Os nomes de alguns pacotes de controle do Assured Workloads mudaram. Para mais informações sobre a mudança de nome, consulte Aviso sobre a mudança de nome do pacote de controle.

Esta página foi traduzida pela API Cloud Translation.

Limite de dados para o nível de impacto 5 (IL5)

Nesta página, descrevemos o conjunto de controles aplicados no Data Boundary para cargas de trabalho IL5 no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos do Google Cloud compatíveis e os endpoints de API deles, além de restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais se aplicam ao limite de dados para IL5:

Residência de dados: a fronteira de dados para o pacote de controle IL5 define controles de localização de dados para oferecer suporte a regiões somente dos EUA. Para mais informações, consulte a seção Restrições de políticas da organização em toda aGoogle Cloud.
Suporte: os serviços de suporte técnico para o limite de dados em cargas de trabalho IL5 estão disponíveis com as assinaturas do Cloud Customer Care Enhanced ou Premium. Os casos de suporte de limites de dados para cargas de trabalho IL5 são encaminhados a residentes dos EUA localizados nos EUA. Para mais informações, consulte Como receber suporte.
Preços: a fronteira de dados para o pacote de controle IL5 está incluída no nível Premium do Assured Workloads, que gera uma cobrança adicional de 20%. Para mais informações, consulte Preços do Assured Workloads.

Pré-requisitos

Para continuar em conformidade como usuário do pacote de controle de fronteira de dados para IL5, verifique se você atende e segue os seguintes pré-requisitos:

Crie um limite de dados para a pasta IL5 usando o Assured Workloads e implante suas cargas de trabalho IL5 apenas nessa pasta.
Ative e use apenas serviços no escopo para fronteira de dados para cargas de trabalho IL5.
Não mude os valores padrão da restrição de política da organização, a menos que você entenda e esteja disposto a aceitar os riscos de residência de dados que podem ocorrer.
Para todos os serviços usados em uma pasta de fronteira de dados para IL5, não armazene dados técnicos nos seguintes tipos de informações de configuração de segurança ou definidos pelo usuário:
- Mensagens de erro
- Saída do console
- Dados de atributos
- Dados de configuração do serviço
- Cabeçalhos de pacotes de rede
- Identificadores de recursos
- Rótulos de dados
Considere adotar as práticas recomendadas gerais de segurança fornecidas na Google Cloud central de práticas recomendadas de segurança.
Consulte a página Autorização provisória do Departamento de Defesa dos EUA (DoD) para mais informações sobre a implantação de cargas de trabalho IL5 noGoogle Cloud.
Ao acessar o console do Google Cloud , você pode usar o console Google Cloud jurisdicional. Não é necessário usar o console jurisdicional Google Cloud para o limite de dados para IL5. Ele pode ser acessado em um dos seguintes URLs:
- console.us.cloud.google.com
- console.us.cloud.google para usuários de identidade federada

Produtos e endpoints de API compatíveis

Salvo indicação em contrário, os usuários podem acessar todos os produtos compatíveis pelo console Google Cloud . As restrições ou limitações que afetam os recursos de um produto compatível, incluindo aquelas que são aplicadas pelas configurações de restrição da política da organização, estão listadas na tabela a seguir.

Se um produto não estiver listado, ele não será compatível e não terá atendido aos requisitos de controle da fronteira de dados para IL5. Não é recomendável usar produtos sem suporte sem diligência prévia e uma compreensão completa das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você conhece e aceita os riscos associados, como impactos negativos na residência ou soberania de dados. Além disso, revise qualquer uso de um produto sem suporte com a agência autorizadora antes de aceitar o risco.

Produto compatível	Endpoints de API	Restrições ou limitações
Artifact Registry	`artifactregistry.googleapis.com`	Nenhum
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Recursos afetados e restrições da política da organização
Certificate Authority Service	`privateca.googleapis.com`	Nenhum
Cloud Build	`cloudbuild.googleapis.com`	Nenhum
Cloud Composer	`composer.googleapis.com`	Nenhum
Cloud DNS	`dns.googleapis.com`	Nenhum
Cloud Data Fusion	`datafusion.googleapis.com`	Nenhum
Gerenciador de chaves externas do Cloud (Cloud EKM)	`cloudkms.googleapis.com`	Nenhum
Cloud HSM	`cloudkms.googleapis.com`	Nenhum
Cloud Identity	`cloudidentity.googleapis.com`	Nenhum
Cloud Interconnect	`compute.googleapis.com`	Nenhum
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Restrições das políticas da organização
Cloud Logging	`logging.googleapis.com`	Nenhum
Cloud Monitoring	`monitoring.googleapis.com`	Nenhum
Cloud NAT	`compute.googleapis.com`	Nenhum
Cloud Router	`compute.googleapis.com`	Nenhum
Cloud Run	`run.googleapis.com`	Recursos afetados
Cloud SQL	`sqladmin.googleapis.com`	Nenhum
Cloud Storage	`storage.googleapis.com`	Nenhum
Cloud Tasks	`cloudtasks.googleapis.com`	Nenhum
Cloud VPN	`compute.googleapis.com`	Nenhum
API Cloud Vision	`us-vision.googleapis.com`	Recursos afetados
Cloud Workstations	`workstations.googleapis.com`	Recursos afetados
Compute Engine	`compute.googleapis.com`	Recursos afetados e restrições da política da organização
Agente do Connect	`gkeconnect.googleapis.com`	Nenhum
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Nenhum
Dataproc	`dataproc.googleapis.com` `dataproc-control.googleapis.com`	Nenhum
Eventarc	`eventarc.googleapis.com`	Nenhum
Balanceador de carga de rede de passagem externo	`compute.googleapis.com`	Nenhum
Hub GKE	`gkehub.googleapis.com`	Nenhum
Serviço de identidade do GKE	`anthosidentityservice.googleapis.com`	Nenhum
IA generativa na Vertex AI	`aiplatform.googleapis.com`	Nenhum
Gemini Enterprise	`discoveryengine.googleapis.com`	Nenhum
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Nenhum
Google Admin Console	`N/A`	Nenhum
Gerenciamento de identidade e acesso (IAM)	`iam.googleapis.com`	Restrições das políticas da organização
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Nenhum
Balanceador de carga de rede de passagem interno	`compute.googleapis.com`	Nenhum
Memorystore para Redis	`redis.googleapis.com`	Nenhum
Persistent Disk	`compute.googleapis.com`	Nenhum
Pub/Sub	`pubsub.googleapis.com`	Restrições das políticas da organização
Balanceador de carga de aplicativo externo regional	`compute.googleapis.com`	Nenhum
Balanceador de carga de rede de proxy externo regional	`compute.googleapis.com`	Nenhum
Balanceador de carga de aplicativo interno e regional	`compute.googleapis.com`	Nenhum
Balanceador de carga de rede de proxy interno regional	`compute.googleapis.com`	Nenhum
Secret Manager	`secretmanager.googleapis.com`	Nenhum
Proteção de Dados Sensíveis	`dlp.googleapis.com`	Nenhum
Spanner	`spanner.googleapis.com`	Nenhum
Speech-to-Text	`speech.googleapis.com`	Recursos afetados
VPC Service Controls	`accesscontextmanager.googleapis.com`	Nenhum
Previsão em lote da Vertex AI	`aiplatform.googleapis.com`	Nenhum
Monitoramento de modelos com a Vertex AI	`aiplatform.googleapis.com`	Nenhum
Vertex AI Model Registry	`aiplatform.googleapis.com`	Nenhum
Previsão on-line da Vertex AI	`aiplatform.googleapis.com`	Nenhum
Pipelines da Vertex AI	`aiplatform.googleapis.com`	Nenhum
Vertex AI para Pesquisa	`discoveryengine.googleapis.com`	Nenhum
Treinamento da Vertex AI	`aiplatform.googleapis.com`	Nenhum
Nuvem privada virtual (VPC)	`compute.googleapis.com`	Nenhum

Restrições e limitações

As seções a seguir descrevem restrições ou limitações em todo o Google Cloudou específicas do produto para recursos, incluindo restrições de política da organização definidas por padrão no Data Boundary para pastas IL5. Outras restrições aplicáveis da política da organização, mesmo que não sejam definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Google Cloudde largura

Recursos afetados em todo o Google Cloud

Recurso	Descrição
Console doGoogle Cloud	Para acessar o console do Google Cloud ao usar o pacote de controle do limite de dados para IL5, você pode usar o console jurisdicional do Google Cloud . O console Jurisdicional Google Cloud não é necessário para o limite de dados para IL5 e pode ser acessado usando um dos seguintes URLs: console.us.cloud.google.com console.us.cloud.google para usuários de identidade federada

Restrições da política da organização em toda aGoogle Cloud

As restrições da política da organização a seguir se aplicam a Google Cloud.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Defina os seguintes locais na lista `allowedValues`: `us` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` Esse valor restringe a criação de novos recursos aos valores selecionados. Quando definido, nenhum recurso pode ser criado em outras regiões, multirregiões ou locais fora da seleção. Consulte Serviços compatíveis com locais de recursos para ver uma lista de recursos que podem ser restringidos pela restrição da política da organização de locais de recursos. Alguns recursos podem estar fora do escopo e não podem ser restringidos. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade.
`gcp.restrictCmekCryptoKeyProjects`	Defina como `under:organizations/your-organization-name`, que é sua organização do Assured Workloads. É possível restringir ainda mais esse valor especificando um projeto ou uma pasta. Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves do Cloud KMS para criptografar dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo.
`gcp.restrictNonCmekServices`	Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` `sqladmin.googleapis.com` `bigquerydatatransfer.googleapis.com` Alguns recursos podem ser afetados para cada um dos serviços listados acima. Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK criptografa dados em repouso com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços em escopo da lista pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
`gcp.restrictServiceUsage`	Definido para permitir todos os produtos e endpoints de API compatíveis. Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Como restringir o uso de recursos.
`gcp.restrictTLSVersion`	Definido para negar as seguintes versões do TLS: `TLS_1_0` `TLS_1_1` Para mais informações, consulte Restringir versões do TLS.

BigQuery

Recursos afetados do BigQuery

Recurso	Descrição
Ativar o BigQuery em uma nova pasta	O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma pasta do Assured Workloads devido a um processo de configuração interna. Esse processo normalmente leva 10 minutos, mas pode demorar mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas: No console Google Cloud , acesse a página Assured Workloads. Acesse o Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis. No painel Serviços permitidos, revise os serviços que serão adicionados à política da organização Restrição de uso de recursos da pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los. Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care. Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta do Assured Workloads. O Gemini no BigQuery não é compatível com o Assured Workloads.
APIs BigQuery em conformidade	As seguintes APIs do BigQuery estão em conformidade com o IL5: `bigquery.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerymigration.googleapis.com` `bigquerystorage.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerydatatransfer.googleapis.com` A API Reservations não é ativada por padrão. Para mais informações, consulte Como ativar uma API no seu projeto Google Cloud .
Regiões	O BigQuery está em conformidade com o IL5 em todas as regiões dos EUA, exceto a multirregião dos EUA. A conformidade com o IL5 não pode ser garantida se um conjunto de dados for criado em uma multirregião dos EUA, uma região fora dos EUA ou uma multirregião fora dos EUA. É sua responsabilidade especificar uma região compatível com IL5 ao criar conjuntos de dados do BigQuery.
Consultas em conjuntos de dados IL5 de projetos que não são IL5	O BigQuery não impede que conjuntos de dados IL5 sejam consultados em projetos que não são IL5. Verifique se todas as consultas que usam uma operação de leitura ou junção em dados técnicos do IL5 estão em uma pasta compatível com o IL5.
Conexões com fontes de dados externas	A responsabilidade de compliance do Google é limitada à capacidade da API BigQuery Connection. É sua responsabilidade garantir a conformidade dos produtos de origem usados com a API BigQuery Connection.
Recursos não suportados	Os seguintes recursos do BigQuery não são compatíveis e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para o Assured Workloads. Interação com fontes de dados remotas Modelos do BQML treinados externamente não são compatíveis. Modelos do BQML treinados internamente são aceitos. Mascaramento de dados dinâmico Exportação do GDrive Funções remotas Consultas salvas Programação do fluxo de trabalho No BigQuery Studio, os notebooks não são compatíveis. O Gemini no BigQuery não é compatível.
CLI do BigQuery	A CLI do BigQuery é compatível.
SDK do Google Cloud	Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados técnicos. Para verificar sua versão atual do SDK Google Cloud, execute `gcloud --version` e depois `gcloud components update` para atualizar para a versão mais recente.
Controles do administrador	O BigQuery desativa as APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta do Assured Workloads podem ativar uma API sem suporte. Se isso acontecer, você vai receber uma notificação de possível não conformidade no painel de monitoramento do Assured Workloads.
Carregando dados	Os conectores do serviço de transferência de dados do BigQuery para apps do Google software como serviço (SaaS), provedores externos de armazenamento em nuvem e data warehouses não são compatíveis. É sua responsabilidade não usar conectores do serviço de transferência de dados do BigQuery para o limite de dados em cargas de trabalho IL5.
Transferências de terceiros	O BigQuery não verifica a compatibilidade com transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML não compatíveis	Modelos do BQML treinados externamente não são compatíveis.
Jobs de consulta	Os jobs de consulta só podem ser criados em pastas do Assured Workloads.
Consultas em conjuntos de dados de outros projetos	O BigQuery não impede que conjuntos de dados do Assured Workloads sejam consultados em projetos que não são do Assured Workloads. Verifique se qualquer consulta que tenha uma leitura ou uma junção de dados do Assured Workloads está em uma pasta do Assured Workloads. É possível especificar um nome de tabela totalmente qualificado para o resultado da consulta usando `projectname.dataset.table` na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative os buckets de registros do `_default` ou restrinja-os a regiões no escopo para manter a conformidade usando o seguinte comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Para mais informações, consulte Regionalizar seus registros.`_default`

Cloud Interconnect

Recursos afetados do Cloud Interconnect

Recurso	Descrição
VPN de alta disponibilidade (HA)	É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, é necessário obedecer aos requisitos de criptografia e regionalização listados na seção Recursos afetados do Cloud VPN.

Cloud KMS

Restrições da política da organização do Cloud KMS

Restrição da política da organização	Descrição
`cloudkms.allowedProtectionLevels`	Definido para permitir a criação de CryptoKeys do Cloud Key Management Service com os seguintes níveis de proteção: `SOFTWARE` `HSM` `EXTERNAL` `EXTERNAL_VPC` Consulte Níveis de proteção para mais informações.

Cloud Logging

Recursos afetados do Cloud Logging

Recurso	Descrição
Coletores de registros	Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo	Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados entrada de registro, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.

Cloud Monitoring

Recursos afetados do Cloud Monitoring

Recurso	Descrição
Monitor sintético	Este recurso está desativado.
Verificações de tempo de atividade	Este recurso está desativado.

Cloud Run

Recursos afetados do Cloud Run

Recurso	Descrição
Recursos não suportados	Os seguintes recursos do Cloud Run não são compatíveis: Integração do Cloud Trace Cloud Run functions Gatilhos do Eventarc

API Cloud Vision

Recursos afetados da API Cloud Vision

Recurso	Descrição
Endpoints da API Cloud Vision compatíveis com IL5	É sua responsabilidade usar apenas o endpoint de API da região dos EUA (`us-vision.googleapis.com`) para a API Cloud Vision. O endpoint global (`vision.googleapis.com`) não está em conformidade com o IL5, e o uso dele pode prejudicar a residência de dados da sua carga de trabalho.

Cloud VPN

Recursos afetados do Cloud VPN

Recurso	Descrição
Endpoints de VPN	Use apenas endpoints do Cloud VPN localizados em uma região no escopo. Verifique se o gateway da VPN está configurado para uso apenas em uma região no escopo.

Cloud Workstations

Recursos afetados do Cloud Workstations

Recurso	Descrição
Como criar um cluster de estação de trabalho	Ao criar um cluster de estação de trabalho, é sua responsabilidade configurá-lo da seguinte maneira para garantir a residência de dados: Selecione apenas um gateway particular ao criar um cluster de estação de trabalho. O uso de um gateway privado oferece residência de dados em trânsito. Use apenas um balanceador de carga de aplicativo externo regional ao configurar um domínio personalizado. O uso de um balanceador de carga de aplicativo externo regional oferece residência de dados em trânsito.

Recurso

Descrição

Como criar um cluster de estação de trabalho

Ao criar um cluster de estação de trabalho, é sua responsabilidade configurá-lo da seguinte maneira para garantir a residência de dados:

Selecione apenas um gateway particular ao criar um cluster de estação de trabalho. O uso de um gateway privado oferece residência de dados em trânsito.
Use apenas um balanceador de carga de aplicativo externo regional ao configurar um domínio personalizado. O uso de um balanceador de carga de aplicativo externo regional oferece residência de dados em trânsito.

Compute Engine

Recursos afetados do Compute Engine

Recurso	Descrição
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM exigem armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEK. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
Como adicionar um grupo de instâncias a um balanceador de carga global	Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Esse recurso foi desativado pela restrição de política da organização `compute.disableGlobalLoadBalancing`.
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Esse recurso foi desativado pela restrição da política da organização `gcp.restrictNonCmekServices`.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEK. Esse recurso foi desativado pela restrição da política da organização `gcp.restrictNonCmekServices`.
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização `compute.trustedImageProjects`. Para mais informações, consulte Como criar uma imagem personalizada.
Políticas do SO no VM Manager	Os scripts inline e os arquivos de saída binários nos arquivos de política do SO não são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK). Não inclua informações sensíveis nesses arquivos. Considere armazenar esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte Exemplos de políticas do SO. Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição da política da organização `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para mais informações, consulte Restrições para a Configuração do SO.
`instances.getSerialPortOutput()`	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Ativar o acesso a um projeto.
`instances.getScreenshot()`	Essa API está desativada. Não será possível receber uma captura de tela da instância especificada usando essa API. Mude o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Ativar o acesso a um projeto.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
`compute.disableGlobalCloudArmorPolicy`	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança globais do Google Cloud Armor e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
`compute.disableGlobalLoadBalancing`	Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`. Ativar essa restrição impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte: Ative o SSH para VMs do Windows. Execute o comando a seguir para mudar a senha da VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Substitua: `VM_NAME`: o nome da VM para a qual você está definindo a senha. `USERNAME`: o nome de usuário da pessoa para quem você está definindo a senha. `PASSWORD`: a nova senha.
`compute.setNewProjectDefaultToZonalDNSOnly`	Definido como Verdadeiro. Define a configuração de DNS para novos projetos como somente DNS zonal. O DNS zonal reduz o risco de interrupções entre regiões e melhora a confiabilidade geral dos projetos no Compute Engine.
`compute.skipDefaultNetworkCreation`	Definido como Verdadeiro. Desativa a criação de uma rede padrão e dos recursos de suporte dela quando um novo projeto é criado.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Para mais informações, consulte a documentação sobre VMs confidenciais.
`compute.trustedImageProjects`	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

IAM

Restrições da política da organização do IAM

Restrição da política da organização Descrição

iam.automaticIamGrantsForDefaultServiceAccounts Definido como Verdadeiro.

Desativa a concessão automática do papel contas de serviço padrão de Editor (roles/editor) básico legada.

Essa restrição não impede que as contas de serviço padrão recebam papéis básicos legados no futuro. Para evitar esse comportamento, defina a restrição iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts na sua pasta do Assured Workloads.

iam.disableServiceAccountKeyCreation Definido como Verdadeiro.

Desativa a criação de novas chaves de conta de serviço e chaves HMAC do Cloud Storage.

Se as chaves de conta de serviço forem necessárias para sua carga de trabalho, leia a página Práticas recomendadas para gerenciar chaves de conta de serviço antes de mudar o valor dessa restrição.

Restrição da política da organização	Descrição
`iam.automaticIamGrantsForDefaultServiceAccounts`	Definido como Verdadeiro. Desativa a concessão automática do papel contas de serviço padrão de Editor (`roles/editor`) básico legada. Essa restrição não impede que as contas de serviço padrão recebam papéis básicos legados no futuro. Para evitar esse comportamento, defina a restrição `iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts` na sua pasta do Assured Workloads.
`iam.disableServiceAccountKeyCreation`	Definido como Verdadeiro. Desativa a criação de novas chaves de conta de serviço e chaves HMAC do Cloud Storage. Se as chaves de conta de serviço forem necessárias para sua carga de trabalho, leia a página Práticas recomendadas para gerenciar chaves de conta de serviço antes de mudar o valor dessa restrição.

Pub/Sub

Restrições da política da organização do Pub/Sub

Restrição da política da organização	Descrição
`pubsub.managed.disableTopicMessageTransforms`	Definido como Verdadeiro. Impede que os tópicos do Pub/Sub sejam definidos com transformações de mensagem única (SMTs). Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`pubsub.managed.disableSubscriptionMessageTransforms`	Definido como Verdadeiro. Desativa a definição de assinaturas do Pub/Sub com transformações de mensagens únicas (SMTs). Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`pubsub.managed.disableTopicMessageTransforms`	Definido como Verdadeiro. Impede que os tópicos do Pub/Sub sejam definidos com transformações de mensagem única (SMTs). Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.

Speech-to-Text

Recursos do Speech-to-Text afetados

Recurso	Descrição
Modelos personalizados de Speech-to-Text	É sua responsabilidade não usar modelos personalizados de Speech-to-Text porque eles não estão em conformidade com o limite de dados para IL5.

A seguir

Saiba como criar uma pasta do Assured Workloads
Entenda os preços do Assured Workloads