サウジアラビア王国(KSA)の主権管理に関する制限事項
このページでは、サウジアラビア王国(KSA)の主権管理のコントロール パッケージを使用する際の制限、制限事項、その他の構成オプションについて説明します。
概要
KSA 向け主権管理コントロール パッケージは、サポートされている Google Cloud プロダクトのデータアクセス制御とデータ所在地機能を有効にします。これらのサービスの一部の機能は、サウジアラビアの主権管理に対応するために Google によって制限されています。これらの制限事項のほとんどは、KSA の主権管理用に新しい Assured Workloads フォルダを作成するときに適用されます。ただし、一部の設定は、組織のポリシーを変更することで後で変更できます。また、一部の制限事項については、ユーザーが遵守する責任があります。
これらの制限が特定の Google Cloud サービスの動作を変更する方法や、データアクセスやデータの保存場所に与える影響について理解することが重要です。たとえば、データアクセス制限とデータ所在地が維持されるように、一部の機能が無効になる場合があります。また、組織のポリシー設定を変更すると、リージョン間でデータがコピーされるという意図しない結果が生じる可能性があります。
サポート対象のサービス
特に明記しない限り、ユーザーは Google Cloud コンソールからサポートされているすべてのサービスにアクセスできます。
次のサービスは、サウジアラビア王国(KSA)の主権管理に対応しています。
サポートされているサービス | API エンドポイント | 制限事項 |
---|---|---|
アクセス承認 |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Artifact Registry |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
BigQuery |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Bigtable |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Google Cloud コンソール |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Compute Engine |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能と組織のポリシーの制約 |
Cloud DNS |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Sensitive Data Protection |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Dataflow |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Dataproc |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
重要な連絡先 |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Filestore |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Cloud Storage |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
影響を受ける機能 |
Google Kubernetes Engine |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
組織ポリシーの制約 |
GKE Hub |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Google Cloud Armor |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Cloud HSM |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Identity and Access Management(IAM) |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Identity-Aware Proxy(IAP) |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Cloud Interconnect |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
Cloud Key Management Service(Cloud KMS) |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Cloud Load Balancing |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Cloud Logging |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Cloud Monitoring |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
Cloud NAT |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Network Connectivity Center |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
組織ポリシー サービス |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Persistent Disk |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Pub/Sub |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Resource Manager |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
リソースの設定 |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Cloud Router |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Cloud Run |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Cloud SQL |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Secret Manager |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Service Directory |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Spanner |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイントはサポートされていません。 |
なし |
Virtual Private Cloud(VPC) |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
VPC Service Controls |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
Cloud VPN |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
組織のポリシー
このセクションでは、KSA の主権管理を使用してフォルダまたはプロジェクトを作成する際に、各サービスがデフォルトの組織のポリシーの制約値によってどのように影響を受けるかについて説明します。デフォルトで設定されていない場合でも、その他の適用可能な制約により、組織の Google Cloud リソースをさらに保護するための「多層防御」を追加できます。
クラウド全体の組織のポリシーの制約
次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。
組織のポリシーの制約 | 説明 |
---|---|
gcp.resourceLocations |
allowedValues リストアイテムとして in:us-locations に設定します。この値は、新しいリソースの作成を me-central2 値グループのみに制限します。設定すると、サウジアラビア以外のリージョン、マルチリージョン、ロケーションにリソースを作成できなくなります。詳細については、組織のポリシーの値グループのドキュメントをご覧ください。制限を緩くしてこの値を変更すると、KSA のデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。 |
gcp.restrictServiceUsage |
すべてのサポートされているサービスを許可するように設定します。 有効にして使用できるサービスを決定します。詳細については、ワークロードのリソース使用量を制限するをご覧ください。 |
Compute Engine 組織のポリシーの制約
組織のポリシーの制約 | 説明 |
---|---|
compute.disableInstanceDataAccessApis |
True に設定します。instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。この組織のポリシーを有効にすると、Windows Server VM で認証情報を生成できなくなります。 Windows VM でユーザー名とパスワードを管理する必要がある場合は、次の操作を行います。
|
compute.enableComplianceMemoryProtection |
True に設定します。 インフラストラクチャ障害が発生したときにメモリ コンテンツを追加で保護するために、一部の内部診断機能を無効にします。 この値を変更すると、ワークロードのデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。 |
Google Kubernetes Engine 組織のポリシーの制約
組織のポリシーの制約 | 説明 |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
True に設定します。 ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にするために使用されます。 この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することをおすすめします。 |
影響を受ける機能
このセクションでは、各サービスの機能が KSA の主権管理によってどのように影響を受けるかについて説明します。これには、機能の使用時のユーザー要件も含まれます。
Compute Engine の機能
機能 | 説明 |
---|---|
Google Cloud コンソール | 次の Compute Engine 機能は、Google Cloud コンソールで使用できません。利用可能な場合は、API または Google Cloud CLI を使用します。
|
instances.getSerialPortOutput() |
この API は無効になっています。この API を使用して指定したインスタンスからシリアルポート出力を取得することはできません。 この API を有効にするには、 compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。インタラクティブ シリアルポートを有効にして使用することもできます。 |
instances.getScreenshot() |
この API は無効です。この API を使用して指定したインスタンスからスクリーンショットを取得することはできません。 この API を有効にするには、 compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。インタラクティブ シリアルポートを有効にして使用することもできます。 |
Cloud Interconnect の特長
特徴 | 説明 |
---|---|
高可用性(HA)VPN | Cloud VPN で Cloud Interconnect を使用する場合は、高可用性(HA)VPN 機能を有効にする必要があります。また、このセクションに記載されている暗号化とリージョン指定の要件にも準拠する必要があります。 |
Cloud Monitoring の機能
特徴 | 説明 |
---|---|
合成モニター | この機能は無効になっています。 |
稼働時間チェック | この機能は無効になっています。 |
ダッシュボードのログパネル ウィジェット | この機能は無効になっています。 ダッシュボードにログパネルを追加することはできません。 |
ダッシュボードの Error Reporting パネル ウィジェット | この機能は無効になっています。 ダッシュボードに Error Reporting パネルを追加することはできません。 |
EventAnnotation で [ダッシュボード] をフィルタします。 |
この機能は無効になっています。EventAnnotation のフィルタはダッシュボードで設定できません。 |
alertPolicies の SqlCondition |
この機能は無効になっています。SqlCondition を alertPolicy に追加することはできません。
|
Cloud Storage の機能
特徴 | 説明 |
---|---|
Google Cloud Console | サウジアラビアの主権管理には、管轄区域の Google Cloud コンソールを使用する必要があります。管轄コンソールでは、Cloud Storage オブジェクトのアップロードとダウンロードがブロックされます。Cloud Storage オブジェクトをアップロードおよびダウンロードするには、次の 準拠 API エンドポイントの行をご覧ください。 |
コンプライアンスを遵守した API エンドポイント | Cloud Storage でロケーション エンドポイントのいずれかを使用することはお客様の責任です。詳細については、Cloud Storage のロケーションをご覧ください。 |
Cloud VPN の機能
特徴 | 説明 |
---|---|
Google Cloud コンソール | Cloud VPN の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。 |
脚注
1. BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の操作を行います。
- Google Cloud コンソールで、[Assured Workloads] ページに移動します。
- リストから新しい Assured Workloads フォルダを選択します。
- [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。
- [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、
サービスを許可するをクリックし、これを追加します。
BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。
有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。
Gemini in BigQuery は Assured Workloads ではサポートされていません。