Esta página foi traduzida pela API Cloud Translation.

Restrições e limitações na nuvem soberana da T-Systems

Este tópico descreve as restrições, as limitações e outras opções de configuração quando usa o T-Systems Sovereign Cloud.

Vista geral

A T-Systems Sovereign Cloud (TSI Sovereign Cloud) oferece funcionalidades de residência e soberania dos dados para os serviços no âmbito Google Cloud . Para oferecer estas funcionalidades, algumas das funcionalidades destes serviços estão restritas ou limitadas. A maioria destas alterações é aplicada durante o processo de integração quando a sua organização passa a ser gerida pela T-Systems International (TSI). No entanto, algumas delas podem ser alteradas mais tarde através da modificação das políticas da organização.

É importante compreender como estas restrições modificam o comportamento de um determinado serviço ou afetam a soberania ou a residência dos dados. Google Cloud Por exemplo, algumas funcionalidades ou capacidades podem ser desativadas automaticamente para garantir que a soberania e a residência dos dados são mantidas. Além disso, se uma definição da política da organização for alterada, pode ter a consequência não intencional de copiar dados de uma região para outra.

Serviços e APIs no âmbito

Serviços

Compute Engine
- Políticas da organização
- Funcionalidades afetadas
Persistent Disk
Cloud Storage
- Políticas da organização
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- Políticas da organização
Google Kubernetes Engine
- Políticas da organização
Cloud Logging
- Funcionalidades afetadas

APIs

Os seguintes pontos finais da API estão disponíveis na nuvem soberana da TSI:

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

Políticas da organização

Esta secção descreve como cada serviço é afetado pelos valores de restrição da política da organização predefinidos quando são criadas pastas ou projetos através da nuvem soberana da TSI. Outras restrições aplicáveis, mesmo que não estejam definidas por predefinição, podem oferecer uma "defesa em profundidade" adicional para proteger ainda mais os recursos da sua organização Google Cloud .

Restrições de políticas da organização ao nível da nuvem

As seguintes restrições de políticas de organização aplicam-se a qualquer Google Cloud serviço aplicável.

Restrição de política da organização	Descrição
`gcp.resourceLocations`	Definido como `in:tsi-sovereign` como o item da lista `allowedValues`. Este valor restringe a criação de novos recursos apenas ao grupo de valores TSI. Quando definido, não é possível criar recursos em outras regiões, multirregiões ou localizações fora das definidas pelo TSI. Consulte a documentação Grupos de valores da política da organização para mais informações.
`gcp.restrictNonCmekServices`	Definido como uma lista de todos os nomes de serviços da API> no âmbito, incluindo: `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` Algumas funcionalidades podem ser afetadas para cada um dos serviços indicados acima. Consulte a secção de funcionalidades afetadas abaixo. Cada serviço listado requer chaves de encriptação geridas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam encriptados com uma chave gerida por si e não pelos mecanismos de encriptação predefinidos da Google. A alteração deste valor através da remoção de um ou mais serviços no âmbito da lista pode comprometer a soberania dos dados, uma vez que os novos dados em repouso são encriptados automaticamente com as chaves da Google em vez das suas. Os dados em repouso existentes vão permanecer encriptados pela chave que forneceu.
`gcp.restrictCmekCryptoKeyProjects`	Definido como `under:organizations/your-organization-name`, que é a sua organização do TSI Sovereign Cloud. Pode restringir ainda mais este valor especificando um projeto ou uma pasta. Limita o âmbito das pastas ou dos projetos aprovados que podem fornecer chaves do KMS para encriptar dados em repouso através da CMEK. Esta restrição impede que pastas ou projetos não aprovados forneçam chaves de encriptação, o que ajuda a garantir a soberania dos dados para os dados em repouso dos serviços no âmbito.

Restrições de políticas de organização do Compute Engine

Restrição de política da organização	Descrição
`compute.enableComplianceMemoryProtection`	Definido como Verdadeiro. Desativa algumas funcionalidades de diagnóstico internas para oferecer proteção adicional dos conteúdos da memória quando ocorre uma falha de infraestrutura. A alteração deste valor pode afetar a residência ou a soberania dos dados.
`compute.disableSerialPortLogging`	Definido como Verdadeiro. Desativa o registo da porta série no Stackdriver a partir das VMs do Compute Engine na pasta ou no projeto onde a restrição é aplicada. A alteração deste valor pode afetar a residência ou a soberania dos dados.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre a VM confidencial para mais informações.
`compute.trustedImageProjects`	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados ao impedir a utilização de imagens ou agentes não autorizados.

Restrições da política da organização do Cloud Storage

Restrição de política da organização Descrição

storage.uniformBucketLevelAccess Definido como Verdadeiro.

O acesso a novos contentores é gerido através de políticas de IAM em vez de listas de controlo de acesso (ACLs) do Cloud Storage. Esta restrição fornece autorizações detalhadas para contentores e o respetivo conteúdo.

Se for criado um contentor enquanto esta restrição estiver ativada, o acesso ao mesmo nunca pode ser gerido através de ACLs. Por outras palavras, o método de controlo de acesso para um contentor é definido permanentemente para usar políticas de IAM em vez de ACLs do Cloud Storage.

Restrição de política da organização	Descrição
`storage.uniformBucketLevelAccess`	Definido como Verdadeiro. O acesso a novos contentores é gerido através de políticas de IAM em vez de listas de controlo de acesso (ACLs) do Cloud Storage. Esta restrição fornece autorizações detalhadas para contentores e o respetivo conteúdo. Se for criado um contentor enquanto esta restrição estiver ativada, o acesso ao mesmo nunca pode ser gerido através de ACLs. Por outras palavras, o método de controlo de acesso para um contentor é definido permanentemente para usar políticas de IAM em vez de ACLs do Cloud Storage.
`storage.restrictAuthTypes`	Definido para impedir a autenticação através do código de autenticação de mensagens baseado em hash (HMAC). Os dois tipos de HMAC seguintes são especificados neste valor de restrição: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Por predefinição, as chaves HMAC são impedidas de fazer a autenticação em recursos do Cloud Storage para cargas de trabalho no TSI Sovereign Cloud. As chaves HMAC afetam a soberania dos dados porque podem ser usadas para aceder aos dados dos clientes sem o conhecimento dos mesmos. Consulte as chaves HMAC na documentação do Cloud Storage. A alteração deste valor pode afetar a soberania dos dados na sua carga de trabalho. Recomendamos vivamente que mantenha o valor definido.

storage.restrictAuthTypes

Definido para impedir a autenticação através do código de autenticação de mensagens baseado em hash (HMAC). Os dois tipos de HMAC seguintes são especificados neste valor de restrição:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Por predefinição, as chaves HMAC são impedidas de fazer a autenticação em recursos do Cloud Storage para cargas de trabalho no TSI Sovereign Cloud. As chaves HMAC afetam a soberania dos dados porque podem ser usadas para aceder aos dados dos clientes sem o conhecimento dos mesmos. Consulte as chaves HMAC na documentação do Cloud Storage.

A alteração deste valor pode afetar a soberania dos dados na sua carga de trabalho. Recomendamos vivamente que mantenha o valor definido.

Restrições da política da organização do Google Kubernetes Engine

Restrição de política da organização	Descrição
`container.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas do kernel, que é necessária para manter o controlo soberano de uma carga de trabalho. A alteração deste valor pode afetar a soberania dos dados na sua carga de trabalho. Recomendamos vivamente que mantenha o valor definido.

Restrições da política da organização do Cloud Key Management Service

Restrição de política da organização	Descrição
`cloudkms.allowedProtectionLevels`	Definido como `EXTERNAL` e `EXTERNAL_VPC`. Restringe os tipos CryptoKey do Serviço de gestão de chaves na nuvem que podem ser criados e está definida para permitir apenas os tipos de chaves `EXTERNAL` e `EXTERNAL_VPC`.

Funcionalidades afetadas

Esta secção indica como as funcionalidades ou as capacidades de cada serviço são afetadas pelo TSI Sovereign Cloud.

Funcionalidades do Compute Engine

Funcionalidade	Descrição
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado atualmente através da CMEK. Consulte a restrição de política da organização `gcp.restrictNonCmekServices` na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
SSDs locais	Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque, atualmente, não é possível encriptá-los com a CMEK. Consulte a restrição de política da organização `gcp.restrictNonCmekServices` na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
Ver a saída da porta de série	Esta funcionalidade está desativada. Não vai poder ver o resultado de forma programática nem através do Cloud Logging. Altere o valor da restrição da política organizacional `compute.disableSerialPortLogging` para Falso para ativar a saída da porta de série.
Ambiente convidado	É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações deste software podem ser instaladas por predefinição. Consulte Ambiente de convidado para ver informações específicas sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos e processos de segurança internos. No entanto, para os clientes que querem controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a `compute.trustedImageProjects` restrição da política da organização. Consulte o tópico Criar uma imagem personalizada para mais informações.
`instances.getSerialPortOutput()`	Esta API está desativada. Não vai poder obter a saída da porta de série da instância especificada através desta API. Altere o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções deste tópico.
`instances.getScreenshot()`	Esta API está desativada. Não vai poder obter uma captura de ecrã da instância especificada através desta API. Altere o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções deste tópico.

Funcionalidades do Cloud Logging

Configuração adicional do Cloud Logging necessária para a CMEK

Para usar o Cloud Logging com chaves de encriptação geridas pelo cliente (CMEK), tem de concluir os passos no tópico Ative as CMEK para uma organização na documentação do Cloud Logging.

Funcionalidades do Cloud Logging afetadas

Funcionalidade	Descrição
Sinks de registo	Os filtros não devem conter dados de clientes. Os destinos de registos incluem filtros que são armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas do registo de monitorização em tempo real	Os filtros não devem conter dados de clientes. Uma sessão de monitorização em tempo real inclui um filtro que é armazenado como configuração. O acompanhamento de registos não armazena dados de entradas de registos propriamente ditos, mas pode consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.
Alertas baseados em registos	Esta funcionalidade está desativada. Não pode criar alertas baseados em registos na Google Cloud consola.
URLs abreviados para consultas do Explorador de registos	Esta funcionalidade está desativada. Não pode criar URLs encurtados de consultas na Google Cloud consola.
Guardar consultas no Explorador de registos	Esta funcionalidade está desativada. Não pode guardar consultas na Google Cloud consola.
Registe a análise com o BigQuery	Esta funcionalidade está desativada. Não pode usar a funcionalidade de análise de registos.