Restrições e limitações dos controles de soberania no Reino da Arábia Saudita (KSA)

Esta página descreve as restrições, limitações e outras configurações ao usar o pacote de controle dos Controles de Soberania para o Reino da Arábia Saudita (KSA).

Visão geral

O pacote de controles soberanos para o Reino da Arábia Saudita permite o controle de acesso aos dados e recursos de residência para produtos compatíveis do Google Cloud. Alguns desses serviços recursos são restritos ou limitados pelo Google para serem compatíveis com os controles de soberania no Reino da Arábia Saudita. A maioria dessas restrições e são aplicadas ao criar uma nova pasta do Assured Workloads para controles de soberania no Reino da Arábia Saudita. No entanto, alguns deles podem ser alterados posteriormente modificando políticas da organização. Além disso, algumas restrições e limitações exigem responsabilidade do usuário para garantir a adesão.

É importante entender como essas restrições modificam o comportamento de serviço do Google Cloud ou afetar o acesso ou residência de dados. Por exemplo, algumas recursos ou capacidades podem ser automaticamente desativados para garantir que os dados restrições de acesso e residência de dados são mantidas. Além disso, se um a configuração de uma política da organização for alterada, poderá ter a consequência de copiar dados de uma região para outra.

Serviços com suporte

Salvo indicação em contrário, os usuários podem acessar todos os serviços com suporte pelo no console do Google Cloud.

Os serviços a seguir são compatíveis com os controles de soberania do Reino da Arábia Saudita (KSA):

Políticas da organização

Esta seção descreve como cada serviço é afetado pela organização padrão os valores de restrição de política quando pastas ou projetos são criados Controles soberanos para o Reino da Arábia Saudita. Outras restrições aplicáveis, mesmo que não definidas pelo por padrão, podem oferecer "defesa em profundidade" adicional para proteger ainda mais seus os recursos do Google Cloud de uma organização.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.

Restrição da política da organização	Descrição
gcp.resourceLocations	Defina como in:us-locations como o item da lista allowedValues. Esse valor restringe a criação de novos recursos ao Somente grupo de valores me-central2. Quando definido, nenhum recurso pode ser criadas em qualquer outra região, multirregião ou local KSA. Consulte a Grupos de valor da política da organização documentação para mais informações. Alterar esse valor tornando-o menos restritivo pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora da KSA limite de dados.
gcp.restrictServiceUsage	Definido para permitir todos os serviços compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, ver Restrinja o uso de recursos para cargas de trabalho.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
compute.disableInstanceDataAccessApis	Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot(). A ativação dessa política da organização impede que você geração de credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguintes: Ative o SSH para VMs do Windows. Execute o seguinte comando para alterar a senha da VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Substitua o seguinte: VM_NAME: o nome da VM para a qual você está definindo a senha pelas quais USERNAME: o nome do usuário que você está configurando a senha. PASSWORD: a nova senha.
compute.enableComplianceMemoryProtection	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. recomendamos manter o valor definido.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
container.restrictNoncompliantDiagnosticDataAccess	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Mudar esse valor pode afetar a soberania de dados na sua carga de trabalho. recomendamos manter o valor definido.

Recursos afetados

Esta seção lista como os recursos de cada serviço são afetados por Controles soberanos para a Arábia Saudita, incluindo requisitos do usuário ao usar um recurso.

Recursos do Compute Engine

Seleção de	Descrição
Console do Google Cloud	Os seguintes recursos do Compute Engine não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI, quando disponível: Verificações de integridade Grupos de endpoints de rede O SSH baseado em navegador está desativado
instances.getSerialPortOutput()	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mudar a organização compute.disableInstanceDataAccessApis Valor de restrição de política como False para ativar essa API. Você também pode ativar e usar a porta serial interativa;
instances.getScreenshot()	Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API. Mudar a organização compute.disableInstanceDataAccessApis Valor de restrição de política como False para ativar essa API. Você também pode ativar e usar a porta serial interativa;

Recursos do Cloud Interconnect

Recurso	Descrição
VPN de alta disponibilidade (HA)	Ative a funcionalidade da VPN de alta disponibilidade (HA) ao usar Cloud Interconnect com Cloud VPN. Além disso, você precisa aderir às os requisitos de criptografia e regionalização listados em nesta seção.

Recursos do Cloud Storage

Recurso	Descrição
Console do Google Cloud	É sua responsabilidade usar Jurisdicional Console do Google Cloud para controles de soberania no Reino da Arábia Saudita. Jurisdição no console do Cloud impede o upload e o download de objetos do Cloud Storage. Para para fazer o upload e o download dos objetos do Cloud Storage, Linha de endpoints de API em conformidade.
Endpoints de API em conformidade	É sua responsabilidade usar um dos endpoints de localização com Cloud Storage. Consulte Locais do Cloud Storage de mais informações.

Recursos do Cloud VPN

Recurso	Descrição
Console do Google Cloud	Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Usar a API ou Google Cloud CLI.

Notas de rodapé

1. O BigQuery é compatível, mas não é ativado automaticamente quando você cria um novo Pasta do Assured Workloads devido a um processo de configuração interno. Esse processo normalmente termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o for concluído. Para ativar o BigQuery, siga as etapas a seguir:

1. No console do Google Cloud, acesse a página Assured Workloads.

   Acessar o Assured Workloads

2. Selecione sua nova pasta do Assured Workloads na lista.
3. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Analise as atualizações disponíveis.
4. No painel Serviços permitidos, reveja os serviços a serem adicionados ao Restrição de uso de recursos política da organização para a pasta. Se os serviços do BigQuery estiverem listados, clique em Clique em Permitir serviços para adicioná-los.
   
   Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se o serviços não estiverem listados dentro de 12 horas após a criação da pasta, entre em Cloud Customer Care.

Depois que o processo de ativação for concluído, você poderá usar o BigQuery na sua pasta do Assured Workloads.