Einschränkungen der Datenhoheitskontrollen für Saudi-Arabien
Auf dieser Seite werden die Einschränkungen und Einschränkungen sowie weitere wenn Sie das Kontrollpaket für die Datenhoheitskontrollen für Saudi-Arabien (KSA) verwenden.
Übersicht
Das Kontrollpaket für die Datenhoheit für Saudi-Arabien ermöglicht Datenzugriffssteuerung und Daten Standortfunktionen für unterstützte Google Cloud-Produkte Einige dieser Dienste Funktionen werden von Google eingeschränkt oder eingeschränkt, ist mit Datenhoheitskontrollen für Saudi-Arabien kompatibel. Die meisten dieser Einschränkungen und Beim Erstellen eines neuen Assured Workloads-Ordners gelten Einschränkungen für Datenhoheitskontrollen in Saudi-Arabien. Einige von ihnen können jedoch später Ändern Organisationsrichtlinien. Außerdem erfordern einige Einschränkungen und Einschränkungen die Verantwortung der Nutzer. für die Einhaltung geltender Regeln.
Es ist wichtig zu verstehen, wie diese Einschränkungen Google Cloud-Dienst erhalten oder den Datenzugriff beeinträchtigen, Datenstandort. Zum Beispiel können automatisch deaktiviert werden, um sicherzustellen, Zugriffsbeschränkungen und Datenstandort aufrechtzuerhalten. Wenn außerdem ein Einstellung der Organisationsrichtlinie geändert wird, kann dies unbeabsichtigte Folgen haben von einer Region in eine andere zu kopieren.
Unterstützte Dienste
Sofern nicht anders angegeben, können Nutzer über in der Google Cloud Console.
Die folgenden Dienste sind mit Datenhoheitskontrollen für Saudi-Arabien kompatibel:
Unterstütztes Produkt | API-Endpunkte | Betroffene Funktionen oder Organisationsrichtlinien |
---|---|---|
Zugriffsgenehmigung |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Artifact Registry |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
BigQuery [2] |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Bigtable |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Cloud DNS |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Cloud HSM |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Cloud Interconnect |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Betroffene Funktionen |
Cloud Key Management Service (Cloud KMS) |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Cloud Load Balancing |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Cloud Logging |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Cloud Monitoring |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Cloud NAT |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Cloud Router |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Cloud SQL |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Cloud Storage |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Cloud VPN |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Compute Engine |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
Dataflow |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Dataproc |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Wichtige Kontakte |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
GKE Hub |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Google Cloud Console |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Google Kubernetes Engine |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
Identitäts- und Zugriffsverwaltung |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Identity-Aware Proxy |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Network Connectivity Center |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Organisationsrichtliniendienst |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Persistent Disk |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Pub/Sub |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Resource Manager |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Ressourceneinstellungen |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Service Directory |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Spanner |
Regionale API-Endpunkte:
<ph type="x-smartling-placeholder">
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. | Keine |
Virtual Private Cloud |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
VPC Service Controls |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
| Keine |
Organisationsrichtlinien
In diesem Abschnitt wird beschrieben, wie sich die Standardorganisation auf die einzelnen Dienste auswirkt Werte der Richtlinieneinschränkung, wenn Ordner oder Projekte mithilfe von Datenhoheitskontrollen für Saudi-Arabien. Sonstige anwendbare Einschränkungen, auch wenn sie nicht durch Standard – kann zusätzliche tief greifende Verteidigung bieten um Ihre der Google Cloud-Ressourcen Ihrer Organisation.
Einschränkungen für Cloud-Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.
Einschränkung der Organisationsrichtlinie | Beschreibung |
---|---|
gcp.resourceLocations |
Legen Sie in:us-locations als Listenelement allowedValues fest.Mit diesem Wert wird das Erstellen neuer Ressourcen auf die Nur me-central2 -Wertegruppe. Wenn festgelegt, können keine Ressourcen
die in anderen Regionen, Multiregionen oder Standorten außerhalb
KSA. Weitere Informationen finden Sie in der
Wertgruppen für Organisationsrichtlinien
in der Dokumentation.Wenn Sie diesen Wert ändern, indem Sie ihn weniger restriktiv machen, kann dies zu einer Untergrabung führen. Datenstandort, da Daten außerhalb des Saudi-Arabiens erstellt oder gespeichert werden können Datengrenze. |
gcp.restrictServiceUsage |
Alle unterstützten Dienste zulassen. Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen Siehe Ressourcennutzung für Arbeitslasten einschränken |
Einschränkungen für Compute Engine-Organisationsrichtlinien
Einschränkung der Organisationsrichtlinie | Beschreibung |
---|---|
compute.disableInstanceDataAccessApis |
Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot() .Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie Anmeldedaten auf Windows Server-VMs generieren Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, Folgendes:
|
compute.enableComplianceMemoryProtection |
Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten. |
Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine
Einschränkung der Organisationsrichtlinie | Beschreibung |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten. |
Betroffene Funktionen
In diesem Abschnitt wird aufgeführt, wie sich die Datenhoheitskontrollen für Saudi-Arabien, einschließlich Nutzeranforderungen bei der Verwendung einer Funktion.
Compute Engine Features
Funktion | Beschreibung |
---|---|
Google Cloud Console | Die folgenden Compute Engine-Funktionen sind in der
Google Cloud Console Verwenden Sie die API oder die Google Cloud CLI, sofern verfügbar:
|
instances.getSerialPortOutput() |
Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Organisation „ compute.disableInstanceDataAccessApis “ ändern
Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch
den interaktiven seriellen Port zu aktivieren und zu verwenden.
|
instances.getScreenshot() |
Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Organisation „ compute.disableInstanceDataAccessApis “ ändern
Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch
den interaktiven seriellen Port zu aktivieren und zu verwenden.
|
Features von Cloud Interconnect
Feature | Beschreibung |
---|---|
Hochverfügbarkeits-VPN | Sie müssen VPN-Funktionen für Hochverfügbarkeit aktivieren, wenn Sie die Cloud Interconnect mit Cloud VPN Darüber hinaus müssen Sie die Anforderungen an die Verschlüsselung und Regionalisierung diesem Abschnitt. |
Cloud Storage-Funktionen
Feature | Beschreibung |
---|---|
Google Cloud Console | Es liegt in Ihrer Verantwortung, das Rechtsprechung Google Cloud Console für Datenhoheitskontrollen für Saudi-Arabien Gerichtsbarkeit das Hoch- und Herunterladen von Cloud Storage-Objekten verhindert. Bis Cloud Storage-Objekte hoch- und herunterladen können, finden Sie in den Zeile mit konformen API-Endpunkten. |
Konforme API-Endpunkte | Es liegt in Ihrer Verantwortung, einen der Standortendpunkte mit Cloud Storage Weitere Informationen finden Sie unter Cloud Storage-Speicherorte für erhalten Sie weitere Informationen. |
Cloud VPN-Features
Feature | Beschreibung |
---|---|
Google Cloud Console | Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie das API oder Google Cloud CLI. |
Fußnoten
1. BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie ein neues
Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses. Dieser Vorgang wird normalerweise
endet in zehn Minuten, kann aber unter Umständen auch viel länger dauern. Um zu prüfen, ob die
abgeschlossen ist. Führen Sie die folgenden Schritte aus, um BigQuery zu aktivieren:
- Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.
<ph type="x-smartling-placeholder"></ph> Zu Assured Workloads
- Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus.
- Klicken Sie auf der Seite Ordnerdetails im Abschnitt Zulässige Dienste auf Verfügbare Updates ansehen
- Überprüfen Sie im Bereich Zulässige Dienste die Dienste, die dem
Beschränkung der Ressourcennutzung
Organisationsrichtlinie für den Ordner. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf
Erlauben Sie den Diensten, sie hinzuzufügen.
Wenn die BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgeführt sind, wenden Sie sich Cloud Customer Care
Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner.