サウジアラビア王国(KSA)の主権管理に関する制限事項

このページでは、サウジアラビア王国(KSA)の主権管理のコントロール パッケージを使用する際の制限、制限事項、その他の構成オプションについて説明します。

概要

KSA 向け主権管理コントロール パッケージは、サポートされている Google Cloud プロダクトのデータアクセス制御とデータ所在地機能を有効にします。これらのサービスの一部の機能は、サウジアラビアの主権管理に対応するために Google によって制限されています。これらの制限事項のほとんどは、KSA の主権管理用に新しい Assured Workloads フォルダを作成するときに適用されます。ただし、一部の設定は、組織のポリシーを変更することで後で変更できます。また、一部の制限事項については、ユーザーが遵守する責任があります。

これらの制限が特定の Google Cloud サービスの動作を変更する方法や、データアクセスやデータの保存場所に与える影響について理解することが重要です。たとえば、データアクセス制限とデータ所在地が維持されるように、一部の機能が無効になる場合があります。また、組織のポリシー設定を変更すると、リージョン間でデータがコピーされるという意図しない結果が生じる可能性があります。

サポート対象のサービス

特に明記しない限り、ユーザーは Google Cloud コンソールからサポートされているすべてのサービスにアクセスできます。

次のサービスは、サウジアラビア王国(KSA)の主権管理に対応しています。

サポートされているサービス API エンドポイント 制限事項
アクセス承認 リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • accessapproval.googleapis.com
なし
Artifact Registry リージョン API エンドポイント:
  • artifactregistry.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
BigQuery リージョン API エンドポイント:
  • bigquery.me-central2.rep.googleapis.com
  • bigqueryconnection.me-central2.rep.googleapis.com
  • bigqueryreservation.me-central2.rep.googleapis.com
  • bigquerystorage.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Bigtable リージョン API エンドポイント:
  • bigtable.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Google Cloud コンソール リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • なし
なし
Compute Engine リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • compute.googleapis.com
影響を受ける機能組織のポリシーの制約
Cloud DNS リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • dns.googleapis.com
なし
Sensitive Data Protection リージョン API エンドポイント:
  • dlp.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Dataflow リージョン API エンドポイント:
  • dataflow.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Dataproc リージョン API エンドポイント:
  • dataproc.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
重要な連絡先 リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • essentialcontacts.googleapis.com
なし
Filestore リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • file.googleapis.com
なし
Cloud Storage リージョン API エンドポイント:
  • storage.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
影響を受ける機能
Google Kubernetes Engine リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • container.googleapis.com
  • containersecurity.googleapis.com
組織ポリシーの制約
GKE Hub リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • gkehub.googleapis.com
なし
Google Cloud Armor リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • compute.googleapis.com
なし
Cloud HSM リージョン API エンドポイント:
  • cloudkms.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Identity and Access Management(IAM) リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • iam.googleapis.com
なし
Identity-Aware Proxy(IAP) リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • iap.googleapis.com
なし
Cloud Interconnect リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • networkconnectivity.googleapis.com
影響を受ける機能
Cloud Key Management Service(Cloud KMS) リージョン API エンドポイント:
  • cloudkms.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Cloud Load Balancing リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • compute.googleapis.com
なし
Cloud Logging リージョン API エンドポイント:
  • logging.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Cloud Monitoring リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • monitoring.googleapis.com
影響を受ける機能
Cloud NAT リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • networkconnectivity.googleapis.com
なし
Network Connectivity Center リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • networkconnectivity.googleapis.com
なし
組織ポリシー サービス リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • orgpolicy.googleapis.com
なし
Persistent Disk リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • compute.googleapis.com
なし
Pub/Sub リージョン API エンドポイント:
  • pubsub.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Resource Manager リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • cloudresourcemanager.googleapis.com
なし
リソースの設定 リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • resourcesettings.googleapis.com
なし
Cloud Router リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • networkconnectivity.googleapis.com
なし
Cloud Run リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • run.googleapis.com
なし
Cloud SQL リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • sqladmin.googleapis.com
なし
Secret Manager リージョン API エンドポイント:
  • secretmanager.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Service Directory リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • servicedirectory.googleapis.com
なし
Spanner リージョン API エンドポイント:
  • spanner.me-central2.rep.googleapis.com

ロケーション API エンドポイントはサポートされていません。
グローバル API エンドポイントはサポートされていません。
なし
Virtual Private Cloud(VPC) リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • compute.googleapis.com
なし
VPC Service Controls リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • accesscontextmanager.googleapis.com
なし
Cloud VPN リージョン API エンドポイントはサポートされていません。
ロケーション API エンドポイントはサポートされていません。

グローバル API エンドポイント:
  • compute.googleapis.com
影響を受ける機能

組織のポリシー

このセクションでは、KSA の主権管理を使用してフォルダまたはプロジェクトを作成する際に、各サービスがデフォルトの組織のポリシーの制約値によってどのように影響を受けるかについて説明します。デフォルトで設定されていない場合でも、その他の適用可能な制約により、組織の Google Cloud リソースをさらに保護するための「多層防御」を追加できます。

クラウド全体の組織のポリシーの制約

次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。

組織のポリシーの制約 説明
gcp.resourceLocations allowedValues リストアイテムとして in:us-locations に設定します。

この値は、新しいリソースの作成を me-central2 値グループのみに制限します。設定すると、サウジアラビア以外のリージョン、マルチリージョン、ロケーションにリソースを作成できなくなります。詳細については、組織のポリシーの値グループのドキュメントをご覧ください。

制限を緩くしてこの値を変更すると、KSA のデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。
gcp.restrictServiceUsage すべてのサポートされているサービスを許可するように設定します。

有効にして使用できるサービスを決定します。詳細については、ワークロードのリソース使用量を制限するをご覧ください。

Compute Engine 組織のポリシーの制約

組織のポリシーの制約 説明
compute.disableInstanceDataAccessApis True に設定します。

instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。

この組織のポリシーを有効にすると、Windows Server VM で認証情報を生成できなくなります。

Windows VM でユーザー名とパスワードを管理する必要がある場合は、次の操作を行います。
  1. Windows VM 用の SSH を有効にします
  2. 次のコマンドを実行して、VM のパスワードを変更します。
    gcloud compute ssh
    VM_NAME --command "net user USERNAME PASSWORD"
    次のように置き換えます。
    • VM_NAME: パスワードを設定する VM の名前。
    • USERNAME: パスワードを設定するユーザーのユーザー名。
    • PASSWORD: 新しいパスワード。
compute.enableComplianceMemoryProtection True に設定します。

インフラストラクチャ障害が発生したときにメモリ コンテンツを追加で保護するために、一部の内部診断機能を無効にします。

この値を変更すると、ワークロードのデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。

Google Kubernetes Engine 組織のポリシーの制約

組織のポリシーの制約 説明
container.restrictNoncompliantDiagnosticDataAccess True に設定します。

ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にするために使用されます。

この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することをおすすめします。

影響を受ける機能

このセクションでは、各サービスの機能が KSA の主権管理によってどのように影響を受けるかについて説明します。これには、機能の使用時のユーザー要件も含まれます。

Compute Engine の機能

機能 説明
Google Cloud コンソール 次の Compute Engine 機能は、Google Cloud コンソールで使用できません。利用可能な場合は、API または Google Cloud CLI を使用します。

  1. ヘルスチェック
  2. ネットワーク エンドポイント グループ
  3. ブラウザベースの SSH が無効になっている
instances.getSerialPortOutput() この API は無効になっています。この API を使用して指定したインスタンスからシリアルポート出力を取得することはできません。

この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。インタラクティブ シリアルポートを有効にして使用することもできます。
instances.getScreenshot() この API は無効です。この API を使用して指定したインスタンスからスクリーンショットを取得することはできません。

この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。インタラクティブ シリアルポートを有効にして使用することもできます。

Cloud Interconnect の特長

特徴 説明
高可用性(HA)VPN Cloud VPN で Cloud Interconnect を使用する場合は、高可用性(HA)VPN 機能を有効にする必要があります。また、このセクションに記載されている暗号化とリージョン指定の要件にも準拠する必要があります。

Cloud Monitoring の機能

特徴 説明
合成モニター この機能は無効になっています。
稼働時間チェック この機能は無効になっています。
ダッシュボードログパネル ウィジェット この機能は無効になっています。

ダッシュボードにログパネルを追加することはできません。
ダッシュボードError Reporting パネル ウィジェット この機能は無効になっています。

ダッシュボードに Error Reporting パネルを追加することはできません。
EventAnnotation で [ダッシュボード] をフィルタします。 この機能は無効になっています。

EventAnnotation のフィルタはダッシュボードで設定できません。
alertPoliciesSqlCondition この機能は無効になっています。

SqlConditionalertPolicy に追加することはできません。

Cloud Storage の機能

特徴 説明
Google Cloud Console サウジアラビアの主権管理には、管轄区域の Google Cloud コンソールを使用する必要があります。管轄コンソールでは、Cloud Storage オブジェクトのアップロードとダウンロードがブロックされます。Cloud Storage オブジェクトをアップロードおよびダウンロードするには、次の 準拠 API エンドポイントの行をご覧ください。
コンプライアンスを遵守した API エンドポイント Cloud Storage でロケーション エンドポイントのいずれかを使用することはお客様の責任です。詳細については、Cloud Storage のロケーションをご覧ください。

Cloud VPN の機能

特徴 説明
Google Cloud コンソール Cloud VPN の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

脚注

1. BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の操作を行います。

  1. Google Cloud コンソールで、[Assured Workloads] ページに移動します。

    Assured Workloads に移動

  2. リストから新しい Assured Workloads フォルダを選択します。
  3. [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。
  4. [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、 サービスを許可するをクリックし、これを追加します。

    BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。

有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。

Gemini in BigQuery は Assured Workloads ではサポートされていません。