Die Namen einiger Assured Workloads-Kontrollpakete haben sich geändert. Weitere Informationen zur Namensänderung finden Sie unter Hinweis zur Umbenennung von Kontrollpaketen.

Diese Seite wurde von der Cloud Translation API übersetzt.

Datengrenze für Saudi-Arabien mit Zugriffsbegründungen

Auf dieser Seite werden die Kontrollen beschrieben, die auf Arbeitslasten mit Zugriffsbegründungen in der KSA Data Boundary in Assured Workloads angewendet werden. Es enthält detaillierte Informationen zu Datenspeicherort, unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen anwendbaren Einschränkungen für diese Produkte.

Für die Datengrenze für Saudi-Arabien mit Zugriffsbegründungen gelten die folgenden zusätzlichen Informationen:

Datenstandort: Das Kontrollpaket „KSA Data Boundary with Access Justifications“ legt die Steuerelemente für den Datenstandort so fest, dass nur Regionen in Saudi-Arabien unterstützt werden. Weitere Informationen finden Sie im Abschnitt Einschränkungen für organisationsweite Richtlinien fürGoogle Cloud.
Support: Technischer Support für KSA Data Boundary mit Access Justifications-Arbeitslasten ist mit Standard-, Erweiterten oder Premium-Abos von Cloud Customer Care verfügbar. Supportfälle für Arbeitslasten mit Zugriffsbegründungen für die Datengrenze für Saudi-Arabien werden an globale Supportmitarbeiter weitergeleitet. Weitere Informationen finden Sie unter Support.
Preise: Das Kontrollpaket „KSA Data Boundary with Access Justifications“ ist im kostenlosen Kontingent von Assured Workloads enthalten, für das keine zusätzlichen Gebühren anfallen. Weitere Informationen finden Sie unter Assured Workloads-Preise.

Vorbereitung

Prüfen Sie, ob Sie die folgenden Voraussetzungen erfüllen und abgeschlossen haben, bevor Sie Arbeitslasten mit Zugriffsbegründungen in der KSA-Datengrenze bereitstellen:

Erstellen Sie mit Assured Workloads einen Ordner für die KSA Data Boundary mit Zugriffsbegründungen und stellen Sie Ihre Arbeitslasten nur in diesem Ordner bereit.
Ändern Sie die Standardwerte für die Einschränkung der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenspeicherort verstehen und bereit sind, diese zu akzeptieren.
Wenn Sie auf die Google Cloud Console für KSA Data Boundary mit Arbeitslasten für Zugriffsbegründungen zugreifen, müssen Sie eine der folgenden KSA-spezifischenGerichtsbarkeits Google Cloud Console-URLs verwenden:
- console.sa.cloud.google.com
- console.sa.cloud.google für Nutzer mit föderierten Identitäten
Verwenden Sie nur die angegebenen regionalen Endpunkte für Dienste, die sie anbieten. Weitere Informationen finden Sie unter Dienste mit Zugriffsbegründungen für den KSA-Datenstandort.
Wir empfehlen Ihnen, die allgemeinen Best Practices für die Sicherheit zu übernehmen, die im Google Cloud Center für Sicherheits-Best-Practices beschrieben werden.

Unterstützte Produkte und API-Endpunkte

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Produkte zugreifen. Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derer, die durch Einschränkungseinstellungen für Organisationsrichtlinien erzwungen werden, sind in der folgenden Tabelle aufgeführt.

Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und hat die Kontrollanforderungen für die KSA Data Boundary mit Zugriffsbegründungen nicht erfüllt. Die Verwendung nicht unterstützter Produkte wird nicht empfohlen, ohne dass Sie Ihre Verantwortlichkeiten im Modell der geteilten Verantwortung sorgfältig geprüft und verstanden haben. Bevor Sie ein nicht unterstütztes Produkt verwenden, sollten Sie sich über alle damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf den Speicherort oder die Souveränität von Daten.

Unterstütztes Produkt	API-Endpunkte	Einschränkungen oder Beschränkungen
Zugriffsgenehmigung	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `accessapproval.googleapis.com`	Keine
Access Context Manager	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `accesscontextmanager.googleapis.com`	Keine
Artifact Registry	Regionale API-Endpunkte: `artifactregistry.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `artifactregistry.googleapis.com`	Keine
BigQuery	Regionale API-Endpunkte: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` `bigquerydatatransfer.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Keine
Bigtable	Regionale API-Endpunkte: `bigtable.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Betroffene Funktionen
Certificate Authority Service	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `privateca.googleapis.com`	Keine
Cloud Build	Regionale API-Endpunkte: `cloudbuild.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `cloudbuild.googleapis.com`	Keine
Cloud DNS	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `dns.googleapis.com`	Keine
Cloud HSM	Regionale API-Endpunkte: `cloudkms.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `cloudkms.googleapis.com`	Keine
Cloud Interconnect	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com`	Betroffene Funktionen
Cloud Key Management Service (Cloud KMS)	Regionale API-Endpunkte: `cloudkms.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `cloudkms.googleapis.com`	Keine
Cloud Load Balancing	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com`	Keine
Cloud Logging	Regionale API-Endpunkte: `logging.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `logging.googleapis.com`	Keine
Cloud Monitoring	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `monitoring.googleapis.com`	Betroffene Funktionen
Cloud NAT	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com`	Keine
Cloud Router	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com`	Keine
Cloud Run	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `run.googleapis.com`	Betroffene Funktionen
Cloud SQL	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `sqladmin.googleapis.com`	Einschränkungen für Organisationsrichtlinien
Cloud Service Mesh	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com` `networksecurity.googleapis.com`	Keine
Cloud Storage	Regionale API-Endpunkte: `storage.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `storage.googleapis.com`	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud VPN	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com`	Betroffene Funktionen
Compute Engine	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com`	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Connect	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Keine
Dataflow	Regionale API-Endpunkte: `dataflow.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Keine
Dataplex Universal Catalog	Regionale API-Endpunkte: `dataplex.me-central2.rep.googleapis.com` `datalineage.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `dataplex.googleapis.com` `datalineage.googleapis.com`	Betroffene Funktionen
Dataproc	Regionale API-Endpunkte: `dataproc.me-central2.rep.googleapis.com` `dataproc-control.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Keine
Wichtige Kontakte	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `essentialcontacts.googleapis.com`	Keine
Filestore	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `file.googleapis.com`	Keine
GKE Hub	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `gkehub.googleapis.com`	Keine
GKE Identity Service	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `anthosidentityservice.googleapis.com`	Keine
Google Cloud Armor	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com`	Betroffene Funktionen
Google Cloud Console	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `N/A`	Keine
Google Kubernetes Engine	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `container.googleapis.com` `containersecurity.googleapis.com`	Einschränkungen für Organisationsrichtlinien
Identitäts- und Zugriffsverwaltung	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `iam.googleapis.com` `policytroubleshooter.googleapis.com`	Keine
Identity-Aware Proxy (IAP)	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `iap.googleapis.com`	Keine
Memorystore for Redis	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `redis.googleapis.com`	Keine
Network Connectivity Center	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `networkconnectivity.googleapis.com`	Keine
Organisationsrichtliniendienst	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `orgpolicy.googleapis.com`	Keine
Persistent Disk	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com`	Keine
Pub/Sub	Regionale API-Endpunkte: `pubsub.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `pubsub.googleapis.com`	Einschränkungen für Organisationsrichtlinien
Resource Manager	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `cloudresourcemanager.googleapis.com`	Keine
Ressourceneinstellungen	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `resourcesettings.googleapis.com`	Keine
Secret Manager	Regionale API-Endpunkte: `secretmanager.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `secretmanager.googleapis.com`	Keine
Sensitive Data Protection	Regionale API-Endpunkte: `dlp.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `dlp.googleapis.com`	Keine
Service Directory	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `servicedirectory.googleapis.com`	Keine
Spanner	Regionale API-Endpunkte: `spanner.me-central2.rep.googleapis.com` Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `spanner.googleapis.com`	Einschränkungen für Organisationsrichtlinien
VPC Service Controls	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `accesscontextmanager.googleapis.com`	Keine
Virtual Private Cloud (VPC)	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: `compute.googleapis.com` `servicenetworking.googleapis.com`	Keine

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit Datenstandort in Saudi-Arabien mit Zugriffsbegründungen festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche gestaffelte Sicherheitsebene bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.

Google Cloud × Google Cloud

Betroffene Google Cloud-weite Funktionen

Funktion	Beschreibung
Google Cloud Console	Wenn Sie über das Kontrollpaket „KSA Data Boundary with Access Justifications“ auf die Google Cloud -Konsole zugreifen möchten, müssen Sie eine der folgenden URLs verwenden: console.me.cloud.google.com console.me.cloud.google für Nutzer mit föderierten Identitäten Weitere Informationen finden Sie auf der Seite Jurisdictional Google Cloud console.

Google Cloud-weite Einschränkungen für Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.

Einschränkung der Organisationsrichtlinie	Beschreibung
`gcp.resourceLocations`	Legen Sie die folgenden Standorte in der Liste `allowedValues` fest: `me-central2` Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die ausgewählten Werte. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Eine Liste der Ressourcen, die durch die Organisationsrichtlinie „Ressourcenstandorte“ eingeschränkt werden können, finden Sie unter Von Ressourcenstandorten unterstützte Dienste. Einige Ressourcen sind möglicherweise nicht im Umfang enthalten und können nicht eingeschränkt werden. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `bigquerydatatransfer.googleapis.com` Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictServiceUsage`	Legen Sie fest, dass alle unterstützten Produkte und API-Endpunkte zugelassen werden. Bestimmt, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.
`gcp.restrictTLSVersion`	Auf „Verweigern“ setzen für die folgenden TLS-Versionen: `TLS_1_0` `TLS_1_1` Weitere Informationen finden Sie auf der Seite TLS-Versionen einschränken.

Bigtable

Betroffene Bigtable-Funktionen

Funktion	Beschreibung
Data Boost	Die Funktion ist deaktiviert.

Cloud Interconnect

Betroffene Cloud Interconnect-Funktionen

Funktion	Beschreibung
Hochverfügbarkeits-VPN	Sie müssen die HA VPN-Funktion aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten.

Cloud Monitoring

Betroffene Cloud Monitoring-Funktionen

Funktion	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnosen	Die Funktion ist deaktiviert.
Log-Bereich-Widgets in Dashboards	Die Funktion ist deaktiviert. Sie können einem Dashboard kein Log-Feld hinzufügen.
Widgets für den Bereich „Error Reporting“ in Dashboards	Die Funktion ist deaktiviert. Ein Dashboard kann kein Fehlerberichtsfeld enthalten.
Filtern Sie in `EventAnnotation` nach Dashboards.	Die Funktion ist deaktiviert. Der Filter von `EventAnnotation` kann nicht in einem Dashboard festgelegt werden.
`SqlCondition` in `alertPolicies`	Die Funktion ist deaktiviert. Sie können kein `SqlCondition` zu einem `alertPolicy` hinzufügen.

Cloud Run

Betroffene Cloud Run-Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Cloud Run-Funktionen werden nicht unterstützt: Cloud Trace-Integration Cloud Run Functions Eventarc-Trigger

Cloud SQL

Einschränkungen für Cloud SQL-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`sql.restrictNoncompliantDiagnosticDataAccess`	Auf True festlegen. Wendet zusätzliche Kontrollen für Datenhoheit und Support auf Cloud SQL-Ressourcen an. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
`sql.restrictNoncompliantResourceCreation`	Auf True festlegen. Wendet zusätzliche Kontrollen für die Datenhoheit an, um die Erstellung nicht konformer Cloud SQL-Ressourcen zu verhindern. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.

Cloud Storage

Betroffene Cloud Storage-Funktionen

Funktion	Beschreibung
Google Cloud Console	Sie sind dafür verantwortlich, die Jurisdictional Google Cloud -Konsole für die Datengrenze in Saudi-Arabien mit Zugriffsbegründungen zu verwenden. In der Gerichtsbarkeitskonsole können keine Cloud Storage-Objekte hoch- oder heruntergeladen werden. Informationen zum Hoch- und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte.
Konforme API-Endpunkte	Es liegt in Ihrer Verantwortung, einen der regionalen Endpunkte mit Cloud Storage zu verwenden, die in den Anwendungsbereich fallen. Weitere Informationen finden Sie unter Cloud Storage-Standorte.

Einschränkungen für Cloud Storage-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung

Einschränkung der Organisationsrichtlinie	Beschreibung
`storage.restrictAuthTypes`	Wird festgelegt, um die Authentifizierung mit einem Hash-basierten Message Authentication Code (HMAC) zu verhindern. Die folgenden Typen werden in diesem Einschränkungswert angegeben: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Standardmäßig wird verhindert, dass HMAC-Schlüssel für die Authentifizierung bei Cloud Storage-Ressourcen für KSA Data Boundary-Arbeitslasten mit Access Justifications verwendet werden. HMAC-Schlüssel beeinträchtigen die Datenhoheit, da sie verwendet werden können, um ohne Wissen des Kunden auf Kundendaten zuzugreifen. Weitere Informationen finden Sie unter HMAC-Schlüssel in der Cloud Storage-Dokumentation. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.
`storage.uniformBucketLevelAccess`	Auf True festlegen. Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte. Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.

storage.restrictAuthTypes

Wird festgelegt, um die Authentifizierung mit einem Hash-basierten Message Authentication Code (HMAC) zu verhindern. Die folgenden Typen werden in diesem Einschränkungswert angegeben:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Standardmäßig wird verhindert, dass HMAC-Schlüssel für die Authentifizierung bei Cloud Storage-Ressourcen für KSA Data Boundary-Arbeitslasten mit Access Justifications verwendet werden. HMAC-Schlüssel beeinträchtigen die Datenhoheit, da sie verwendet werden können, um ohne Wissen des Kunden auf Kundendaten zuzugreifen. Weitere Informationen finden Sie unter HMAC-Schlüssel in der Cloud Storage-Dokumentation.

Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.

storage.uniformBucketLevelAccess Auf True festlegen.

Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte.

Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.

Cloud VPN

Betroffene Cloud VPN-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
VPN-Endpunkte	Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in einer Region befinden, die in den Anwendungsbereich fällt. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region konfiguriert ist, die in den Anwendungsbereich fällt.

Compute Engine

Betroffene Compute Engine-Funktionen

Funktion	Beschreibung
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`.
Google Cloud Console	Die folgenden Compute Engine-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI: Systemdiagnosen Netzwerk-Endpunktgruppen
Instanzgruppe einem globalen Load-Balancer hinzufügen	Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen. Diese Funktion ist aufgrund der Einschränkung der `compute.disableGlobalLoadBalancing`-Organisationsrichtlinie deaktiviert.
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Diese Funktion ist durch die Einschränkung der `gcp.restrictNonCmekServices`-Organisationsrichtlinie deaktiviert.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Diese Funktion ist durch die Einschränkung der `gcp.restrictNonCmekServices`-Organisationsrichtlinie deaktiviert.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung `compute.trustedImageProjects` verwenden. Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
Betriebssystemrichtlinien in VM Manager	Inline-Skripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Diese Dateien dürfen keine vertraulichen Informationen enthalten. Es empfiehlt sich, diese Skripts und Ausgabedateien in Cloud Storage-Buckets zu speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien. Wenn Sie die Erstellung oder Änderung von OS Policy-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die Einschränkung der `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`-Organisationsrichtlinie. Weitere Informationen finden Sie unter Einschränkungen für die Betriebssystemkonfiguration.
`instances.getSerialPortOutput()`	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
`instances.getScreenshot()`	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`compute.enableComplianceMemoryProtection`	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
`compute.disableGlobalCloudArmorPolicy`	Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
`compute.disableGlobalLoadBalancing`	Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
`compute.disableInstanceDataAccessApis`	Auf True festlegen. Deaktiviert global die APIs `instances.getSerialPortOutput()` und `instances.getScreenshot()`. Wenn Sie diese Einschränkung aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor: SSH für Windows-VMs aktivieren Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Ersetzen Sie Folgendes: `VM_NAME`: Der Name der VM, für die Sie das Passwort festlegen. `USERNAME`: Der Nutzername des Nutzers, für den Sie das Passwort festlegen. `PASSWORD`: Das neue Passwort.
`compute.disableSshInBrowser`	Auf True festlegen. Deaktiviert das Tool „SSH im Browser“ in der Google Cloud Console für VMs, die OS Login verwenden, und für VMs, auf denen die flexible App Engine-Umgebung ausgeführt wird. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.trustedImageProjects`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Dataplex Universal Catalog

Funktionen von Dataplex Universal Catalog

Funktion	Beschreibung
Aspekte und Glossarmetadaten	Aspekte und Glossare werden nicht unterstützt. Sie können nicht nach Aspekten und Glossaren suchen oder diese verwalten und auch keine benutzerdefinierten Metadaten importieren.
Attributspeicher	Diese Funktion ist veraltet und deaktiviert.
Data Catalog	Diese Funktion ist veraltet und deaktiviert. Sie können Ihre Metadaten nicht in Data Catalog durchsuchen oder verwalten.
Datenqualität und Datenprofilscan	Der Export von Ergebnissen des Datenqualitätsscans wird nicht unterstützt.
Discovery	Die Funktion ist deaktiviert. Sie können die Discovery-Scans nicht ausführen, um Metadaten aus Ihren Daten zu extrahieren.
Lakes und Zonen	Die Funktion ist deaktiviert. Sie können keine Lakes, Zonen und Aufgaben verwalten.

Google Cloud Armor

Betroffene Google Cloud Armor-Funktionen

Funktion	Beschreibung
Global gültige Sicherheitsrichtlinien	Diese Funktion wurde durch die Einschränkung der `compute.disableGlobalCloudArmorPolicy`-Organisationsrichtlinie deaktiviert.

Google Kubernetes Engine

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Einschränkung der Organisationsrichtlinie	Beschreibung
`container.restrictNoncompliantDiagnosticDataAccess`	Auf True festlegen. Deaktiviert die aggregierte Analyse von Kernel-Problemen. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.

Pub/Sub

Einschränkungen für Organisationsrichtlinien für Pub/Sub

Einschränkung der Organisationsrichtlinie	Beschreibung
`pubsub.enforceInTransitRegions`	Auf True festlegen. Sorgt dafür, dass Kundendaten nur innerhalb der Regionen übertragen werden, die in der Nachrichtenspeicherrichtlinie für das Pub/Sub-Thema als zulässig festgelegt sind. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
`pubsub.managed.disableTopicMessageTransforms`	Auf True festlegen. Verhindert, dass für Pub/Sub-Themen Single Message Transforms (SMTs) festgelegt werden. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
`pubsub.managed.disableSubscriptionMessageTransforms`	Auf True festlegen. Verhindert, dass für Pub/Sub-Abos Single Message Transforms (SMTs) festgelegt werden. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.

Spanner

Einschränkungen für Spanner-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`spanner.assuredWorkloadsAdvancedServiceControls`	Auf True festlegen. Wendet zusätzliche Kontrollen für Datenhoheit und Support auf Spanner-Ressourcen an.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Auf True festlegen. Deaktiviert die Möglichkeit, multiregionale Spanner-Instanzen zu erstellen, um den Datenstandort und die Datenhoheit zu erzwingen.