Límite de datos de Arabia Saudí con justificaciones de acceso
En esta página se describe el conjunto de controles que se aplican a las cargas de trabajo de KSA Data Boundary con justificaciones de acceso en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos Google Cloud compatibles y sus endpoints de API, así como las restricciones o limitaciones aplicables a esos productos.
La siguiente información adicional se aplica a la frontera de datos de Arabia Saudí con justificaciones de acceso:
- Residencia de datos: el paquete de controles de la frontera de datos de Arabia Saudí con justificaciones de acceso establece controles de ubicación de los datos para admitir solo regiones de Arabia Saudí. Para obtener más información, consulta la sección Restricciones de la política de toda la organizaciónGoogle Cloud.
- Asistencia: los servicios de asistencia técnica para las cargas de trabajo de KSA Data Boundary con justificaciones de acceso están disponibles con las suscripciones Standard, Enhanced o Premium de Cloud Customer Care. Los casos de asistencia de cargas de trabajo de KSA Data Boundary with Access Justifications se derivan al personal de asistencia global. Para obtener más información, consulta el artículo Obtener asistencia.
- Precios: El paquete de controles de la frontera de datos de Arabia Saudí con justificaciones de acceso se incluye en el nivel gratuito de Assured Workloads, que no conlleva ningún cargo adicional. Para obtener más información, consulta los precios de Assured Workloads.
Requisitos previos
Antes de implementar cargas de trabajo en el límite de datos de KSA con Justificaciones de acceso, comprueba que cumples los siguientes requisitos previos:
- Crea una carpeta de límite de datos de Arabia Saudí con justificaciones de acceso mediante Assured Workloads y despliega tus cargas de trabajo solo en esa carpeta.
- No cambies los valores predeterminados de las restricciones de la política de la organización, a menos que entiendas y aceptes los riesgos de residencia de datos que puedan producirse.
- Cuando accedas a la Google Cloud consola de la frontera de datos de Arabia Saudí con cargas de trabajo de justificaciones de acceso,
debes usar una de las siguientes URLs de la consola Jurisdictional Google Cloud
específicas de Arabia Saudí:
- console.sa.cloud.google.com
- console.sa.cloud.google para usuarios con identidad federada
- Utilice solo los puntos finales regionales especificados para los servicios que los ofrecen. Para obtener más información, consulta los servicios incluidos en el límite de datos de Arabia Saudí con justificaciones de acceso.
- Te recomendamos que adoptes las prácticas recomendadas de seguridad generales que se indican en el Google Cloud centro de prácticas recomendadas de seguridad.
Productos y endpoints de API admitidos
A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos admitidos a través de la consola de Google Cloud . En la siguiente tabla se indican las restricciones o limitaciones que afectan a las funciones de un producto admitido, incluidas las que se aplican mediante los ajustes de restricciones de la política de la organización.
Si un producto no aparece en la lista, significa que no se admite y que no cumple los requisitos de control de la frontera de datos de Arabia Saudí con justificaciones de acceso. No se recomienda usar productos no admitidos sin haber tomado las precauciones necesarias y sin conocer a fondo las responsabilidades que te corresponden en el modelo de responsabilidad compartida. Antes de usar un producto no admitido, asegúrate de que conoces y aceptas los riesgos asociados, como los efectos negativos en la residencia o la soberanía de los datos.
| Producto admitido | Endpoints de API | Restricciones o limitaciones |
|---|---|---|
| Access Approval |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Administrador de contextos de acceso |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Artifact Registry |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| BigQuery |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Bigtable |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas |
| Servicio de Autoridades de Certificación |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud Build |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud DNS |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud HSM |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud Interconnect |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas |
| Cloud Key Management Service (Cloud KMS) |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud Load Balancing |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud Logging |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud Monitoring |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas |
| Cloud NAT |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud Router |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud Run |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas |
| Cloud SQL |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Restricciones de las políticas de organización |
| Cloud Service Mesh |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Cloud Storage |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas y restricciones de política de organización |
| Cloud VPN |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas |
| Compute Engine |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas y restricciones de política de organización |
| Connect |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Dataflow |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Dataplex Universal Catalog |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas |
| Dataproc |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Contactos esenciales |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Filestore |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Hub de GKE |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Servicio de identidad de GKE |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Google Cloud Armor |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Funciones afectadas |
| Google Cloud console |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Google Kubernetes Engine |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Restricciones de las políticas de organización |
| Gestión de identidades y accesos (IAM) |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Identity‑Aware Proxy |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Memorystore para Redis |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Network Connectivity Center |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Servicio de política de organización |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Persistent Disk |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Pub/Sub |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Restricciones de las políticas de organización |
| Resource Manager |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Configuración de recursos |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Secret Manager |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Protección de Datos Sensibles |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Directorio de servicios |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Spanner |
Endpoints de API regionales:
No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Restricciones de las políticas de organización |
| Controles de Servicio de VPC |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
| Nube privada virtual (VPC) |
No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales:
|
Ninguno |
Restricciones y limitaciones
En las siguientes secciones se describen las restricciones o limitaciones de las funciones a nivel de Google Cloudo de producto, incluidas las restricciones de la política de la organización que se definen de forma predeterminada en las carpetas de límite de datos de Arabia Saudí con justificaciones de acceso. Otras restricciones de políticas de la organización aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización. Google Cloud
Google Cloudde ancho
Funciones de todo el sitio afectadas Google Cloud
| Función | Descripción |
|---|---|
| Google Cloud consola | Para acceder a la Google Cloud consola cuando se usa el paquete de control de la frontera de datos de Arabia Saudí con Justificaciones de acceso,
debes usar una de las siguientes URLs:
|
Restricciones de las políticas de organización deGoogle Cloud
Las siguientes restricciones de la política de la organización se aplican en Google Cloud.
| Restricción de política de organización | Descripción |
|---|---|
gcp.resourceLocations |
Selecciona las siguientes ubicaciones en la lista allowedValues:
Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o almacenen datos fuera de un límite de datos conforme. |
gcp.restrictNonCmekServices |
Se define como una lista de todos los nombres de servicios de API incluidos en el ámbito, entre los que se incluyen los siguientes:
Cada servicio de la lista requiere claves de cifrado gestionadas por el cliente (CMEK). Las CMEK permiten que los datos en reposo se cifren con una clave gestionada por ti, no con los mecanismos de cifrado predeterminados de Google. Si cambias este valor quitando uno o varios servicios incluidos en el ámbito de la lista, puede que se vea afectada la soberanía de los datos, ya que los nuevos datos en reposo se cifrarán automáticamente con las claves de Google en lugar de con las tuyas. Los datos en reposo se seguirán cifrando con la clave que proporcionaste. |
gcp.restrictServiceUsage |
Se define para permitir todos los productos y endpoints de API admitidos. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos. |
gcp.restrictTLSVersion |
Definir para denegar las siguientes versiones de TLS:
|
Bigtable
Funciones de Bigtable afectadas
| Función | Descripción |
|---|---|
| Data Boost | Esta función está inhabilitada. |
Cloud Interconnect
Funciones de Cloud Interconnect afectadas
| Función | Descripción |
|---|---|
| VPN de alta disponibilidad | Debes habilitar la función de VPN de alta disponibilidad cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir los requisitos de cifrado y regionalización que se indican en la sección Funciones de VPN de Cloud afectadas. |
Cloud Monitoring
Funciones de Cloud Monitoring afectadas
| Función | Descripción |
|---|---|
| Monitor sintético | Esta función está inhabilitada. |
| Comprobaciones de disponibilidad del servicio | Esta función está inhabilitada. |
| Widgets del panel de registro en Paneles de control | Esta función está inhabilitada. No puedes añadir un panel de registro a un panel de control. |
| Widgets del panel de informes de errores en Paneles de control | Esta función está inhabilitada. No puedes añadir un panel de informes de errores a un panel de control. |
Filtrar en
EventAnnotation
por Paneles
|
Esta función está inhabilitada. Filtro de EventAnnotation
no se puede definir en un panel de control.
|
SqlCondition
en alertPolicies
|
Esta función está inhabilitada. No puedes añadir un SqlCondition
a un
alertPolicy.
|
Cloud Run
Funciones de Cloud Run afectadas
| Función | Descripción |
|---|---|
| Funciones no compatibles | Las siguientes funciones de Cloud Run no se admiten: |
Cloud SQL
Restricciones de políticas de organización de Cloud SQL
| Restricción de política de organización | Descripción |
|---|---|
sql.restrictNoncompliantDiagnosticDataAccess |
Su valor debe ser True. Aplica controles adicionales de soberanía y asistencia de datos a los recursos de Cloud SQL. Si cambia este valor, puede que se vea afectada la residencia o la soberanía de los datos de su carga de trabajo. |
sql.restrictNoncompliantResourceCreation |
Su valor debe ser True. Aplica controles de soberanía de datos adicionales para evitar la creación de recursos de Cloud SQL que no cumplan los requisitos. Si cambia este valor, puede que se vea afectada la residencia o la soberanía de los datos de su carga de trabajo. |
Cloud Storage
Funciones de Cloud Storage afectadas
| Función | Descripción |
|---|---|
| Google Cloud consola | Es tu responsabilidad usar la consola Google Cloud Jurisdiccional para la frontera de datos de Arabia Saudí con justificaciones de acceso. La consola Jurisdictional impide subir y descargar objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la fila Endpoints de API conformes. |
| Endpoints de API conformes | Es tu responsabilidad usar uno de los endpoints regionales incluidos en el ámbito con Cloud Storage. Para obtener más información, consulta las ubicaciones de Cloud Storage. |
Restricciones de políticas de la organización de Cloud Storage
| Restricción de política de organización | Descripción |
|---|---|
storage.restrictAuthTypes |
Se define para evitar la autenticación mediante el código de autenticación de mensajes basado en hash (HMAC). En este valor de restricción se especifican los siguientes tipos:
Si cambia este valor, puede afectar a la soberanía de los datos de su carga de trabajo. Le recomendamos que mantenga el valor definido. |
storage.uniformBucketLevelAccess |
Su valor debe ser True. El acceso a los segmentos nuevos se gestiona mediante políticas de IAM en lugar de listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos detallados para los contenedores y su contenido. Si se crea un bucket mientras esta restricción está habilitada, nunca se podrá gestionar el acceso a él mediante ACLs. Es decir, el método de control de acceso de un segmento se define de forma permanente para usar políticas de gestión de identidades y accesos en lugar de LCAs de Cloud Storage. |
Cloud VPN
Funciones de Cloud VPN afectadas
| Función | Descripción |
|---|---|
| Google Cloud consola | Las funciones de Cloud VPN no están disponibles en la consola. Google Cloud Usa la API o Google Cloud CLI. |
| Puntos finales de VPN | Solo debes usar los endpoints de Cloud VPN que se encuentren en una región incluida en el ámbito. Asegúrate de que tu pasarela de VPN esté configurada para usarse solo en una región incluida en el ámbito. |
Compute Engine
Funciones de Compute Engine afectadas
| Función | Descripción |
|---|---|
| Suspender y reanudar una instancia de máquina virtual | Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente. Actualmente, el almacenamiento en disco persistente que se usa para almacenar el estado de la VM suspendida no se puede cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
|
| SSDs locales | Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque actualmente no se pueden cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para conocer las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
|
| Google Cloud consola | Las siguientes funciones de Compute Engine no están disponibles en la consola de Google Cloud . Usa la API o Google Cloud CLI en su lugar: |
| Añadir un grupo de instancias a un balanceador de carga global | No puedes añadir un grupo de instancias a un balanceador de carga global. Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalLoadBalancing.
|
| Suspender y reanudar una instancia de máquina virtual | Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente. Además, el almacenamiento en disco persistente que se usa para almacenar el estado de la máquina virtual suspendida no se puede cifrar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
|
| SSDs locales | Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque no se pueden cifrar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
|
| Entorno de invitado | Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu máquina virtual, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta el entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete. Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización compute.trustedImageProjects.
Consulta la página Crear una imagen personalizada para obtener más información. |
| Políticas de SO en VM Manager |
Las secuencias de comandos insertadas y los archivos de salida binarios de los archivos de políticas del SO no se cifran con claves de cifrado gestionadas por el cliente (CMEK). No incluyas información sensible en estos archivos. Te recomendamos que almacenes estas secuencias de comandos y archivos de salida en segmentos de Cloud Storage. Para obtener más información, consulta los ejemplos de políticas de SO. Si quieres restringir la creación o modificación de recursos de políticas de SO que usen secuencias de comandos insertadas o archivos de salida binarios, habilita la restricción de la política de organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Para obtener más información, consulta Restricciones de Configuración del SO. |
instances.getSerialPortOutput()
|
Esta API está inhabilitada. No podrás obtener la salida del puerto serie de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de organización compute.disableInstanceDataAccessApis
a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de Habilitar el acceso a un proyecto.
|
instances.getScreenshot() |
Esta API está inhabilitada, por lo que no podrás obtener una captura de pantalla de la instancia especificada con ella. Cambia el valor de la restricción de la política de organización compute.disableInstanceDataAccessApis
a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de Habilitar el acceso a un proyecto.
|
Restricciones de las políticas de organización de Compute Engine
| Restricción de política de organización | Descripción |
|---|---|
compute.enableComplianceMemoryProtection |
Su valor debe ser True. Inhabilita algunas funciones de diagnóstico internas para proporcionar protección adicional de la memoria cuando se produce un fallo en la infraestructura. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo. |
compute.disableGlobalCloudArmorPolicy |
Su valor debe ser True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales, así como la adición o modificación de reglas en las políticas de seguridad de Google Cloud Armor globales. Esta restricción no limita la eliminación de reglas ni la capacidad de eliminar o cambiar la descripción y la lista de políticas de seguridad globales de Google Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Google Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de la aplicación de esta restricción seguirán vigentes. |
compute.disableGlobalLoadBalancing |
Su valor debe ser True. Inhabilita la creación de productos de balanceo de carga global. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo. |
compute.disableInstanceDataAccessApis
| Su valor debe ser True. Inhabilita globalmente las APIs instances.getSerialPortOutput() y
instances.getScreenshot().Si habilitas esta restricción, no podrás generar credenciales en máquinas virtuales de Windows Server. Si necesitas gestionar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
|
compute.disableSshInBrowser
| Su valor debe ser True. Inhabilita la herramienta SSH en el navegador en la Google Cloud consola de las VMs que usan OS Login y las VMs del entorno flexible de App Engine. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo. |
compute.restrictNonConfidentialComputing |
(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la
documentación sobre máquinas virtuales confidenciales. |
compute.trustedImageProjects |
(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional.
Si se define este valor, el almacenamiento de imágenes y la creación de instancias de disco se limitarán a la lista de proyectos especificada. Este valor afecta a la soberanía de los datos, ya que impide el uso de imágenes o agentes no autorizados. |
Dataplex Universal Catalog
Funciones de Dataplex Universal Catalog
| Función | Descripción |
|---|---|
| Metadatos de aspectos y glosarios | No se admiten aspectos ni glosarios. No puedes buscar ni gestionar aspectos y glosarios, ni tampoco importar metadatos personalizados. |
| Attribute Store | Esta función ya no está disponible y se ha inhabilitado. |
| Data Catalog | Esta función ya no está disponible y se ha inhabilitado. No puedes buscar ni gestionar tus metadatos en Data Catalog. |
| Calidad de los datos y análisis de perfil de datos | No se admite la exportación de los resultados de los análisis de calidad de los datos. |
| Discovery | Esta función está inhabilitada. No puedes ejecutar análisis de detección para extraer metadatos de tus datos. |
| Lakes y Zones | Esta función está inhabilitada. No puedes gestionar lagos, zonas ni tareas. |
Google Cloud Armor
Funciones de Google Cloud Armor afectadas
| Función | Descripción |
|---|---|
| Políticas de seguridad de ámbito global | Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalCloudArmorPolicy.
|
Google Kubernetes Engine
Restricciones de políticas de organización de Google Kubernetes Engine
| Restricción de política de organización | Descripción |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Su valor debe ser True. Inhabilita el análisis agregado de los problemas del kernel, que es necesario para mantener el control soberano de una carga de trabajo. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo. |
Pub/Sub
Restricciones de las políticas de organización de Pub/Sub
| Restricción de política de organización | Descripción |
|---|---|
pubsub.enforceInTransitRegions |
Su valor debe ser True. Asegura que los Datos del Cliente solo se transfieran dentro de las regiones permitidas especificadas en la política de almacenamiento de mensajes del tema de Pub/Sub. Si cambia este valor, puede que se vea afectada la residencia o la soberanía de los datos de su carga de trabajo. |
pubsub.managed.disableTopicMessageTransforms |
Su valor debe ser True. Inhabilita la configuración de temas de Pub/Sub con transformaciones de mensajes únicos (SMTs). Si cambia este valor, puede que se vea afectada la residencia o la soberanía de los datos de su carga de trabajo. |
pubsub.managed.disableSubscriptionMessageTransforms |
Su valor debe ser True. Inhabilita la configuración de suscripciones de Pub/Sub con transformaciones de mensajes únicos (SMTs). Si cambia este valor, puede que se vea afectada la residencia o la soberanía de los datos de su carga de trabajo. |
Spanner
Restricciones de las políticas de organización de Spanner
| Restricción de política de organización | Descripción |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Su valor debe ser True. Aplica controles adicionales de soberanía y asistencia de datos a los recursos de Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Su valor debe ser True. Inhabilita la posibilidad de crear instancias de Spanner multirregionales para aplicar la residencia y la soberanía de los datos. |
Siguientes pasos
- Consulta cómo crear una carpeta de Assured Workloads.
- Consulta los precios de Assured Workloads