Batasan dan batasan untuk Sovereign Controls untuk Kerajaan Arab Saudi (KSA)

Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan paket kontrol Sovereign Controls for Kingdom of Saudi Arabia (KSA).

Ringkasan

Paket kontrol Sovereign Controls for KSA memungkinkan kontrol akses data dan fitur residensi data untuk produk Google Cloud yang didukung. Beberapa fitur layanan ini dibatasi atau dibatasi oleh Google agar kompatibel dengan Sovereign Controls untuk KSA. Sebagian besar batasan dan pembatasan ini diterapkan saat membuat folder Assured Workloads baru untuk Sovereign Controls untuk KSA. Namun, beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi. Selain itu, beberapa batasan dan pembatasan memerlukan tanggung jawab pengguna untuk kepatuhan.

Penting untuk memahami bagaimana batasan ini mengubah perilaku untuk layanan Google Cloud tertentu atau memengaruhi akses data atau residensi data. Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memastikan bahwa pembatasan akses data dan retensi data dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, tindakan ini dapat menyebabkan konsekuensi yang tidak diinginkan, yaitu menyalin data dari satu region ke region lain.

Layanan yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua layanan yang didukung melalui konsol Google Cloud.

Layanan berikut kompatibel dengan Sovereign Controls untuk Kerajaan Arab Saudi (KSA):

Produk yang didukung endpoint API Pembatasan atau batasan
Access Approval Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • accessapproval.googleapis.com
Tidak ada
Artifact Registry Endpoint API regional:
  • artifactregistry.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
BigQuery Endpoint API regional:
  • bigquery.me-central2.rep.googleapis.com
  • bigqueryconnection.me-central2.rep.googleapis.com
  • bigqueryreservation.me-central2.rep.googleapis.com
  • bigquerystorage.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Bigtable Endpoint API regional:
  • bigtable.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Konsol Google Cloud Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • T/A
Tidak ada
Compute Engine Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
Fitur yang terpengaruh dan batasan kebijakan organisasi
Cloud DNS Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • dns.googleapis.com
Tidak ada
Sensitive Data Protection Endpoint API regional:
  • dlp.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Dataflow Endpoint API regional:
  • dataflow.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Dataproc Endpoint API regional:
  • dataproc.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Kontak Penting Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • essentialcontacts.googleapis.com
Tidak ada
Filestore Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • file.googleapis.com
Tidak ada
Cloud Storage Endpoint API regional:
  • storage.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Fitur yang terpengaruh
Google Kubernetes Engine Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • container.googleapis.com
  • containersecurity.googleapis.com
Batasan kebijakan organisasi
GKE Hub Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • gkehub.googleapis.com
Tidak ada
Google Cloud Armor Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
Tidak ada
Cloud HSM Endpoint API regional:
  • cloudkms.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Identity and Access Management (IAM) Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • iam.googleapis.com
Tidak ada
Identity-Aware Proxy (IAP) Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • iap.googleapis.com
Tidak ada
Cloud Interconnect Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • networkconnectivity.googleapis.com
Fitur yang terpengaruh
Cloud Key Management Service (Cloud KMS) Endpoint API regional:
  • cloudkms.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Cloud Load Balancing Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
Tidak ada
Cloud Logging Endpoint API regional:
  • logging.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Cloud Monitoring Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • monitoring.googleapis.com
Fitur yang terpengaruh
Cloud NAT Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • networkconnectivity.googleapis.com
Tidak ada
Network Connectivity Center Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • networkconnectivity.googleapis.com
Tidak ada
Organization Policy Service Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • orgpolicy.googleapis.com
Tidak ada
Persistent Disk Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
Tidak ada
Pub/Sub Endpoint API regional:
  • pubsub.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Resource Manager Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • cloudresourcemanager.googleapis.com
Tidak ada
Setelan Resource Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • resourcesettings.googleapis.com
Tidak ada
Cloud Router Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • networkconnectivity.googleapis.com
Tidak ada
Cloud Run Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • run.googleapis.com
Tidak ada
Cloud SQL Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • sqladmin.googleapis.com
Tidak ada
Secret Manager Endpoint API regional:
  • secretmanager.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Direktori Layanan Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • servicedirectory.googleapis.com
Tidak ada
Spanner Endpoint API regional:
  • spanner.me-central2.rep.googleapis.com

Endpoint API lokasi tidak didukung.
Endpoint API global tidak didukung.
Tidak ada
Virtual Private Cloud (VPC) Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
Tidak ada
Kontrol Layanan VPC Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • accesscontextmanager.googleapis.com
Tidak ada
Cloud VPN Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
Fitur yang terpengaruh

Kebijakan organisasi

Bagian ini menjelaskan pengaruh setiap layanan terhadap nilai batasan kebijakan organisasi default saat folder atau project dibuat menggunakan Sovereign Controls untuk KSA. Batasan lain yang berlaku—meskipun tidak ditetapkan secara default—dapat memberikan "pertahanan menyeluruh" tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Batasan kebijakan organisasi di seluruh cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan kebijakan organisasi Deskripsi
gcp.resourceLocations Tetapkan ke in:us-locations sebagai item daftar allowedValues.

Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai me-central2. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar KSA. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya.

Mengubah nilai ini dengan membuatnya kurang membatasi dapat berpotensi melemahkan residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data KSA.
gcp.restrictServiceUsage Tetapkan untuk mengizinkan semua layanan yang didukung.

Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi Deskripsi
compute.disableInstanceDataAccessApis Tetapkan ke True.

Menonaktifkan instances.getSerialPortOutput() dan instances.getScreenshot() API secara global.

Mengaktifkan kebijakan organisasi ini akan mencegah Anda membuat kredensial di VM Windows Server.

Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan hal berikut:
  1. Aktifkan SSH untuk Windows VM.
  2. Jalankan perintah berikut untuk mengubah sandi VM:
    gcloud compute ssh
    VM_NAME --command "net user USERNAME PASSWORD"
    Ganti kode berikut:
    • VM_NAME: Nama VM yang akan Anda tetapkan sandinya.
    • USERNAME: Nama pengguna yang sandinya Anda tetapkan.
    • PASSWORD: Sandi baru.
compute.enableComplianceMemoryProtection Tetapkan ke True.

Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kerusakan infrastruktur.

Mengubah nilai ini dapat memengaruhi retensi data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan kebijakan organisasi Deskripsi
container.restrictNoncompliantDiagnosticDataAccess Tetapkan ke True.

Digunakan untuk menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol kedaulatan atas beban kerja.

Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya tetap gunakan nilai yang ditetapkan.

Fitur yang terpengaruh

Bagian ini mencantumkan pengaruh Kontrol Berdaulat untuk KSA terhadap fitur atau kemampuan setiap layanan, termasuk persyaratan pengguna saat menggunakan fitur.

Fitur Compute Engine

Fitur Deskripsi
Konsol Google Cloud Fitur Compute Engine berikut tidak tersedia di konsol Google Cloud. Gunakan API atau Google Cloud CLI jika tersedia:

  1. Health check
  2. Grup endpoint jaringan
  3. SSH berbasis browser dinonaktifkan
instances.getSerialPortOutput() API ini dinonaktifkan; Anda tidak akan dapat mendapatkan output port serial dari instance yang ditentukan menggunakan API ini.

Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif.
instances.getScreenshot() API ini dinonaktifkan; Anda tidak akan dapat mendapatkan screenshot dari instance yang ditentukan menggunakan API ini.

Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif.

Fitur Cloud Interconnect

Fitur Deskripsi
VPN ketersediaan tinggi (HA) Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian ini.

Fitur Cloud Monitoring

Fitur Deskripsi
Synthetic Monitor Fitur ini dinonaktifkan.
Pemeriksaan uptime Fitur ini dinonaktifkan.
Widget panel log di Dasbor Fitur ini dinonaktifkan.

Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor Fitur ini dinonaktifkan.

Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di EventAnnotation untuk Dasbor Fitur ini dinonaktifkan.

Filter EventAnnotation tidak dapat ditetapkan di dasbor.
SqlCondition di alertPolicies Fitur ini dinonaktifkan.

Anda tidak dapat menambahkan SqlCondition ke alertPolicy.

Fitur Cloud Storage

Fitur Deskripsi
Konsol Google Cloud Anda bertanggung jawab untuk menggunakan Konsol Google Cloud Yurisdiksi untuk Kontrol Berdaulat untuk KSA. Konsol Wilayah Hukum mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Endpoint API yang mematuhi kebijakan berikut.
Endpoint API yang mematuhi kebijakan Anda bertanggung jawab untuk menggunakan salah satu endpoint lokasi dengan Cloud Storage. Lihat Lokasi Cloud Storage untuk mengetahui informasi selengkapnya.

Fitur Cloud VPN

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud VPN tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Catatan kaki

1. BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Workload Terjamin baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dalam beberapa situasi dapat memerlukan waktu lebih lama. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Workload Terjamin.

    Buka Assured Workloads

  2. Pilih folder Assured Workloads baru dari daftar.
  3. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates.
  4. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Batasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya.

    Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care.

Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Workload Terjamin.

Gemini di BigQuery tidak didukung oleh Assured Workloads.