Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Halaman ini diterjemahkan oleh Cloud Translation API.

Batas Data untuk Impact Level 5 (IL5)

Halaman ini menjelaskan serangkaian kontrol yang diterapkan pada Batas Data untuk workload IL5 di Assured Workloads. Dokumen ini memberikan informasi mendetail tentang lokalitas data, produk Google Cloud yang didukung dan endpoint API-nya, serta pembatasan atau batasan yang berlaku pada produk tersebut. Informasi tambahan berikut berlaku untuk Batas Data untuk IL5:

Residensi data: Paket kontrol Batas Data untuk IL5 menetapkan kontrol lokasi data untuk mendukung wilayah khusus AS. Untuk mengetahui informasi selengkapnya, lihat bagian Batasan kebijakan organisasi di seluruhGoogle Cloud.
Dukungan: Layanan dukungan teknis untuk Batas Data bagi beban kerja IL5 tersedia dengan langganan Cloud Customer Care Enhanced atau Premium. Kasus dukungan beban kerja IL5 dengan Batas Data akan diarahkan ke Orang AS yang berada di AS. Untuk mengetahui informasi selengkapnya, lihat Mendapatkan dukungan.
Harga: Batas Data untuk paket kontrol IL5 disertakan dalam tingkat Premium Assured Workloads, yang dikenai biaya tambahan sebesar 20%. Untuk mengetahui informasi selengkapnya, lihat Harga Assured Workloads.

Prasyarat

Agar tetap mematuhi persyaratan sebagai pengguna paket kontrol Batas Data untuk IL5, pastikan Anda memenuhi dan mematuhi prasyarat berikut:

Buat Batas Data untuk folder IL5 menggunakan Assured Workloads dan deploy workload IL5 Anda hanya di folder tersebut.
Aktifkan dan gunakan layanan dalam cakupan saja untuk Batas Data untuk beban kerja IL5.
Jangan ubah nilai batasan kebijakan organisasi default kecuali jika Anda memahami dan bersedia menerima risiko residensi data yang mungkin terjadi.
Untuk semua layanan yang digunakan dalam folder Batas Data untuk IL5, jangan menyimpan data teknis dalam jenis informasi konfigurasi keamanan atau yang ditentukan pengguna berikut:
- Pesan error
- Output konsol
- Data atribut
- Data konfigurasi layanan
- Header paket jaringan
- ID resource
- Label data
Pertimbangkan untuk menerapkan praktik terbaik keamanan umum yang disediakan di Google Cloud pusat praktik terbaik keamanan.
Tinjau halaman Otorisasi Sementara Departemen Pertahanan (DoD) Amerika Serikat untuk mengetahui informasi tambahan tentang men-deploy workload IL5 di Google Cloud.
Saat mengakses konsol Google Cloud , Anda memiliki opsi untuk menggunakan konsol Google Cloud Yurisdiksi. Anda tidak diwajibkan menggunakan konsol Google Cloud Jurisdiksi untuk Batas Data untuk IL5. Halaman ini dapat diakses di salah satu URL berikut:
- console.us.cloud.google.com
- console.us.cloud.google untuk pengguna identitas gabungan

Produk dan endpoint API yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua produk yang didukung melalui konsol Google Cloud . Pembatasan atau batasan yang memengaruhi fitur produk yang didukung, termasuk yang diterapkan melalui setelan batasan kebijakan organisasi, tercantum dalam tabel berikut.

Jika produk tidak tercantum, produk tersebut tidak didukung dan belum memenuhi persyaratan kontrol Batas Data untuk IL5. Produk yang tidak didukung tidak direkomendasikan untuk digunakan tanpa uji tuntas dan pemahaman menyeluruh tentang tanggung jawab Anda dalam model tanggung jawab bersama. Sebelum menggunakan produk yang tidak didukung, pastikan Anda mengetahui dan bersedia menerima risiko terkait yang terlibat, seperti dampak negatif terhadap residensi data atau kedaulatan data. Selain itu, tinjau penggunaan produk yang tidak didukung dengan lembaga pemberi otorisasi Anda sebelum menerima risiko.

Produk yang didukung	endpoint API	Batasan atau pembatasan
Artifact Registry	`artifactregistry.googleapis.com`	Tidak ada
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Certificate Authority Service	`privateca.googleapis.com`	Tidak ada
Cloud Build	`cloudbuild.googleapis.com`	Tidak ada
Cloud Composer	`composer.googleapis.com`	Tidak ada
Cloud DNS	`dns.googleapis.com`	Tidak ada
Cloud Data Fusion	`datafusion.googleapis.com`	Tidak ada
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Tidak ada
Cloud HSM	`cloudkms.googleapis.com`	Tidak ada
Cloud Identity	`cloudidentity.googleapis.com`	Tidak ada
Cloud Interconnect	`compute.googleapis.com`	Tidak ada
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Batasan kebijakan organisasi.
Cloud Logging	`logging.googleapis.com`	Tidak ada
Cloud Monitoring	`monitoring.googleapis.com`	Tidak ada
Cloud NAT	`compute.googleapis.com`	Tidak ada
Cloud Router	`compute.googleapis.com`	Tidak ada
Cloud Run	`run.googleapis.com`	Fitur yang terpengaruh
Cloud SQL	`sqladmin.googleapis.com`	Tidak ada
Cloud Storage	`storage.googleapis.com`	Tidak ada
Cloud Tasks	`cloudtasks.googleapis.com`	Tidak ada
Cloud VPN	`compute.googleapis.com`	Tidak ada
Cloud Vision API	`us-vision.googleapis.com`	Fitur yang terpengaruh
Cloud Workstations	`workstations.googleapis.com`	Fitur yang terpengaruh
Compute Engine	`compute.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Connect Agent	`gkeconnect.googleapis.com`	Tidak ada
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Tidak ada
Dataproc	`dataproc.googleapis.com` `dataproc-control.googleapis.com`	Tidak ada
Eventarc	`eventarc.googleapis.com`	Tidak ada
Load Balancer Jaringan passthrough eksternal	`compute.googleapis.com`	Tidak ada
GKE Hub	`gkehub.googleapis.com`	Tidak ada
GKE Identity Service	`anthosidentityservice.googleapis.com`	Tidak ada
AI Generatif di Vertex AI	`aiplatform.googleapis.com`	Tidak ada
Gemini Enterprise	`discoveryengine.googleapis.com`	Tidak ada
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Tidak ada
Konsol Google Admin	`N/A`	Tidak ada
Identity and Access Management (IAM)	`iam.googleapis.com`	Batasan kebijakan organisasi.
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Tidak ada
Load Balancer Jaringan passthrough internal	`compute.googleapis.com`	Tidak ada
Memorystore for Redis	`redis.googleapis.com`	Tidak ada
Persistent Disk	`compute.googleapis.com`	Tidak ada
Pub/Sub	`pubsub.googleapis.com`	Batasan kebijakan organisasi.
Load Balancer Aplikasi eksternal regional	`compute.googleapis.com`	Tidak ada
Load Balancer Jaringan proxy eksternal regional	`compute.googleapis.com`	Tidak ada
Load Balancer Aplikasi internal regional	`compute.googleapis.com`	Tidak ada
Load Balancer Jaringan proxy internal regional	`compute.googleapis.com`	Tidak ada
Secret Manager	`secretmanager.googleapis.com`	Tidak ada
Sensitive Data Protection	`dlp.googleapis.com`	Tidak ada
Spanner	`spanner.googleapis.com`	Tidak ada
Speech-to-Text	`speech.googleapis.com`	Fitur yang terpengaruh
Kontrol Layanan VPC	`accesscontextmanager.googleapis.com`	Tidak ada
Prediksi batch Vertex AI	`aiplatform.googleapis.com`	Tidak ada
Vertex AI Model Monitoring	`aiplatform.googleapis.com`	Tidak ada
Vertex AI Model Registry	`aiplatform.googleapis.com`	Tidak ada
Vertex AI Online Prediction	`aiplatform.googleapis.com`	Tidak ada
Vertex AI Pipelines	`aiplatform.googleapis.com`	Tidak ada
Vertex AI Search	`discoveryengine.googleapis.com`	Tidak ada
Vertex AI Training	`aiplatform.googleapis.com`	Tidak ada
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Tidak ada

Batas dan pembatasan

Bagian berikut menjelaskan batasan atau pembatasan di seluruh produk atau spesifik per produk untuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default pada Batas Data untuk folder IL5. Google CloudBatasan kebijakan organisasi lainnya yang berlaku —meskipun tidak ditetapkan secara default— dapat memberikan pertahanan mendalam tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Google Cloud-lebar

Fitur Google Cloudyang terpengaruh

Fitur	Deskripsi
KonsolGoogle Cloud	Untuk mengakses konsol Google Cloud saat menggunakan paket kontrol Batas Data untuk IL5, Anda memiliki opsi untuk menggunakan konsol Google Cloud Yurisdiksi. Konsol Jurisdiksi tidak diperlukan untuk Batas Data untuk IL5, dan dapat diakses menggunakan salah satu URL berikut: Google Cloud console.us.cloud.google.com console.us.cloud.google untuk pengguna identitas gabungan

Batasan kebijakan organisasi di seluruhGoogle Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh Google Cloud.

Batasan kebijakan organisasi	Deskripsi
`gcp.resourceLocations`	Tetapkan ke lokasi berikut dalam daftar `allowedValues`: `us` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` Nilai ini membatasi pembuatan resource baru ke nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Lihat Layanan yang didukung lokasi resource untuk mengetahui daftar resource yang dapat dibatasi oleh batasan kebijakan organisasi Lokasi Resource, karena beberapa resource mungkin berada di luar cakupan dan tidak dapat dibatasi. Mengubah nilai ini dengan membuatnya kurang ketat berpotensi merusak residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data yang sesuai.
`gcp.restrictCmekCryptoKeyProjects`	Setel ke `under:organizations/your-organization-name`, yang merupakan organisasi Assured Workloads Anda. Anda dapat membatasi lebih lanjut nilai ini dengan menentukan project atau folder. Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci Cloud KMS untuk mengenkripsi data saat istirahat menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data saat istirahat layanan dalam cakupan.
`gcp.restrictNonCmekServices`	Disetel ke daftar semua nama layanan API dalam cakupan, termasuk: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` `sqladmin.googleapis.com` `bigquerydatatransfer.googleapis.com` Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK mengenkripsi data saat istirahat dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan dalam cakupan dari daftar dapat merusak kedaulatan data, karena data baru saat istirahat akan otomatis dienkripsi menggunakan kunci Google sendiri, bukan kunci Anda. Data istirahat yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
`gcp.restrictServiceUsage`	Disetel untuk mengizinkan semua produk dan endpoint API yang didukung. Menentukan layanan mana yang dapat digunakan dengan membatasi akses runtime ke resource-nya. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource.
`gcp.restrictTLSVersion`	Disetel untuk menolak versi TLS berikut: `TLS_1_0` `TLS_1_1` Untuk mengetahui informasi selengkapnya, lihat Membatasi versi TLS.

BigQuery

Fitur BigQuery yang terpengaruh

Fitur	Deskripsi
Mengaktifkan BigQuery di folder baru	BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Assured Workloads baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dapat memakan waktu lebih lama dalam beberapa keadaan. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut: Di konsol Google Cloud , buka halaman Assured Workloads. Buka Assured Workloads Pilih folder Assured Workloads baru Anda dari daftar. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates. Di panel Allowed services, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Pembatasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya. Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care. Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Assured Workloads Anda. Gemini di BigQuery tidak didukung oleh Assured Workloads.
BigQuery API yang sesuai	BigQuery API berikut mematuhi IL5: `bigquery.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerymigration.googleapis.com` `bigquerystorage.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerydatatransfer.googleapis.com` Reservations API tidak diaktifkan secara default. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan API di project Google Cloud .
Region	BigQuery mematuhi IL5 untuk semua region AS BigQuery, kecuali multi-region AS. Kepatuhan IL5 tidak dapat dijamin jika set data dibuat di multi-region AS, region non-AS, atau multi-region non-AS. Anda bertanggung jawab untuk menentukan region yang mematuhi IL5 saat membuat set data BigQuery.
Kueri pada set data IL5 dari project non-IL5	BigQuery tidak mencegah set data IL5 dikueri dari project non-IL5. Pastikan bahwa kueri apa pun yang menggunakan operasi baca atau gabung pada data teknis IL5 berada di folder yang sesuai dengan IL5.
Koneksi ke sumber data eksternal	Tanggung jawab kepatuhan Google terbatas pada kemampuan BigQuery Connection API. Anda bertanggung jawab untuk memastikan kepatuhan produk sumber yang digunakan dengan BigQuery Connection API.
Fitur yang tidak didukung	Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di BigQuery CLI. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Assured Workloads. Interaksi dengan sumber data jarak jauh Model BQML yang dilatih secara eksternal tidak didukung. Model BQML yang dilatih secara internal didukung. Penyamaran data dinamis Ekspor GDrive Fungsi jarak jauh Kueri tersimpan Penjadwalan alur kerja Untuk BigQuery Studio, notebook tidak didukung. Gemini di BigQuery tidak didukung.
CLI BigQuery	BigQuery CLI didukung.
Google Cloud SDK	Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data bagi data teknis. Untuk memverifikasi versi Google Cloud SDK Anda saat ini, jalankan `gcloud --version`, lalu `gcloud components update` untuk mengupdate ke versi terbaru.
Kontrol administrator	BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Assured Workloads dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data	Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk Batas Data bagi beban kerja IL5.
Transfer pihak ketiga	BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga bagi BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service.
Model BQML yang tidak sesuai	Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri	Tugas kueri hanya boleh dibuat dalam folder Assured Workloads.
Kueri pada set data di project lain	BigQuery tidak mencegah set data Assured Workloads dikueri dari project non-Assured Workloads. Anda harus memastikan bahwa kueri apa pun yang memiliki baca atau gabungan pada data Assured Workloads ditempatkan di folder Assured Workloads. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kuerinya menggunakan `projectname.dataset.table` di BigQuery CLI.
Cloud Logging	BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging `_default` atau membatasi bucket `_default` ke wilayah yang tercakup untuk mempertahankan kepatuhan menggunakan perintah berikut: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Untuk mengetahui informasi selengkapnya, lihat Membuat log Anda menjadi regional.

Cloud Interconnect

Fitur Cloud Interconnect yang terpengaruh

Fitur	Deskripsi
VPN ketersediaan tinggi (HA)	Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian Fitur Cloud VPN yang terpengaruh.

Cloud KMS

Batasan kebijakan organisasi Cloud KMS

Batasan kebijakan organisasi	Deskripsi
`cloudkms.allowedProtectionLevels`	Setel untuk mengizinkan pembuatan CryptoKey Cloud Key Management Service dengan tingkat perlindungan berikut: `SOFTWARE` `HSM` `EXTERNAL` `EXTERNAL_VPC` Lihat Tingkat perlindungan untuk mengetahui informasi selengkapnya.

Cloud Logging

Fitur Cloud Logging yang terpengaruh

Fitur	Deskripsi
Sink log	Filter tidak boleh berisi Data Pelanggan. Sink log mencakup filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Mengikuti entri log secara langsung	Filter tidak boleh berisi Data Pelanggan. Sesi live tailing mencakup filter yang disimpan sebagai konfigurasi. Mengikuti log tidak menyimpan data entri log apa pun, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.

Cloud Monitoring

Fitur Cloud Monitoring yang terpengaruh

Fitur	Deskripsi
Monitor Sintetis	Fitur ini dinonaktifkan.
Cek uptime	Fitur ini dinonaktifkan.

Cloud Run

Fitur Cloud Run yang terpengaruh

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur Cloud Run berikut tidak didukung: Integrasi Cloud Trace Cloud Run Functions Pemicu Eventarc

Cloud Vision API

Fitur Cloud Vision API yang terpengaruh

Fitur	Deskripsi
Endpoint Cloud Vision API yang mematuhi IL5	Anda bertanggung jawab untuk hanya menggunakan endpoint API region AS (`us-vision.googleapis.com`) untuk Cloud Vision API. Endpoint global (`vision.googleapis.com`) tidak mematuhi IL5 dan menggunakannya dapat merusak residensi data workload Anda.

Cloud VPN

Fitur Cloud VPN yang terpengaruh

Fitur	Deskripsi
Endpoint VPN	Anda hanya boleh menggunakan endpoint Cloud VPN yang berada di region dalam cakupan. Pastikan gateway VPN Anda dikonfigurasi untuk digunakan di region yang termasuk dalam cakupan saja.

Cloud Workstations

Fitur Cloud Workstations yang terpengaruh

Fitur	Deskripsi
Membuat cluster workstation	Saat membuat cluster workstation, Anda bertanggung jawab untuk mengonfigurasinya dengan cara berikut untuk memastikan residensi data: Pilih hanya Private gateway saat membuat cluster workstation. Menggunakan gateway pribadi memberikan residensi data dalam pengiriman. Gunakan hanya Load Balancer Aplikasi eksternal regional saat menyiapkan domain kustom. Menggunakan Load Balancer Aplikasi eksternal regional memberikan residensi data dalam transit.

Fitur

Deskripsi

Membuat cluster workstation

Saat membuat cluster workstation, Anda bertanggung jawab untuk mengonfigurasinya dengan cara berikut untuk memastikan residensi data:

Pilih hanya Private gateway saat membuat cluster workstation. Menggunakan gateway pribadi memberikan residensi data dalam pengiriman.
Gunakan hanya Load Balancer Aplikasi eksternal regional saat menyiapkan domain kustom. Menggunakan Load Balancer Aplikasi eksternal regional memberikan residensi data dalam transit.

Compute Engine

Fitur Compute Engine yang terpengaruh

Fitur	Deskripsi
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data jika fitur ini diaktifkan.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena SSD tersebut tidak dapat dienkripsi dengan menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data jika fitur ini diaktifkan.
Menambahkan grup instance ke load balancer global	Anda tidak dapat menambahkan grup instance ke load balancer global. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `compute.disableGlobalLoadBalancing`.
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan tidak dapat dienkripsi menggunakan CMEK. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `gcp.restrictNonCmekServices`.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena SSD tersebut tidak dapat dienkripsi menggunakan CMEK. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `gcp.restrictNonCmekServices`.
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data yang tidak dienkripsi saat istirahat dan saat digunakan. Bergantung pada konfigurasi VM Anda, update software ini mungkin diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi `compute.trustedImageProjects`. Untuk mengetahui informasi selengkapnya, lihat Membangun image kustom.
Kebijakan OS di VM Manager	Skrip inline dan file output biner dalam file kebijakan OS tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Jangan sertakan informasi sensitif apa pun dalam file ini. Sebaiknya simpan skrip dan file output ini di bucket Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Contoh kebijakan OS. Jika Anda ingin membatasi pembuatan atau modifikasi resource kebijakan OS yang menggunakan skrip inline atau file output biner, aktifkan batasan kebijakan organisasi `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Untuk mengetahui informasi selengkapnya, lihat Batasan untuk Konfigurasi OS.
`instances.getSerialPortOutput()`	API ini dinonaktifkan. Anda tidak akan dapat memperoleh output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.
`instances.getScreenshot()`	API ini dinonaktifkan. Anda tidak akan dapat mengambil screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
`compute.disableGlobalCloudArmorPolicy`	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru dan penambahan atau modifikasi aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan daftar kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum penerapan batasan ini tetap berlaku.
`compute.disableGlobalLoadBalancing`	Tetapkan ke True. Menonaktifkan pembuatan produk load balancing global. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`compute.disableInstanceDataAccessApis`	Tetapkan ke True. Menonaktifkan `instances.getSerialPortOutput()` dan `instances.getScreenshot()` API secara global. Mengaktifkan batasan ini akan mencegah Anda membuat kredensial di VM Windows Server. Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan tindakan berikut: Aktifkan SSH untuk VM Windows. Jalankan perintah berikut untuk mengubah sandi VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Ganti kode berikut: `VM_NAME`: Nama VM yang sandinya sedang Anda tetapkan. `USERNAME`: Nama pengguna yang sandinya Anda tetapkan. `PASSWORD`: Sandi baru.
`compute.setNewProjectDefaultToZonalDNSOnly`	Tetapkan ke True. Menetapkan setelan DNS untuk project baru ke DNS zona saja. DNS Zona mengurangi risiko pemadaman layanan lintas-regional dan meningkatkan keandalan project Anda secara keseluruhan di Compute Engine.
`compute.skipDefaultNetworkCreation`	Tetapkan ke True. Menonaktifkan pembuatan jaringan default dan resource pendukungnya saat project baru dibuat.
`compute.restrictNonConfidentialComputing`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Untuk informasi selengkapnya, lihat dokumentasi Confidential VM.
`compute.trustedImageProjects`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Menetapkan nilai ini akan membatasi penyimpanan image dan instansiasi disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

IAM

Batasan kebijakan organisasi IAM

Batasan kebijakan organisasi	Deskripsi
`iam.automaticIamGrantsForDefaultServiceAccounts`	Tetapkan ke True. Menonaktifkan pemberian peran Editor (`roles/editor`) dasar lama secara otomatis kepada akun layanan default. Batasan ini tidak mencegah akun layanan default diberi peran dasar lama di masa mendatang. Untuk mencegah perilaku ini, Anda dapat menetapkan batasan `iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts` pada folder Assured Workloads Anda.
`iam.disableServiceAccountKeyCreation`	Tetapkan ke True. Menonaktifkan pembuatan kunci akun layanan baru dan kunci HMAC Cloud Storage. Jika kunci akun layanan diperlukan untuk beban kerja Anda, pastikan Anda telah membaca halaman Praktik terbaik untuk mengelola kunci akun layanan sebelum mengubah nilai batasan ini.

Pub/Sub

Batasan kebijakan organisasi Pub/Sub

Batasan kebijakan organisasi	Deskripsi
`pubsub.managed.disableTopicMessageTransforms`	Tetapkan ke True. Menonaktifkan topik Pub/Sub agar tidak ditetapkan dengan Transformasi Pesan Tunggal (SMT). Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`pubsub.managed.disableSubscriptionMessageTransforms`	Tetapkan ke True. Menonaktifkan langganan Pub/Sub agar tidak ditetapkan dengan Transformasi Pesan Tunggal (SMT). Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`pubsub.managed.disableTopicMessageTransforms`	Tetapkan ke True. Menonaktifkan topik Pub/Sub agar tidak ditetapkan dengan Transformasi Pesan Tunggal (SMT). Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Speech-to-Text

Fitur Speech-to-Text yang terpengaruh

Fitur	Deskripsi
Model Speech-to-Text kustom	Anda bertanggung jawab untuk tidak menggunakan model Speech-to-Text Kustom karena model tersebut tidak mematuhi Batas Data untuk IL5.

Langkah berikutnya

Pelajari cara membuat folder Assured Workloads
Memahami harga Assured Workloads