Limitazioni e limitazioni dei controlli di sovranità per il Regno dell'Arabia Saudita (Arabia Saudita)
Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione relative all'utilizzo del pacchetto di controlli Sovereign Controls per il Regno dell'Arabia Saudita.
Panoramica
Il pacchetto di controlli dei controlli di sovranità per l'Arabia Saudita abilita le funzionalità di controllo dell'accesso dell'accesso ai dati e residenza dei dati per i prodotti Google Cloud supportati. Alcuni di questi servizi sono limitati o limitati da Google per essere compatibili con i controlli di sovranità per l'Arabia Saudita. La maggior parte di queste restrizioni viene applicata quando si crea una nuova cartella Assured Workloads per i controlli di sovranità per l'Arabia Saudita. Tuttavia, alcuni possono essere modificati in un secondo momento modificando i criteri dell'organizzazione. Inoltre, alcune restrizioni e limitazioni richiedono la responsabilità dell'utente per il rispetto.
È importante capire in che modo queste restrizioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sull'accesso o sulla residente dei dati. Ad esempio, alcune funzionalità o funzionalità potrebbero essere disabilitate automaticamente per garantire che le limitazioni di accesso e la residenza dei dati vengano mantenute. Inoltre, se un'impostazione dei criteri dell'organizzazione viene modificata, potrebbe avere la conseguenza involontaria di copiare i dati da una regione all'altra.
Servizi supportati
Se non diversamente indicato, gli utenti possono accedere a tutti i servizi supportati tramite la console Google Cloud.
I seguenti servizi sono compatibili con i controlli di sovranità per il Regno dell'Arabia Saudita:
| Prodotto supportato | Endpoint API | Funzionalità o criteri dell'organizzazione interessati |
|---|---|---|
| Approvazione accesso |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Artifact Registry |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| BigQuery [2] |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Bigtable |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Cloud DNS |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Cloud HSM |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Cloud Interconnect |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Funzionalità interessate |
| Cloud Key Management Service (Cloud KMS) |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Cloud Load Balancing |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Cloud Logging |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Cloud Monitoring |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Cloud NAT |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Cloud Router |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Cloud SQL |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Cloud Storage |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Cloud VPN |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Compute Engine |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Dataflow |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Dataproc |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Contatti necessari |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| GKE Hub |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Console Google Cloud |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Google Kubernetes Engine |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Identity and Access Management (IAM) |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Identity-Aware Proxy |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Network Connectivity Center |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Servizio Criteri dell'organizzazione |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Persistent Disk |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Pub/Sub |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Resource Manager |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Impostazioni risorsa |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Service Directory |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Spanner |
Endpoint API regionali:
Gli endpoint API Locational non sono supportati. Gli endpoint API globali non sono supportati. | Nessuna |
| Virtual Private Cloud |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
| Controlli di servizio VPC |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuna |
Criteri dell'organizzazione
Questa sezione descrive in che modo ogni servizio è interessato dai valori predefiniti dei vincoli dei criteri dell'organizzazione quando vengono creati cartelle o progetti utilizzando i controlli di sovranità per l'Arabia Saudita. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire un'ulteriore"difesa in profondità" per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a tutti i servizi Google Cloud applicabili.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Impostato su in:us-locations come voce
dell'elenco allowedValues.Questo valore limita la creazione di nuove risorse solo al gruppo di valori me-central2. Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori dell'Arabia Saudita. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione.La modifica di questo valore rendendolo meno restrittivo può compromettere la residenza dei dati, consentendo la creazione o l'archiviazione di dati al di fuori del confine dei dati dell'Arabia Saudita. |
gcp.restrictServiceUsage |
Imposta l'opzione su "Consenti tutti i servizi supportati". Determina quali servizi possono essere abilitati e utilizzati. Per maggiori informazioni, consulta la pagina Limitare l'utilizzo delle risorse per i carichi di lavoro. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.disableInstanceDataAccessApis |
Imposta su True. Disabilita a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot().L'attivazione di questo criterio dell'organizzazione impedisce di generare credenziali sulle VM di Windows Server. Se devi gestire un nome utente e una password su una VM Windows, segui questi passaggi:
|
compute.enableComplianceMemoryProtection |
Imposta su True. Disabilita alcune funzionalità di diagnostica interna per proteggere ulteriormente i contenuti della memoria in caso di guasto dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. Ti consigliamo di mantenere il valore impostato. |
Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo di sovranità di un carico di lavoro. La modifica di questo valore può influire sulla sovranità dei dati nel carico di lavoro; ti consigliamo di mantenere il valore impostato. |
Funzionalità interessate
Questa sezione elenca in che modo le funzionalità o le capacità di ogni servizio sono interessate dai controlli di sovranità per l'Arabia Saudita, inclusi i requisiti degli utenti quando utilizzano una funzionalità.
Funzionalità di Compute Engine
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI, ove disponibile:
|
instances.getSerialPortOutput() |
Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis in False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai ottenere uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis in False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva.
|
Funzionalità di Cloud Interconnect
| Selezione delle | Descrizione |
|---|---|
| VPN ad alta disponibilità | Devi abilitare la funzionalità VPN ad alta disponibilità quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati in questa sezione. |
Funzionalità di Cloud Storage
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | È tua responsabilità utilizzare la console giurisdizionale Google Cloud per i controlli di sovranità per l'Arabia Saudita. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare oggetti Cloud Storage, consulta la seguente riga Endpoint API conformi. |
| Endpoint API conformi | È tua responsabilità utilizzare uno degli endpoint di località con Cloud Storage. Consulta Località di Cloud Storage per ulteriori informazioni. |
Funzionalità di Cloud VPN
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Note a piè di pagina
1. BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. In genere questa procedura termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è completato e attivare BigQuery, completa i seguenti passaggi:
- Nella console Google Cloud, vai alla pagina Assured Workloads.
- Seleziona la nuova cartella Assured Workloads dall'elenco.
- Nella pagina Dettagli cartella nella sezione Servizi consentiti, fai clic su Rivedi gli aggiornamenti disponibili.
- Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione Restrizione dell'utilizzo delle risorse per la cartella. Se sono elencati servizi BigQuery, fai clic su Consenti servizi per aggiungerli.
Se i servizi BigQuery non sono elencati, attendi il completamento del processo interno. Se i servizi non vengono elencati entro 12 ore dalla creazione delle cartelle, contatta l'assistenza clienti Google Cloud.
Al termine del processo di abilitazione, puoi utilizzare BigQuery nella tua cartella Assured Workloads.