沙特阿拉伯王国 (KSA) 主权控制的限制和限制
本页介绍了使用沙特阿拉伯王国主权控制 (KSA) 控制软件包时的限制、局限和其他配置选项。
概览
用于 KSA 的主权控制软件包可为受支持的 Google Cloud 产品启用数据访问权限控制和数据驻留功能。为了与 KSA 的主权控制兼容,Google 会限制或限制其中部分服务的功能。为 KSA 的主权控制创建新的 Assured Workloads 文件夹时,系统会应用其中大多数限制和限制。但是,以后可以通过修改组织政策更改其中一些设置。此外,一些限制和限制需要用户负责遵守。
请务必了解这些限制如何修改给定 Google Cloud 服务的行为或影响数据访问或数据驻留。例如,部分特性或功能可能会自动停用,以确保保持数据访问限制和数据驻留。此外,如果组织政策设置发生更改,则可能会产生意外后果,即将数据从一个区域复制到另一个区域。
支持的服务
除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的服务。
以下服务与沙特阿拉伯王国 (KSA) 的主权控制兼容:
支持的产品 | API 端点 | 受影响的功能或组织政策 |
---|---|---|
Access Approval |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Artifact Registry |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
BigQuery [2] |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Bigtable |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud DNS |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Cloud HSM |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud Interconnect |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 受影响的特征 |
Cloud Key Management Service (Cloud KMS) |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud Load Balancing |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Cloud Logging |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud Monitoring |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Cloud NAT |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Cloud Router |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Cloud SQL |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Cloud Storage |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Cloud VPN |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Compute Engine |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 受影响的功能和组织政策限制条件 |
Dataflow |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Dataproc |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
重要联系人 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
GKE Hub |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Google Cloud 控制台 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Google Kubernetes Engine |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 受影响的功能和组织政策限制条件 |
Identity and Access Management (IAM) |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Identity-Aware Proxy |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Network Connectivity Center |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
组织政策服务 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
永久性磁盘 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Pub/Sub |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
Resource Manager |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
资源设置 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Service Directory |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
Spanner |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 无 |
虚拟私有云 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
VPC Service Controls |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
| 无 |
组织政策
本部分介绍使用适用于 KSA 的 Sovereign Controls 创建文件夹或项目时默认组织政策限制条件值对每项服务的影响。其他适用的限制条件(即使默认设置)可以提供额外的“深度防御”,以进一步保护组织的 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
组织政策限制条件 | 说明 |
---|---|
gcp.resourceLocations |
设置为 in:us-locations 作为 allowedValues 列表项。使用此值可仅允许 me-central2 值组创建任何新资源。设置后,将无法在 KSA 之外的任何其他区域、多区域或位置创建资源。如需了解详情,请参阅组织政策值组文档。更改此值的限制会降低,因为允许在 KSA 数据边界之外创建或存储数据,从而可能破坏数据驻留。 |
gcp.restrictServiceUsage |
设置为允许使用所有支持的服务。 决定可以启用和使用哪些服务。如需了解详情,请参阅限制工作负载的资源用量。 |
Compute Engine 组织政策限制条件
组织政策限制条件 | 说明 |
---|---|
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策可防止您在 Windows Server 虚拟机上生成凭据。 如果您需要在 Windows 虚拟机上管理用户名和密码,请执行以下操作:
|
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留值;我们建议您保留设置的值。 |
Google Kubernetes Engine 组织政策限制条件
组织政策限制条件 | 说明 |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载的数据主权;我们建议您保留设置的值。 |
受影响的功能
本部分列出了每项服务的特性或功能如何受 KSA 主权控制的影响,包括使用某项功能时的用户要求。
Compute Engine 功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供以下 Compute Engine 功能。使用 API 或 Google Cloud CLI(如果可用):
|
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件的值更改为 False 以启用此 API。您还可以启用和使用交互式串行端口。
|
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件的值更改为 False 以启用此 API。您还可以启用和使用交互式串行端口。
|
Cloud Interconnect 特性
特征 | 说明 |
---|---|
高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 结合使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵循此部分中列出的加密和区域化要求。 |
Cloud Storage 的功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | 您需要自行负责针对 KSA 的主权控制使用管辖区 Google Cloud 控制台。管辖区控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象,请参阅以下合规 API 端点行。 |
合规的 API 端点 | 您应负责将其中一个位置端点与 Cloud Storage 搭配使用。如需了解详情,请参阅 Cloud Storage 位置。 |
Cloud VPN 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud VPN 功能。请改用 API 或 Google Cloud CLI。 |
脚注
1. BigQuery 受支持,但由于内部配置过程,在您创建新的 Assured Workloads 文件夹时不会自动启用 BigQuery。此过程通常会在十分钟内完成,但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery,请完成以下步骤:
- 在 Google Cloud 控制台中,转到 Assured Workloads 页面。
- 从列表中选择新的 Assured Workloads 文件夹。
- 在文件夹详细信息页面的允许的服务部分,点击查看可用更新。
- 在允许的服务窗格中,查看要添加到文件夹的资源使用限制组织政策的服务。如果系统列出了 BigQuery 服务,请点击允许服务以添加这些服务。
如果其中未列出 BigQuery 服务,请等待内部流程完成。如果服务未在文件夹创建后 12 小时内列出,请与 Cloud Customer Care 联系。
启用过程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。