Restrições e limitações para controles soberanos no Reino da Arábia Saudita (KSA)
Esta página descreve as restrições, limitações e outras configurações ao usar o pacote de controle dos Controles de Soberania para o Reino da Arábia Saudita (KSA).
Visão geral
O pacote de controles soberanos para KSA permite o controle de acesso a dados e recursos de residência de dados para produtos do Google Cloud compatíveis. Alguns recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com os controles soberanos do KSA. A maioria dessas restrições e limitações é aplicada ao criar uma nova pasta do Assured Workloads para controles soberanos da Arábia Saudita. No entanto, algumas delas podem ser alteradas depois modificando as políticas da organização. Além disso, algumas restrições e limitações exigem a responsabilidade do usuário para a adesão.
É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam o acesso a dados ou a residência de dados. Por exemplo, algumas recursos ou capacidades podem ser automaticamente desativados para garantir que os dados restrições de acesso e residência de dados são mantidas. Além disso, se um a configuração de uma política da organização for alterada, poderá ter a consequência de copiar dados de uma região para outra.
Serviços com suporte
Salvo indicação em contrário, os usuários podem acessar todos os serviços com suporte pelo no console do Google Cloud.
Os seguintes serviços são compatíveis com os controles de soberania do Reino da Arábia Saudita (KSA):
Produto compatível | Endpoints de API | Restrições ou limitações |
---|---|---|
Aprovação de acesso |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Artifact Registry |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. |
Nenhum |
BigQuery |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. |
Nenhum |
Bigtable |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. |
Nenhum |
Console do Google Cloud |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Compute Engine |
Não há suporte para endpoints regionais da API. Os endpoints da API Location não são compatíveis. Endpoint de API global:
|
Recursos afetados e as restrições das políticas da organização |
Cloud DNS |
Os endpoints de API regionais não são compatíveis. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Dataflow |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. |
Nenhum |
Dataproc |
Endpoints de API regionais:
Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API. |
Nenhum |
Contatos essenciais |
Os endpoints de API regionais não são compatíveis. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
Filestore |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
Cloud Storage |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Não há suporte para endpoints globais da API. |
Recursos afetados |
Google Kubernetes Engine |
Os endpoints de API regionais não são compatíveis. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Restrições da política da organização |
Hub GKE |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Cloud HSM |
Endpoints de API regionais:
Endpoints de API de localização não são compatíveis. Os endpoints de API globais não são compatíveis. |
Nenhum |
Gerenciamento de identidade e acesso (IAM) |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Identity-Aware Proxy (IAP) |
Os endpoints de API regionais não são compatíveis. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Cloud Interconnect |
Os endpoints de API regionais não são compatíveis. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
Cloud Key Management Service (Cloud KMS) |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Os endpoints de API globais não são compatíveis. |
Nenhum |
Cloud Load Balancing |
Não há suporte para endpoints regionais da API. Os endpoints da API Location não são compatíveis. Endpoints da API global:
|
Nenhum |
Cloud Logging |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. |
Nenhum |
Cloud Monitoring |
Os endpoints de API regionais não são compatíveis. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
Cloud NAT |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
Network Connectivity Center |
Não há suporte para endpoints regionais da API. Os endpoints da API Location não são compatíveis. Endpoints da API global:
|
Nenhum |
Organization Policy Service |
Não há suporte para endpoints regionais da API. Os endpoints da API Location não são compatíveis. Endpoint de API global:
|
Nenhum |
Persistent Disk |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints da API global:
|
Nenhum |
Pub/Sub |
Endpoints de API regionais:
Endpoints de API de localização não são compatíveis. Os endpoints de API globais não são compatíveis. |
Nenhum |
Resource Manager |
Os endpoints de API regionais não são compatíveis. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Configurações de recursos |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoint de API global:
|
Nenhum |
Cloud Router |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoint de API global:
|
Nenhum |
Cloud Run |
Não há suporte para endpoints regionais da API. Os endpoints da API Location não são compatíveis. Endpoints da API global:
|
Nenhum |
Cloud SQL |
Não há suporte para endpoints regionais da API. Os endpoints da API Location não são compatíveis. Endpoints da API global:
|
Nenhum |
Diretório de serviços |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Spanner |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API. |
Nenhum |
Nuvem privada virtual (VPC) |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints da API global:
|
Nenhum |
VPC Service Controls |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoint de API global:
|
Nenhum |
Cloud VPN |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoint de API global:
|
Recursos afetados |
Políticas da organização
Esta seção descreve como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando os controles soberanos para a Arábia Saudita. Outras restrições aplicáveis, mesmo que não definidas pelo padrão, podem oferecer "defesa em profundidade" adicional para proteger ainda mais seus os recursos do Google Cloud de uma organização.
Restrições da política da organização em toda a nuvem
As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.
Restrição da política da organização | Descrição |
---|---|
gcp.resourceLocations |
Defina como in:us-locations como o item
da lista allowedValues .Esse valor restringe a criação de novos recursos ao Somente grupo de valores me-central2 . Quando definido, nenhum recurso pode ser
criadas em qualquer outra região, multirregião ou local
no Reino da Arábia Saudita. Consulte a documentação
Grupos de valores de política da organização
para mais informações.Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite de dados KSA. |
gcp.restrictServiceUsage |
Permita todos os serviços compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho. |
Restrições da política da organização do Compute Engine
Restrição da política da organização | Descrição |
---|---|
compute.disableInstanceDataAccessApis |
Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e
instances.getScreenshot() .A ativação dessa política da organização impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguintes:
|
compute.enableComplianceMemoryProtection |
Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido. |
Restrições da política da organização do Google Kubernetes Engine
Restrição da política da organização | Descrição |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É recomendável manter o valor definido. |
Recursos afetados
Esta seção lista como os recursos de cada serviço são afetados por Controles soberanos para a Arábia Saudita, incluindo requisitos do usuário ao usar um recurso.
Recursos do Compute Engine
Seleção de | Descrição |
---|---|
Console do Google Cloud | Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI, quando disponível:
|
instances.getSerialPortOutput() |
Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição de política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível
ativar e usar a porta serial interativa.
|
instances.getScreenshot() |
Essa API está desativada. Você não receberá uma captura de tela da
instância especificada usando essa API. Mude o valor da restrição de política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível
ativar e usar a porta serial interativa.
|
Recursos do Cloud Interconnect
Recurso | Descrição |
---|---|
VPN de alta disponibilidade (HA) | É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, você precisa obedecer aos requisitos de criptografia e regionalização listados nesta seção. |
Recursos do Cloud Storage
Recurso | Descrição |
---|---|
Console do Google Cloud | É sua responsabilidade usar o console jurisdicional do Google Cloud para controles soberanos do KSA. O console de jurisdição impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints da API em conformidade a seguir. |
Endpoints de API compatíveis | É sua responsabilidade usar um dos endpoints de local com o Cloud Storage. Consulte Locais do Cloud Storage para mais informações. |
Recursos do Cloud VPN
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Notas de rodapé
1. O BigQuery é compatível, mas não é ativado automaticamente quando você cria um novo
Pasta do Assured Workloads devido a um processo de configuração interno. Esse processo normalmente
termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o
for concluído. Para ativar o BigQuery, siga as etapas a seguir:
- No console do Google Cloud, acesse a página Assured Workloads.
- Selecione a nova pasta do Assured Workloads na lista.
- Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis.
- No painel Serviços permitidos, analise os serviços que serão adicionados à política da organização de
restrição de uso de recursos
para a pasta. Se os serviços do BigQuery estiverem listados, clique em
Clique em Permitir serviços para adicioná-los.
Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se o serviços não estiverem listados dentro de 12 horas após a criação da pasta, entre em Cloud Customer Care.
Depois que o processo de ativação for concluído, você poderá usar o BigQuery na sua pasta do Assured Workloads.
O Gemini no BigQuery não é compatível com o Assured Workloads.