Restricciones y limitaciones de los controles soberanos para el Reino de Arabia Saudita (KSA)
En esta página, se describen las restricciones, limitaciones y otras opciones de configuración cuando se usa el paquete de control de controles de soberanía para el Reino de Arabia Saudita (KSA).
Descripción general
El paquete de controles de soberanía para el KSA habilita el control de acceso a los datos y las funciones de residencia de datos para los productos de Google Cloud compatibles. Google restringe o limita algunas de las funciones de estos servicios para que sean compatibles con los controles de soberanía del KSA. La mayoría de estas restricciones y limitaciones se aplican cuando se crea una nueva carpeta de Assured Workloads para controles de soberanía de KSA. Sin embargo, algunos de ellos se pueden cambiar más adelante mediante la modificación de las políticas de la organización. Además, algunas restricciones y limitaciones requieren que el usuario sea responsable de su cumplimiento.
Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio de Google Cloud determinado o afectan el acceso a los datos o su residencia. Por ejemplo, algunas funciones o capacidades pueden inhabilitarse automáticamente para garantizar que se mantengan las restricciones de acceso y la residencia de los datos. Además, si se cambia la configuración de políticas de la organización, puede tener la consecuencia no deseada de copiar datos de una región a otra.
Servicios compatibles
A menos que se indique lo contrario, los usuarios pueden acceder a todos los servicios compatibles a través de la consola de Google Cloud.
Los siguientes servicios son compatibles con los controles de soberanía del Reino de Arabia Saudita (KSA):
Producto admitido | extremos de API | Funciones o políticas de la organización afectadas |
---|---|---|
Aprobación de acceso |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Artifact Registry |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
BigQuery [2] |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Bigtable |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Cloud DNS |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Cloud HSM |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Cloud Interconnect |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Funciones afectadas |
Cloud Key Management Service (Cloud KMS) |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Cloud Load Balancing |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Cloud Logging |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Cloud Monitoring |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Cloud NAT |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Cloud Router |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Cloud SQL |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Cloud Storage |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Cloud VPN |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Compute Engine |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Funciones afectadas y restricciones de las políticas de la organización |
Dataflow |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Dataproc |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Contactos esenciales |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
GKE Hub |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Consola de Google Cloud |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Google Kubernetes Engine |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Funciones afectadas y restricciones de las políticas de la organización |
Administración de identidades y accesos (IAM) |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Identity-Aware Proxy |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Network Connectivity Center |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Servicio de políticas de la organización |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Persistent Disk |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Pub/Sub |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Resource Manager |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Configuración de recursos |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Directorio de servicios |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Spanner |
Extremos de API regionales:
No se admiten los extremos de la API de ubicación. No se admiten extremos de la API globales. | Ninguna |
Nube privada virtual |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Controles del servicio de VPC |
No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API:
| Ninguna |
Políticas de la organización
En esta sección, se describe cómo cada servicio se ve afectado por los valores predeterminados de las restricciones de la política de la organización cuando se crean carpetas o proyectos con controles soberanos para KSA. Otras restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una “defensa en profundidad” adicional para proteger aún más los recursos de Google Cloud de tu organización.
Restricciones de la política de la organización en toda la nube
Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.
Restricción de las políticas de la organización | Descripción |
---|---|
gcp.resourceLocations |
Se establece en in:us-locations como el elemento de lista allowedValues .Este valor restringe la creación de recursos nuevos solo al grupo de valores me-central2 . Cuando se configura, no se pueden crear
recursos en ninguna otra región, multirregión o ubicación fuera de
KSA. Consulta la documentación sobre los grupos de valores de las políticas de la organización para obtener más información.Cambiar este valor haciéndolo menos restrictivo puede socavar la residencia de los datos, ya que permite que estos se creen o almacenen fuera del límite de datos de KSA. |
gcp.restrictServiceUsage |
Configúralo para permitir todos los servicios compatibles. Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Restringe el uso de recursos para cargas de trabajo. |
Restricciones de las políticas de la organización de Compute Engine
Restricción de las políticas de la organización | Descripción |
---|---|
compute.disableInstanceDataAccessApis |
Configurado como True. Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot() .Si habilitas esta política de la organización, no podrás generar credenciales en VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
|
compute.enableComplianceMemoryProtection |
Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos mantener el valor establecido. |
Restricciones de las políticas de la organización de Google Kubernetes Engine
Restricción de las políticas de la organización | Descripción |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Configurado como True. Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la soberanía de los datos de tu carga de trabajo. Te recomendamos mantener el valor establecido. |
Funciones afectadas
En esta sección, se enumera cómo las funciones o capacidades de cada servicio se ven afectadas por los controles soberanos para KSA, incluidos los requisitos del usuario cuando se usa una función.
Características de Compute Engine
Atributo | Descripción |
---|---|
Consola de Google Cloud | Las siguientes funciones de Compute Engine no están disponibles en la
consola de Google Cloud. Usa la API o Google Cloud CLI cuando estén disponibles:
|
instances.getSerialPortOutput() |
Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.
|
instances.getScreenshot() |
Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.
|
Características de Cloud Interconnect
Atributo | Descripción |
---|---|
VPN con alta disponibilidad (HA) | Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando usas Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se enumeran en esta sección. |
Características de Cloud Storage
Atributo | Descripción |
---|---|
Consola de Google Cloud | Es tu responsabilidad usar la consola jurisdiccional de Google Cloud para los controles de soberanía del KSA. La consola Jurisdiccional evita que se suban y descarguen objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la siguiente fila de extremos de la API que cumplen con los requisitos. |
Extremos de API compatibles | Es tu responsabilidad usar uno de los extremos de ubicación con Cloud Storage. Consulta las ubicaciones de Cloud Storage para obtener más información. |
Características de Cloud VPN
Atributo | Descripción |
---|---|
Consola de Google Cloud | Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI. |
Notas al pie
1. BigQuery es compatible, pero no se habilita de forma automática cuando creas una nueva carpeta de Assured Workloads debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página Assured Workloads.
- Selecciona tu nueva carpeta de Assured Workloads de la lista.
- En la página Detalles de la carpeta en la sección Servicios permitidos, haz clic en Revisar las actualizaciones disponibles.
- En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización
Restricción del uso de recursos
de la carpeta. Si aparecen los servicios de BigQuery, haz clic en Permitir servicios para agregarlos.
Si los servicios de BigQuery no aparecen en la lista, espera a que se complete el proceso interno. Si los servicios no aparecen en la lista en un plazo de 12 horas a partir de la creación de la carpeta, comunícate con Atención al cliente de Cloud.
Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta de Assured Workloads.