Restrições e limitações dos controles de soberania no Reino da Arábia Saudita (KSA)
Esta página descreve as restrições, limitações e outras configurações ao usar o pacote de controle dos Controles de Soberania para o Reino da Arábia Saudita (KSA).
Visão geral
O pacote de controles soberanos para o Reino da Arábia Saudita permite o controle de acesso aos dados e recursos de residência para produtos compatíveis do Google Cloud. Alguns desses serviços recursos são restritos ou limitados pelo Google para serem compatíveis com os controles de soberania no Reino da Arábia Saudita. A maioria dessas restrições e são aplicadas ao criar uma nova pasta do Assured Workloads para controles de soberania no Reino da Arábia Saudita. No entanto, alguns deles podem ser alterados posteriormente modificando políticas da organização. Além disso, algumas restrições e limitações exigem responsabilidade do usuário para garantir a adesão.
É importante entender como essas restrições modificam o comportamento de serviço do Google Cloud ou afetar o acesso ou residência de dados. Por exemplo, algumas recursos ou capacidades podem ser automaticamente desativados para garantir que os dados restrições de acesso e residência de dados são mantidas. Além disso, se um a configuração de uma política da organização for alterada, poderá ter a consequência de copiar dados de uma região para outra.
Serviços com suporte
Salvo indicação em contrário, os usuários podem acessar todos os serviços com suporte pelo no console do Google Cloud.
Os serviços a seguir são compatíveis com os controles de soberania do Reino da Arábia Saudita (KSA):
Produto compatível | Endpoints de API | Recursos ou políticas da organização afetados |
---|---|---|
Aprovação de acesso |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Artifact Registry |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
BigQuery [2] |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Bigtable |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Cloud DNS |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Cloud HSM |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Cloud Interconnect |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Recursos afetados |
Cloud Key Management Service (Cloud KMS) |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Cloud Load Balancing |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Cloud Logging |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Cloud Monitoring |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Cloud NAT |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Cloud Router |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Cloud SQL |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Cloud Storage |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Cloud VPN |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Compute Engine |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Recursos afetados e as restrições das políticas da organização |
Dataflow |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Dataproc |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Contatos essenciais |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Hub GKE |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Console do Google Cloud |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Google Kubernetes Engine |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Recursos afetados e as restrições das políticas da organização |
Gerenciamento de identidade e acesso (IAM) |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Identity-Aware Proxy |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Network Connectivity Center |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Organization Policy Service |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Persistent Disk |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Pub/Sub |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Resource Manager |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Configurações de recursos |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Diretório de serviços |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Spanner |
Endpoints de API regionais:
Os endpoints da API Location não são compatíveis. Os endpoints de API globais não são compatíveis. | Nenhum |
Nuvem privada virtual |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
VPC Service Controls |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhum |
Políticas da organização
Esta seção descreve como cada serviço é afetado pela organização padrão os valores de restrição de política quando pastas ou projetos são criados Controles soberanos para o Reino da Arábia Saudita. Outras restrições aplicáveis, mesmo que não definidas pelo por padrão, podem oferecer "defesa em profundidade" adicional para proteger ainda mais seus os recursos do Google Cloud de uma organização.
Restrições da política da organização em toda a nuvem
As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.
Restrição da política da organização | Descrição |
---|---|
gcp.resourceLocations |
Defina como in:us-locations como o item
da lista allowedValues .Esse valor restringe a criação de novos recursos ao Somente grupo de valores me-central2 . Quando definido, nenhum recurso pode ser
criadas em qualquer outra região, multirregião ou local
KSA. Consulte a
Grupos de valor da política da organização
documentação para mais informações.Alterar esse valor tornando-o menos restritivo pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora da KSA limite de dados. |
gcp.restrictServiceUsage |
Definido para permitir todos os serviços compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, ver Restrinja o uso de recursos para cargas de trabalho. |
Restrições da política da organização do Compute Engine
Restrição da política da organização | Descrição |
---|---|
compute.disableInstanceDataAccessApis |
Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e
instances.getScreenshot() .A ativação dessa política da organização impede que você geração de credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguintes:
|
compute.enableComplianceMemoryProtection |
Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. recomendamos manter o valor definido. |
Restrições da política da organização do Google Kubernetes Engine
Restrição da política da organização | Descrição |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Mudar esse valor pode afetar a soberania de dados na sua carga de trabalho. recomendamos manter o valor definido. |
Recursos afetados
Esta seção lista como os recursos de cada serviço são afetados por Controles soberanos para a Arábia Saudita, incluindo requisitos do usuário ao usar um recurso.
Recursos do Compute Engine
Seleção de | Descrição |
---|---|
Console do Google Cloud | Os seguintes recursos do Compute Engine não estão disponíveis no
console do Google Cloud. Use a API ou a Google Cloud CLI, quando disponível:
|
instances.getSerialPortOutput() |
Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mudar a organização compute.disableInstanceDataAccessApis
Valor de restrição de política como False para ativar essa API. Você também pode
ativar e usar a porta serial interativa;
|
instances.getScreenshot() |
Essa API está desativada. Você não receberá uma captura de tela da
instância especificada usando essa API. Mudar a organização compute.disableInstanceDataAccessApis
Valor de restrição de política como False para ativar essa API. Você também pode
ativar e usar a porta serial interativa;
|
Recursos do Cloud Interconnect
Recurso | Descrição |
---|---|
VPN de alta disponibilidade (HA) | Ative a funcionalidade da VPN de alta disponibilidade (HA) ao usar Cloud Interconnect com Cloud VPN. Além disso, você precisa aderir às os requisitos de criptografia e regionalização listados em nesta seção. |
Recursos do Cloud Storage
Recurso | Descrição |
---|---|
Console do Google Cloud | É sua responsabilidade usar Jurisdicional Console do Google Cloud para controles de soberania no Reino da Arábia Saudita. Jurisdição no console do Cloud impede o upload e o download de objetos do Cloud Storage. Para para fazer o upload e o download dos objetos do Cloud Storage, Linha de endpoints de API em conformidade. |
Endpoints de API em conformidade | É sua responsabilidade usar um dos endpoints de localização com Cloud Storage. Consulte Locais do Cloud Storage de mais informações. |
Recursos do Cloud VPN
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Usar a API ou Google Cloud CLI. |
Notas de rodapé
1. O BigQuery é compatível, mas não é ativado automaticamente quando você cria um novo
Pasta do Assured Workloads devido a um processo de configuração interno. Esse processo normalmente
termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o
for concluído. Para ativar o BigQuery, siga as etapas a seguir:
- No console do Google Cloud, acesse a página Assured Workloads.
- Selecione sua nova pasta do Assured Workloads na lista.
- Na página Detalhes da pasta, na seção Serviços permitidos, clique em Analise as atualizações disponíveis.
- No painel Serviços permitidos, reveja os serviços a serem adicionados ao
Restrição de uso de recursos
política da organização para a pasta. Se os serviços do BigQuery estiverem listados, clique em
Clique em Permitir serviços para adicioná-los.
Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se o serviços não estiverem listados dentro de 12 horas após a criação da pasta, entre em Cloud Customer Care.
Depois que o processo de ativação for concluído, você poderá usar o BigQuery na sua pasta do Assured Workloads.