Batasan dan batasan untuk Sovereign Controls untuk Kerajaan Arab Saudi (KSA)

Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan paket kontrol Sovereign Controls for Kingdom of Saudi Arabia (KSA).

Ringkasan

Paket kontrol Sovereign Controls for KSA memungkinkan kontrol akses data dan fitur residensi data untuk produk Google Cloud yang didukung. Beberapa fitur layanan ini dibatasi atau dibatasi oleh Google agar kompatibel dengan Sovereign Controls untuk KSA. Sebagian besar batasan dan pembatasan ini diterapkan saat membuat folder Assured Workloads baru untuk Sovereign Controls untuk KSA. Namun, beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi. Selain itu, beberapa batasan dan pembatasan memerlukan tanggung jawab pengguna untuk kepatuhan.

Penting untuk memahami bagaimana batasan ini mengubah perilaku untuk layanan Google Cloud tertentu atau memengaruhi akses data atau residensi data. Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memastikan bahwa pembatasan akses data dan retensi data dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, tindakan ini dapat menyebabkan konsekuensi yang tidak diinginkan, yaitu menyalin data dari satu region ke region lain.

Layanan yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua layanan yang didukung melalui konsol Google Cloud.

Layanan berikut kompatibel dengan Sovereign Controls untuk Kerajaan Arab Saudi (KSA):

Kebijakan organisasi

Bagian ini menjelaskan pengaruh setiap layanan terhadap nilai batasan kebijakan organisasi default saat folder atau project dibuat menggunakan Sovereign Controls untuk KSA. Batasan lain yang berlaku—meskipun tidak ditetapkan secara default—dapat memberikan "pertahanan menyeluruh" tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Batasan kebijakan organisasi di seluruh cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan kebijakan organisasi	Deskripsi
gcp.resourceLocations	Tetapkan ke in:us-locations sebagai item daftar allowedValues. Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai me-central2. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar KSA. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya. Mengubah nilai ini dengan membuatnya kurang membatasi dapat berpotensi melemahkan residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data KSA.
gcp.restrictServiceUsage	Tetapkan untuk mengizinkan semua layanan yang didukung. Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
compute.disableInstanceDataAccessApis	Tetapkan ke True. Menonaktifkan instances.getSerialPortOutput() dan instances.getScreenshot() API secara global. Mengaktifkan kebijakan organisasi ini akan mencegah Anda membuat kredensial di VM Windows Server. Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan hal berikut: Aktifkan SSH untuk Windows VM. Jalankan perintah berikut untuk mengubah sandi VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Ganti kode berikut: VM_NAME: Nama VM yang akan Anda tetapkan sandinya. USERNAME: Nama pengguna yang sandinya Anda tetapkan. PASSWORD: Sandi baru.
compute.enableComplianceMemoryProtection	Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kerusakan infrastruktur. Mengubah nilai ini dapat memengaruhi retensi data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan kebijakan organisasi	Deskripsi
container.restrictNoncompliantDiagnosticDataAccess	Tetapkan ke True. Digunakan untuk menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol kedaulatan atas beban kerja. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya tetap gunakan nilai yang ditetapkan.

Fitur yang terpengaruh

Bagian ini mencantumkan pengaruh Kontrol Berdaulat untuk KSA terhadap fitur atau kemampuan setiap layanan, termasuk persyaratan pengguna saat menggunakan fitur.

Fitur Compute Engine

Fitur	Deskripsi
Konsol Google Cloud	Fitur Compute Engine berikut tidak tersedia di konsol Google Cloud. Gunakan API atau Google Cloud CLI jika tersedia: Health check Grup endpoint jaringan SSH berbasis browser dinonaktifkan
instances.getSerialPortOutput()	API ini dinonaktifkan; Anda tidak akan dapat mendapatkan output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif.
instances.getScreenshot()	API ini dinonaktifkan; Anda tidak akan dapat mendapatkan screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif.

Fitur Cloud Interconnect

Fitur	Deskripsi
VPN ketersediaan tinggi (HA)	Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian ini.

Fitur Cloud Monitoring

Fitur	Deskripsi
Synthetic Monitor	Fitur ini dinonaktifkan.
Pemeriksaan uptime	Fitur ini dinonaktifkan.
Widget panel log di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di EventAnnotation untuk Dasbor	Fitur ini dinonaktifkan. Filter EventAnnotation tidak dapat ditetapkan di dasbor.
SqlCondition di alertPolicies	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan SqlCondition ke alertPolicy.

Fitur Cloud Storage

Fitur	Deskripsi
Konsol Google Cloud	Anda bertanggung jawab untuk menggunakan Konsol Google Cloud Yurisdiksi untuk Kontrol Berdaulat untuk KSA. Konsol Wilayah Hukum mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Endpoint API yang mematuhi kebijakan berikut.
Endpoint API yang mematuhi kebijakan	Anda bertanggung jawab untuk menggunakan salah satu endpoint lokasi dengan Cloud Storage. Lihat Lokasi Cloud Storage untuk mengetahui informasi selengkapnya.

Fitur Cloud VPN

Fitur	Deskripsi
Konsol Google Cloud	Fitur Cloud VPN tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Catatan kaki

1. BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Workload Terjamin baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dalam beberapa situasi dapat memerlukan waktu lebih lama. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut:

1. Di konsol Google Cloud, buka halaman Workloads Terjamin.

   Buka Assured Workloads

2. Pilih folder Assured Workloads baru dari daftar.
3. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates.
4. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Batasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya.
   
   Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care.

Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Workload Terjamin.

Gemini di BigQuery tidak didukung oleh Assured Workloads.