Restrictions et limites applicables aux contrôles souverains pour le Royaume d'Arabie saoudite

Cette page décrit les restrictions, les limites et d'autres configurations lorsque vous utilisez le package de contrôles souverains pour le Royaume d'Arabie saoudite.

Présentation

Le package de contrôles souverains pour le Royaume d'Arabie saoudite permet de contrôle des accès aux données les fonctionnalités de résidence pour les produits Google Cloud compatibles. Certains de ces services sont restreintes ou limitées par Google afin d'être compatible avec les contrôles souverains pour le Royaume d'Arabie saoudite. La plupart de ces restrictions et limites s'appliquent lors de la création d'un dossier Assured Workloads pour les contrôles souverains pour le Royaume d'Arabie saoudite. Cependant, certains d'entre eux peuvent être modifiés ultérieurement en modification règles d'administration. De plus, certaines restrictions et limites sont de la responsabilité des utilisateurs.

Il est important de comprendre comment ces restrictions modifient le comportement service Google Cloud ou affectent l'accès aux données résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir que les données les restrictions d'accès et la résidence des données sont maintenues. En outre, si un paramètre de règle d'administration est modifié, cela peut avoir des conséquences inattendues de copier des données d'une région à une autre.

Services compatibles

Sauf indication contraire, les utilisateurs peuvent accéder à tous les services compatibles via la console Google Cloud.

Les services suivants sont compatibles avec les contrôles souverains pour le Royaume d'Arabie saoudite :

Règles d'administration

Cette section décrit l'impact de l'organisation par défaut sur chaque service des valeurs de contrainte de règle lorsque des dossiers ou des projets sont créés Contrôles souverains pour le Royaume d'Arabie saoudite. Autres contraintes applicables, même si elles ne sont pas définies par par défaut, qui offre une protection supplémentaire pour mieux protéger aux ressources Google Cloud de votre organisation.

Contraintes liées aux règles d'administration au niveau du cloud

Les contraintes des règles d'administration suivantes s'appliquent à tous les services Google Cloud applicables.

Contrainte liée aux règles d'administration	Description
gcp.resourceLocations	Définir sur in:us-locations pour allowedValues un élément de liste. Cette valeur limite la création de ressources Groupe de valeurs me-central2 uniquement. Lorsqu'elle est définie, aucune ressource ne peut être dans d'autres régions, emplacements multirégionaux ou emplacements situés en dehors de Arabie saoudite. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration. Si vous modifiez cette valeur en la rendant moins restrictive, vous risquez d'affaiblir cette la résidence des données en autorisant la création ou le stockage de données en dehors du Royaume d'Arabie saoudite. limite de données.
gcp.restrictServiceUsage	Définissez cette valeur pour autoriser tous les services compatibles. Détermine les services pouvant être activés et utilisés. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail.

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration	Description
compute.disableInstanceDataAccessApis	Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot(). L'activation de cette règle d'administration vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, suivantes: Activez SSH pour les VM Windows. Exécutez la commande suivante pour modifier le mot de passe de la VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Remplacez les éléments suivants : VM_NAME : nom de la VM pour laquelle vous définissez le mot de passe. USERNAME: nom de l'utilisateur que vous définissez le mot de passe. PASSWORD: nouveau mot de passe
compute.enableComplianceMemoryProtection	Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour assurer une protection supplémentaire du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. nous recommande de conserver la valeur définie.

Contraintes liées aux règles de l'organisation Google Kubernetes Engine

Contrainte liée aux règles d'administration	Description
container.restrictNoncompliantDiagnosticDataAccess	Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.

Fonctionnalités concernées

Cette section liste la manière dont les fonctionnalités de chaque service sont affectées par Contrôles souverains pour le Royaume d'Arabie saoudite, y compris les exigences des utilisateurs lors de l'utilisation d'une fonctionnalité

Fonctionnalités de Compute Engine

Extraction	Description
console Google Cloud	Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud. Utilisez l'API ou la Google Cloud CLI, le cas échéant: Vérifications d'état Groupes de points de terminaison du réseau Le SSH dans le navigateur est désactivé
instances.getSerialPortOutput()	Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.
instances.getScreenshot()	Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Modifier l'organisation compute.disableInstanceDataAccessApis la valeur de la contrainte de règle sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.

Fonctionnalités de Cloud Interconnect

Caractéristique	Description
VPN haute disponibilité	Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation présentées dans cette section.

Fonctionnalités de Cloud Monitoring

Caractéristique	Description
Écran synthétique	Cette fonctionnalité est désactivée.
Test de disponibilité	Cette fonctionnalité est désactivée.
Widgets du panneau des journaux dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journal à un tableau de bord.
Widgets du panneau Error Reporting dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement d'erreurs à un tableau de bord.
Filtrer dans EventAnnotation pour Tableaux de bord	Cette fonctionnalité est désactivée. Le filtre de EventAnnotation ne peut pas être défini dans un tableau de bord.
SqlCondition dans alertPolicies	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de SqlCondition à un alertPolicy

Fonctionnalités de Cloud Storage

Caractéristique	Description
console Google Cloud	Il vous incombe d'utiliser la console Google Cloud juridictionnelle pour les contrôles souverains en Arabie saoudite. La juridiction empêche l'importation et le téléchargement d'objets Cloud Storage. À pour importer et télécharger des objets Cloud Storage, consultez les ressources suivantes : Ligne Points de terminaison de l'API conformes.
Points de terminaison d'API conformes	Il vous incombe d'utiliser l'un des points de terminaison localisés avec Cloud Storage. Pour en savoir plus, consultez la section Emplacements Cloud Storage.

Fonctionnalités de Cloud VPN

Caractéristique	Description
console Google Cloud	Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI.

Notes de bas de page

1. BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier de charges de travail assurées en raison d'un processus de configuration interne. Cette procédure se termine normalement en 10 minutes, mais peut prendre beaucoup plus de temps dans certains cas. Pour vérifier si le processus est terminé et pour activer BigQuery, procédez comme suit :

1. Dans la console Google Cloud, accédez à la page Assured Workloads.

   Accéder à Assured Workloads

2. Sélectionnez votre nouveau dossier Assured Workloads dans la liste.
3. Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles.
4. Dans le volet Services autorisés, passez en revue les services à ajouter au Restriction d'utilisation des ressources la règle d'administration définie pour le dossier. Si les services BigQuery sont répertoriés, cliquez sur Cliquez sur Autoriser les services pour les ajouter.
   
   Si les services BigQuery ne sont pas répertoriés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud.

Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads.

Gemini dans BigQuery n'est pas compatible avec Assured Workloads.