Restrições e limitações dos controles de soberania no Reino da Arábia Saudita (KSA)
Esta página descreve as restrições, limitações e outras opções de configuração ao usar o pacote de controle de controles de soberania do Reino da Arábia Saudita (KSA).
Visão geral
O pacote de controles de soberania da KSA ativa recursos de controle de acesso e residência de dados para produtos compatíveis do Google Cloud. Alguns dos recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com os controles soberanos para a KSA. A maioria dessas restrições e limitações é aplicada ao criar uma nova pasta do Assured Workloads para controles soberanos para KSA. No entanto, algumas delas podem ser alteradas posteriormente com a modificação das políticas da organização. Além disso, algumas restrições e limitações exigem a responsabilidade do usuário pela adesão.
É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam o acesso ou a residência dos dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir que as restrições de acesso aos dados e a residência dos dados sejam mantidas. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.
Serviços compatíveis
Salvo indicação em contrário, os usuários podem acessar todos os serviços compatíveis por meio do console do Google Cloud.
Os seguintes serviços são compatíveis com os controles de soberania do Reino da Arábia Saudita (KSA):
Produto compatível | Endpoints de API | Recursos ou políticas da organização afetados |
---|---|---|
Aprovação de acesso |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Artifact Registry |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
BigQuery [2] |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Bigtable |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Cloud DNS |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Cloud HSM |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Cloud Interconnect |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Recursos afetados |
Cloud Key Management Service (Cloud KMS) |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Cloud Load Balancing |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Cloud Logging |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Cloud Monitoring |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Cloud NAT |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Cloud Router |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Cloud SQL |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Cloud Storage |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Cloud VPN |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Compute Engine |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Recursos afetados e restrições da política da organização |
Dataflow |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Dataproc |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Contatos essenciais |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Hub GKE |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Console do Google Cloud |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Google Kubernetes Engine |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Recursos afetados e restrições da política da organização |
Gerenciamento de identidade e acesso (IAM) |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Identity-Aware Proxy |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Network Connectivity Center |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Organization Policy Service |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Persistent Disk |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Pub/Sub |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Resource Manager |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Configurações de recursos |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Diretório de serviços |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Spanner |
Endpoints regionais da API:
Os endpoints da API Location não são compatíveis. Os endpoints globais da API não são compatíveis. | Nenhuma |
Nuvem privada virtual |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
VPC Service Controls |
Os endpoints de API regionais não são compatíveis. Os endpoints da API Location não são compatíveis. Endpoints globais de API:
| Nenhuma |
Políticas da organização
Nesta seção, descrevemos como cada serviço é afetado pelos valores padrão de restrição da política da organização quando pastas ou projetos são criados com os controles soberanos para a KSA. Outras restrições aplicáveis, mesmo que não definidas por padrão, podem fornecer uma "defesa em profundidade" adicional para proteger ainda mais os recursos do Google Cloud da sua organização.
Restrições da política da organização em toda a nuvem
As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.
Restrição da política da organização | Descrição |
---|---|
gcp.resourceLocations |
Defina como in:us-locations como o item
da lista allowedValues .Esse valor restringe a criação de novos recursos apenas ao grupo de valores me-central2 . Quando definido, nenhum recurso pode ser
criado em outras regiões, multirregiões ou locais fora da
KSA. Consulte a documentação Grupos de valor da política da organização para mais informações.Mudar esse valor tornando-o menos restritivo pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite de dados da KSA. |
gcp.restrictServiceUsage |
Definido para permitir todos os serviços compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho. |
Restrições da política da organização do Compute Engine
Restrição da política da organização | Descrição |
---|---|
compute.disableInstanceDataAccessApis |
Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e
instances.getScreenshot() .A ativação desta política da organização impede a geração de credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte:
|
compute.enableComplianceMemoryProtection |
Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Mudar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido. |
Restrições da política da organização do Google Kubernetes Engine
Restrição da política da organização | Descrição |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. Recomendamos manter o valor definido. |
Recursos afetados
Nesta seção, listamos como os recursos de cada serviço são afetados pelos Controles soberanos para a KSA, incluindo requisitos do usuário ao usar um recurso.
Recursos do Compute Engine
Engenharia de | Descrição |
---|---|
Console do Google Cloud | Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI, quando disponível:
|
instances.getSerialPortOutput() |
Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Você também pode ativar e usar a porta serial interativa.
|
instances.getScreenshot() |
Essa API está desativada. Você não receberá uma captura de tela da
instância especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Você também pode ativar e usar a porta serial interativa.
|
Recursos do Cloud Interconnect
Engenharia de | Descrição |
---|---|
VPN de alta disponibilidade (HA) | Ative a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, é preciso aderir aos requisitos de criptografia e regionalização listados nesta seção. |
Recursos do Cloud Storage
Engenharia de | Descrição |
---|---|
Console do Google Cloud | É sua responsabilidade usar o Console jurisdicional do Google Cloud para controles de soberania na KSA. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a seguinte linha de endpoints de API em conformidade. |
Endpoints de API em conformidade | Você é responsável por usar um dos endpoints de localização com o Cloud Storage. Consulte os locais do Cloud Storage para mais informações. |
Recursos do Cloud VPN
Engenharia de | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI. |
Notas de rodapé
1. O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Esse processo normalmente termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o
processo foi concluído e ativar o BigQuery, siga estas etapas:
- No console do Google Cloud, acesse a página Assured Workloads.
- Selecione sua nova pasta do Assured Workloads na lista.
- Na página Detalhes da pasta, na seção Serviços permitidos, clique em Analisar atualizações disponíveis.
- No painel Serviços permitidos, revise os serviços a serem adicionados à política da organização Restrição de uso de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em
Permitir serviços para adicioná-los.
Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care.
Depois que o processo de ativação for concluído, será possível usar o BigQuery na sua pasta do Assured Workloads.