Questa pagina è stata tradotta dall'API Cloud Translation.

Restrizioni e limitazioni per i controlli di sovranità per il Regno dell'Arabia Saudita

Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizza il pacchetto di controlli sovrani per il Regno dell'Arabia Saudita (KSA).

Panoramica

Il pacchetto di controlli sovrani per l'Arabia Saudita abilita il controllo dell'accesso ai dati e le funzionalità di residenza dei dati per i prodotti Google Cloud supportati. Alcune funzionalità di questi servizi sono limitate o vietate da Google per essere compatibili con i controlli sovrani per l'Arabia Saudita. La maggior parte di queste limitazioni viene applicata durante la creazione di una nuova cartella Assured Workloads per i controlli di sovranità per l'Arabia Saudita. Tuttavia, alcune di queste possono essere modificate in un secondo momento modificando i criteri dell'organizzazione. Inoltre, alcune limitazioni e restrizioni richiedono la responsabilità dell'utente per l'adeguamento.

È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sull'accesso ai dati o sulla residenza dei dati. Ad esempio, alcune funzionalità o alcune opzioni potrebbero essere disattivate automaticamente per garantire il rispetto delle limitazioni di accesso ai dati e della residenza dei dati. Inoltre, se un'impostazione dei criteri dell'organizzazione viene modificata, la conseguenza indesiderata potrebbe essere la copia dei dati da una regione all'altra.

Servizi supportati

Salvo diversa indicazione, gli utenti possono accedere a tutti i servizi supportati tramite la console Google Cloud.

I seguenti servizi sono compatibili con i Controlli di sovranità per il Regno dell'Arabia Saudita (KSA):

Prodotto supportato	Endpoint API	Restrizioni o limitazioni
Approvazione accesso	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: accessapproval.googleapis.com	Nessuno
Artifact Registry	Endpoint API regionali: artifactregistry.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
BigQuery	Endpoint API regionali: bigquery.me-central2.rep.googleapis.com bigqueryconnection.me-central2.rep.googleapis.com bigqueryreservation.me-central2.rep.googleapis.com bigquerystorage.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Bigtable	Endpoint API regionali: bigtable.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Console Google Cloud	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: N/D	Nessuno
Compute Engine	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Cloud DNS	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: dns.googleapis.com	Nessuno
Sensitive Data Protection	Endpoint API regionali: dlp.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Dataflow	Endpoint API regionali: dataflow.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Dataproc	Endpoint API regionali: dataproc.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Contatti fondamentali	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: essentialcontacts.googleapis.com	Nessuno
Filestore	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: file.googleapis.com	Nessuno
Cloud Storage	Endpoint API regionali: storage.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Funzionalità interessate
Google Kubernetes Engine	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: container.googleapis.com containersecurity.googleapis.com	Vincoli dei criteri dell'organizzazione
GKE Hub	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: gkehub.googleapis.com	Nessuno
Google Cloud Armor	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Nessuno
Cloud HSM	Endpoint API regionali: cloudkms.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Identity and Access Management (IAM)	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: iam.googleapis.com	Nessuno
Identity-Aware Proxy (IAP)	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: iap.googleapis.com	Nessuno
Cloud Interconnect	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Cloud Key Management Service (Cloud KMS)	Endpoint API regionali: cloudkms.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Cloud Load Balancing	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Nessuno
Cloud Logging	Endpoint API regionali: logging.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Cloud Monitoring	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: monitoring.googleapis.com	Funzionalità interessate
Cloud NAT	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Nessuno
Network Connectivity Center	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Nessuno
Servizio Criteri dell'organizzazione	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: orgpolicy.googleapis.com	Nessuno
Persistent Disk	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Nessuno
Pub/Sub	Endpoint API regionali: pubsub.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Resource Manager	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: cloudresourcemanager.googleapis.com	Nessuno
Impostazioni risorse	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: resourcesettings.googleapis.com	Nessuno
Cloud Router	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Nessuno
Cloud Run	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: run.googleapis.com	Nessuno
Cloud SQL	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: sqladmin.googleapis.com	Nessuno
Secret Manager	Endpoint API regionali: secretmanager.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Service Directory	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: servicedirectory.googleapis.com	Nessuno
Spanner	Endpoint API regionali: spanner.me-central2.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Nessuno
Virtual Private Cloud (VPC)	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Nessuno
Controlli di servizio VPC	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: accesscontextmanager.googleapis.com	Nessuno
Cloud VPN	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate

Criteri dell'organizzazione

Questa sezione descrive in che modo ogni servizio è interessato dai valori predefiniti dei vincoli delle norme dell'organizzazione quando vengono create cartelle o progetti utilizzando i controlli sovrani per il Regno dell'Arabia Saudita. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.

Vincoli dei criteri dell'organizzazione a livello di cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo dei criteri dell'organizzazione Descrizione

gcp.resourceLocations Imposta in:us-locations come elemento dell'elenco allowedValues.

Questo valore limita la creazione di nuove risorse solo al gruppo di valori me-central2. Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori del KSA. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori delle norme dell'organizzazione.

La modifica di questo valore rendendolo meno restrittivo potrebbe minare la residenza dei dati consentendo la creazione o la memorizzazione dei dati al di fuori del confine dei dati dell'Arabia Saudita.

gcp.restrictServiceUsage Impostato per consentire tutti i servizi supportati.

Determina quali servizi possono essere attivati e utilizzati. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.

Vincolo dei criteri dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta `in:us-locations` come elemento dell'elenco `allowedValues`. Questo valore limita la creazione di nuove risorse solo al gruppo di valori `me-central2`. Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori del KSA. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori delle norme dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe minare la residenza dei dati consentendo la creazione o la memorizzazione dei dati al di fuori del confine dei dati dell'Arabia Saudita.
`gcp.restrictServiceUsage`	Impostato per consentire tutti i servizi supportati. Determina quali servizi possono essere attivati e utilizzati. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo dei criteri dell'organizzazione Descrizione

Vincolo dei criteri dell'organizzazione	Descrizione
`compute.disableInstanceDataAccessApis`	Imposta su True. Disattiva a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`. L'attivazione di questo criterio dell'organizzazione impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, svolgi i seguenti passaggi: Attiva SSH per le VM Windows. Esegui il comando seguente per modificare la password della VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sostituisci quanto segue: `VM_NAME`: il nome della VM per cui stai impostando la password. `USERNAME`: il nome utente dell'utente per cui stai impostando la password. `PASSWORD`: la nuova password.
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria in caso di guasto dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.

compute.disableInstanceDataAccessApis

Imposta su True.

Disattiva a livello globale le API instances.getSerialPortOutput() e instances.getScreenshot().

L'attivazione di questo criterio dell'organizzazione impedisce di generare credenziali sulle VM Windows Server.

Se devi gestire un nome utente e una password su una VM Windows, svolgi i seguenti passaggi:

Attiva SSH per le VM Windows.
Esegui il comando seguente per modificare la password della VM:
```
gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
```
Sostituisci quanto segue:
- VM_NAME: il nome della VM per cui stai impostando la password.
- USERNAME: il nome utente dell'utente per cui stai impostando la password.
- PASSWORD: la nuova password.

compute.enableComplianceMemoryProtection Imposta su True.

Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria in caso di guasto dell'infrastruttura.

La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.

Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Viene utilizzato per disattivare l'analisi aggregata dei problemi del kernel, che è necessaria per mantenere il controllo sovrano di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.

Funzionalità interessate

Questa sezione elenca in che modo le funzionalità o le capacità di ciascun servizio sono interessate dai controlli sovrani per l'Arabia Saudita, inclusi i requisiti utente per l'utilizzo di una funzionalità.

Funzionalità di Compute Engine

Funzionalità	Descrizione
Console Google Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI, se disponibile: Controlli di integrità Gruppi di endpoint di rete L'SSH basato su browser è disattivato
`instances.getSerialPortOutput()`	Questa API è disattivata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva.

Funzionalità di Cloud Interconnect

Funzionalità	Descrizione
VPN ad alta disponibilità	Devi attivare la funzionalità VPN ad alta disponibilità (HA) quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati in questa sezione.

Funzionalità di Cloud Monitoring

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controllo di uptime	Questa funzionalità è disattivata.
Widget del riquadro dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un riquadro dei log a una dashboard.
Widget del riquadro di segnalazione degli errori in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un riquadro per i report sugli errori a una dashboard.
Filtra in `EventAnnotation` per Dashboard	Questa funzionalità è disattivata. Il filtro di `EventAnnotation` non può essere impostato in una dashboard.
`SqlCondition` in `alertPolicies`	Questa funzionalità è disattivata. Non puoi aggiungere un `SqlCondition` a un `alertPolicy`.

Funzionalità di Cloud Storage

Funzionalità	Descrizione
Console Google Cloud	È tua responsabilità utilizzare la console Google Cloud giurisdizionale per i controlli sovrani per l'Arabia Saudita. La console per le giurisdizioni impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi	È responsabilità dell'utente utilizzare uno degli endpoint posizione con Cloud Storage. Per maggiori informazioni, consulta la pagina Località di Cloud Storage.

Funzionalità di Cloud VPN

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità Cloud VPN non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Note a piè di pagina

1. BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova cartella Assured Workloads a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per attivare BigQuery, svolgi i seguenti passaggi:

Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti.
Vai ad Assured Workloads
Seleziona la nuova cartella Assured Workloads dall'elenco.
Nella pagina Dettagli della cartella della sezione Servizi consentiti, fai clic su Esamina gli aggiornamenti disponibili.
Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se i servizi BigQuery sono elencati, fai clic su Consenti servizi per aggiungerli.

Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud.

Al termine della procedura di abilitazione, puoi utilizzare BigQuery nella cartella Assured Workloads.

Gemini in BigQuery non è supportato da Assured Workloads.