Restricciones y limitaciones de los controles soberanos para el Reino de Arabia Saudita (KSA)
En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando usas el paquete de controles de soberanía para el Reino de Arabia Saudita (KSA).
Descripción general
El paquete de controles de Sovereign Controls for KSA habilita el control de acceso a los datos y las funciones de residencia de datos para los productos Google Cloud compatibles. Google restringe o limita algunas de las funciones de estos servicios para que sean compatibles con los controles soberanos de Arabia Saudita. La mayoría de estas restricciones y limitaciones se aplican cuando se crea una nueva carpeta de Assured Workloads para Controles soberanos para el Reino de Arabia Saudita. Sin embargo, algunas de ellas se pueden cambiar más adelante si se modifican las políticas de la organización. Además, algunas restricciones y limitaciones requieren la responsabilidad del usuario para su cumplimiento.
Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio determinado de Google Cloud o afectan el acceso a los datos o la residencia de datos. Por ejemplo, algunas funciones o capacidades pueden inhabilitarse de forma automática para garantizar que se mantengan las restricciones de acceso a los datos y la residencia de datos. Además, si se cambia la configuración de una política de la organización, podría tener la consecuencia no deseada de copiar datos de una región a otra.
Servicios compatibles
A menos que se indique lo contrario, los usuarios pueden acceder a todos los servicios compatibles a través de la consola de Google Cloud.
Los siguientes servicios son compatibles con los Controles soberanos del Reino de Arabia Saudita (KSA):
Producto compatible | extremos de API | Restricciones o limitaciones |
---|---|---|
Aprobación de acceso |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Artifact Registry |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
BigQuery |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Bigtable |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Consola de Google Cloud |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Compute Engine |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Funciones afectadas y restricciones de las políticas de la organización |
Cloud DNS |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Sensitive Data Protection |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Dataflow |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Dataproc |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Contactos esenciales |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Filestore |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Cloud Storage |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Funciones afectadas |
Google Kubernetes Engine |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Restricciones de las políticas de la organización |
GKE Hub |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Google Cloud Armor |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Cloud HSM |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Administración de identidades y accesos (IAM) |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Identity-Aware Proxy (IAP) |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Cloud Interconnect |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Funciones afectadas |
Cloud Key Management Service (Cloud KMS) |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Cloud Load Balancing |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Cloud Logging |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Cloud Monitoring |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Funciones afectadas |
Cloud NAT |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Network Connectivity Center |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Servicio de políticas de la organización |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Persistent Disk |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Pub/Sub |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Resource Manager |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Configuración de recursos |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Cloud Router |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Cloud Run |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Cloud SQL |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Secret Manager |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Directorio de servicios |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Spanner |
Extremos de la API regionales:
No se admiten los extremos de API de ubicación. Los extremos de la API globales no son compatibles. |
Ninguno |
Nube privada virtual (VPC) |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Controles del servicio de VPC |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Ninguno |
Cloud VPN |
No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos de API globales:
|
Funciones afectadas |
Políticas de la organización
En esta sección, se describe cómo los servicios se ven afectados por los valores de restricciones de la política predeterminada de la organización cuando se crean carpetas o proyectos mediante Controles de soberanía para Arabia Saudita. Otras restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una “defensa en profundidad” adicional para proteger aún más los recursos Google Cloud de tu organización.
Restricciones de la política de la organización en toda la nube
Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.
Restricción de las políticas de la organización | Descripción |
---|---|
gcp.resourceLocations |
Se establece en in:sa-locations como el elemento de lista allowedValues .Este valor restringe la creación de recursos nuevos solo al grupo de valores me-central2 . Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de Arabia Saudita. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información.Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera del límite de datos de Arabia Saudita. |
gcp.restrictServiceUsage |
Se establece para permitir todos los servicios compatibles. Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Cómo restringir el uso de recursos para las cargas de trabajo. |
Restricciones de las políticas de la organización de Compute Engine
Restricción de las políticas de la organización | Descripción |
---|---|
compute.disableGlobalLoadBalancing |
Configurado como True. Inhabilita la creación de balanceadores de cargas globales. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido. |
compute.disableInstanceDataAccessApis |
Configurado como True. Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot() .Si habilitas esta política de la organización, no podrás generar credenciales en VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
|
compute.enableComplianceMemoryProtection |
Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido. |
Restricciones de las políticas de la organización de Google Kubernetes Engine
Restricción de las políticas de la organización | Descripción |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Configurado como True. Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido. |
Funciones afectadas
En esta sección, se enumera cómo las funciones o capacidades de cada servicio se ven afectadas por los controles de soberanía de Arabia Saudita, incluidos los requisitos de los usuarios cuando usan una función.
Funciones de Bigtable
Función | Descripción |
---|---|
Data Boost | Se inhabilitó esta función. |
Características de Compute Engine
Atributo | Descripción |
---|---|
Consola de Google Cloud | Las siguientes funciones de Compute Engine no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI cuando esté disponible:
|
Agrega un grupo de instancias a un balanceador de cargas global | No puedes agregar un grupo de instancias a un balanceador de cargas global. La restricción de la política de la organización compute.disableGlobalLoadBalancing inhabilita esta función.
|
instances.getSerialPortOutput() |
Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.
|
instances.getScreenshot() |
Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.
|
Características de Cloud Interconnect
Función | Descripción |
---|---|
VPN con alta disponibilidad (HA) | Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en esta sección. |
Funciones de Cloud Monitoring
Función | Descripción |
---|---|
Monitor sintético | Se inhabilitó esta función. |
Verificación del tiempo de actividad | Se inhabilitó esta función. |
Widgets del panel de registros en Paneles de control | Esta función está inhabilitada. No puedes agregar un panel de registro a un panel. |
Widgets del panel de informes de errores en Paneles | Esta función está inhabilitada. No puedes agregar un panel de informes de errores a un panel. |
Filtra en
EventAnnotation
por Paneles.
|
Esta función está inhabilitada. No se puede configurar el filtro de EventAnnotation en un panel.
|
SqlCondition
en alertPolicies
|
Esta función está inhabilitada. No puedes agregar un SqlCondition a un alertPolicy .
|
Características de Cloud Storage
Función | Descripción |
---|---|
Consola de Google Cloud | Es tu responsabilidad usar la consola de Google Cloud jurisdiccional para los controles soberanos de Arabia Saudita. La consola de Jurisdictional impide subir y descargar objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la siguiente fila de Extremos de API que cumplen con los requisitos. |
Extremos de API que cumplen con las políticas | Es tu responsabilidad usar uno de los extremos de ubicación con Cloud Storage. Para obtener más información, consulta Ubicaciones de Cloud Storage. |
Funciones de Cloud VPN
Función | Descripción |
---|---|
Consola de Google Cloud | Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI. |
Pies de página
1. BigQuery es compatible, pero no se habilita automáticamente cuando creas una nueva
carpeta de cargas de trabajo aseguradas debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página Assured Workloads.
- Selecciona tu nueva carpeta de Assured Workloads en la lista.
- En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisar actualizaciones disponibles.
- En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización Restringir el uso de recursos de la carpeta. Si los servicios de BigQuery aparecen en la lista, haz clic en Permitir servicios para agregarlos.
Si no aparecen los servicios de BigQuery, espera a que se complete el proceso interno. Si los servicios no aparecen en la lista en un plazo de 12 horas después de crear la carpeta, comunícate con Atención al cliente de Cloud.
Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta Assured Workloads.
Assured Workloads no es compatible con Gemini en BigQuery.