Límite de datos para el nivel de impacto 5 (IL5)
En esta página se describe el conjunto de controles que se aplican en el límite de datos para las cargas de trabajo IL5 en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos Google Cloud compatibles y sus endpoints de API, así como las restricciones o limitaciones aplicables a esos productos. La siguiente información adicional se aplica a la frontera de datos de IL5:
- Residencia de los datos: el paquete de controles de la frontera de datos para IL5 establece controles de ubicación de los datos para admitir solo regiones de EE. UU. Para obtener más información, consulta la sección Google Cloud-wide organization policy constraints (Restricciones de las políticas de toda la organización deGoogle Cloud).
- Asistencia: los servicios de asistencia técnica para Data Boundary para cargas de trabajo de IL5 están disponibles con las suscripciones a Cloud Customer Care Mejorada o Premium. Los casos de asistencia de cargas de trabajo de IL5 se derivan a personas estadounidenses que se encuentran en EE. UU. Para obtener más información, consulta el artículo Obtener asistencia.
- Precios: el paquete de control de límite de datos para IL5 se incluye en el nivel Premium de Assured Workloads, que conlleva un cargo adicional del 20 %. Para obtener más información, consulta los precios de Assured Workloads.
Requisitos previos
Para seguir cumpliendo los requisitos como usuario del paquete de control de la frontera de datos de IL5, compruebe que cumple y respeta los siguientes requisitos previos:
- Crea un límite de datos para la carpeta IL5 con Assured Workloads y despliega tus cargas de trabajo de IL5 solo en esa carpeta.
- Habilita y usa solo los servicios incluidos en el ámbito para el límite de datos de las cargas de trabajo de IL5.
- No cambies los valores predeterminados de las restricciones de la política de la organización, a menos que entiendas y aceptes los riesgos de residencia de datos que puedan producirse.
- En todos los servicios que se usen en una carpeta de límite de datos para IL5, no almacenes datos técnicos en los siguientes tipos de información de configuración de seguridad o definidos por el usuario:
- Mensajes de error
- Salida de la consola
- Datos de atributos
- Datos de configuración del servicio
- Encabezados de paquetes de red
- Identificadores de recursos
- Etiquetas de datos
- Te recomendamos que adoptes las prácticas recomendadas de seguridad generales que se indican en el Google Cloud centro de prácticas recomendadas de seguridad.
- Consulta la página Autorización provisional del Departamento de Defensa de EE.UU. para obtener más información sobre cómo implementar cargas de trabajo de IL5 enGoogle Cloud.
- Cuando accedas a la Google Cloud consola, podrás usar la
consola Jurisdiccional Google Cloud .
No es obligatorio usar la consola Jurisdictional Google Cloud para la frontera de datos de IL5. Se puede acceder a él a través de una de las siguientes URLs:
- console.us.cloud.google.com
- console.us.cloud.google para usuarios con identidad federada
Productos y endpoints de API admitidos
A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos admitidos a través de la consola de Google Cloud . En la siguiente tabla se indican las restricciones o limitaciones que afectan a las funciones de un producto admitido, incluidas las que se aplican mediante los ajustes de restricciones de la política de la organización.
Si un producto no aparece en la lista, significa que no se admite y que no cumple los requisitos de control de la frontera de datos para IL5. No se recomienda usar productos no admitidos sin haber tomado las precauciones necesarias y sin conocer a fondo las responsabilidades que te corresponden en el modelo de responsabilidad compartida. Antes de usar un producto no admitido, asegúrate de que conoces y aceptas los riesgos asociados, como los efectos negativos en la residencia o la soberanía de los datos. Además, revisa cualquier uso de un producto no admitido con tu agencia autorizadora antes de aceptar el riesgo.
| Producto admitido | Endpoints de API | Restricciones o limitaciones |
|---|---|---|
| Artifact Registry |
artifactregistry.googleapis.com |
Ninguno |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funciones afectadas y restricciones de política de organización |
| Servicio de Autoridades de Certificación |
privateca.googleapis.com |
Ninguno |
| Cloud Build |
cloudbuild.googleapis.com |
Ninguno |
| Cloud Composer |
composer.googleapis.com |
Ninguno |
| Cloud DNS |
dns.googleapis.com |
Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Ninguno |
| Cloud HSM |
cloudkms.googleapis.com |
Ninguno |
| Cloud Identity |
cloudidentity.googleapis.com |
Ninguno |
| Cloud Interconnect |
compute.googleapis.com |
Ninguno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Restricciones de las políticas de organización |
| Cloud Logging |
logging.googleapis.com |
Ninguno |
| Cloud Monitoring |
monitoring.googleapis.com |
Ninguno |
| Cloud NAT |
compute.googleapis.com |
Ninguno |
| Cloud Router |
compute.googleapis.com |
Ninguno |
| Cloud Run |
run.googleapis.com |
Funciones afectadas |
| Cloud SQL |
sqladmin.googleapis.com |
Ninguno |
| Cloud Storage |
storage.googleapis.com |
Ninguno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Ninguno |
| Cloud VPN |
compute.googleapis.com |
Ninguno |
| API de Cloud Vision |
us-vision.googleapis.com |
Funciones afectadas |
| Cloud Workstations |
workstations.googleapis.com |
Funciones afectadas |
| Compute Engine |
compute.googleapis.com |
Funciones afectadas y restricciones de política de organización |
| Conectar con agente |
gkeconnect.googleapis.com |
Ninguno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Ninguno |
| Dataproc |
dataproc.googleapis.comdataproc-control.googleapis.com |
Ninguno |
| Eventarc |
eventarc.googleapis.com |
Ninguno |
| Balanceador de carga de red de paso a través externo |
compute.googleapis.com |
Ninguno |
| Hub de GKE |
gkehub.googleapis.com |
Ninguno |
| Servicio de identidad de GKE |
anthosidentityservice.googleapis.com |
Ninguno |
| IA generativa en Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Gemini Enterprise |
discoveryengine.googleapis.com |
Ninguno |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Ninguno |
| consola de administración de Google |
N/A |
Ninguno |
| Gestión de identidades y accesos (IAM) |
iam.googleapis.com |
Restricciones de las políticas de organización |
| Identity‑Aware Proxy |
iap.googleapis.com |
Ninguno |
| Balanceador de carga de red de paso a través interno |
compute.googleapis.com |
Ninguno |
| Memorystore para Redis |
redis.googleapis.com |
Ninguno |
| Persistent Disk |
compute.googleapis.com |
Ninguno |
| Pub/Sub |
pubsub.googleapis.com |
Restricciones de las políticas de organización |
| Balanceador de carga de aplicación externo regional |
compute.googleapis.com |
Ninguno |
| Balanceador de carga de red de proxy externo regional |
compute.googleapis.com |
Ninguno |
| Balanceador de carga de aplicación interno regional |
compute.googleapis.com |
Ninguno |
| Balanceador de carga de red de proxy interno regional |
compute.googleapis.com |
Ninguno |
| Secret Manager |
secretmanager.googleapis.com |
Ninguno |
| Protección de Datos Sensibles |
dlp.googleapis.com |
Ninguno |
| Spanner |
spanner.googleapis.com |
Ninguno |
| Speech-to-Text |
speech.googleapis.com |
Funciones afectadas |
| Controles de Servicio de VPC |
accesscontextmanager.googleapis.com |
Ninguno |
| Predicción por lotes de Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
Ninguno |
| Registro de modelos de Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Predicción online de Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Search |
discoveryengine.googleapis.com |
Ninguno |
| Vertex AI Training |
aiplatform.googleapis.com |
Ninguno |
| Nube privada virtual (VPC) |
compute.googleapis.com |
Ninguno |
Restricciones y limitaciones
En las siguientes secciones se describen las restricciones o limitaciones de las funciones a nivel de Google Cloudo de producto, incluidas las restricciones de políticas de la organización que se definen de forma predeterminada en el límite de datos de las carpetas de IL5. Otras restricciones de políticas de la organización aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización. Google Cloud
Google Cloudde ancho
Funciones de todo el sitio afectadas Google Cloud
| Función | Descripción |
|---|---|
| Google Cloud console | Para acceder a la Google Cloud consola cuando se usa el paquete de control de límite de datos para IL5,
puedes usar la
consola Jurisdiccional Google Cloud .
No se necesita la consola Jurisdictional Google Cloud para la frontera de datos de IL5. Se puede acceder a ella mediante una de las siguientes URLs:
|
Restricciones de las políticas de organización deGoogle Cloud
Las siguientes restricciones de la política de la organización se aplican en Google Cloud.
| Restricción de política de organización | Descripción |
|---|---|
gcp.resourceLocations |
Selecciona las siguientes ubicaciones en la lista allowedValues:
Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o almacenen datos fuera de un límite de datos conforme. |
gcp.restrictCmekCryptoKeyProjects |
Se ha definido como under:organizations/your-organization-name, que es tu organización de Assured Workloads. Puede restringir aún más este valor especificando un proyecto o una carpeta.Limita el ámbito de las carpetas o proyectos aprobados que pueden proporcionar claves de Cloud KMS para cifrar datos en reposo mediante CMEK. Esta restricción impide que las carpetas o los proyectos no aprobados proporcionen claves de cifrado, lo que ayuda a garantizar la soberanía de los datos en reposo de los servicios incluidos en el ámbito. |
gcp.restrictNonCmekServices |
Se define como una lista de todos los nombres de servicios de API incluidos en el ámbito, entre los que se incluyen los siguientes:
Cada servicio de la lista requiere claves de cifrado gestionadas por el cliente (CMEK). Las CMEK cifran los datos en reposo con una clave gestionada por ti, no con los mecanismos de cifrado predeterminados de Google. Si cambias este valor quitando uno o varios servicios incluidos en el ámbito de la lista, puede que se vea afectada la soberanía de los datos, ya que los nuevos datos en reposo se cifrarán automáticamente con las claves de Google en lugar de con las tuyas. Los datos en reposo se seguirán cifrando con la clave que proporcionaste. |
gcp.restrictServiceUsage |
Se define para permitir todos los productos y endpoints de API admitidos. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos. |
gcp.restrictTLSVersion |
Definir para denegar las siguientes versiones de TLS:
|
BigQuery
Funciones de BigQuery afectadas
| Función | Descripción |
|---|---|
| Habilitar BigQuery en una carpeta nueva | BigQuery es compatible, pero no se habilita automáticamente al crear una carpeta de Assured Workloads debido a un proceso de configuración interno. Este proceso suele completarse en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para comprobar si el proceso ha finalizado y habilitar BigQuery, sigue estos pasos:
Una vez que se haya completado el proceso de habilitación, podrá usar BigQuery en su carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery. |
| APIs de BigQuery que cumplen los requisitos | Las siguientes APIs de BigQuery cumplen los requisitos del nivel de impacto 5 (IL5): |
| Regiones | BigQuery cumple el nivel de impacto 5 (IL5) en todas las regiones de EE. UU. de BigQuery, excepto en la multirregión de EE. UU. No se puede garantizar el cumplimiento de IL5 si se crea un conjunto de datos en una multirregión de EE. UU., en una región que no sea de EE. UU. o en una multirregión que no sea de EE. UU. Es tu responsabilidad especificar una región que cumpla el nivel de impacto 5 (IL5) al crear conjuntos de datos de BigQuery. |
| Consultas en conjuntos de datos de IL5 desde proyectos que no son de IL5 | BigQuery no impide que se consulten conjuntos de datos de IL5 desde proyectos que no sean de IL5. Asegúrate de que cualquier consulta que utilice una operación de lectura o de unión en datos técnicos de IL5 esté en una carpeta que cumpla los requisitos de IL5. |
| Conexiones a fuentes de datos externas | La responsabilidad de Google en cuanto al cumplimiento se limita a la función de la API de conexión de BigQuery. Es su responsabilidad asegurarse de que los productos de origen que se usan con la API de conexión de BigQuery cumplen los requisitos. |
| Funciones no compatibles | Las siguientes funciones de BigQuery no se admiten y no deben usarse en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads.
|
| CLI de BigQuery | Se admite la CLI de BigQuery.
|
| SDK de Google Cloud | Debes usar la versión 403.0.0 o una posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar la versión actual del SDK de Google Cloud, ejecuta gcloud --version y, a continuación, gcloud components update para actualizar a la versión más reciente.
|
| Controles del administrador | BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads podrán habilitar una API no compatible. Si esto ocurre, se te notificará el posible incumplimiento a través del panel de control de monitorización de Assured Workloads. |
| Cargando datos | No se admiten los conectores de BigQuery Data Transfer Service para aplicaciones de software como servicio (SaaS) de Google, proveedores de almacenamiento en la nube externos y almacenes de datos. Es tu responsabilidad no usar los conectores de BigQuery Data Transfer Service para la frontera de datos de las cargas de trabajo de IL5. |
| Transferencias de terceros | BigQuery no verifica la compatibilidad con las transferencias de terceros de BigQuery Data Transfer Service. Es tu responsabilidad verificar la compatibilidad cuando utilices una transferencia de terceros con BigQuery Data Transfer Service. |
| Modelos de BQML no conformes | No se admiten los modelos de BQML entrenados externamente. |
| Tareas de consulta | Los trabajos de consulta solo se deben crear en carpetas de Assured Workloads. |
| Consultas en conjuntos de datos de otros proyectos | BigQuery no impide que se consulten conjuntos de datos de Assured Workloads
desde proyectos que no sean de Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una lectura o una combinación de datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puede especificar un nombre de tabla completo para el resultado de la consulta mediante projectname.dataset.table en la CLI de BigQuery.
|
| Cloud Logging | BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar tus segmentos de registros _default o restringir los segmentos _default a las regiones incluidas en el ámbito para mantener el cumplimiento mediante el siguiente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Para obtener más información, consulta el artículo Regionalizar los registros. |
Cloud Interconnect
Funciones de Cloud Interconnect afectadas
| Función | Descripción |
|---|---|
| VPN de alta disponibilidad | Debes habilitar la función de VPN de alta disponibilidad cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir los requisitos de cifrado y regionalización que se indican en la sección Funciones de VPN de Cloud afectadas. |
Cloud KMS
Restricciones de las políticas de organización de Cloud KMS
| Restricción de política de organización | Descripción |
|---|---|
cloudkms.allowedProtectionLevels |
Se ha configurado para permitir la creación de claves criptográficas de Cloud Key Management Service con los siguientes niveles de protección:
|
Cloud Logging
Funciones de Cloud Logging afectadas
| Función | Descripción |
|---|---|
| Sumideros de registros | Los filtros no deben contener datos de clientes. Los receptores de registro incluyen filtros que se almacenan como configuración. No cree filtros que contengan Datos de Clientes. |
| Seguimiento en tiempo real de entradas de registro | Los filtros no deben contener datos de clientes. Una sesión de seguimiento en directo incluye un filtro que se almacena como configuración. La función de seguimiento de registros no almacena ningún dato de entrada de registro, pero puede consultar y transmitir datos entre regiones. No cree filtros que contengan Datos de Clientes. |
Cloud Monitoring
Funciones de Cloud Monitoring afectadas
| Función | Descripción |
|---|---|
| Monitor sintético | Esta función está inhabilitada. |
| Comprobaciones de disponibilidad del servicio | Esta función está inhabilitada. |
Cloud Run
Funciones de Cloud Run afectadas
| Función | Descripción |
|---|---|
| Funciones no compatibles | Las siguientes funciones de Cloud Run no se admiten: |
API de Cloud Vision
Funciones de la API Cloud Vision afectadas
| Función | Descripción |
|---|---|
| Endpoints de la API Cloud Vision que cumplen el nivel de impacto 5 | Es tu responsabilidad usar solo el endpoint de la API de la región de EE. UU.
(us-vision.googleapis.com) para la API Cloud Vision. El endpoint global (vision.googleapis.com) no cumple los requisitos de IL5 y, si lo usas, puede que se ponga en riesgo la residencia de los datos de tu carga de trabajo.
|
Cloud VPN
Funciones de Cloud VPN afectadas
| Función | Descripción |
|---|---|
| Puntos finales de VPN | Solo debes usar los endpoints de Cloud VPN que se encuentren en una región incluida en el ámbito. Asegúrate de que tu pasarela de VPN esté configurada para usarse solo en una región incluida en el ámbito. |
Cloud Workstations
Funciones de Cloud Workstations afectadas
| Función | Descripción |
|---|---|
| Crear un clúster de estaciones de trabajo | Cuando crees un clúster de estaciones de trabajo, es tu responsabilidad configurarlo de la siguiente manera para asegurar la residencia de los datos:
|
Compute Engine
Funciones de Compute Engine afectadas
| Función | Descripción |
|---|---|
| Suspender y reanudar una instancia de máquina virtual | Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente. Actualmente, el almacenamiento en disco persistente que se usa para almacenar el estado de la VM suspendida no se puede cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
|
| SSDs locales | Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque no se pueden cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
|
| Añadir un grupo de instancias a un balanceador de carga global | No puedes añadir un grupo de instancias a un balanceador de carga global. Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalLoadBalancing.
|
| Suspender y reanudar una instancia de máquina virtual | Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente. Además, el almacenamiento en disco persistente que se usa para almacenar el estado de la máquina virtual suspendida no se puede cifrar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
|
| SSDs locales | Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque no se pueden cifrar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
|
| Entorno de invitado | Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu máquina virtual, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta el entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete. Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización compute.trustedImageProjects.
Para obtener más información, consulta el artículo sobre cómo crear una imagen personalizada. |
| Políticas de SO en VM Manager |
Las secuencias de comandos insertadas y los archivos de salida binarios de los archivos de políticas del SO no se cifran con claves de cifrado gestionadas por el cliente (CMEK). No incluyas información sensible en estos archivos. Te recomendamos que almacenes estas secuencias de comandos y archivos de salida en segmentos de Cloud Storage. Para obtener más información, consulta los ejemplos de políticas de SO. Si quieres restringir la creación o modificación de recursos de políticas de SO que usen secuencias de comandos insertadas o archivos de salida binarios, habilita la restricción de la política de organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Para obtener más información, consulta Restricciones de Configuración del SO. |
instances.getSerialPortOutput()
|
Esta API está inhabilitada. No podrás obtener la salida del puerto serie de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de organización compute.disableInstanceDataAccessApis
a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de la sección Habilitar el acceso a un proyecto.
|
instances.getScreenshot() |
Esta API está inhabilitada. No podrás obtener una captura de pantalla de la instancia especificada
con esta API. Cambia el valor de la restricción de la política de organización compute.disableInstanceDataAccessApis
a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de la sección Habilitar el acceso a un proyecto.
|
Restricciones de las políticas de organización de Compute Engine
| Restricción de política de organización | Descripción |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Su valor debe ser True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas en políticas de seguridad de Google Cloud Armor globales. Esta restricción no limita la eliminación de reglas ni la capacidad de eliminar o cambiar la descripción y la lista de políticas de seguridad globales de Google Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Google Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de la aplicación de esta restricción seguirán vigentes. |
compute.disableGlobalLoadBalancing |
Su valor debe ser True. Inhabilita la creación de productos de balanceo de carga global. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo. |
compute.disableInstanceDataAccessApis
| Su valor debe ser True. Inhabilita globalmente las APIs instances.getSerialPortOutput() y
instances.getScreenshot().Si habilitas esta restricción, no podrás generar credenciales en máquinas virtuales de Windows Server. Si necesitas gestionar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
|
compute.setNewProjectDefaultToZonalDNSOnly
| Su valor debe ser True. Define la configuración de DNS de los nuevos proyectos como solo DNS zonal. El DNS zonal mitiga el riesgo de interrupciones entre regiones y mejora la fiabilidad general de tus proyectos en Compute Engine. |
compute.skipDefaultNetworkCreation
| Su valor debe ser True. Inhabilita la creación de una red predeterminada y sus recursos cuando se crea un proyecto. |
compute.restrictNonConfidentialComputing |
(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la documentación sobre máquinas virtuales confidenciales. |
compute.trustedImageProjects |
(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional.
Si se define este valor, el almacenamiento de imágenes y la creación de instancias de disco se limitarán a la lista de proyectos especificada. Este valor afecta a la soberanía de los datos, ya que impide el uso de imágenes o agentes no autorizados. |
Gestión de identidades y accesos
Restricciones de las políticas de organización de gestión de identidades y accesos
| Restricción de política de organización | Descripción |
|---|---|
iam.automaticIamGrantsForDefaultServiceAccounts |
Su valor debe ser True. Inhabilita la concesión automática del rol Editor ( roles/editor) básico antiguo
a las cuentas de servicio predeterminadas.Esta restricción no impide que se asignen roles básicos antiguos a las cuentas de servicio predeterminadas en el futuro. Para evitar este comportamiento, puedes definir la restricción iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts
en tu carpeta de Assured Workloads.
|
iam.disableServiceAccountKeyCreation |
Su valor debe ser True. Inhabilita la creación de claves de cuentas de servicio y claves HMAC de Cloud Storage. Si tu carga de trabajo requiere claves de cuentas de servicio, asegúrate de haber leído la página Prácticas recomendadas para gestionar claves de cuentas de servicio antes de cambiar el valor de esta restricción. |
Pub/Sub
Restricciones de las políticas de organización de Pub/Sub
| Restricción de política de organización | Descripción |
|---|---|
pubsub.managed.disableTopicMessageTransforms |
Su valor debe ser True. Inhabilita la configuración de temas de Pub/Sub con transformaciones de mensajes únicos (SMTs). Si cambia este valor, puede que se vea afectada la residencia o la soberanía de los datos de su carga de trabajo. |
pubsub.managed.disableSubscriptionMessageTransforms |
Su valor debe ser True. Inhabilita la configuración de suscripciones de Pub/Sub con transformaciones de mensajes únicos (SMTs). Si cambia este valor, puede que se vea afectada la residencia o la soberanía de los datos de su carga de trabajo. |
pubsub.managed.disableTopicMessageTransforms |
Su valor debe ser True. Inhabilita la configuración de temas de Pub/Sub con transformaciones de mensajes únicos (SMTs). Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo. |
Speech‑to‑Text
Funciones de Speech-to-Text afectadas
| Función | Descripción |
|---|---|
| Modelos personalizados de Speech-to-Text | Es tu responsabilidad no usar modelos de Speech-to-Text personalizados, ya que no cumplen los requisitos de la frontera de datos para IL5. |
Siguientes pasos
- Consulta cómo crear una carpeta de Assured Workloads.
- Consulta los precios de Assured Workloads