Restricciones y limitaciones de los controles soberanos para el Reino de Arabia Saudita (KSA)

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando usas el paquete de controles de soberanía para el Reino de Arabia Saudita (KSA).

Descripción general

El paquete de controles de soberanía para KSA habilita el control de acceso a los datos y las funciones de residencia de datos para los productos de Google Cloud compatibles. Algunos de estos servicios funciones están restringidas o limitadas por Google compatibles con los controles soberanos para KSA. La mayoría de estas restricciones y se aplican limitaciones cuando se crea una nueva carpeta de Assured Workloads de controles soberanos para el Reino de Arabia Saudita. Sin embargo, algunas de ellas se pueden cambiar más adelante si se modifican las políticas de la organización. Además, algunas restricciones y limitaciones requieren responsabilidad del usuario para garantizar el cumplimiento.

Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio determinado de Google Cloud o afectan el acceso a los datos o la residencia de datos. Por ejemplo, algunos características o capacidades pueden inhabilitarse automáticamente para garantizar que los datos se mantienen las restricciones de acceso y la residencia de los datos. Además, si se cambia la configuración de una política de la organización, podría tener la consecuencia no deseada de copiar datos de una región a otra.

Servicios compatibles

Salvo que se indique lo contrario, los usuarios pueden acceder a todos los servicios admitidos a través de la consola de Google Cloud.

Los siguientes servicios son compatibles con los controles de soberanía para el Reino de Arabia Saudita (KSA):

Producto compatible extremos de API Restricciones o limitaciones
Aprobación de acceso No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • accessapproval.googleapis.com
Ninguno
Artifact Registry Extremos de la API regionales:
  • artifactregistry.me-central2.rep.googleapis.com

No se admiten los extremos de la API de Locational.
No se admiten los extremos de la API global.
Ninguno
BigQuery Extremos de API regional:
  • bigquery.me-central2.rep.googleapis.com
  • bigqueryconnection.me-central2.rep.googleapis.com
  • bigqueryreservation.me-central2.rep.googleapis.com
  • bigquerystorage.me-central2.rep.googleapis.com

No se admiten los extremos de la API de Locational.
Los extremos de API globales no son compatibles.
Ninguno
Bigtable Extremos de API regional:
  • bigtable.me-central2.rep.googleapis.com

No se admiten los extremos de API de ubicación.
No se admiten los extremos de la API global.
Ninguno
Consola de Google Cloud No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos globales de la API:
  • N/A
Ninguno
Compute Engine No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • compute.googleapis.com
Funciones afectadas y restricciones de las políticas de la organización
Cloud DNS No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • dns.googleapis.com
Ninguno
Dataflow Extremos de API regional:
  • dataflow.me-central2.rep.googleapis.com

No se admiten los extremos de API de ubicación.
Los extremos de la API globales no son compatibles.
Ninguno
Dataproc Extremos de la API regionales:
  • dataproc.me-central2.rep.googleapis.com

No se admiten los extremos de la API de Locational.
No se admiten los extremos de la API global.
Ninguno
Contactos esenciales No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • essentialcontacts.googleapis.com
Ninguno
Filestore No se admiten extremos de API regionales.
No se admiten los extremos de la API de Locational.

Extremos globales de la API:
  • file.googleapis.com
Ninguno
Cloud Storage Extremos de API regional:
  • storage.me-central2.rep.googleapis.com

No se admiten los extremos de la API de Locational.
No se admiten los extremos de la API global.
Funciones afectadas
Google Kubernetes Engine No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • container.googleapis.com
  • containersecurity.googleapis.com
Restricciones de las políticas de la organización
GKE Hub No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • gkehub.googleapis.com
Ninguno
Cloud HSM Extremos de la API regionales:
  • cloudkms.me-central2.rep.googleapis.com

No se admiten los extremos de API de ubicación.
No se admiten los extremos de la API global.
Ninguno
Administración de identidades y accesos (IAM) No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • iam.googleapis.com
Ninguno
Identity-Aware Proxy (IAP) No se admiten los extremos de la API regional.
No se admiten los extremos de la API de ubicación.

Extremos de API globales:
  • iap.googleapis.com
Ninguno
Cloud Interconnect No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • networkconnectivity.googleapis.com
Funciones afectadas
Cloud Key Management Service (Cloud KMS) Extremos de API regional:
  • cloudkms.me-central2.rep.googleapis.com

No se admiten los extremos de API de ubicación.
No se admiten los extremos de la API global.
Ninguno
Cloud Load Balancing No se admiten extremos de API regionales.
No se admiten los extremos de la API de ubicación.

Extremos de API globales:
  • compute.googleapis.com
Ninguno
Cloud Logging Extremos de API regional:
  • logging.me-central2.rep.googleapis.com

No se admiten los extremos de la API de Locational.
No se admiten los extremos de la API global.
Ninguno
Cloud Monitoring No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • monitoring.googleapis.com
Funciones afectadas
Cloud NAT No se admiten extremos de API regionales.
No se admiten los extremos de la API de ubicación.

Extremos de API globales:
  • networkconnectivity.googleapis.com
Ninguno
Network Connectivity Center No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • networkconnectivity.googleapis.com
Ninguno
Servicio de políticas de la organización No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • orgpolicy.googleapis.com
Ninguno
Persistent Disk No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • compute.googleapis.com
Ninguno
Pub/Sub Extremos de API regional:
  • pubsub.me-central2.rep.googleapis.com

No se admiten los extremos de la API de Locational.
Los extremos de API globales no son compatibles.
Ninguno
Resource Manager No se admiten extremos de API regionales.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • cloudresourcemanager.googleapis.com
Ninguno
Configuración de recursos No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos globales de la API:
  • resourcesettings.googleapis.com
Ninguno
Cloud Router No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • networkconnectivity.googleapis.com
Ninguno
Cloud Run No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • run.googleapis.com
Ninguno
Cloud SQL No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • sqladmin.googleapis.com
Ninguno
Directorio de servicios No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • servicedirectory.googleapis.com
Ninguno
Spanner Extremos de API regional:
  • spanner.me-central2.rep.googleapis.com

No se admiten los extremos de API de ubicación.
Los extremos de API globales no son compatibles.
Ninguno
Nube privada virtual (VPC) No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • compute.googleapis.com
Ninguno
Controles del servicio de VPC No se admiten extremos de API regionales.
No se admiten los extremos de la API de ubicación.

Extremos globales de la API:
  • accesscontextmanager.googleapis.com
Ninguno
Cloud VPN No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • compute.googleapis.com
Funciones afectadas

Políticas de la organización

En esta sección, se describe la forma en que la organización predeterminada afecta cada servicio valores de restricción de política cuando se crean carpetas o proyectos Controles soberanos para el Reino de Arabia Saudita. Otras restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una “defensa en profundidad” adicional para proteger aún más los recursos de Google Cloud de tu organización.

Restricciones de la política de la organización en toda la nube

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización Descripción
gcp.resourceLocations Se establece en in:us-locations como el elemento de lista allowedValues.

Este valor restringe la creación de recursos nuevos solo al grupo de valores me-central2. Cuando se establece, no se pueden creados en cualquier otra región, multirregión o ubicación fuera de el Reino de Arabia Saudita (KSA). Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información.

Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera del límite de datos de Arabia Saudita.
gcp.restrictServiceUsage Se establece para permitir todos los servicios compatibles.

Determina qué servicios se pueden habilitar y usar. Para obtener más información, ver Restringe el uso de recursos para cargas de trabajo.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización Descripción
compute.disableInstanceDataAccessApis Configurado como True.

Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot().

Si habilitas esta política de la organización, no podrás realizar las siguientes acciones: genera credenciales en VMs de Windows Server.

Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: lo siguiente:
  1. Habilita SSH para VMs de Windows.
  2. Ejecuta el siguiente comando para cambiar la contraseña de la VM:
    gcloud compute ssh
    VM_NAME --command "net user USERNAME PASSWORD"
    Reemplaza lo siguiente:
    • VM_NAME: Es el nombre de la VM para la que configuras la contraseña.
    • USERNAME: El nombre de usuario del usuario que estás configurando la contraseña.
    • PASSWORD: La contraseña nueva
compute.enableComplianceMemoryProtection Configurado como True.

Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura.

Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización Descripción
container.restrictNoncompliantDiagnosticDataAccess Configurado como True.

Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo.

Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Funciones afectadas

En esta sección, se enumera cómo las funciones o capacidades de cada servicio se ven afectadas por los controles de soberanía de Arabia Saudita, incluidos los requisitos de los usuarios cuando usan una función.

Características de Compute Engine

Atributo Descripción
Consola de Google Cloud Las siguientes funciones de Compute Engine no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI cuando esté disponible:

  1. Verificaciones de estado
  2. Grupos de extremos de red
  3. La conexión SSH basada en el navegador está inhabilitada
instances.getSerialPortOutput() Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.
instances.getScreenshot() Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.

Características de Cloud Interconnect

Atributo Descripción
VPN con alta disponibilidad (HA) Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en esta sección.

Funciones de Cloud Monitoring

Atributo Descripción
Monitor sintético Se inhabilitó esta función.
Verificación del tiempo de actividad Se inhabilitó esta función.
Widgets del panel de registro en Paneles Esta función está inhabilitada.

No puedes agregar un panel de registros a un o un panel dinámico más robusto.
Widgets del panel de Error Reporting en Paneles Esta función está inhabilitada.

No puedes agregar un informe de errores un panel nuevo a un panel.
Filtra en EventAnnotation por Paneles. Esta función está inhabilitada.

No se puede configurar el filtro de EventAnnotation en un panel.
SqlCondition en alertPolicies Esta función está inhabilitada.

No puedes agregar un SqlCondition a un alertPolicy.

Características de Cloud Storage

Atributo Descripción
Consola de Google Cloud Es tu responsabilidad usar la consola de Google Cloud jurisdiccional para los controles soberanos de Arabia Saudita. La consola de Jurisdictional impide subir y descargar objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la siguiente Fila Extremos de API que cumplan con los requisitos.
Extremos de API compatibles Es tu responsabilidad usar uno de los extremos de ubicación con Cloud Storage. Para obtener más información, consulta Ubicaciones de Cloud Storage.

Características de Cloud VPN

Atributo Descripción
Consola de Google Cloud Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Pies de página

1. BigQuery es compatible, pero no se habilita automáticamente cuando creas un nuevo Carpeta de Assured Workloads debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si finalice y, para habilitar BigQuery, completa los siguientes pasos:

  1. En la consola de Google Cloud, ve a la página Assured Workloads.

    Ve a Assured Workloads

  2. Selecciona tu nueva carpeta de Assured Workloads de la lista.
  3. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisa las actualizaciones disponibles.
  4. En el panel Servicios permitidos, revisa los servicios que deseas agregar al Restricción del uso de recursos política de la organización para la carpeta. Si aparecen los servicios de BigQuery, haz clic en Permite que los servicios los agreguen.

    Si no aparecen los servicios de BigQuery, espera a que se complete el proceso interno. Si el botón no aparecen en un plazo de 12 horas a partir de la creación de la carpeta, comunícate con Atención al cliente de Cloud.

Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta Assured Workloads.

Gemini en BigQuery no es compatible con Assured Workloads.