Pembatasan dan batasan untuk Kontrol Kedaulatan untuk Kerajaan Arab Saudi (KSA)

Halaman ini menjelaskan pembatasan, batasan, dan konfigurasi lainnya opsi saat menggunakan paket kontrol Sovereign Controls untuk Kerajaan Arab Saudi (KSA).

Ringkasan

Paket kontrol Sovereign Controls untuk KSA memungkinkan kontrol akses data dan data fitur residensi untuk produk Google Cloud yang didukung. Beberapa layanan ini fitur dibatasi atau dibatasi oleh Google agar kompatibel dengan Sovereign Controls untuk KSA. Sebagian besar pembatasan ini dan batasan diterapkan saat membuat folder Assured Workloads baru untuk Sovereign Controls untuk KSA. Namun, beberapa dari mereka dapat diubah nanti dengan memodifikasi kebijakan organisasi. Selain itu, beberapa batasan dan batasan memerlukan tanggung jawab pengguna untuk kepatuhan.

Penting untuk memahami bagaimana batasan ini memodifikasi perilaku sebuah diberikan layanan Google Cloud atau memengaruhi akses data atau residensi data. Misalnya, beberapa fitur atau kemampuan tertentu dapat dinonaktifkan secara otomatis untuk memastikan bahwa data pembatasan akses dan residensi data dipertahankan. Selain itu, jika perubahan setelan kebijakan organisasi, dapat menyebabkan timbulnya dampak yang tidak penyalinan data dari satu region ke region lain.

Layanan yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua layanan yang didukung melalui konsol Google Cloud.

Layanan berikut kompatibel dengan Sovereign Controls untuk Kerajaan Arab Saudi (KSA):

Kebijakan organisasi

Bagian ini menjelaskan pengaruh organisasi default terhadap setiap layanan nilai batasan kebijakan saat folder atau project dibuat menggunakan Kontrol Kedaulatan untuk KSA. Batasan lain yang berlaku—meskipun tidak ditetapkan oleh default—dapat memberikan tambahan "defense-in-depth" untuk lebih melindungi resource Google Cloud organisasi Anda.

Batasan kebijakan organisasi di seluruh cloud

Hal berikut batasan kebijakan organisasi berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan kebijakan organisasi	Deskripsi
gcp.resourceLocations	Tetapkan ke in:us-locations sebagai allowedValues item daftar. Nilai ini membatasi pembuatan resource baru ke Grup nilai me-central2 saja. Jika ditetapkan, tidak ada resource yang dapat yang dibuat di wilayah, multi-wilayah, atau lokasi lain di luar KSA. Lihat Grup nilai kebijakan organisasi dokumentasi untuk informasi selengkapnya. Mengubah nilai ini dengan membuatnya lebih longgar dan berpotensi melemahkan residensi data dengan memungkinkan data dibuat atau disimpan di luar KSA batas data.
gcp.restrictServiceUsage	Tetapkan untuk mengizinkan semua layanan yang didukung. Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
compute.disableInstanceDataAccessApis	Tetapkan ke True. Secara global menonaktifkan instances.getSerialPortOutput() dan instances.getScreenshot() API. Mengaktifkan kebijakan organisasi ini mencegah Anda membuat kredensial di VM Windows Server. Jika Anda perlu mengelola nama pengguna dan {i>password<i} di VM Windows, lakukan berikut ini: Mengaktifkan SSH untuk VM Windows. Jalankan perintah berikut untuk mengubah sandi VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Ganti yang berikut: VM_NAME: Nama VM yang Anda setel sandinya untuk mereka. USERNAME: Nama pengguna dari pengguna yang Anda tetapkan sandinya. PASSWORD: Sandi baru.
compute.enableComplianceMemoryProtection	Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan konten memori ketika terjadi kesalahan infrastruktur. Mengubah nilai ini dapat memengaruhi residensi data dalam workload Anda; kami sarankan untuk mempertahankan nilai yang ditetapkan.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan kebijakan organisasi	Deskripsi
container.restrictNoncompliantDiagnosticDataAccess	Tetapkan ke True. Digunakan untuk menonaktifkan analisis gabungan masalah {i>kernel<i}, yang diperlukan untuk mempertahankan kendali atas beban kerja yang berdaulat. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam workload Anda; kami sarankan untuk mempertahankan nilai yang ditetapkan.

Fitur yang terpengaruh

Bagian ini mencantumkan pengaruh fitur atau kemampuan setiap layanan oleh Sovereign Controls untuk KSA, termasuk persyaratan pengguna saat menggunakan fitur.

Fitur Compute Engine

Fitur	Deskripsi
Konsol Google Cloud	Fitur Compute Engine berikut tidak tersedia di Konsol Google Cloud Anda. Gunakan API atau Google Cloud CLI jika tersedia: Health check Grup endpoint jaringan SSH berbasis browser dinonaktifkan
instances.getSerialPortOutput()	API ini dinonaktifkan; Anda tidak akan bisa mendapatkan output port serial dari instance yang ditetapkan menggunakan API ini. Ubah organisasi compute.disableInstanceDataAccessApis nilai batasan kebijakan menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif.
instances.getScreenshot()	API ini dinonaktifkan; Anda tidak akan bisa mendapatkan screenshot dari instance tertentu menggunakan API ini. Ubah organisasi compute.disableInstanceDataAccessApis nilai batasan kebijakan menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif.

Fitur Cloud Interconnect

Fitur	Deskripsi
VPN ketersediaan tinggi (HA)	Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum dalam bagian ini.

Fitur Cloud Storage

Fitur	Deskripsi
Konsol Google Cloud	Anda bertanggung jawab untuk menggunakan Wilayah Hukum Konsol Google Cloud untuk Sovereign Controls untuk KSA. Wilayah Hukum mencegah upload dan download objek Cloud Storage. Kepada mengupload dan mendownload objek Cloud Storage, lihat referensi berikut Baris Endpoint API yang mematuhi kebijakan.
Endpoint API yang mematuhi kebijakan	Anda bertanggung jawab untuk menggunakan salah satu endpoint lokasi dengan yang sesuai di Cloud Storage. Lihat Lokasi Cloud Storage untuk informasi selengkapnya.

Fitur Cloud VPN

Fitur	Deskripsi
Konsol Google Cloud	Fitur Cloud VPN tidak tersedia di Konsol Google Cloud. Gunakan API atau Google Cloud CLI sebagai gantinya.

Catatan kaki

Akun Layanan 1. BigQuery didukung, tetapi tidak diaktifkan secara otomatis saat Anda membuat Folder Assured Workloads karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi bisa memakan waktu lebih lama. Untuk memeriksa apakah selesai, dan untuk mengaktifkan BigQuery, selesaikan langkah-langkah berikut:

1. Di konsol Google Cloud, buka halaman Assured Workloads.

   Buka Assured Workloads

2. Pilih folder Assured Workloads baru Anda dari daftar.
3. Di halaman Detail Folder di bagian Layanan yang diizinkan, klik Tinjau Update yang Tersedia.
4. Di panel Allowed services, tinjau layanan yang akan ditambahkan ke Pembatasan Penggunaan Resource kebijakan organisasi untuk folder tersebut. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya.
   
   Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam 12 jam setelah pembuatan folder, hubungi Cloud Customer Care.

Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di Folder Assured Workloads.