Límite de datos para el Nivel de impacto 5 (IL5)
En esta página, se describe el conjunto de controles que se aplican en el límite de datos para las cargas de trabajo de IL5 en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos Google Cloud compatibles y sus extremos de API, y las restricciones o limitaciones aplicables a esos productos. Se aplica la siguiente información adicional al límite de datos para el IL5:
- Residencia de datos: El paquete de controles del límite de datos para el nivel IL5 establece controles de ubicación de datos para admitir regiones solo de EE.UU.. Para obtener más información, consulta la sección Restricciones de las políticas de la organización enGoogle Cloud.
- Asistencia: Los servicios de asistencia técnica para el Límite de datos para cargas de trabajo de IL5 están disponibles con las suscripciones a Atención al cliente de Cloud mejorada o Premium. El límite de datos para los casos de asistencia de cargas de trabajo de IL5 se enruta a personas físicas o jurídicas de EE.UU. que se encuentren en ese país. Si necesitas más información, consulta Obtén asistencia.
- Precios: El paquete de controles del límite de datos de IL5 se incluye en el nivel Premium de Assured Workloads, que genera un cargo adicional del 20%. Para obtener más información, consulta los precios de Assured Workloads.
Requisitos previos
Para seguir cumpliendo con los requisitos como usuario del paquete de controles del límite de datos para IL5, verifica que satisfagas y cumplas con los siguientes requisitos previos:
- Crea un límite de datos para la carpeta de IL5 con Assured Workloads y, luego, implementa tus cargas de trabajo de IL5 solo en esa carpeta.
- Solo habilita y usa los servicios dentro del alcance para el límite de datos de las cargas de trabajo de IL5.
- No cambies los valores predeterminados de la restricción de la política de la organización, a menos que comprendas y aceptes los riesgos de residencia de datos que puedan ocurrir.
- En el caso de todos los servicios que se usan en una carpeta de límite de datos para el nivel IL5, no almacenes datos técnicos en los siguientes tipos de información de configuración de seguridad o definidos por el usuario:
- Mensajes de error
- Resultado de la consola
- Datos de atributos
- Datos de configuración del servicio
- Encabezados de paquetes de red
- Identificadores de recursos
- Etiquetas de datos
- Considera adoptar las prácticas recomendadas de seguridad generales que se proporcionan en el Google Cloud Centro de prácticas recomendadas para la seguridad.
- Revisa la página Autorización provisional del Departamento de Defensa de EE.UU. (DoD) para obtener información adicional sobre la implementación de cargas de trabajo de IL5 enGoogle Cloud.
- Cuando accedes a la consola de Google Cloud , tienes la opción de usar laconsola de Google Cloud jurisdiccional.
No es obligatorio que uses la consola jurisdiccional de Google Cloud para el límite de datos del nivel IL5. Se puede acceder a ella en una de las siguientes URLs:
- console.us.cloud.google.com
- console.us.cloud.google para usuarios de identidades federadas
Productos y extremos de API compatibles
A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos compatibles a través de la consola de Google Cloud . En la siguiente tabla, se indican las restricciones o limitaciones que afectan las funciones de un producto compatible, incluidas las que se aplican a través de la configuración de restricciones de políticas de la organización.
Si un producto no aparece en la lista, significa que no es compatible y que no cumple con los requisitos de control del límite de datos para el nivel IL5. No se recomienda usar los productos no admitidos sin la diligencia debida y una comprensión exhaustiva de tus responsabilidades en el modelo de responsabilidad compartida. Antes de usar un producto no compatible, asegúrate de conocer y aceptar los riesgos asociados, como los impactos negativos en la residencia o la soberanía de los datos. Además, revisa con tu agencia autorizante cualquier uso de un producto no admitido antes de aceptar el riesgo.
| Producto compatible | extremos de API | Restricciones o limitaciones |
|---|---|---|
| Artifact Registry |
artifactregistry.googleapis.com |
Ninguno |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funciones afectadas y restricciones de políticas de la organización |
| Certificate Authority Service |
privateca.googleapis.com |
Ninguno |
| Cloud Build |
cloudbuild.googleapis.com |
Ninguno |
| Cloud Composer |
composer.googleapis.com |
Ninguno |
| Cloud DNS |
dns.googleapis.com |
Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Ninguno |
| Cloud HSM |
cloudkms.googleapis.com |
Ninguno |
| Cloud Identity |
cloudidentity.googleapis.com |
Ninguno |
| Cloud Interconnect |
compute.googleapis.com |
Ninguno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Restricciones de las políticas de la organización |
| Cloud Logging |
logging.googleapis.com |
Ninguno |
| Cloud Monitoring |
monitoring.googleapis.com |
Ninguno |
| Cloud NAT |
compute.googleapis.com |
Ninguno |
| Cloud Router |
compute.googleapis.com |
Ninguno |
| Cloud Run |
run.googleapis.com |
Funciones afectadas |
| Cloud SQL |
sqladmin.googleapis.com |
Ninguno |
| Cloud Storage |
storage.googleapis.com |
Ninguno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Ninguno |
| Cloud VPN |
compute.googleapis.com |
Ninguno |
| API de Cloud Vision |
us-vision.googleapis.com |
Funciones afectadas |
| Cloud Workstations |
workstations.googleapis.com |
Funciones afectadas |
| Compute Engine |
compute.googleapis.com |
Funciones afectadas y restricciones de políticas de la organización |
| Connect Agent |
gkeconnect.googleapis.com |
Ninguno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Ninguno |
| Dataproc |
dataproc.googleapis.comdataproc-control.googleapis.com |
Ninguno |
| Eventarc |
eventarc.googleapis.com |
Ninguno |
| Balanceador de cargas de red de transferencia externo |
compute.googleapis.com |
Ninguno |
| GKE Hub |
gkehub.googleapis.com |
Ninguno |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
Ninguno |
| IA generativa en Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Gemini Enterprise |
discoveryengine.googleapis.com |
Ninguno |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Ninguno |
| Consola del administrador de Google |
N/A |
Ninguno |
| Administración de identidades y accesos (IAM) |
iam.googleapis.com |
Restricciones de las políticas de la organización |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Ninguno |
| Balanceador de cargas de red de transferencia interno |
compute.googleapis.com |
Ninguno |
| Memorystore para Redis |
redis.googleapis.com |
Ninguno |
| Persistent Disk |
compute.googleapis.com |
Ninguno |
| Pub/Sub |
pubsub.googleapis.com |
Restricciones de las políticas de la organización |
| Balanceador de cargas de aplicaciones externo regional |
compute.googleapis.com |
Ninguno |
| Balanceador de cargas de red del proxy externo regional |
compute.googleapis.com |
Ninguno |
| Balanceador de cargas de aplicaciones interno regional |
compute.googleapis.com |
Ninguno |
| Balanceador de cargas de red del proxy interno regional |
compute.googleapis.com |
Ninguno |
| Secret Manager |
secretmanager.googleapis.com |
Ninguno |
| Sensitive Data Protection |
dlp.googleapis.com |
Ninguno |
| Spanner |
spanner.googleapis.com |
Ninguno |
| Speech-to-Text |
speech.googleapis.com |
Funciones afectadas |
| Controles del servicio de VPC |
accesscontextmanager.googleapis.com |
Ninguno |
| Vertex AI Batch Prediction |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
Ninguno |
| Registro de modelos de Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Online Prediction |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Search |
discoveryengine.googleapis.com |
Ninguno |
| Vertex AI Training |
aiplatform.googleapis.com |
Ninguno |
| Nube privada virtual (VPC) |
compute.googleapis.com |
Ninguno |
Restricciones y limitaciones
En las siguientes secciones, se describen las restricciones o limitaciones de las funciones en todo Google Cloudo específicas del producto, incluidas las restricciones de políticas de la organización que se establecen de forma predeterminada en el límite de datos para las carpetas de IL5. Otras restricciones de políticas de la organización aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización Google Cloud .
Google Cloudde ancho
Funciones afectadas en toda la Google Cloud
| Función | Descripción |
|---|---|
| Consola deGoogle Cloud | Para acceder a la consola de Google Cloud cuando usas el paquete de controles del límite de datos para el nivel IL5, tienes la opción de usar la consola Google Cloud jurisdiccional.
No se requiere la consola jurisdiccional Google Cloud para el límite de datos del nivel IL5, y se puede acceder a ella con una de las siguientes URLs:
|
Restricciones de las políticas de la organización enGoogle Cloud
Las siguientes restricciones de política de la organización se aplican en Google Cloud.
| Restricción de las políticas de la organización | Descripción |
|---|---|
gcp.resourceLocations |
Establece las siguientes ubicaciones en la lista allowedValues:
Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con los requisitos. |
gcp.restrictCmekCryptoKeyProjects |
Se establece en under:organizations/your-organization-name, que es tu organización de
Assured Workloads. Puedes restringir aún más este valor si especificas un proyecto o una carpeta.Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de Cloud KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance. |
gcp.restrictNonCmekServices |
Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes:
Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). La CMEK encripta los datos en reposo con una clave administrada por ti, no con los mecanismos de encriptación predeterminados de Google. Si cambias este valor mediante la eliminación de uno o más servicios dentro del alcance de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente con las claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste. |
gcp.restrictServiceUsage |
Se configura para permitir todos los productos y extremos de API compatibles. Determina qué servicios se pueden usar restringiendo el acceso en el tiempo de ejecución a sus recursos. Para obtener más información, consulta Cómo restringir el uso de recursos. |
gcp.restrictTLSVersion |
Se establece para rechazar las siguientes versiones de TLS:
|
BigQuery
Funciones de BigQuery afectadas
| Función | Descripción |
|---|---|
| Cómo habilitar BigQuery en una carpeta nueva | BigQuery es compatible, pero no se habilita automáticamente cuando creas una carpeta nueva de Assured Workloads debido a un proceso de configuración interno. Este proceso suele finalizar en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery. |
| APIs de BigQuery que cumplen con los requisitos | Las siguientes APIs de BigQuery cumplen con el nivel IL5: |
| Regiones | BigQuery cumple con el nivel IL5 en todas las regiones de EE.UU., excepto la multirregional. No se puede garantizar el cumplimiento del nivel IL5 si se crea un conjunto de datos en una multirregión de EE.UU., una región que no sea de EE.UU. o una multirregión que no sea de EE.UU. Es tu responsabilidad especificar una región que cumpla con el nivel IL5 cuando crees conjuntos de datos de BigQuery. |
| Consultas sobre conjuntos de datos de IL5 desde proyectos que no son de IL5 | BigQuery no impide que se realicen consultas en conjuntos de datos de IL5 desde proyectos que no son de IL5. Asegúrate de que cualquier consulta que use una operación de lectura o unión en datos técnicos de IL5 se encuentre en una carpeta que cumpla con los requisitos de IL5. |
| Conexiones a fuentes de datos externas | La responsabilidad de Google en cuanto al cumplimiento se limita a la capacidad de la API de BigQuery Connection. Es tu responsabilidad garantizar el cumplimiento de los productos fuente que se usan con la API de BigQuery Connection. |
| Características no compatibles | Las siguientes funciones de BigQuery no son compatibles y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads.
|
| CLI de BigQuery | Se admite la CLI de BigQuery.
|
| SDK de Google Cloud | Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
|
| Controles del administrador | BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no compatible. Si esto ocurre, recibirás una notificación sobre el posible incumplimiento a través del panel de supervisión de Assured Workloads. |
| Carga datos | No se admiten los conectores del Servicio de transferencia de datos de BigQuery para las aplicaciones de software como servicio (SaaS) de Google, los proveedores externos de almacenamiento en la nube ni los almacenes de datos. Es tu responsabilidad no usar conectores del Servicio de transferencia de datos de BigQuery para el límite de datos de las cargas de trabajo de IL5. |
| Transferencias de terceros | BigQuery no verifica la compatibilidad con las transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad verificar la compatibilidad cuando uses cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery. |
| Modelos de BQML que no cumplen con los requisitos | Los modelos de BQML entrenados de forma externa no son compatibles. |
| Trabajos de consulta | Los trabajos de consulta solo se deben crear dentro de las carpetas de Assured Workloads. |
| Consultas sobre conjuntos de datos en otros proyectos | BigQuery no impide que se consulten los conjuntos de datos de Assured Workloads desde proyectos que no pertenecen a Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una lectura o una unión en los datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completo para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
|
| Cloud Logging | BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar tus buckets de registros de _default o restringir los buckets de _default a las regiones dentro del alcance para mantener el cumplimiento con el siguiente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Para obtener más información, consulta Regionaliza tus registros. |
Cloud Interconnect
Funciones de Cloud Interconnect afectadas
| Función | Descripción |
|---|---|
| VPN con alta disponibilidad (HA) | Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en la sección Funciones afectadas de Cloud VPN. |
Cloud KMS
Restricciones de las políticas de la organización de Cloud KMS
| Restricción de las políticas de la organización | Descripción |
|---|---|
cloudkms.allowedProtectionLevels |
Se configura para permitir la creación de CryptoKeys de Cloud Key Management Service con los siguientes niveles de protección:
|
Cloud Logging
Funciones de Cloud Logging afectadas
| Función | Descripción |
|---|---|
| Receptores de registros | Los filtros no deben contener datos del cliente. Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos del cliente. |
| Entradas de registro de transmisión de registros en tiempo real | Los filtros no deben contener datos del cliente. Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos del cliente. |
Cloud Monitoring
Funciones de Cloud Monitoring afectadas
| Función | Descripción |
|---|---|
| Monitor sintético | Se inhabilitó esta función. |
| Verificaciones de tiempo de actividad | Se inhabilitó esta función. |
Cloud Run
Funciones de Cloud Run afectadas
| Función | Descripción |
|---|---|
| Características no compatibles | No se admiten las siguientes funciones de Cloud Run: |
API de Cloud Vision
Funciones afectadas de la API de Cloud Vision
| Función | Descripción |
|---|---|
| Extremos de la API de Cloud Vision que cumplen con el nivel IL5 | Es tu responsabilidad usar solo el extremo de API de la región de EE.UU. (us-vision.googleapis.com) para la API de Cloud Vision. El extremo global (vision.googleapis.com) no cumple con el nivel IL5, y su uso puede socavar la residencia de datos de tu carga de trabajo.
|
Cloud VPN
Funciones de Cloud VPN afectadas
| Función | Descripción |
|---|---|
| Extremos de VPN | Solo debes usar extremos de Cloud VPN que se encuentren en una región dentro del alcance. Asegúrate de que tu puerta de enlace de VPN esté configurada para usarse solo en una región dentro del alcance. |
Cloud Workstations
Funciones de Cloud Workstations afectadas
| Función | Descripción |
|---|---|
| Cómo crear un clúster de estaciones de trabajo | Cuando crees un clúster de estación de trabajo, es tu responsabilidad configurarlo de la siguiente manera para garantizar la residencia de los datos:
|
Compute Engine
Funciones de Compute Engine afectadas
| Función | Descripción |
|---|---|
| Suspende y reanuda una instancia de VM | Se inhabilitó esta función. La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar actualmente con CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
|
| SSD locales | Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque no se pueden encriptar con CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de soberanía y residencia de datos de habilitar esta función.
|
| Agrega un grupo de instancias a un balanceador de cargas global | No puedes agregar un grupo de instancias a un balanceador de cargas global. Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalLoadBalancing.
|
| Suspende y reanuda una instancia de VM | Se inhabilitó esta función. La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
|
| SSD locales | Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque no se pueden encriptar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
|
| Entorno huésped | Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de tu VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a cumplir con la soberanía de los datos a través de procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización compute.trustedImageProjects.
Para obtener más información, consulta Compila una imagen personalizada. |
| Políticas del SO en VM Manager |
Los archivos de salida binarios y las secuencias de comandos intercaladas dentro de los archivos de políticas del SO no se encriptan con claves de encriptación administradas por el cliente (CMEK). No incluyas información sensible en estos archivos. Considera almacenar estos archivos de salida y secuencias de comandos en buckets de Cloud Storage. Para obtener más información, consulta Ejemplos de políticas del SO. Si deseas restringir la creación o modificación de recursos de políticas del SO que usan secuencias de comandos intercaladas o archivos de salida binarios, habilita la restricción de la política de la organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Para obtener más información, consulta Restricciones para OS Config. |
instances.getSerialPortOutput()
|
Esta API está inhabilitada. No podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis
a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso para un proyecto.
|
instances.getScreenshot() |
Esta API está inhabilitada. No podrás obtener una captura de pantalla de la instancia especificada
con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis
a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso para un proyecto.
|
Restricciones de las políticas de la organización de Compute Engine
| Restricción de las políticas de la organización | Descripción |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Configurado como True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad de Google Cloud Armor globales existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes. |
compute.disableGlobalLoadBalancing |
Configurado como True. Inhabilita la creación de productos de balanceo de cargas global. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo. |
compute.disableInstanceDataAccessApis
| Configurado como True. Inhabilita de manera global las APIs instances.getSerialPortOutput() y
instances.getScreenshot().Habilitar esta restricción impide que generes credenciales en las VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
|
compute.setNewProjectDefaultToZonalDNSOnly
| Configurado como True. Establece la configuración de DNS para proyectos nuevos en solo DNS zonal. El DNS zonal mitiga el riesgo de interrupciones interregionales y mejora la confiabilidad general de tus proyectos en Compute Engine. |
compute.skipDefaultNetworkCreation
| Configurado como True. Inhabilita la creación de una red predeterminada y sus recursos auxiliares cuando se crea un proyecto nuevo. |
compute.restrictNonConfidentialComputing |
(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la documentación de Confidential VM. |
compute.trustedImageProjects |
(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional.
Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados. |
IAM
Restricciones de las políticas de la organización de IAM
| Restricción de las políticas de la organización | Descripción |
|---|---|
iam.automaticIamGrantsForDefaultServiceAccounts |
Configurado como True. Inhabilita el otorgamiento automático a las cuentas de servicio predeterminadas del rol de Editor ( roles/editor) básico heredado.Esta restricción no impide que se otorguen roles básicos heredados a las cuentas de servicio predeterminadas en el futuro. Para evitar este comportamiento, puedes establecer la restricción iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts en tu carpeta de Assured Workloads.
|
iam.disableServiceAccountKeyCreation |
Configurado como True. Inhabilita la creación de claves de cuentas de servicio nuevas y claves HMAC de Cloud Storage. Si se requieren claves de cuentas de servicio para tu carga de trabajo, asegúrate de haber leído la página de Prácticas recomendadas para administrar claves de cuentas de servicio antes de cambiar el valor de esta restricción. |
Pub/Sub
Restricciones de las políticas de la organización de Pub/Sub
| Restricción de las políticas de la organización | Descripción |
|---|---|
pubsub.managed.disableTopicMessageTransforms |
Configurado como True. Inhabilita la configuración de temas de Pub/Sub con transformaciones de mensaje único (SMT). Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo. |
pubsub.managed.disableSubscriptionMessageTransforms |
Configurado como True. Inhabilita la configuración de suscripciones a Pub/Sub con transformaciones de mensaje único (SMT). Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo. |
pubsub.managed.disableTopicMessageTransforms |
Configurado como True. Inhabilita la configuración de temas de Pub/Sub con transformaciones de mensaje único (SMT). Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo. |
Speech‑to‑Text
Funciones de Speech-to-Text afectadas
| Función | Descripción |
|---|---|
| Modelos personalizados de Speech-to-Text | Es tu responsabilidad no usar modelos de Custom Speech-to-Text, ya que no cumplen con el límite de datos para el nivel IL5. |
¿Qué sigue?
- Aprende a crear una carpeta de Assured Workloads.
- Comprende los precios de Assured Workloads