
Layanan yang didukung
Kecuali jika dinyatakan lain, pengguna dapat mengakses semua layanan yang didukung melalui konsol Google Cloud.
Layanan berikut kompatibel dengan Sovereign Controls untuk Kerajaan Arab Saudi (KSA):
Produk yang didukung | endpoint API | Pembatasan atau batasan |
---|---|---|
Access Approval |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Artifact Registry |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
BigQuery |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Bigtable |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Konsol Google Cloud |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Compute Engine |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Fitur yang terpengaruh dan batasan kebijakan organisasi |
Cloud DNS |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Sensitive Data Protection |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Dataflow |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Dataproc |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Kontak Penting |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Filestore |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Cloud Storage |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Fitur yang terpengaruh |
Google Kubernetes Engine |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Batasan kebijakan organisasi |
GKE Hub |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Google Cloud Armor |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Cloud HSM |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Identity and Access Management (IAM) |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Identity-Aware Proxy (IAP) |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Cloud Interconnect |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Fitur yang terpengaruh |
Cloud Key Management Service (Cloud KMS) |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Cloud Load Balancing |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Cloud Logging |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Cloud Monitoring |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Fitur yang terpengaruh |
Cloud NAT |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Network Connectivity Center |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Organization Policy Service |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Persistent Disk |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Pub/Sub |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Resource Manager |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Setelan Resource |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Cloud Router |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Cloud Run |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Cloud SQL |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Secret Manager |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Direktori Layanan |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Spanner |
Endpoint API regional:
Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung. |
Tidak ada |
Virtual Private Cloud (VPC) |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Kontrol Layanan VPC |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Tidak ada |
Cloud VPN |
Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global:
|
Fitur yang terpengaruh |
Kebijakan organisasi
Bagian ini menjelaskan pengaruh setiap layanan terhadap nilai batasan kebijakan organisasi default saat folder atau project dibuat menggunakan Sovereign Controls untuk KSA. Batasan lain yang berlaku—meskipun tidak ditetapkan secara default—dapat memberikan "pertahanan menyeluruh" tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.
Batasan kebijakan organisasi di seluruh cloud
Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.
Batasan kebijakan organisasi | Deskripsi |
---|---|
gcp.resourceLocations |
Tetapkan ke in:us-locations sebagai item daftar
allowedValues .Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai me-central2 . Jika ditetapkan, tidak ada resource yang dapat
dibuat di region, multi-region, atau lokasi lain di luar
KSA. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya.Mengubah nilai ini dengan membuatnya kurang membatasi dapat berpotensi melemahkan residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data KSA. |
gcp.restrictServiceUsage |
Tetapkan untuk mengizinkan semua layanan yang didukung. Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload. |
Batasan kebijakan organisasi Compute Engine
Batasan kebijakan organisasi | Deskripsi |
---|---|
compute.disableInstanceDataAccessApis |
Tetapkan ke True. Menonaktifkan instances.getSerialPortOutput() dan
instances.getScreenshot() API secara global.Mengaktifkan kebijakan organisasi ini akan mencegah Anda membuat kredensial di VM Windows Server. Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan hal berikut:
|
compute.enableComplianceMemoryProtection |
Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kerusakan infrastruktur. Mengubah nilai ini dapat memengaruhi retensi data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan. |
Batasan kebijakan organisasi Google Kubernetes Engine
Batasan kebijakan organisasi | Deskripsi |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Tetapkan ke True. Digunakan untuk menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol kedaulatan atas beban kerja. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya tetap gunakan nilai yang ditetapkan. |
Fitur yang terpengaruh
Bagian ini mencantumkan pengaruh Kontrol Berdaulat untuk KSA terhadap fitur atau kemampuan setiap layanan, termasuk persyaratan pengguna saat menggunakan fitur.
Fitur Compute Engine
Fitur | Deskripsi |
---|---|
Konsol Google Cloud | Fitur Compute Engine berikut tidak tersedia di konsol Google Cloud. Gunakan API atau Google Cloud CLI jika tersedia:
|
instances.getSerialPortOutput() |
API ini dinonaktifkan; Anda tidak akan dapat mendapatkan output port serial
dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat
mengaktifkan dan menggunakan port serial interaktif.
|
instances.getScreenshot() |
API ini dinonaktifkan; Anda tidak akan dapat mendapatkan screenshot dari
instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat
mengaktifkan dan menggunakan port serial interaktif.
|
Fitur Cloud Interconnect
Fitur | Deskripsi |
---|---|
VPN ketersediaan tinggi (HA) | Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian ini. |
Fitur Cloud Monitoring
Fitur | Deskripsi |
---|---|
Synthetic Monitor | Fitur ini dinonaktifkan. |
Pemeriksaan uptime | Fitur ini dinonaktifkan. |
Widget panel log di Dasbor | Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor. |
Widget panel pelaporan error di Dasbor | Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor. |
Filter di
EventAnnotation
untuk Dasbor
|
Fitur ini dinonaktifkan. Filter EventAnnotation
tidak dapat ditetapkan di dasbor.
|
SqlCondition
di alertPolicies
|
Fitur ini dinonaktifkan. Anda tidak dapat menambahkan SqlCondition ke
alertPolicy .
|
Fitur Cloud Storage
Fitur | Deskripsi |
---|---|
Konsol Google Cloud | Anda bertanggung jawab untuk menggunakan Konsol Google Cloud Yurisdiksi untuk Kontrol Berdaulat untuk KSA. Konsol Wilayah Hukum mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Endpoint API yang mematuhi kebijakan berikut. |
Endpoint API yang mematuhi kebijakan | Anda bertanggung jawab untuk menggunakan salah satu endpoint lokasi dengan Cloud Storage. Lihat Lokasi Cloud Storage untuk mengetahui informasi selengkapnya. |
Fitur Cloud VPN
Fitur | Deskripsi |
---|---|
Konsol Google Cloud | Fitur Cloud VPN tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI. |
Catatan kaki
1. BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Workload Terjamin baru karena proses konfigurasi internal. Proses ini biasanya
selesai dalam sepuluh menit, tetapi dalam beberapa situasi dapat memerlukan waktu lebih lama. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Workload Terjamin.
- Pilih folder Assured Workloads baru dari daftar.
- Di halaman Folder Details di bagian Allowed services, klik Review Available Updates.
- Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Batasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya.
Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care.
Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Workload Terjamin.
Gemini di BigQuery tidak didukung oleh Assured Workloads.