Einschränkungen und Limitierungen für Datenhoheitskontrollen für Saudi-Arabien

Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie das Kontrollpaket für Souveränitätskontrollen für das Königreich Saudi-Arabien verwenden.

Übersicht

Das Kontrollpaket „Sovereign Controls for KSA“ (Hoheitskontrollen für Saudi-Arabien) ermöglicht die Zugriffssteuerung und Funktionen für den Datenstandort für unterstützte Google Cloud-Produkte. Einige Funktionen dieser Dienste sind von Google eingeschränkt oder begrenzt, um mit den Sovereign Controls für Saudi-Arabien kompatibel zu sein. Die meisten dieser Einschränkungen werden angewendet, wenn ein neuer Assured Workloads-Ordner für Datenhoheitskontrollen für Saudi-Arabien erstellt wird. Einige davon können jedoch später geändert werden, indem Sie die Organisationsrichtlinien anpassen. Außerdem sind Nutzer für die Einhaltung einiger Einschränkungen und Beschränkungen verantwortlich.

Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud-Dienst ändern oder den Datenzugriff oder die Datenspeicherung beeinflussen. Zum Beispiel können automatisch deaktiviert werden, um sicherzustellen, Zugriffsbeschränkungen und Datenstandort aufrechtzuerhalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.

Unterstützte Dienste

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Dienste zugreifen.

Die folgenden Dienste sind mit Sovereign Controls für das Königreich Saudi-Arabien kompatibel:

Unterstütztes Produkt API-Endpunkte Einschränkungen
Zugriffsgenehmigung Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • accessapproval.googleapis.com
 Keine
Artifact Registry Regionale API-Endpunkte:
  • artifactregistry.me-central2.rep.googleapis.com

Standortbezogene API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
BigQuery Regionale API-Endpunkte:
  • bigquery.me-central2.rep.googleapis.com
  • bigqueryconnection.me-central2.rep.googleapis.com
  • bigqueryreservation.me-central2.rep.googleapis.com
  • bigquerystorage.me-central2.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Bigtable Regionale API-Endpunkte:
  • bigtable.me-central2.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Google Cloud Console Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
Keine
Compute Engine Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • compute.googleapis.com
 Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud DNS Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • dns.googleapis.com
 Keine
Dataflow Regionale API-Endpunkte:
  • dataflow.me-central2.rep.googleapis.com

Standortbezogene API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Dataproc Regionale API-Endpunkte:
  • dataproc.me-central2.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Wichtige Kontakte Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • essentialcontacts.googleapis.com
 Keine
Filestore Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • file.googleapis.com
 Keine
Cloud Storage Regionale API-Endpunkte:
  • storage.me-central2.rep.googleapis.com

Standortbezogene API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Betroffene Funktionen
Google Kubernetes Engine Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Einschränkungen für Organisationsrichtlinien
GKE Hub Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • gkehub.googleapis.com
 Keine
Cloud HSM Regionale API-Endpunkte:
  • cloudkms.me-central2.rep.googleapis.com

Standortbezogene API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Identitäts- und Zugriffsverwaltung Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • iam.googleapis.com
 Keine
Identity-Aware Proxy (IAP) Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • iap.googleapis.com
 Keine
Cloud Interconnect Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Cloud Key Management Service (Cloud KMS) Regionale API-Endpunkte:
  • cloudkms.me-central2.rep.googleapis.com

Standortbezogene API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Cloud Load Balancing Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • compute.googleapis.com
 Keine
Cloud Logging Regionale API-Endpunkte:
  • logging.me-central2.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Cloud Monitoring Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • monitoring.googleapis.com
 Betroffene Funktionen
Cloud NAT Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • networkconnectivity.googleapis.com
 Keine
Network Connectivity Center Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • networkconnectivity.googleapis.com
 Keine
Organisationsrichtliniendienst Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • orgpolicy.googleapis.com
 Keine
Persistent Disk Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • compute.googleapis.com
 Keine
Pub/Sub Regionale API-Endpunkte:
  • pubsub.me-central2.rep.googleapis.com

Standortbezogene API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Resource Manager Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • cloudresourcemanager.googleapis.com
 Keine
Ressourceneinstellungen Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • resourcesettings.googleapis.com
 Keine
Cloud Router Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • networkconnectivity.googleapis.com
 Keine
Cloud Run Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • run.googleapis.com
 Keine
Cloud SQL Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • sqladmin.googleapis.com
 Keine
Service Directory Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte: <ph type="x-smartling-placeholder">
    </ph>
  • servicedirectory.googleapis.com
 Keine
Spanner Regionale API-Endpunkte:
  • spanner.me-central2.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Keine
Virtual Private Cloud (VPC) Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Keine
VPC Service Controls Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • accesscontextmanager.googleapis.com
 Keine
Cloud VPN Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von Datenhoheitssteuerelementen für Saudi-Arabien erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud-Ressourcen Ihrer Organisation weiter zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.

Einschränkung der Organisationsrichtlinie Beschreibung
gcp.resourceLocations Legen Sie in:us-locations als Listenelement allowedValues fest.

Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die me-central2-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb von Saudi-Arabien erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.

Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der Datengrenze von Saudi-Arabien zulassen.
gcp.restrictServiceUsage Alle unterstützten Dienste zulassen.

Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung
compute.disableInstanceDataAccessApis Auf True festlegen.

Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().

Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren.

Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten möchten, gehen Sie so vor:
  1. Aktivieren Sie SSH für Windows-VMs.
  2. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: 
    gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
     Ersetzen Sie Folgendes:
    • VM_NAME: Der Name der VM, für die Sie das Passwort festlegen.
    • USERNAME: Der Nutzername des Nutzers, für den Sie das Passwort festlegen.
    • PASSWORD: Das neue Passwort.
compute.enableComplianceMemoryProtection Auf True festlegen.

Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten.

Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Einschränkung der Organisationsrichtlinie Beschreibung
container.restrictNoncompliantDiagnosticDataAccess Auf True festlegen.

Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten.

Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.

Betroffene Funktionen

In diesem Abschnitt wird beschrieben, wie sich die Features oder Funktionen der einzelnen Dienste von den Datenhoheitssteuerelementen für Saudi-Arabien auswirken, einschließlich der Nutzeranforderungen bei der Verwendung einer Funktion.

Compute Engine Features

Funktion Beschreibung
Google Cloud Console Die folgenden Compute Engine-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI, sofern verfügbar:

<ph type="x-smartling-placeholder">
    </ph>
  1. Systemdiagnosen
  2. Netzwerk-Endpunktgruppen
  3. Browserbasiertes SSH ist deaktiviert
instances.getSerialPortOutput() Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen.

Organisation "compute.disableInstanceDataAccessApis" ändern Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden.
instances.getScreenshot() Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten.

Organisation "compute.disableInstanceDataAccessApis" ändern Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port zu aktivieren und zu verwenden.

Cloud Interconnect-Funktionen

Funktion Beschreibung
Hochverfügbarkeits-VPN Sie müssen die VPN-Funktion mit Hochverfügbarkeit (HA) aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Darüber hinaus müssen Sie die Anforderungen an die Verschlüsselung und Regionalisierung diesem Abschnitt.

Cloud Monitoring-Funktionen

Funktion Beschreibung
Synthetischer Monitor Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose Die Funktion ist deaktiviert.
Widgets für den Steuerfeldbereich für Protokolle in Dashboards Diese Funktion ist deaktiviert.

Sie können einem Dashboard kein Protokollfeld hinzufügen.
Widgets für den Bereich „Error Reporting“ in Dashboards Diese Funktion ist deaktiviert.

Sie können einem Dashboard kein Steuerfeld für Fehlermeldungen hinzufügen.
In EventAnnotation nach Dashboards filtern Diese Funktion ist deaktiviert.

Filter von EventAnnotation kann in einem Dashboard nicht festgelegt werden.
SqlCondition in alertPolicies Diese Funktion ist deaktiviert.

Ein SqlCondition kann nicht zu einem alertPolicy

Cloud Storage-Funktionen

Funktion Beschreibung
Google Cloud Console Sie sind dafür verantwortlich, die Google Cloud Console für die Rechtsprechung für souveränen Kontrollmechanismen für Saudi-Arabien zu verwenden. Gerichtsbarkeit das Hoch- und Herunterladen von Cloud Storage-Objekten verhindert. Informationen zum Hochladen und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte.
Konforme API-Endpunkte Es liegt in Ihrer Verantwortung, einen der Standortendpunkte mit Cloud Storage Weitere Informationen finden Sie unter Cloud Storage-Speicherorte für erhalten Sie weitere Informationen.

Cloud VPN-Features

Funktion Beschreibung
Google Cloud Console Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie das API oder Google Cloud CLI.

Fußnoten

1. BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie ein neues Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses. Dieser Vorgang wird normalerweise endet in zehn Minuten, kann aber unter Umständen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:

  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu Assured Workloads

  2. Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Abschnitt Zulässige Dienste auf Verfügbare Updates ansehen
  4. Überprüfen Sie im Bereich Zulässige Dienste die Dienste, die dem Beschränkung der Ressourcennutzung Organisationsrichtlinie für den Ordner. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.

    Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgeführt sind, wenden Sie sich Cloud Customer Care

Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.