Limitazioni e limitazioni dei controlli di sovranità per il Regno dell'Arabia Saudita (Arabia Saudita)

In questa pagina vengono descritte le restrizioni, le limitazioni e altre configurazioni quando si utilizza il pacchetto di controlli Sovereign Controls per il Regno dell'Arabia Saudita (KSA).

Panoramica

Il pacchetto di controlli sovrani per l'Arabia Saudita abilita il controllo dell'accesso ai dati e le funzionalità di residenza dei dati per i prodotti Google Cloud supportati. Alcuni di questi servizi funzioni sono limitate o limitate da Google al compatibile con i controlli di sovranità per l'Arabia Saudita. La maggior parte di queste restrizioni vengono applicate limitazioni quando viene creata una nuova cartella Assured Workloads per i controlli di sovranità per l'Arabia Saudita. Tuttavia, alcuni possono essere modificati in un secondo momento modifica in corso criteri dell'organizzazione. Inoltre, alcune limitazioni e restrizioni richiedono la responsabilità dell'utente per l'adeguamento.

È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sull'accesso ai dati o sulla residenza dei dati. Ad esempio, alcune funzionalità o alcune opzioni potrebbero essere disattivate automaticamente per garantire il rispetto delle limitazioni di accesso ai dati e della residenza dei dati. Inoltre, se dell'impostazione dei criteri dell'organizzazione potrebbe avere conseguenze indesiderate di copiare i dati da una regione all'altra.

Servizi supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i servizi supportati tramite la console Google Cloud.

I seguenti servizi sono compatibili con i controlli di sovranità per il Regno dell'Arabia Saudita:

Prodotto supportato Endpoint API Restrizioni o limitazioni
Approvazione accesso Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • accessapproval.googleapis.com
 Nessuno
Artifact Registry Endpoint API regionali:
  • artifactregistry.me-central2.rep.googleapis.com

Gli endpoint dell'API Locational non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
BigQuery Endpoint API regionali:
  • bigquery.me-central2.rep.googleapis.com
  • bigqueryconnection.me-central2.rep.googleapis.com
  • bigqueryreservation.me-central2.rep.googleapis.com
  • bigquerystorage.me-central2.rep.googleapis.com

Gli endpoint API Location non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Bigtable Endpoint API regionali:
  • bigtable.me-central2.rep.googleapis.com

Gli endpoint dell'API Locational non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Console Google Cloud Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • N/D
 Nessuno
Compute Engine Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • compute.googleapis.com
 Funzionalità interessate e vincoli dei criteri dell'organizzazione
Cloud DNS Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • dns.googleapis.com
 Nessuno
Dataflow Endpoint API regionali:
  • dataflow.me-central2.rep.googleapis.com

Gli endpoint dell'API Locational non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Dataproc Endpoint API regionali:
  • dataproc.me-central2.rep.googleapis.com

Gli endpoint API Location non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Contatti necessari Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • essentialcontacts.googleapis.com
 Nessuno
Filestore Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • file.googleapis.com
 Nessuno
Cloud Storage Endpoint API regionali:
  • storage.me-central2.rep.googleapis.com

Gli endpoint API Location non sono supportati.
Gli endpoint API globali non sono supportati.
 Funzionalità interessate
Google Kubernetes Engine Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Vincoli dei criteri dell'organizzazione
GKE Hub Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • gkehub.googleapis.com
 Nessuno
Cloud HSM Endpoint API regionali:
  • cloudkms.me-central2.rep.googleapis.com

Gli endpoint API Location non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Identity and Access Management (IAM) Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • iam.googleapis.com
 Nessuno
Identity-Aware Proxy (IAP) Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • iap.googleapis.com
 Nessuno
Cloud Interconnect Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • networkconnectivity.googleapis.com
 Funzionalità interessate
Cloud Key Management Service (Cloud KMS) Endpoint API regionali:
  • cloudkms.me-central2.rep.googleapis.com

Gli endpoint API Location non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Cloud Load Balancing Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • compute.googleapis.com
 Nessuno
Cloud Logging Endpoint API regionali:
  • logging.me-central2.rep.googleapis.com

Gli endpoint dell'API Locational non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Cloud Monitoring Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • monitoring.googleapis.com
 Nessuno
Cloud NAT Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • networkconnectivity.googleapis.com
 Nessuno
Network Connectivity Center Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • networkconnectivity.googleapis.com
 Nessuno
Servizio Criteri dell'organizzazione Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • orgpolicy.googleapis.com
 Nessuno
Persistent Disk Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • compute.googleapis.com
 Nessuno
Pub/Sub Endpoint API regionali:
  • pubsub.me-central2.rep.googleapis.com

Gli endpoint API Location non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Resource Manager Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • cloudresourcemanager.googleapis.com
 Nessuno
Impostazioni risorsa Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • resourcesettings.googleapis.com
 Nessuno
Cloud Router Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • networkconnectivity.googleapis.com
 Nessuno
Cloud Run Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • run.googleapis.com
 Nessuno
Cloud SQL Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • sqladmin.googleapis.com
 Nessuno
Service Directory Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • servicedirectory.googleapis.com
 Nessuno
Spanner Endpoint API regionali:
  • spanner.me-central2.rep.googleapis.com

Gli endpoint dell'API Locational non sono supportati.
Gli endpoint API globali non sono supportati.
 Nessuno
Virtual Private Cloud (VPC) Gli endpoint API regionali non sono supportati.
Gli endpoint API Location non sono supportati.

Endpoint API globali:
  • compute.googleapis.com
 Nessuno
Controlli di servizio VPC Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • accesscontextmanager.googleapis.com
 Nessuno
Cloud VPN Gli endpoint API regionali non sono supportati.
Gli endpoint dell'API Locational non sono supportati.

Endpoint API globali:
  • compute.googleapis.com
 Funzionalità interessate

Criteri dell'organizzazione

Questa sezione descrive in che modo ogni servizio è interessato dai valori predefiniti dei vincoli delle norme dell'organizzazione quando vengono create cartelle o progetti utilizzando i controlli sovrani per il Regno dell'Arabia Saudita. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.

Vincoli dei criteri dell'organizzazione a livello di cloud

Le seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo dei criteri dell'organizzazione Descrizione
gcp.resourceLocations Imposta in:us-locations come elemento dell'elenco allowedValues.

Questo valore limita la creazione di nuove risorse Solo gruppo di valori me-central2. Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori del KSA. Consulta le Gruppi di valori dei criteri dell'organizzazione documentazione per ulteriori informazioni.

La modifica di questo valore rendendolo meno restrittivo potrebbe minare la residenza dei dati consentendo la creazione o la memorizzazione dei dati al di fuori del confine dei dati dell'Arabia Saudita.
gcp.restrictServiceUsage Imposta l'opzione su "Consenti tutti i servizi supportati".

Determina quali servizi possono essere attivati e utilizzati. Per ulteriori informazioni, vedi Limita l'utilizzo delle risorse per i carichi di lavoro.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo dei criteri dell'organizzazione Descrizione
compute.disableInstanceDataAccessApis Imposta su True.

Disattiva a livello globale le API instances.getSerialPortOutput() e instances.getScreenshot().

Se abiliti questo criterio dell'organizzazione, non potrai: generare credenziali sulle VM Windows Server.

Se devi gestire un nome utente e una password su una VM Windows, svolgi i seguenti passaggi:
  1. Abilitare SSH per le VM Windows.
  2. Esegui questo comando per cambiare la password della VM: 
    gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
     Sostituisci quanto segue:
    • VM_NAME: il nome della VM per cui stai impostando la password .
    • USERNAME: il nome utente dell'utente che stai impostando la password.
    • PASSWORD: la nuova password.
compute.enableComplianceMemoryProtection Imposta su True.

Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria in caso di guasto dell'infrastruttura.

La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.

Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo dei criteri dell'organizzazione Descrizione
container.restrictNoncompliantDiagnosticDataAccess Imposta su True.

Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per per mantenere il controllo di sovranità di un carico di lavoro.

La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.

Funzionalità interessate

Questa sezione elenca in che modo le funzionalità o le capacità di ciascun servizio sono interessate dai controlli sovrani per l'Arabia Saudita, inclusi i requisiti utente per l'utilizzo di una funzionalità.

Funzionalità di Compute Engine

Funzionalità Descrizione
Console Google Cloud Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI, se disponibile:

  1. Controlli di integrità
  2. Gruppi di endpoint di rete
  3. L'SSH basato su browser è disattivato
instances.getSerialPortOutput() Questa API è disattivata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API.

Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva.
instances.getScreenshot() Questa API è disabilitata. non potrai acquisire uno screenshot l'istanza specificata utilizzando questa API.

Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva.

Funzionalità di Cloud Interconnect

Funzionalità Descrizione
VPN ad alta disponibilità Devi abilitare la funzionalità VPN ad alta disponibilità quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati in questa sezione.

Funzionalità di Cloud Storage

Funzionalità Descrizione
Console Google Cloud È tua responsabilità utilizzare Giurisdizionale Console Google Cloud per i controlli di sovranità per l'Arabia Saudita. La console per le giurisdizioni impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi È tua responsabilità usare uno degli endpoint di località con di archiviazione ideale in Cloud Storage. Per maggiori informazioni, consulta Località di Cloud Storage.

Funzionalità di Cloud VPN

Funzionalità Descrizione
Console Google Cloud Le funzionalità Cloud VPN non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI.

Note a piè di pagina

1. BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova cartella Carichi di lavoro garantiti a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se processo completato. Per abilitare BigQuery, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Assured Workloads.

    Vai ad Assured Workloads

  2. Seleziona la nuova cartella Assured Workloads dall'elenco.
  3. Nella pagina Dettagli cartella della sezione Servizi consentiti, fai clic su Rivedi gli aggiornamenti disponibili.
  4. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al Limitazione dell'utilizzo delle risorse criterio dell'organizzazione per la cartella. Se i servizi BigQuery sono elencati, fai clic su Consenti ai servizi di aggiungerli.

    Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se servizi non vengono elencati entro 12 ore dalla creazione della cartella, contatta Assistenza clienti Google Cloud.

Al termine del processo di abilitazione, puoi utilizzare BigQuery Cartella Assured Workloads.

Gemini in BigQuery non è supportato da Assured Workloads.