Einschränkungen der Datenhoheitskontrollen für Saudi-Arabien

Auf dieser Seite werden die Einschränkungen, Einschränkungen und weiteren Konfigurationsoptionen für die Verwendung des Steuerelements „Datenhoheitskontrollen für Saudi-Arabien“ (KSA) beschrieben.

Überblick

Das Kontrollpaket für die Datenhoheitskontrollen für KSA aktiviert Funktionen für die Datenzugriffssteuerung und Datenstandortfunktionen für unterstützte Google Cloud-Produkte. Einige Funktionen dieser Dienste werden von Google eingeschränkt oder eingeschränkt, um mit der Steuerung der Datenhoheit in Saudi-Arabien kompatibel zu sein. Die meisten dieser Einschränkungen und Einschränkungen werden beim Erstellen eines neuen Assured Workloads-Ordners für Datenhoheitskontrollen für KSA angewendet. Einige von ihnen können jedoch später durch die Anpassung von Organisationsrichtlinien geändert werden. Außerdem erfordern einige Einschränkungen und Einschränkungen die Nutzerverantwortung für die Einhaltung.

Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud-Dienst verändern oder sich auf den Datenzugriff oder den Datenstandort auswirken. Beispielsweise können einige Features oder Funktionen automatisch deaktiviert werden, um die Datenzugriffsbeschränkungen und den Datenstandort aufrechtzuerhalten. Wenn eine Einstellung für eine Organisationsrichtlinie geändert wird, kann dies darüber hinaus unbeabsichtigt dazu führen, dass Daten von einer Region in eine andere kopiert werden.

Unterstützte Dienste

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Dienste zugreifen.

Die folgenden Dienste sind mit Datenhoheitskontrollen für Saudi-Arabien kompatibel:

Unterstütztes Produkt API-Endpunkte Betroffene Funktionen oder Organisationsrichtlinien
Zugriffsgenehmigung Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • accessapproval.googleapis.com
 Ohne
Artifact Registry Regionale API-Endpunkte:
  • artifactregistry.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
BigQuery [2] Regionale API-Endpunkte:
  • bigquery.me-central2.googleapis.com
  • bigqueryconnection.me-central2.googleapis.com
  • bigqueryreservation.me-central2.googleapis.com
  • bigquerystorage.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Bigtable Regionale API-Endpunkte:
  • bigtable.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Cloud DNS Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • dns.googleapis.com
 Ohne
Cloud HSM Regionale API-Endpunkte:
  • cloudkms.me-central2.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Cloud Interconnect Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Cloud Key Management Service (Cloud KMS) Regionale API-Endpunkte:
  • cloudkms.me-central2.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Cloud Load Balancing Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Ohne
Cloud Logging Regionale API-Endpunkte:
  • logging.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Cloud Monitoring Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • monitoring.googleapis.com
 Ohne
Cloud NAT Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Ohne
Cloud Router Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Ohne
Cloud SQL Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • sqladmin.googleapis.com
 Ohne
Cloud Storage Regionale API-Endpunkte:
  • storage.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Cloud VPN Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Ohne
Compute Engine Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Features und Einschränkungen für Organisationsrichtlinien
Dataflow Regionale API-Endpunkte:
  • dataflow.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Dataproc Regionale API-Endpunkte:
  • dataproc.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Wichtige Kontakte Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • essentialcontacts.googleapis.com
 Ohne
GKE Hub Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • gkehub.googleapis.com
 Ohne
Google Cloud Console Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • N/A
 Ohne
Google Kubernetes Engine Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Betroffene Features und Einschränkungen für Organisationsrichtlinien
Identitäts- und Zugriffsverwaltung Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • iam.googleapis.com
 Ohne
Identity-Aware Proxy Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • iap.googleapis.com
 Ohne
Network Connectivity Center Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Ohne
Organisationsrichtliniendienst Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • orgpolicy.googleapis.com
 Ohne
Persistent Disk Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Ohne
Pub/Sub Regionale API-Endpunkte:
  • pubsub.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Resource Manager Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • cloudresourcemanager.googleapis.com
 Ohne
Ressourceneinstellungen Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • resourcesettings.googleapis.com
 Ohne
Service Directory Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • servicedirectory.googleapis.com
 Ohne
Cloud Spanner Regionale API-Endpunkte:
  • spanner.me-central2.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Ohne
Virtual Private Cloud Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • vpcaccess.googleapis.com
 Ohne
VPC Service Controls Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • accesscontextmanager.googleapis.com
 Ohne

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich die standardmäßigen Einschränkungswerte für Organisationsrichtlinien auf jeden Dienst auswirken, wenn Ordner oder Projekte mit der Steuerung der Datenhoheit für Saudi-Arabien erstellt werden. Andere anwendbare Einschränkungen – auch wenn sie nicht standardmäßig festgelegt sind – können zusätzliche „gestaffelte Sicherheitsebenen“ bieten, um die Google Cloud-Ressourcen Ihrer Organisation noch besser zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.

Einschränkung der Organisationsrichtlinie Beschreibung
gcp.resourceLocations Legen Sie in:us-locations als Listenelement allowedValues fest.

Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die Wertegruppe me-central2. Wenn dies festgelegt ist, können keine Ressourcen in anderen Regionen, Multiregionen oder Standorten außerhalb von Saudi-Arabien erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.

Wenn Sie diesen Wert durch weniger restriktiver Wert ändern, wird möglicherweise der Datenstandort untergraben, da Daten außerhalb der Datengrenze in Saudi-Arabien erstellt oder gespeichert werden können.
gcp.restrictServiceUsage Alle unterstützten Dienste zulassen.

Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung
compute.disableInstanceDataAccessApis Auf True festlegen.

Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().

Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren.

Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor:
  1. Aktivieren Sie SSH für Windows-VMs.
  2. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: 
    gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
    Ersetzen Sie Folgendes:
    • VM_NAME: Der Name der VM, für die Sie das Passwort festlegen.
    • USERNAME: Der Nutzername des Nutzers, für den Sie das Passwort festlegen.
    • PASSWORD: Das neue Passwort.
compute.enableComplianceMemoryProtection Auf True festlegen.

Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten.

Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Einschränkung der Organisationsrichtlinie Beschreibung
container.restrictNoncompliantDiagnosticDataAccess Auf True festlegen.

Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten.

Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.

Betroffene Funktionen

In diesem Abschnitt wird aufgeführt, wie sich die Steuerung der Datenhoheit in Saudi-Arabien auf die Features und Funktionen der einzelnen Dienste auswirkt, einschließlich Nutzeranforderungen bei der Verwendung eines Features.

Compute Engine Features

Feature Beschreibung
Google Cloud Console Die folgenden Compute Engine-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI, sofern verfügbar:

  1. Systemdiagnosen
  2. Netzwerk-Endpunktgruppen
  3. Browserbasiertes SSH ist deaktiviert
instances.getSerialPortOutput() Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen.

Ändern Sie den Wert der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden.
instances.getScreenshot() Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten.

Ändern Sie den Wert der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden.

Features von Cloud Interconnect

Feature Beschreibung
Hochverfügbarkeits-VPN Sie müssen VPN-Funktionalität für Hochverfügbarkeit aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Darüber hinaus müssen Sie die in diesem Abschnitt aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten.

Cloud Storage-Funktionen

Feature Beschreibung
Google Cloud Console Es liegt in Ihrer Verantwortung, die Google Cloud Console der Gerichtsbarkeit für die Datenhoheitskontrollen in Saudi-Arabien zu verwenden. Die Konsole für die Rechtsprechung verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hoch- und Herunterladen von Cloud Storage-Objekten finden Sie in der folgenden Zeile für konforme API-Endpunkte.
Konforme API-Endpunkte Sie sind dafür verantwortlich, einen der Standortendpunkte mit Cloud Storage zu verwenden. Weitere Informationen finden Sie unter Cloud Storage-Standorte.

Cloud VPN-Features

Feature Beschreibung
Google Cloud Console Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Fußnoten

1. BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses erstellen. Dieser Vorgang ist normalerweise innerhalb von zehn Minuten abgeschlossen, kann unter Umständen aber auch viel länger dauern. Mit den folgenden Schritten können Sie prüfen, ob der Vorgang abgeschlossen ist, und BigQuery aktivieren:

  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu Assured Workloads

  2. Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Abschnitt Zulässige Dienste auf Verfügbare Updates ansehen.
  4. Prüfen Sie im Bereich Zulässige Dienste die Dienste, die der Organisationsrichtlinie Ressourcennutzungsbeschränkung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.

    Wenn die BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Falls die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgelistet werden, wenden Sie sich an Cloud Customer Care.

Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.