Restrições e limitações dos controles de soberania no Reino da Arábia Saudita (KSA)

Esta página descreve as restrições, limitações e outras opções de configuração ao usar o pacote de controle de controles de soberania do Reino da Arábia Saudita (KSA).

Visão geral

O pacote de controles de soberania da KSA ativa recursos de controle de acesso e residência de dados para produtos compatíveis do Google Cloud. Alguns dos recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com os controles soberanos para a KSA. A maioria dessas restrições e limitações é aplicada ao criar uma nova pasta do Assured Workloads para controles soberanos para KSA. No entanto, algumas delas podem ser alteradas posteriormente com a modificação das políticas da organização. Além disso, algumas restrições e limitações exigem a responsabilidade do usuário pela adesão.

É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam o acesso ou a residência dos dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir que as restrições de acesso aos dados e a residência dos dados sejam mantidas. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.

Serviços compatíveis

Salvo indicação em contrário, os usuários podem acessar todos os serviços compatíveis por meio do console do Google Cloud.

Os seguintes serviços são compatíveis com os controles de soberania do Reino da Arábia Saudita (KSA):

Políticas da organização

Nesta seção, descrevemos como cada serviço é afetado pelos valores padrão de restrição da política da organização quando pastas ou projetos são criados com os controles soberanos para a KSA. Outras restrições aplicáveis, mesmo que não definidas por padrão, podem fornecer uma "defesa em profundidade" adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.

Restrição da política da organização	Descrição
gcp.resourceLocations	Defina como in:us-locations como o item da lista allowedValues. Esse valor restringe a criação de novos recursos apenas ao grupo de valores me-central2. Quando definido, nenhum recurso pode ser criado em outras regiões, multirregiões ou locais fora da KSA. Consulte a documentação Grupos de valor da política da organização para mais informações. Mudar esse valor tornando-o menos restritivo pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite de dados da KSA.
gcp.restrictServiceUsage	Definido para permitir todos os serviços compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
compute.disableInstanceDataAccessApis	Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot(). A ativação desta política da organização impede a geração de credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte: Ative o SSH para VMs do Windows. Execute o seguinte comando para alterar a senha da VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Substitua: VM_NAME: o nome da VM para a qual você está definindo a senha. USERNAME: o nome de usuário do usuário para quem você está definindo a senha. PASSWORD: a nova senha.
compute.enableComplianceMemoryProtection	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Mudar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
container.restrictNoncompliantDiagnosticDataAccess	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. Recomendamos manter o valor definido.

Recursos afetados

Nesta seção, listamos como os recursos de cada serviço são afetados pelos Controles soberanos para a KSA, incluindo requisitos do usuário ao usar um recurso.

Recursos do Compute Engine

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI, quando disponível: Verificações de integridade Grupos de endpoints de rede O SSH baseado em navegador está desativado
instances.getSerialPortOutput()	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Você também pode ativar e usar a porta serial interativa.
instances.getScreenshot()	Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Você também pode ativar e usar a porta serial interativa.

Recursos do Cloud Interconnect

Engenharia de	Descrição
VPN de alta disponibilidade (HA)	Ative a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, é preciso aderir aos requisitos de criptografia e regionalização listados nesta seção.

Recursos do Cloud Storage

Engenharia de	Descrição
Console do Google Cloud	É sua responsabilidade usar o Console jurisdicional do Google Cloud para controles de soberania na KSA. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a seguinte linha de endpoints de API em conformidade.
Endpoints de API em conformidade	Você é responsável por usar um dos endpoints de localização com o Cloud Storage. Consulte os locais do Cloud Storage para mais informações.

Recursos do Cloud VPN

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.

Notas de rodapé

1. O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Esse processo normalmente termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:

1. No console do Google Cloud, acesse a página Assured Workloads.

   Acessar o Assured Workloads

2. Selecione sua nova pasta do Assured Workloads na lista.
3. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Analisar atualizações disponíveis.
4. No painel Serviços permitidos, revise os serviços a serem adicionados à política da organização Restrição de uso de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los.
   
   Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care.

Depois que o processo de ativação for concluído, será possível usar o BigQuery na sua pasta do Assured Workloads.