Os nomes de alguns pacotes de controlos do Assured Workloads foram alterados. Para obter informações sobre a alteração do nome, consulte o artigo Controle o aviso de mudança de nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Limite de dados para o nível de impacto 5 (IL5)

Esta página descreve o conjunto de controlos que são aplicados no limite de dados para cargas de trabalho IL5 no Assured Workloads. Fornece informações detalhadas sobre a residência de dados, os produtos Google Cloud suportados e os respetivos pontos finais da API, bem como quaisquer restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais aplicam-se ao limite de dados para o IL5:

Residência dos dados: o limite de dados para o pacote de controlos IL5 define os controlos de localização dos dados para suportar regiões apenas nos EUA. Para mais informações, consulte a secção Google CloudRestrições da política da organização ao nível da organização.
Apoio técnico: os serviços de apoio técnico para cargas de trabalho IL5 estão disponíveis com subscrições do Cloud Customer Care Avançado ou Premium. Os registos de apoio técnico de cargas de trabalho IL5 são encaminhados para pessoas dos EUA localizadas nos EUA. Para mais informações, consulte o artigo Receber apoio técnico.
Preços: o limite de dados para o pacote de controlo IL5 está incluído no nível Premium dos Assured Workloads, que incorre num custo adicional de 20%. Para mais informações, consulte os preços dos Assured Workloads.

Pré-requisitos

Para permanecer em conformidade como utilizador do limite de dados para o pacote de controlo IL5, verifique se cumpre e respeita os seguintes pré-requisitos:

Crie um limite de dados para a pasta IL5 através do Assured Workloads e implemente as suas cargas de trabalho IL5 apenas nessa pasta.
Ative e use apenas serviços no âmbito para o limite de dados para cargas de trabalho IL5.
Não altere os valores predefinidos da restrição da política da organização, a menos que compreenda e esteja disposto a aceitar os riscos de residência de dados que possam ocorrer.
Para todos os serviços usados numa pasta de limite de dados para IL5, não armazene dados técnicos nos seguintes tipos de informações de configuração de segurança ou definidos pelo utilizador:
- Mensagens de erro
- Saída da consola
- Dados de atributos
- Dados de configuração do serviço
- Cabeçalhos de pacotes de rede
- Identificadores de recursos
- Etiquetas de dados
Considere adotar as práticas recomendadas de segurança gerais fornecidas no Google Cloud centro de práticas recomendadas de segurança.
Reveja a página Autorização provisória do Departamento de Defesa (DoD) dos EUA para ver informações adicionais sobre a implementação de cargas de trabalho IL5 no Google Cloud.
Quando acede à Google Cloud consola, tem a opção de usar a consola jurisdicional Google Cloud . Não tem de usar a consola jurisdicional Google Cloud para o limite de dados para IL5. Pode aceder a este ficheiro num dos seguintes URLs:
- console.us.cloud.google.com
- console.us.cloud.google para utilizadores de identidade federada

Produtos e pontos finais da API compatíveis

Salvo indicação em contrário, os utilizadores podem aceder a todos os produtos suportados através da Google Cloud consola. As restrições ou as limitações que afetam as funcionalidades de um produto suportado, incluindo as que são aplicadas através das definições de restrições da política da organização, estão listadas na tabela seguinte.

Se um produto não estiver listado, significa que não é suportado e não cumpriu os requisitos de controlo do limite de dados para IL5. Não é recomendado usar produtos não suportados sem a devida diligência e uma compreensão completa das suas responsabilidades no modelo de responsabilidade partilhada. Antes de usar um produto não suportado, certifique-se de que conhece e está disposto a aceitar os riscos associados envolvidos, como impactos negativos na residência ou soberania dos dados. Além disso, reveja qualquer utilização de um produto não suportado com a sua agência de autorização antes de aceitar o risco.

Produto suportado	Pontos finais da API	Restrições ou limitações
Artifact Registry	`artifactregistry.googleapis.com`	Nenhum
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Funcionalidades afetadas e restrições da política da organização
Certificate Authority Service	`privateca.googleapis.com`	Nenhum
Cloud Build	`cloudbuild.googleapis.com`	Nenhum
Cloud Composer	`composer.googleapis.com`	Nenhum
Cloud DNS	`dns.googleapis.com`	Nenhum
Cloud Data Fusion	`datafusion.googleapis.com`	Nenhum
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Nenhum
Cloud HSM	`cloudkms.googleapis.com`	Nenhum
Cloud ID	`cloudidentity.googleapis.com`	Nenhum
Cloud Interconnect	`compute.googleapis.com`	Nenhum
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Restrições de políticas da organização
Cloud Logging	`logging.googleapis.com`	Nenhum
Cloud Monitoring	`monitoring.googleapis.com`	Nenhum
NAT na nuvem	`compute.googleapis.com`	Nenhum
Cloud Router	`compute.googleapis.com`	Nenhum
Cloud Run	`run.googleapis.com`	Funcionalidades afetadas
Cloud SQL	`sqladmin.googleapis.com`	Nenhum
Cloud Storage	`storage.googleapis.com`	Nenhum
Cloud Tasks	`cloudtasks.googleapis.com`	Nenhum
Cloud VPN	`compute.googleapis.com`	Nenhum
Cloud Vision API	`us-vision.googleapis.com`	Funcionalidades afetadas
Cloud Workstations	`workstations.googleapis.com`	Funcionalidades afetadas
Compute Engine	`compute.googleapis.com`	Funcionalidades afetadas e restrições da política da organização
Agente do Connect	`gkeconnect.googleapis.com`	Nenhum
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Nenhum
Dataproc	`dataproc.googleapis.com` `dataproc-control.googleapis.com`	Nenhum
Eventarc	`eventarc.googleapis.com`	Nenhum
Balanceador de carga de rede de passagem externo	`compute.googleapis.com`	Nenhum
GKE Hub	`gkehub.googleapis.com`	Nenhum
Serviço de identidade do GKE	`anthosidentityservice.googleapis.com`	Nenhum
IA generativa no Vertex AI	`aiplatform.googleapis.com`	Nenhum
Gemini Enterprise	`discoveryengine.googleapis.com`	Nenhum
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Nenhum
Consola do administrador Google	`N/A`	Nenhum
Identity and Access Management (IAM)	`iam.googleapis.com`	Restrições de políticas da organização
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Nenhum
Balanceador de carga de rede de passagem interno	`compute.googleapis.com`	Nenhum
Memorystore para Redis	`redis.googleapis.com`	Nenhum
Persistent Disk	`compute.googleapis.com`	Nenhum
Pub/Sub	`pubsub.googleapis.com`	Restrições de políticas da organização
Balanceador de carga de aplicações externo regional	`compute.googleapis.com`	Nenhum
Balanceador de carga de rede de proxy externo regional	`compute.googleapis.com`	Nenhum
Balanceador de carga de aplicações interno regional	`compute.googleapis.com`	Nenhum
Balanceador de carga de rede de proxy interno regional	`compute.googleapis.com`	Nenhum
Secret Manager	`secretmanager.googleapis.com`	Nenhum
Proteção de dados confidenciais	`dlp.googleapis.com`	Nenhum
Spanner	`spanner.googleapis.com`	Nenhum
Conversão de voz em texto	`speech.googleapis.com`	Funcionalidades afetadas
VPC Service Controls	`accesscontextmanager.googleapis.com`	Nenhum
Previsão em lote do Vertex AI	`aiplatform.googleapis.com`	Nenhum
Vertex AI Model Monitoring	`aiplatform.googleapis.com`	Nenhum
Registo de modelos do Vertex AI	`aiplatform.googleapis.com`	Nenhum
Vertex AI Online Prediction	`aiplatform.googleapis.com`	Nenhum
Vertex AI Pipelines	`aiplatform.googleapis.com`	Nenhum
Vertex AI Search	`discoveryengine.googleapis.com`	Nenhum
Vertex AI Training	`aiplatform.googleapis.com`	Nenhum
Nuvem virtual privada (VPC)	`compute.googleapis.com`	Nenhum

Restrições e limitações

As secções seguintes descrevem as restrições ou as limitações ao nível da organização ou específicas do produto para funcionalidades, incluindo quaisquer restrições da política da organização que são definidas por predefinição em Data Boundary para pastas IL5. Google CloudOutras restrições de políticas da organização aplicáveis, mesmo que não estejam definidas por predefinição, podem oferecer uma defesa em profundidade adicional para proteger ainda mais os recursos da sua organização. Google Cloud

Google Cloudde largura

Funcionalidades afetadas Google Cloud

Funcionalidade	Descrição
Google Cloud consola	Para aceder à Google Cloud consola quando usar o pacote de controlo do limite de dados para o IL5, tem a opção de usar a consola jurisdicional Google Cloud . A consola Google Cloud Jurisdicional não é necessária para o limite de dados para o IL5 e pode ser acedida através de um dos seguintes URLs: console.us.cloud.google.com console.us.cloud.google para utilizadores de identidade federada

Funcionalidade

Descrição

Google Cloud consola

Para aceder à Google Cloud consola quando usar o pacote de controlo do limite de dados para o IL5, tem a opção de usar a consola jurisdicional Google Cloud . A consola Google Cloud Jurisdicional não é necessária para o limite de dados para o IL5 e pode ser acedida através de um dos seguintes URLs:

console.us.cloud.google.com
console.us.cloud.google para utilizadores de identidade federada

Google Cloudrestrições de políticas da organização ao nível da entidade

As seguintes restrições de políticas da organização aplicam-se em Google Cloud.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Definido para as seguintes localizações na lista `allowedValues`: `us` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` Este valor restringe a criação de novos recursos aos valores selecionados. Quando definido, não é possível criar recursos noutras regiões, multirregiões ou localizações fora da seleção. Consulte o artigo Serviços suportados por localizações de recursos para ver uma lista de recursos que podem ser restritos pela restrição da política da organização de localizações de recursos, uma vez que alguns recursos podem estar fora do âmbito e não podem ser restritos. Alterar este valor para o tornar menos restritivo compromete potencialmente a residência de dados, permitindo que os dados sejam criados ou armazenados fora de um limite de dados em conformidade.
`gcp.restrictCmekCryptoKeyProjects`	Definido como `under:organizations/your-organization-name`, que é a sua organização do Assured Workloads. Pode restringir ainda mais este valor especificando um projeto ou uma pasta. Limita o âmbito das pastas ou dos projetos aprovados que podem fornecer chaves do Cloud KMS para encriptar dados em repouso através de CMEK. Esta restrição impede que pastas ou projetos não aprovados forneçam chaves de encriptação, ajudando assim a garantir a soberania dos dados para os dados em repouso dos serviços no âmbito.
`gcp.restrictNonCmekServices`	Definido como uma lista de todos os nomes de serviços da API no âmbito, incluindo: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` `sqladmin.googleapis.com` `bigquerydatatransfer.googleapis.com` Algumas funcionalidades podem ser afetadas para cada um dos serviços indicados acima. Cada serviço listado requer chaves de encriptação geridas pelo cliente (CMEK). A CMEK encripta os dados em repouso com uma chave gerida por si e não com os mecanismos de encriptação predefinidos da Google. Alterar este valor removendo um ou mais serviços no âmbito da lista pode comprometer a soberania dos dados, porque os novos dados em repouso são encriptados automaticamente com as próprias chaves da Google, em vez das suas. Os dados em repouso existentes vão permanecer encriptados pela chave que forneceu.
`gcp.restrictServiceUsage`	Definido para permitir todos os produtos e pontos finais da API suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restringir a utilização de recursos.
`gcp.restrictTLSVersion`	Definido para recusar as seguintes versões do TLS: `TLS_1_0` `TLS_1_1` Para mais informações, consulte o artigo Restrinja as versões do TLS.

BigQuery

Funcionalidades do BigQuery afetadas

Funcionalidade	Descrição
Ativar o BigQuery numa nova pasta	O BigQuery é suportado, mas não é ativado automaticamente quando cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Normalmente, este processo termina em dez minutos, mas pode demorar muito mais tempo em algumas circunstâncias. Para verificar se o processo está concluído e ativar o BigQuery, conclua os seguintes passos: Na Google Cloud consola, aceda à página Assured Workloads. Aceda ao Assured Workloads Selecione a sua nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na secção Serviços permitidos, clique em Rever atualizações disponíveis. No painel Serviços permitidos, reveja os serviços a adicionar à política da organização de restrição de utilização de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para os adicionar. Se os serviços do BigQuery não estiverem listados, aguarde que o processo interno seja concluído. Se os serviços não forem apresentados no prazo de 12 horas após a criação da pasta, contacte o apoio técnico do Google Cloud. Após a conclusão do processo de ativação, pode usar o BigQuery na sua pasta do Assured Workloads. O Gemini no BigQuery não é suportado pelos Assured Workloads.
APIs BigQuery em conformidade	As seguintes APIs BigQuery são compatíveis com IL5: `bigquery.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerymigration.googleapis.com` `bigquerystorage.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerydatatransfer.googleapis.com` A API Reservations não está ativada por predefinição. Para mais informações, consulte Ativar uma API no seu Google Cloud projeto.
Regiões	O BigQuery está em conformidade com o IL5 para todas as regiões dos EUA, exceto a multirregião dos EUA. Não é possível garantir a conformidade com o IL5 se um conjunto de dados for criado numa região multirregional dos EUA, numa região fora dos EUA ou numa região multirregional fora dos EUA. É da sua responsabilidade especificar uma região em conformidade com a IL5 quando criar conjuntos de dados do BigQuery.
Consultas em conjuntos de dados IL5 de projetos não IL5	O BigQuery não impede que os conjuntos de dados IL5 sejam consultados a partir de projetos não IL5. Certifique-se de que qualquer consulta que use uma operação de leitura ou de junção em dados técnicos de IL5 está numa pasta em conformidade com IL5.
Ligações a origens de dados externas	A responsabilidade pela conformidade da Google está limitada à capacidade da API BigQuery Connection. É da sua responsabilidade garantir a conformidade dos produtos de origem que são usados com a API BigQuery Connection.
Funcionalidades não suportadas	As seguintes funcionalidades do BigQuery não são suportadas e não devem ser usadas na CLI do BigQuery. É da sua responsabilidade não os usar no BigQuery para Assured Workloads. Interação com origens de dados remotas Os modelos BQML preparados externamente não são suportados. Os modelos BQML preparados internamente são suportados. Ocultação dinâmica de dados Exportação para o Google Drive Funções remotas Consultas guardadas Agendamento de fluxos de trabalho Para o BigQuery Studio, os blocos de notas não são suportados. O Gemini no BigQuery não é suportado.
CLI do BigQuery	A CLI do BigQuery é suportada.
SDK Google Cloud	Tem de usar a versão 403.0.0 ou mais recente do Google Cloud SDK para manter as garantias de regionalização de dados para dados técnicos. Para verificar a versão atual do Google Cloud SDK, execute o comando `gcloud --version` e, em seguida, `gcloud components update` para atualizar para a versão mais recente.
Controlos para administradores	O BigQuery desativa as APIs não suportadas, mas os administradores com autorizações suficientes para criar uma pasta do Assured Workloads podem ativar uma API não suportada. Se isto ocorrer, recebe uma notificação sobre a potencial não conformidade através do painel de controlo de monitorização do Assured Workloads.
Carregar dados	Os conetores do Serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) da Google, fornecedores de armazenamento na nuvem externos e armazéns de dados não são suportados. É da sua responsabilidade não usar conectores do Serviço de transferência de dados do BigQuery para cargas de trabalho de limite de dados para IL5.
Transferências de terceiros	O BigQuery não valida o apoio técnico para transferências de terceiros para o Serviço de transferência de dados do BigQuery. É da sua responsabilidade verificar o apoio técnico quando usar qualquer transferência de terceiros para o Serviço de transferência de dados do BigQuery.
Modelos BQML não conformes	Os modelos BQML preparados externamente não são suportados.
Tarefas da consulta	As tarefas de consulta só devem ser criadas em pastas do Assured Workloads.
Consultas em conjuntos de dados noutros projetos	O BigQuery não impede que os conjuntos de dados dos Assured Workloads sejam consultados a partir de projetos que não sejam dos Assured Workloads. Deve garantir que qualquer consulta que tenha uma leitura ou uma junção em dados do Assured Workloads é colocada numa pasta do Assured Workloads. Pode especificar um nome de tabela totalmente qualificado para o resultado da consulta através de `projectname.dataset.table` na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registo. Deve desativar os seus contentores de registo `_default` ou restringir os contentores `_default` a regiões no âmbito para manter a conformidade através do seguinte comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Para mais informações, consulte Regionalize os seus registos.

Cloud Interconnect

Funcionalidades do Cloud Interconnect afetadas

Funcionalidade	Descrição
VPN de alta disponibilidade (HA)	Tem de ativar a funcionalidade de VPN de alta disponibilidade (HA) quando usar o Cloud Interconnect com o Cloud VPN. Além disso, tem de cumprir os requisitos de encriptação e regionalização indicados na secção Funcionalidades da VPN na nuvem afetadas.

Cloud KMS

Restrições da política da organização do Cloud KMS

Restrição da política da organização	Descrição
`cloudkms.allowedProtectionLevels`	Definido para permitir a criação de CryptoKeys do Cloud Key Management Service com os seguintes níveis de proteção: `SOFTWARE` `HSM` `EXTERNAL` `EXTERNAL_VPC` Consulte os níveis de proteção para mais informações.

Cloud Logging

Funcionalidades do Cloud Logging afetadas

Funcionalidade	Descrição
Sinks de registo	Os filtros não devem conter dados de clientes. Os destinos de registos incluem filtros que são armazenados como configuração. Não crie filtros que contenham dados de clientes.
Monitorização em tempo real de entradas do registo	Os filtros não devem conter dados de clientes. Uma sessão de monitorização em tempo real inclui um filtro que é armazenado como configuração. A monitorização de registos não armazena dados de entradas de registo, mas pode consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.

Cloud Monitoring

Funcionalidades do Cloud Monitoring afetadas

Funcionalidade	Descrição
Monitor sintético	Esta funcionalidade está desativada.
Verificações de tempo de atividade	Esta funcionalidade está desativada.

Cloud Run

Funcionalidades do Cloud Run afetadas

Funcionalidade	Descrição
Funcionalidades não suportadas	As seguintes funcionalidades do Cloud Run não são suportadas: Integração do Cloud Trace Funções do Cloud Run Acionadores do Eventarc

API Cloud Vision

Funcionalidades da Cloud Vision API afetadas

Funcionalidade	Descrição
Pontos finais da API Cloud Vision em conformidade com o IL5	É da sua responsabilidade usar apenas o ponto final da API da região dos EUA (`us-vision.googleapis.com`) para a Cloud Vision API. O ponto final global (`vision.googleapis.com`) não está em conformidade com o IL5 e a sua utilização pode comprometer a residência de dados da sua carga de trabalho.

Cloud VPN

Funcionalidades do Cloud VPN afetadas

Funcionalidade	Descrição
Endpoints da VPN	Tem de usar apenas pontos finais da VPN na nuvem localizados numa região no âmbito. Certifique-se de que o gateway de VPN está configurado para utilização apenas numa região no âmbito.

Cloud Workstations

Funcionalidades do Cloud Workstations afetadas

Funcionalidade	Descrição
Criar um cluster de estações de trabalho	Quando cria um cluster de estações de trabalho, é da sua responsabilidade configurá-lo da seguinte forma para garantir a residência de dados: Selecione apenas um gateway privado ao criar um cluster de estações de trabalho. A utilização de um gateway privado oferece residência de dados em trânsito. Use apenas um Application Load Balancer externo regional quando configurar um domínio personalizado. A utilização de um Application Load Balancer externo regional oferece residência de dados em trânsito.

Funcionalidade

Descrição

Criar um cluster de estações de trabalho

Quando cria um cluster de estações de trabalho, é da sua responsabilidade configurá-lo da seguinte forma para garantir a residência de dados:

Selecione apenas um gateway privado ao criar um cluster de estações de trabalho. A utilização de um gateway privado oferece residência de dados em trânsito.
Use apenas um Application Load Balancer externo regional quando configurar um domínio personalizado. A utilização de um Application Load Balancer externo regional oferece residência de dados em trânsito.

Compute Engine

Funcionalidades do Compute Engine afetadas

Funcionalidade	Descrição
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado atualmente através da CMEK. Consulte a restrição da `gcp.restrictNonCmekServices` política da organização na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
SSDs locais	Esta funcionalidade está desativada. Não vai poder criar uma instância com SSDs locais porque não podem ser encriptados com a CMEK. Consulte a restrição da `gcp.restrictNonCmekServices` política da organização na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
Adicionar um grupo de instâncias a um balanceador de carga global	Não pode adicionar um grupo de instâncias a um equilibrador de carga global. Esta funcionalidade está desativada pela restrição de política da organização `compute.disableGlobalLoadBalancing`.
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado com CMEK. Esta funcionalidade está desativada pela restrição da `gcp.restrictNonCmekServices` política organizacional.
SSDs locais	Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque não podem ser encriptados com a CMEK. Esta funcionalidade está desativada pela restrição da `gcp.restrictNonCmekServices` política organizacional.
Ambiente convidado	É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações a este software podem ser instaladas por predefinição. Consulte o ambiente de convidado para ver informações específicas sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos de segurança internos e processos. No entanto, se quiser um controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a restrição da `compute.trustedImageProjects` política da organização. Para mais informações, consulte o artigo Criar uma imagem personalizada.
Políticas de SO no VM Manager	Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK). Não inclua informações confidenciais nestes ficheiros. Considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os exemplos de políticas de SO. Se quiser restringir a criação ou a modificação de recursos da política de SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para mais informações, consulte as Restrições para a configuração do SO.
`instances.getSerialPortOutput()`	Esta API está desativada. Não vai poder obter a saída da porta de série da instância especificada através desta API. Altere o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções em Ativar o acesso para um projeto.
`instances.getScreenshot()`	Esta API está desativada. Não vai poder obter uma captura de ecrã da instância especificada através desta API. Altere o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções em Ativar o acesso para um projeto.

Restrições de políticas de organização do Compute Engine

Restrição da política da organização	Descrição
`compute.disableGlobalCloudArmorPolicy`	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras às políticas de segurança do Google Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a capacidade de remover ou alterar a descrição e a ficha de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por esta restrição. Todas as políticas de segurança globais e regionais que existam antes da aplicação desta restrição permanecem em vigor.
`compute.disableGlobalLoadBalancing`	Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`. A ativação desta restrição impede que gere credenciais em VMs do Windows Server. Se precisar de gerir um nome de utilizador e uma palavra-passe numa VM do Windows, faça o seguinte: Ative o SSH para VMs Windows. Execute o seguinte comando para alterar a palavra-passe da VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Substitua o seguinte: `VM_NAME`: o nome da VM para a qual está a definir a palavra-passe. `USERNAME`: o nome de utilizador do utilizador para o qual está a definir a palavra-passe. `PASSWORD`: a nova palavra-passe.
`compute.setNewProjectDefaultToZonalDNSOnly`	Definido como Verdadeiro. Define a definição de DNS para novos projetos como apenas DNS zonal. O DNS zonal mitiga o risco de indisponibilidades entre regiões e melhora a fiabilidade geral dos seus projetos no Compute Engine.
`compute.skipDefaultNetworkCreation`	Definido como Verdadeiro. Desativa a criação de uma rede predefinida e os respetivos recursos de apoio técnico quando é criado um novo projeto.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Para mais informações, consulte a documentação da VM confidencial.
`compute.trustedImageProjects`	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados, impedindo a utilização de imagens ou agentes não autorizados.

IAM

Restrições de políticas da organização do IAM

Restrição da política da organização Descrição

iam.automaticIamGrantsForDefaultServiceAccounts Definido como Verdadeiro.

Desativa a concessão automática da função de Editor às contas de serviço predefinidas (roles/editor) básica antiga.

Esta restrição não impede que sejam concedidas funções básicas antigas às contas de serviço predefinidas no futuro. Para impedir este comportamento, pode definir a restrição iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts na sua pasta do Assured Workloads.

iam.disableServiceAccountKeyCreation Definido como Verdadeiro.

Desativa a criação de novas chaves de contas de serviço e chaves HMAC do Cloud Storage.

Se as chaves de conta de serviço forem necessárias para a sua carga de trabalho, certifique-se de que leu a página Práticas recomendadas para gerir chaves de conta de serviço antes de alterar o valor desta restrição.

Restrição da política da organização	Descrição
`iam.automaticIamGrantsForDefaultServiceAccounts`	Definido como Verdadeiro. Desativa a concessão automática da função de Editor às contas de serviço predefinidas (`roles/editor`) básica antiga. Esta restrição não impede que sejam concedidas funções básicas antigas às contas de serviço predefinidas no futuro. Para impedir este comportamento, pode definir a restrição `iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts` na sua pasta do Assured Workloads.
`iam.disableServiceAccountKeyCreation`	Definido como Verdadeiro. Desativa a criação de novas chaves de contas de serviço e chaves HMAC do Cloud Storage. Se as chaves de conta de serviço forem necessárias para a sua carga de trabalho, certifique-se de que leu a página Práticas recomendadas para gerir chaves de conta de serviço antes de alterar o valor desta restrição.

Pub/Sub

Restrições de políticas da organização do Pub/Sub

Restrição da política da organização	Descrição
`pubsub.managed.disableTopicMessageTransforms`	Definido como Verdadeiro. Impede que os tópicos do Pub/Sub sejam definidos com transformações de mensagens únicas (SMTs). A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
`pubsub.managed.disableSubscriptionMessageTransforms`	Definido como Verdadeiro. Impede que as subscrições do Pub/Sub sejam definidas com transformações de mensagens únicas (SMTs). A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
`pubsub.managed.disableTopicMessageTransforms`	Definido como Verdadeiro. Impede que os tópicos do Pub/Sub sejam definidos com transformações de mensagens únicas (SMTs). A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.

Conversão de voz em texto

Funcionalidades de conversão de voz em texto afetadas

Funcionalidade	Descrição
Modelos de conversão de voz em texto personalizados	É da sua responsabilidade não usar modelos personalizados de conversão de voz em texto, uma vez que não são compatíveis com o limite de dados para o IL5.

O que se segue?

Saiba como criar uma pasta do Assured Workloads
Compreenda os preços do Assured Workloads