Esta página foi traduzida pela API Cloud Translation.

Restrições e limitações na Nuvem soberana da T-Systems

Neste tópico, descrevemos as restrições, limitações e outras opções de configuração ao usar a nuvem soberana da T-Systems.

Visão geral

A nuvem soberana da T-Systems (TSI Sovereign Cloud) oferece recursos de soberania e residência de dados para serviços do Google Cloud no escopo. Para fornecer esses recursos, alguns deles são restritos ou limitados. A maioria dessas mudanças é aplicada durante o processo de integração quando sua organização passa a ser gerenciada pelo T-Systems International (TSI). No entanto, algumas delas podem ser alteradas depois, modificando as políticas da organização.

É importante entender como essas restrições modificam o comportamento de um determinado serviço ou afetam a soberania ou a residência de dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir a soberania e a residência de dados. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.

APIs e serviços no escopo

Serviços

Compute Engine
- Políticas da organização
- Recursos afetados
Persistent Disk
Cloud Storage
- Políticas da organização
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- Políticas da organização
Google Kubernetes Engine
- Políticas da organização
Cloud Logging
- Recursos afetados

APIs

Os seguintes endpoints de API estão disponíveis na TSI Sovereign Cloud:

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

Políticas da organização

Esta seção descreve como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando o TSI Sovereign Cloud. Outras restrições aplicáveis, mesmo que não sejam definidas por padrão, podem fornecer "defesa em profundidade" adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Restrições da política da organização em toda a nuvem

As seguintes restrições da política da organização se aplicam a qualquer serviço aplicável do Google Cloud .

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Defina como `in:tsi-sovereign` como o item da lista `allowedValues`. Esse valor restringe a criação de novos recursos somente ao grupo de valores do TSI. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora das definidas pela TSI. Consulte a documentação Grupos de valores de política da organização para mais informações.
`gcp.restrictNonCmekServices`	Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo: `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` Alguns recursos podem ser afetados para cada um dos serviços listados acima. Consulte a seção "Recursos afetados" abaixo. Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços em escopo da listagem pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
`gcp.restrictCmekCryptoKeyProjects`	Defina como `under:organizations/your-organization-name`, que é sua organização Sovereign Cloud do TSI. É possível restringir ainda mais esse valor especificando um projeto ou uma pasta. Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves KMS para criptografia de dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
`compute.enableComplianceMemoryProtection`	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar sua residência ou soberania de dados.
`compute.disableSerialPortLogging`	Definido como Verdadeiro. Desativa a geração de registros de porta serial no Stackdriver nas VMs do Compute Engine na pasta ou no projeto em que a restrição é aplicada. Alterar esse valor pode afetar sua residência ou soberania de dados.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre VMs confidenciais para mais informações.
`compute.trustedImageProjects`	(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa em profundidade adicional. A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Restrições da política da organização do Cloud Storage

Restrição da política da organização Descrição

storage.uniformBucketLevelAccess Definido como Verdadeiro.

O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles.

Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.

Restrição da política da organização	Descrição
`storage.uniformBucketLevelAccess`	Definido como Verdadeiro. O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles. Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.
`storage.restrictAuthTypes`	Define para impedir a autenticação usando o código de autenticação de mensagem baseado em hash (HMAC). Os dois tipos de HMAC a seguir são especificados neste valor de restrição: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Por padrão, as chaves HMAC não podem ser autenticadas para recursos do Cloud Storage para cargas de trabalho na nuvem soberana do TSI. As chaves HMAC afetam a soberania de dados porque podem ser usadas para acessar dados do cliente sem que ele saiba. Consulte as chaves HMAC nos documentos do Cloud Storage. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É altamente recomendável manter o valor definido.

storage.restrictAuthTypes

Define para impedir a autenticação usando o código de autenticação de mensagem baseado em hash (HMAC). Os dois tipos de HMAC a seguir são especificados neste valor de restrição:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Por padrão, as chaves HMAC não podem ser autenticadas para recursos do Cloud Storage para cargas de trabalho na nuvem soberana do TSI. As chaves HMAC afetam a soberania de dados porque podem ser usadas para acessar dados do cliente sem que ele saiba. Consulte as chaves HMAC nos documentos do Cloud Storage.

Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É altamente recomendável manter o valor definido.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
`container.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É altamente recomendável manter o valor definido.

Restrições da política da organização do Cloud Key Management Service

Restrição da política da organização	Descrição
`cloudkms.allowedProtectionLevels`	Defina como `EXTERNAL` e `EXTERNAL_VPC`. Restringe os tipos de CryptoKey do Cloud Key Management Service que podem ser criados e é definido para permitir apenas tipos de chave `EXTERNAL` e `EXTERNAL_VPC`.

Recursos afetados

Esta seção lista como os recursos ou recursos de cada serviço são afetados pelo TSI Sovereign Cloud.

Recursos do Compute Engine

Seleção de	Descrição
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente. O armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEKs. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque atualmente não é possível fazer a criptografia deles usando CMEKs. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
Como visualizar a saída da porta serial	Esse recurso está desativado. Não é possível visualizar a saída de forma programática ou pelo Cloud Logging. Mude o valor da restrição da política da organização `compute.disableSerialPortLogging` para Falso para ativar a saída da porta serial.
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para ver informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, para clientes que quiserem ter mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização `compute.trustedImageProjects`. Para mais informações, consulte o tópico Como criar uma imagem personalizada.
`instances.getSerialPortOutput()`	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição de política da organização `compute.disableInstanceDataAccessApis` para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em este tópico.
`instances.getScreenshot()`	Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API. Mude o valor da restrição de política da organização `compute.disableInstanceDataAccessApis` para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em este tópico.

Recursos do Cloud Logging

Configuração extra necessária do Cloud Logging para CMEK

Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), é preciso concluir as etapas do tópico Ativar CMEK para uma organização na documentação do Cloud Logging.

Recursos do Cloud Logging afetados

Recurso	Descrição
Coletores de registros	Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo	Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.
Alertas com base em registros	Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud .
URLs encurtados para consultas do Buscador de registros	Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console do Google Cloud .
Salvar consultas no Buscador de registros	Este recurso está desativado. Não é possível salvar consultas no console do Google Cloud .
Registrar análises usando o BigQuery	Este recurso está desativado. Não é possível usar o recurso de análise de registros.