Restrictions et limites concernant les contrôles souverains pour le Royaume d'Arabie saoudite (Arabie saoudite)
Cette page décrit les restrictions, les limites et les autres options de configuration lorsque vous utilisez le package de contrôle Sovereign Controls pour le Royaume d'Arabie saoudite (Arabie saoudite).
Présentation
Le package de contrôles souverains pour le Royaume d'Arabie saoudite permet de contrôle des accès aux données les fonctionnalités de résidence pour les produits Google Cloud compatibles. Certains de ces services sont restreintes ou limitées par Google afin d'être compatible avec les contrôles souverains pour le Royaume d'Arabie saoudite. La plupart de ces restrictions et Les limites s'appliquent lors de la création d'un dossier Assured Workloads des contrôles souverains pour le Royaume d'Arabie saoudite. Toutefois, certaines d'entre elles peuvent être modifiées ultérieurement en modifiant les règles de l'organisation. De plus, certaines restrictions et limites sont de la responsabilité des utilisateurs.
Il est important de comprendre comment ces restrictions modifient le comportement service Google Cloud ou affectent l'accès aux données résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir le respect des restrictions d'accès aux données et de la résidence des données. En outre, si un paramètre de règle d'administration est modifié, il peut en résulter la conséquence imprévue de copie de données d'une région à une autre.
Services compatibles
Sauf indication contraire, les utilisateurs peuvent accéder à tous les services compatibles via la console Google Cloud.
Les services suivants sont compatibles avec les contrôles souverains pour le Royaume d'Arabie saoudite :
Produit compatible | points de terminaison de l'API | Restrictions ou limitations |
---|---|---|
Access Approval |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Artifact Registry |
Points de terminaison régionaux de l'API:
Les points de terminaison d'API localisés ne sont pas acceptés. Les points de terminaison d'API globaux ne sont pas compatibles. |
Aucun |
BigQuery |
Points de terminaison régionaux de l'API:
Les points de terminaison d'API localisés ne sont pas acceptés. Les points de terminaison d'API globaux ne sont pas compatibles. |
Aucun |
Bigtable |
Points de terminaison d'API régionaux :
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison d'API globaux ne sont pas compatibles. |
Aucun |
Google Cloud Console |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Compute Engine |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux :
|
Fonctionnalités concernées et contraintes liées aux règles d'administration |
Cloud DNS |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Dataflow |
Points de terminaison régionaux de l'API:
Les points de terminaison d'API localisés ne sont pas acceptés. Les points de terminaison d'API globaux ne sont pas compatibles. |
Aucun |
Dataproc |
Points de terminaison régionaux de l'API:
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison globaux de l'API ne sont pas acceptés. |
Aucun |
Contacts essentiels |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Filestore |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Cloud Storage |
Points de terminaison d'API régionaux :
Les points de terminaison d'API localisés ne sont pas acceptés. Les points de terminaison globaux de l'API ne sont pas acceptés. |
Fonctionnalités concernées |
Google Kubernetes Engine |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Contraintes liées aux règles d'administration |
GKE Hub |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Cloud HSM |
Points de terminaison d'API régionaux :
Les points de terminaison d'API localisés ne sont pas acceptés. Les points de terminaison globaux de l'API ne sont pas acceptés. |
Aucun |
Identity and Access Management (IAM) |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Identity-Aware Proxy (IAP) |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Cloud Interconnect |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux :
|
Fonctionnalités concernées |
Cloud Key Management Service (Cloud KMS) |
Points de terminaison régionaux de l'API:
Les points de terminaison d'API localisés ne sont pas acceptés. Les points de terminaison globaux de l'API ne sont pas acceptés. |
Aucun |
Cloud Load Balancing |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Cloud Logging |
Points de terminaison régionaux de l'API:
Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison globaux de l'API ne sont pas acceptés. |
Aucun |
Cloud Monitoring |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Cloud NAT |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Network Connectivity Center |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Service de règles d'organisation |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Persistent Disk |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Pub/Sub |
Points de terminaison d'API régionaux :
Les points de terminaison d'API localisés ne sont pas acceptés. Les points de terminaison d'API globaux ne sont pas compatibles. |
Aucun |
Resource Manager |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Paramètres de ressources |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Cloud Router |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Cloud Run |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux :
|
Aucun |
Cloud SQL |
Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Annuaire des services |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Spanner |
Points de terminaison d'API régionaux :
Les points de terminaison d'API localisés ne sont pas acceptés. Les points de terminaison globaux de l'API ne sont pas acceptés. |
Aucun |
Cloud privé virtuel (VPC) |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
VPC Service Controls |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API:
|
Aucun |
Cloud VPN |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux :
|
Fonctionnalités concernées |
Règles d'administration
Cette section décrit l'impact des valeurs de contrainte de règle d'administration par défaut sur chaque service lorsque des dossiers ou des projets sont créés à l'aide de Sovereign Controls pour l'Arabie saoudite. Autres contraintes applicables, même si elles ne sont pas définies par par défaut, qui offre une protection supplémentaire pour mieux protéger aux ressources Google Cloud de votre organisation.
Contraintes liées aux règles d'administration au niveau du cloud
Les contraintes des règles d'administration suivantes s'appliquent à tous les services Google Cloud applicables.
Contrainte liée aux règles d'administration | Description |
---|---|
gcp.resourceLocations |
Définir sur in:us-locations pour allowedValues
un élément de liste.Cette valeur limite la création de ressources Groupe de valeurs me-central2 uniquement. Lorsqu'il est défini, aucune ressource ne peut être créée dans d'autres régions, multirégions ou emplacements en dehors de l'Arabie saoudite. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration.Si vous modifiez cette valeur en la rendant moins restrictive, vous risquez d'affaiblir cette la résidence des données en autorisant la création ou le stockage de données en dehors du Royaume d'Arabie saoudite. limite de données. |
gcp.restrictServiceUsage |
Autorisez tous les services compatibles. Détermine les services pouvant être activés et utilisés. Pour plus d'informations, voir Limitez l'utilisation des ressources pour les charges de travail. |
Contraintes liées aux règles d'administration Compute Engine
Contrainte liée aux règles d'administration | Description |
---|---|
compute.disableInstanceDataAccessApis |
Défini sur True. Désactive globalement instances.getSerialPortOutput() et
instances.getScreenshot() .L'activation de cette règle d'administration vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit :
|
compute.enableComplianceMemoryProtection |
Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour assurer une protection supplémentaire du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. nous recommande de conserver la valeur définie. |
Contraintes liées aux règles de l'organisation Google Kubernetes Engine
Contrainte liée aux règles d'administration | Description |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données de votre charge de travail. nous recommande de conserver la valeur définie. |
Fonctionnalités concernées
Cette section indique comment les fonctionnalités de chaque service sont affectées par les contrôles souverains pour l'Arabie saoudite, y compris les exigences des utilisateurs lors de l'utilisation d'une fonctionnalité.
Fonctionnalités de Compute Engine
Extraction | Description |
---|---|
console Google Cloud | Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud. Utilisez l'API ou la Google Cloud CLI, le cas échéant:
|
instances.getSerialPortOutput() |
Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Modifier l'organisation compute.disableInstanceDataAccessApis
la valeur de la contrainte de règle sur False pour activer cette API. Vous pouvez également
activer et utiliser le port série interactif.
|
instances.getScreenshot() |
Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.
|
Fonctionnalités de Cloud Interconnect
Caractéristique | Description |
---|---|
VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité (HA) lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation présentées dans cette section. |
Fonctionnalités de Cloud Storage
Caractéristique | Description |
---|---|
console Google Cloud | Il est de votre responsabilité d'utiliser Juridictionnel Console Google Cloud pour les contrôles souverains pour le Royaume d'Arabie saoudite. La console Jurisdictional empêche l'importation et le téléchargement d'objets Cloud Storage. À pour importer et télécharger des objets Cloud Storage, consultez les ressources suivantes : Ligne Points de terminaison de l'API conformes. |
Points de terminaison d'API conformes | Il est de votre responsabilité d'utiliser l'un des points de terminaison locaux avec Cloud Storage. Voir Emplacements Cloud Storage pour plus d'informations. |
Fonctionnalités de Cloud VPN
Caractéristique | Description |
---|---|
console Google Cloud | Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
Notes de bas de page
1. BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier de charges de travail assurées en raison d'un processus de configuration interne. Ce processus
normalement
se termine en dix minutes, mais peut prendre beaucoup plus de temps dans certaines circonstances. Pour vérifier si le processus est terminé et pour activer BigQuery, procédez comme suit :
- Dans la console Google Cloud, accédez à la page Assured Workloads.
- Sélectionnez votre nouveau dossier Assured Workloads dans la liste.
- Dans la section Services autorisés de la page Détails du dossier, cliquez sur Examinez les mises à jour disponibles.
- Dans le volet Services autorisés, examinez les services à ajouter à la règle d'administration Restrictions d'utilisation des ressources pour le dossier. Si des services BigQuery sont listés, cliquez sur Allow Services (Autoriser les services) pour les ajouter.
Si les services BigQuery ne sont pas répertoriés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud.
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads.
Gemini dans BigQuery n'est pas compatible avec Assured Workloads.