Se usó la API de Cloud Translation para traducir esta página.

Restricciones y limitaciones de la Nube soberana de T-Systems

En este tema, se describen las restricciones, las limitaciones y otras opciones de configuración cuando usas T-Systems Sovereign Cloud.

Descripción general

T-Systems Sovereign Cloud (TSI Sovereign Cloud) proporciona funciones de residencia de datos y soberanía de datos para los servicios Google Cloud dentro del alcance. Para proporcionar estas funciones, algunas de las funciones del servicio están restringidas o limitadas. La mayoría de estos cambios se aplican durante el proceso de integración cuando T-Systems International (TSI) comienza a administrar tu organización. Sin embargo, algunos de ellos se pueden cambiar más adelante mediante la modificación de las políticas de la organización.

Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio determinado de Google Cloud o afectan la soberanía de los datos o la residencia de datos. Por ejemplo, algunas funciones o capacidades pueden inhabilitarse de forma automática para garantizar la soberanía de los datos y la residencia de datos. Además, si se cambia la configuración de una política de la organización, podría tener la consecuencia no deseada de copiar datos de una región a otra.

Servicios y APIs dentro del alcance

Servicios

Compute Engine
- Políticas de la organización
- Funciones afectadas
Persistent Disk
Cloud Storage
- Políticas de la organización
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- Políticas de la organización
Google Kubernetes Engine
- Políticas de la organización
Cloud Logging
- Funciones afectadas

API

Los siguientes extremos de API están disponibles en TSI Sovereign Cloud:

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

Políticas de la organización

En esta sección, se describe cómo los servicios se ven afectados por los valores de restricciones de la política predeterminada de la organización cuando se crean carpetas o proyectos mediante TSI Sovereign Cloud. Otras restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una “defensa en profundidad” adicional para proteger aún más los recursos de Google Cloud de tu organización.

Restricciones de la política de la organización en toda la nube

Las siguientes restricciones de política de la organización se aplican a cualquier servicio aplicable de Google Cloud .

Restricción de las políticas de la organización	Descripción
`gcp.resourceLocations`	Se establece en `in:tsi-sovereign` como el elemento de lista `allowedValues`. Este valor restringe la creación de recursos nuevos solo al grupo de valores TSI. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de las que define TSI. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información.
`gcp.restrictNonCmekServices`	Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes: `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` Algunas funciones pueden verse afectadas por cada uno de los servicios mencionados anteriormente. Consulta la sección de funciones afectadas a continuación. Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). CMEK permite que los datos en reposo se encripten con una clave administrada por ti, no los mecanismos de encriptación predeterminados de Google. Si cambias este valor mediante la eliminación de uno o más servicios dentro del alcance de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente mediante las claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
`gcp.restrictCmekCryptoKeyProjects`	Establece el valor en `under:organizations/your-organization-name`, que es la organización de TSI Sovereign Cloud. Puedes restringir aún más este valor si especificas un proyecto o una carpeta. Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización	Descripción
`compute.enableComplianceMemoryProtection`	Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos.
`compute.disableSerialPortLogging`	Configurado como True. Inhabilita el registro de puerto en serie en Stackdriver desde las VMs de Compute Engine en la carpeta o el proyecto donde se aplica la restricción. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos.
`compute.disableInstanceDataAccessApis`	Configurado como True. Inhabilita de manera global las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.
`compute.trustedImageProjects`	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados.

Restricciones de la política de la organización de Cloud Storage

Restricción de las políticas de la organización Descripción

storage.uniformBucketLevelAccess Configurado como True.

El acceso a los depósitos nuevos se administra mediante políticas de IAM en lugar de Listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos específicos para los depósitos y su contenido.

Si se crea un bucket mientras está habilitada esta restricción, el acceso a la ruta nunca se puede administrar mediante LCA. En otras palabras, el método de control de acceso para un bucket se establece de forma permanente con las políticas de IAM en lugar de las LCA de Cloud Storage.

Restricción de las políticas de la organización	Descripción
`storage.uniformBucketLevelAccess`	Configurado como True. El acceso a los depósitos nuevos se administra mediante políticas de IAM en lugar de Listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos específicos para los depósitos y su contenido. Si se crea un bucket mientras está habilitada esta restricción, el acceso a la ruta nunca se puede administrar mediante LCA. En otras palabras, el método de control de acceso para un bucket se establece de forma permanente con las políticas de IAM en lugar de las LCA de Cloud Storage.
`storage.restrictAuthTypes`	Se establece para evitar la autenticación con un código de autenticación de mensajes basado en hash (HMAC). En este valor de restricción, se especifican los siguientes dos tipos de HMAC: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` De forma predeterminada, se impide que las claves HMAC se autentiquen en los recursos de Cloud Storage para las cargas de trabajo en TSI Sovereign Cloud. Las claves de HMAC afectan la soberanía de los datos porque se pueden usar para acceder a los datos del cliente sin su conocimiento. Consulta las claves HMAC en la documentación de Cloud Storage. Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

storage.restrictAuthTypes

Se establece para evitar la autenticación con un código de autenticación de mensajes basado en hash (HMAC). En este valor de restricción, se especifican los siguientes dos tipos de HMAC:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

De forma predeterminada, se impide que las claves HMAC se autentiquen en los recursos de Cloud Storage para las cargas de trabajo en TSI Sovereign Cloud. Las claves de HMAC afectan la soberanía de los datos porque se pueden usar para acceder a los datos del cliente sin su conocimiento. Consulta las claves HMAC en la documentación de Cloud Storage.

Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Configurado como True. Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Restricciones de las políticas de la organización de Cloud Key Management Service

Restricción de las políticas de la organización	Descripción
`cloudkms.allowedProtectionLevels`	Se establece en `EXTERNAL` y `EXTERNAL_VPC`. Restringe los tipos de CryptoKey de Cloud Key Management Service que se pueden crear y está configurado para permitir solo tipos de clave `EXTERNAL` y `EXTERNAL_VPC`.

Funciones afectadas

En esta sección, se enumera cómo las funciones o capacidades de cada servicio se ven afectadas por TSI Sovereign Cloud.

Características de Compute Engine

Atributo	Descripción
Suspende y reanuda una instancia de VM	Se inhabilitó esta función. La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar mediante el uso de CMEK. Consulta la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
SSD locales	Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque, por el momento, no se pueden encriptar mediante CMEK. Consulta la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
Visualiza la puerto en serie serie	Esta función está inhabilitada. No podrás ver el resultado de forma programática ni a través de Cloud Logging. Cambia el valor de la restricción de política de la organización `compute.disableSerialPortLogging` a False para habilitar la salida del puerto en serie.
Entorno huésped	Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a cumplir con la soberanía de los datos mediante procesos y controles de seguridad internos. Sin embargo, para los clientes que desean un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización `compute.trustedImageProjects`. Consulta el tema Compila una imagen personalizada para obtener más información.
`instances.getSerialPortOutput()`	Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en este tema.
`instances.getScreenshot()`	Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en este tema.

Funciones de Cloud Logging

Configuración adicional obligatoria de Cloud Logging para CMEK

Para usar Cloud Logging con claves de encriptación administradas por el cliente (CMEK), debes completar los pasos del tema Habilita CMEK para una organización en la documentación de Cloud Logging.

Funciones de Cloud Logging afectadas

Atributo	Descripción
Receptores de registros	Los filtros no deben contener datos del cliente. Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos del cliente.
Entradas de registro de transmisión de registros en tiempo real	Los filtros no deben contener datos del cliente. Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos de clientes.
Alertas basadas en registros	Se inhabilitó esta función. No puedes crear alertas basadas en registros en la consola de Google Cloud .
URL reducidas para las consultas del Explorador de registros	Se inhabilitó esta función. No puedes crear URLs acortadas de consultas en la consola de Google Cloud .
Guarda consultas en el Explorador de registros	Se inhabilitó esta función. No puedes guardar ninguna consulta en la consola de Google Cloud .
Estadísticas de registros con BigQuery	Se inhabilitó esta función. No puedes usar la función de estadísticas de registros.