Einschränkungen und Limitierungen für Datenhoheitskontrollen für Saudi-Arabien
Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie das Kontrollpaket für Souveränitätskontrollen für das Königreich Saudi-Arabien verwenden.
Übersicht
Mit dem Kontrollpaket „Datenhoheitskontrollen für Saudi-Arabien“ können Sie die Datenzugriffssteuerung und die Funktionen für den Datenstandort für unterstützte Google Cloud Produkte aktivieren. Einige Funktionen dieser Dienste sind von Google eingeschränkt oder begrenzt, um mit den Sovereign Controls für Saudi-Arabien kompatibel zu sein. Die meisten dieser Einschränkungen werden angewendet, wenn ein neuer Assured Workloads-Ordner für Datenhoheitskontrollen für Saudi-Arabien erstellt wird. Einige davon können jedoch später geändert werden, indem Sie die Organisationsrichtlinien anpassen. Außerdem sind Nutzer für die Einhaltung einiger Einschränkungen und Beschränkungen selbst verantwortlich.
Es ist wichtig zu verstehen, wie sich diese Einschränkungen auf das Verhalten eines bestimmten Google Cloud Dienstes auswirken oder den Datenzugriff oder den Datenstandort beeinflussen. Einige Features oder Funktionen können beispielsweise automatisch deaktiviert werden, um die Einschränkungen des Datenzugriffs und den Datenstandort beizubehalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.
Unterstützte Dienste
Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Dienste zugreifen.
Die folgenden Dienste sind mit Sovereign Controls für das Königreich Saudi-Arabien kompatibel:
Unterstütztes Produkt | API-Endpunkte | Einschränkungen |
---|---|---|
Zugriffsgenehmigung |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Artifact Registry |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
BigQuery |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Bigtable |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Google Cloud Console |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Compute Engine |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
Cloud DNS |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Sensitive Data Protection |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Dataflow |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Dataproc |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Wichtige Kontakte |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Filestore |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Storage |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Betroffene Funktionen |
Google Kubernetes Engine |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Einschränkungen für Organisationsrichtlinien |
GKE Hub |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Google Cloud Armor |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud HSM |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Identitäts- und Zugriffsverwaltung |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Identity-Aware Proxy (IAP) |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Interconnect |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Cloud Key Management Service (Cloud KMS) |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Cloud Load Balancing |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Logging |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Cloud Monitoring |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Cloud NAT |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Network Connectivity Center |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Organisationsrichtliniendienst |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Persistent Disk |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Pub/Sub |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Resource Manager |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Ressourceneinstellungen |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Router |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Run |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud SQL |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Secret Manager |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Service Directory |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Spanner |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Virtual Private Cloud (VPC) |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
VPC Service Controls |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud VPN |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Organisationsrichtlinien
In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von Datenhoheitssteuerelementen für Saudi-Arabien erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.
Einschränkungen für Cloud-Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud Dienste.
Einschränkung der Organisationsrichtlinie | Beschreibung |
---|---|
gcp.resourceLocations |
Legen Sie in:sa-locations als Listenelement allowedValues fest.Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die me-central2 -Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb von Saudi-Arabien erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der Datengrenze von Saudi-Arabien zulassen. |
gcp.restrictServiceUsage |
Legen Sie fest, dass alle unterstützten Dienste zulässig sind. Bestimmt, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken. |
Einschränkungen für Compute Engine-Organisationsrichtlinien
Einschränkung der Organisationsrichtlinie | Beschreibung |
---|---|
compute.disableGlobalLoadBalancing |
Auf True festlegen. Deaktiviert das Erstellen globaler Load Balancer. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten. |
compute.disableInstanceDataAccessApis |
Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot() .Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten möchten, gehen Sie so vor:
|
compute.enableComplianceMemoryProtection |
Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten. |
Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine
Einschränkung der Organisationsrichtlinie | Beschreibung |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten. |
Betroffene Funktionen
In diesem Abschnitt wird beschrieben, wie sich die Features oder Funktionen der einzelnen Dienste von den Datenhoheitssteuerelementen für Saudi-Arabien auswirken, einschließlich der Nutzeranforderungen bei der Verwendung einer Funktion.
Bigtable-Funktionen
Funktion | Beschreibung |
---|---|
Data Boost | Die Funktion ist deaktiviert. |
Compute Engine Features
Funktion | Beschreibung |
---|---|
Google Cloud Console | Die folgenden Compute Engine-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI, sofern verfügbar:
|
Instanzgruppe einem globalen Load Balancer hinzufügen | Sie können einem globalen Load Balancer keine Instanzgruppe hinzufügen. Diese Funktion ist durch die Einschränkung der Organisationsrichtlinie compute.disableGlobalLoadBalancing deaktiviert.
|
instances.getSerialPortOutput() |
Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden.
|
instances.getScreenshot() |
Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden.
|
Cloud Interconnect-Funktionen
Funktion | Beschreibung |
---|---|
Hochverfügbarkeits-VPN | Sie müssen die VPN-Funktion mit Hochverfügbarkeit (HA) aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die in diesem Abschnitt aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten. |
Cloud Monitoring-Funktionen
Funktion | Beschreibung |
---|---|
Synthetischer Monitor | Die Funktion ist deaktiviert. |
Verfügbarkeitsdiagnose | Die Funktion ist deaktiviert. |
Widgets für den Steuerfeldbereich für Protokolle in Dashboards | Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Protokollfeld hinzufügen. |
Widgets für den Bereich „Error Reporting“ in Dashboards | Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Steuerfeld für Fehlermeldungen hinzufügen. |
In EventAnnotation nach Dashboards filtern
|
Diese Funktion ist deaktiviert. Der Filter für EventAnnotation kann nicht in einem Dashboard festgelegt werden.
|
SqlCondition
in alertPolicies
|
Diese Funktion ist deaktiviert. Sie können einer alertPolicy kein SqlCondition hinzufügen.
|
Cloud Storage-Funktionen
Funktion | Beschreibung |
---|---|
Google Cloud Console | Sie sind dafür verantwortlich, die Google Cloud Console für die Rechtsprechung für Datenhoheitskontrollen für Saudi-Arabien zu verwenden. Die Console für Gerichtsbarkeiten verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hochladen und Herunterladen von Cloud Storage-Objekten finden Sie in der folgenden Zeile Konforme API-Endpunkte. |
Konforme API-Endpunkte | Sie sind dafür verantwortlich, einen der Standortendpunkte mit Cloud Storage zu verwenden. Weitere Informationen finden Sie unter Cloud Storage-Standorte. |
Cloud VPN-Funktionen
Funktion | Beschreibung |
---|---|
Google Cloud Console | Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Fußnoten
1. BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
- Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.
- Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus.
- Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen.
- Überprüfen Sie im Bereich Zugelassene Dienste die Dienste, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.
Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care.
Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.
Gemini in BigQuery wird von Assured Workloads nicht unterstützt.