Cambiaron los nombres de algunos paquetes de controles de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta el Aviso sobre el cambio de nombre del paquete de control.

Se usó la API de Cloud Translation para traducir esta página.

Límite de datos del Reino de Arabia Saudita (KSA) con justificaciones de acceso

En esta página, se describe el conjunto de controles que se aplican en el límite de datos de KSA con cargas de trabajo de justificaciones de acceso en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos compatibles Google Cloud y sus extremos de API, y las restricciones o limitaciones aplicables a esos productos.

La siguiente información adicional se aplica al límite de datos de la KSA con justificaciones de acceso:

Residencia de datos: El paquete de controles del límite de datos de KSA con justificaciones de acceso establece controles de ubicación de datos para admitir regiones solo de KSA. Para obtener más información, consulta la sección Restricciones de las políticas de la organización enGoogle Cloud.
Asistencia: Los servicios de asistencia técnica para la zona de datos de KSA con cargas de trabajo de justificaciones de acceso están disponibles con las suscripciones Estándar, Mejorada o Premium de Atención al cliente de Cloud. Los casos de asistencia de las cargas de trabajo del límite de datos del KSA con justificaciones de acceso se enrutan al personal de asistencia global. Si necesitas más información, consulta Obtén asistencia.
Precios: El paquete de controles de límite de datos de KSA con justificaciones de acceso se incluye en el nivel gratuito de Assured Workloads, que no genera cargos adicionales. Para obtener más información, consulta Precios de Assured Workloads.

Requisitos previos

Verifica que cumplas con los siguientes requisitos previos antes de implementar cargas de trabajo en el límite de datos de KSA con justificaciones de acceso:

Crea una carpeta de límite de datos de KSA con justificaciones de acceso usando Assured Workloads y, luego, implementa tus cargas de trabajo solo en esa carpeta.
No cambies los valores predeterminados de la restricción de la política de la organización, a menos que comprendas y aceptes los riesgos de residencia de datos que puedan ocurrir.
Cuando accedas a la Google Cloud consola para las cargas de trabajo del límite de datos de la KSA con justificaciones de acceso, debes usar una de las siguientes URLs de laconsola Google Cloud jurisdiccionalespecíficas de la KSA:
- console.sa.cloud.google.com
- console.sa.cloud.google para usuarios de identidades federadas
Usa solo los extremos regionales especificados para los servicios que los ofrecen. Para obtener más información, consulta Límite de datos de KSA dentro del alcance con servicios de justificación de acceso.
Considera adoptar las prácticas recomendadas de seguridad generales que se proporcionan en el Google Cloud Centro de prácticas recomendadas para la seguridad.

Productos y extremos de API compatibles

A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos compatibles a través de la consola de Google Cloud . En la siguiente tabla, se indican las restricciones o limitaciones que afectan las funciones de un producto compatible, incluidas las que se aplican a través de la configuración de restricciones de políticas de la organización.

Si un producto no aparece en la lista, significa que no es compatible y que no cumple con los requisitos de control del límite de datos de Arabia Saudita con justificaciones de acceso. No se recomienda usar los productos no compatibles sin la diligencia debida y una comprensión exhaustiva de tus responsabilidades en el modelo de responsabilidad compartida. Antes de usar un producto no compatible, asegúrate de conocer y aceptar los riesgos asociados, como los impactos negativos en la residencia o la soberanía de los datos.

Producto compatible	extremos de API	Restricciones o limitaciones
Aprobación de acceso	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `accessapproval.googleapis.com`	Ninguno
Access Context Manager	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `accesscontextmanager.googleapis.com`	Ninguno
Artifact Registry	Extremos de la API regionales: `artifactregistry.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `artifactregistry.googleapis.com`	Ninguno
BigQuery	Extremos de la API regionales: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` `bigquerydatatransfer.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Ninguno
Bigtable	Extremos de la API regionales: `bigtable.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Funciones afectadas
Certificate Authority Service	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `privateca.googleapis.com`	Ninguno
Cloud Build	Extremos de la API regionales: `cloudbuild.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `cloudbuild.googleapis.com`	Ninguno
Cloud DNS	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `dns.googleapis.com`	Ninguno
Cloud HSM	Extremos de la API regionales: `cloudkms.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `cloudkms.googleapis.com`	Ninguno
Cloud Interconnect	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Funciones afectadas
Cloud Key Management Service (Cloud KMS)	Extremos de la API regionales: `cloudkms.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `cloudkms.googleapis.com`	Ninguno
Cloud Load Balancing	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno
Cloud Logging	Extremos de la API regionales: `logging.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `logging.googleapis.com`	Ninguno
Cloud Monitoring	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `monitoring.googleapis.com`	Funciones afectadas
Cloud NAT	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno
Cloud Router	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno
Cloud Run	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `run.googleapis.com`	Funciones afectadas
Cloud SQL	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `sqladmin.googleapis.com`	Restricciones de las políticas de la organización
Cloud Service Mesh	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com` `networksecurity.googleapis.com`	Ninguno
Cloud Storage	Extremos de la API regionales: `storage.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `storage.googleapis.com`	Funciones afectadas y restricciones de las políticas de la organización
Cloud VPN	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Funciones afectadas
Compute Engine	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Funciones afectadas y restricciones de las políticas de la organización
Connect	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Ninguno
Dataflow	Extremos de la API regionales: `dataflow.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Ninguno
Dataplex Universal Catalog	Extremos de la API regionales: `dataplex.me-central2.rep.googleapis.com` `datalineage.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `dataplex.googleapis.com` `datalineage.googleapis.com`	Funciones afectadas
Dataproc	Extremos de la API regionales: `dataproc.me-central2.rep.googleapis.com` `dataproc-control.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Ninguno
Contactos esenciales	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `essentialcontacts.googleapis.com`	Ninguno
Filestore	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `file.googleapis.com`	Ninguno
GKE Hub	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `gkehub.googleapis.com`	Ninguno
GKE Identity Service	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `anthosidentityservice.googleapis.com`	Ninguno
Google Cloud Armor	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Funciones afectadas
Google Cloud console	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `N/A`	Ninguno
Google Kubernetes Engine	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `container.googleapis.com` `containersecurity.googleapis.com`	Restricciones de las políticas de la organización
Administración de identidades y accesos (IAM)	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `iam.googleapis.com` `policytroubleshooter.googleapis.com`	Ninguno
Identity-Aware Proxy (IAP)	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `iap.googleapis.com`	Ninguno
Memorystore para Redis	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `redis.googleapis.com`	Ninguno
Network Connectivity Center	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `networkconnectivity.googleapis.com`	Ninguno
Servicio de políticas de la organización	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `orgpolicy.googleapis.com`	Ninguno
Persistent Disk	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno
Pub/Sub	Extremos de la API regionales: `pubsub.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `pubsub.googleapis.com`	Restricciones de las políticas de la organización
Resource Manager	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `cloudresourcemanager.googleapis.com`	Ninguno
Configuración de recursos	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `resourcesettings.googleapis.com`	Ninguno
Secret Manager	Extremos de la API regionales: `secretmanager.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `secretmanager.googleapis.com`	Ninguno
Sensitive Data Protection	Extremos de la API regionales: `dlp.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `dlp.googleapis.com`	Ninguno
Directorio de servicios	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `servicedirectory.googleapis.com`	Ninguno
Spanner	Extremos de la API regionales: `spanner.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `spanner.googleapis.com`	Restricciones de las políticas de la organización
Controles del servicio de VPC	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `accesscontextmanager.googleapis.com`	Ninguno
Nube privada virtual (VPC)	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com` `servicenetworking.googleapis.com`	Ninguno

Restricciones y limitaciones

En las siguientes secciones, se describen las restricciones o limitaciones de las funciones en todo Google Cloudo específicas del producto, incluidas las restricciones de políticas de la organización que se establecen de forma predeterminada en las carpetas de KSA Data Boundary con justificaciones de acceso. Otras restricciones de políticas de la organización aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización Google Cloud .

DeGoogle Cloudde ancho

Funciones afectadas en toda la Google Cloud

Función	Descripción
Consola deGoogle Cloud	Para acceder a la consola de Google Cloud cuando usas el paquete de controles de límite de datos de KSA con justificaciones de acceso, debes usar una de las siguientes URLs: console.me.cloud.google.com console.me.cloud.google para usuarios de identidades federadas Para obtener más información, consulta la página de la consola de Google Cloud jurisdiccional.

Restricciones de las políticas de la organización en toda laGoogle Cloud

Las siguientes restricciones de política de la organización se aplican en Google Cloud.

Restricción de las políticas de la organización	Descripción
`gcp.resourceLocations`	Establece las siguientes ubicaciones en la lista `allowedValues`: `me-central2` Este valor restringe la creación de recursos nuevos a los valores seleccionados. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la selección. Consulta Servicios compatibles con las ubicaciones de recursos para obtener una lista de los recursos que se pueden restringir con la restricción de la política de la organización Ubicaciones de recursos, ya que algunos recursos pueden estar fuera del alcance y no se pueden restringir. Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con los requisitos.
`gcp.restrictNonCmekServices`	Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes: `bigquerydatatransfer.googleapis.com` Algunas funciones pueden verse afectadas por cada uno de los servicios mencionados anteriormente. Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). La CMEK permite que los datos en reposo se encripten con una clave administrada por ti, no los mecanismos de encriptación predeterminados de Google. Si cambias este valor mediante la eliminación de uno o más servicios dentro del alcance de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente con las claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
`gcp.restrictServiceUsage`	Se configura para permitir todos los productos y extremos de API compatibles. Determina qué servicios se pueden usar restringiendo el acceso en el tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringe el uso de recursos.
`gcp.restrictTLSVersion`	Se establece para rechazar las siguientes versiones de TLS: `TLS_1_0` `TLS_1_1` Consulta la página Restricción de versiones de TLS para obtener más información.

Bigtable

Funciones de Bigtable afectadas

Función	Descripción
Data Boost	Se inhabilitó esta función.

Cloud Interconnect

Funciones de Cloud Interconnect afectadas

Función	Descripción
VPN con alta disponibilidad (HA)	Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en la sección Funciones afectadas de Cloud VPN.

Cloud Monitoring

Funciones de Cloud Monitoring afectadas

Función	Descripción
Monitor sintético	Se inhabilitó esta función.
Verificaciones de tiempo de actividad	Se inhabilitó esta función.
Widgets del panel de registros en Paneles	Se inhabilitó esta función. No puedes agregar un panel de registros a un panel.
Widgets del panel de Error Reporting en Paneles	Se inhabilitó esta función. No puedes agregar un panel de informes de errores a un panel.
Filtro en `EventAnnotation` para Paneles	Se inhabilitó esta función. El filtro de `EventAnnotation` no se puede establecer en un panel.
`SqlCondition` en `alertPolicies`	Se inhabilitó esta función. No puedes agregar un `SqlCondition` a un `alertPolicy`.

Cloud Run

Funciones de Cloud Run afectadas

Función	Descripción
Características no compatibles	Las siguientes funciones de Cloud Run no son compatibles: Integración de Cloud Trace Cloud Run Functions Activadores de Eventarc

Cloud SQL

Restricciones de las políticas de la organización de Cloud SQL

Restricción de las políticas de la organización	Descripción
`sql.restrictNoncompliantDiagnosticDataAccess`	Configurado como True. Aplica controles adicionales de soberanía y capacidad de asistencia de datos a los recursos de Cloud SQL. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
`sql.restrictNoncompliantResourceCreation`	Configurado como True. Aplica controles adicionales de soberanía de los datos para evitar la creación de recursos de Cloud SQL que no cumplan con las normas. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.

Cloud Storage

Funciones de Cloud Storage afectadas

Función	Descripción
Consola deGoogle Cloud	Es tu responsabilidad usar la consola de Jurisdicción Google Cloud para el límite de datos de KSA con justificaciones de acceso. La consola Jurisdictional impide la carga y descarga de objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la siguiente fila de extremos de API que cumplen con los requisitos.
Extremos de API que cumplen con los requisitos	Es tu responsabilidad usar uno de los extremos regionales incluidos en el alcance con Cloud Storage. Para obtener más información, consulta las ubicaciones de Cloud Storage.

Restricciones de la política de la organización de Cloud Storage

Restricción de las políticas de la organización Descripción

Restricción de las políticas de la organización	Descripción
`storage.restrictAuthTypes`	Se establece para evitar la autenticación con el código de autenticación de mensajes basado en hash (HMAC). En este valor de restricción, se especifican los siguientes tipos: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` De forma predeterminada, se impide que las claves HMAC se autentiquen en los recursos de Cloud Storage para las cargas de trabajo del límite de datos de KSA con justificaciones de acceso. Las claves de HMAC afectan la soberanía de los datos porque se pueden usar para acceder a los datos del cliente sin su conocimiento. Consulta Claves HMAC en la documentación de Cloud Storage. Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.
`storage.uniformBucketLevelAccess`	Configurado como True. El acceso a los buckets nuevos se administra con políticas de IAM en lugar de listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos específicos para los buckets y su contenido. Si se crea un bucket mientras está habilitada esta restricción, el acceso a la ruta nunca se puede administrar con LCA. En otras palabras, el método de control de acceso para un bucket se establece de forma permanente con las políticas de IAM en lugar de las LCA de Cloud Storage.

storage.restrictAuthTypes

Se establece para evitar la autenticación con el código de autenticación de mensajes basado en hash (HMAC). En este valor de restricción, se especifican los siguientes tipos:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

De forma predeterminada, se impide que las claves HMAC se autentiquen en los recursos de Cloud Storage para las cargas de trabajo del límite de datos de KSA con justificaciones de acceso. Las claves de HMAC afectan la soberanía de los datos porque se pueden usar para acceder a los datos del cliente sin su conocimiento. Consulta Claves HMAC en la documentación de Cloud Storage.

Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

storage.uniformBucketLevelAccess Configurado como True.

El acceso a los buckets nuevos se administra con políticas de IAM en lugar de listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos específicos para los buckets y su contenido.

Si se crea un bucket mientras está habilitada esta restricción, el acceso a la ruta nunca se puede administrar con LCA. En otras palabras, el método de control de acceso para un bucket se establece de forma permanente con las políticas de IAM en lugar de las LCA de Cloud Storage.

Cloud VPN

Funciones de Cloud VPN afectadas

Función	Descripción
Consola deGoogle Cloud	Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud . En su lugar, usa la API o Google Cloud CLI.
Extremos de VPN	Solo debes usar extremos de Cloud VPN que se encuentren en una región dentro del alcance. Asegúrate de que tu puerta de enlace de VPN esté configurada para usarse solo en una región dentro del alcance.

Compute Engine

Funciones de Compute Engine afectadas

Función	Descripción
Suspende y reanuda una instancia de VM	Se inhabilitó esta función. La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar actualmente con CMEK. Consulta la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
SSD locales	Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque, por el momento, no se pueden encriptar con la CMEK. Consulta la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
Consola deGoogle Cloud	Las siguientes funciones de Compute Engine no están disponibles en la consola de Google Cloud . En su lugar, usa la API o Google Cloud CLI: Verificaciones de estado Grupos de extremos de red
Agrega un grupo de instancias a un balanceador de cargas global	No puedes agregar un grupo de instancias a un balanceador de cargas global. Esta función está inhabilitada por la restricción de la política de la organización `compute.disableGlobalLoadBalancing`.
Suspende y reanuda una instancia de VM	Se inhabilitó esta función. La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización `gcp.restrictNonCmekServices`.
SSD locales	Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque no se pueden encriptar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización `gcp.restrictNonCmekServices`.
Entorno huésped	Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de tu VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a cumplir con la soberanía de los datos a través de procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización `compute.trustedImageProjects`. Consulta la página Compila una imagen personalizada para obtener más información.
Políticas del SO en VM Manager	Los archivos de salida binarios y las secuencias de comandos intercaladas dentro de los archivos de políticas del SO no se encriptan con claves de encriptación administradas por el cliente (CMEK). No incluyas información sensible en estos archivos. Considera almacenar estos archivos de salida y secuencias de comandos en buckets de Cloud Storage. Para obtener más información, consulta Ejemplos de políticas del SO. Si deseas restringir la creación o modificación de recursos de políticas del SO que usan secuencias de comandos intercaladas o archivos de salida binarios, habilita la restricción de la política de la organización `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para obtener más información, consulta Restricciones para OS Config.
`instances.getSerialPortOutput()`	Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso para un proyecto.
`instances.getScreenshot()`	Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso para un proyecto.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización	Descripción
`compute.enableComplianceMemoryProtection`	Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
`compute.disableGlobalCloudArmorPolicy`	Configurado como True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad de Google Cloud Armor globales existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes.
`compute.disableGlobalLoadBalancing`	Configurado como True. Inhabilita la creación de productos de balanceo de cargas global. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
`compute.disableInstanceDataAccessApis`	Configurado como True. Inhabilita de manera global las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`. Habilitar esta restricción impide que generes credenciales en las VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: Habilita SSH para VM de Windows. Ejecuta el siguiente comando para cambiar la contraseña de la VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Reemplaza lo siguiente: `VM_NAME`: Es el nombre de la VM para la que configuras la contraseña. `USERNAME`: Es el nombre de usuario para el que establecerás la contraseña. `PASSWORD`: Es la contraseña nueva.
`compute.disableSshInBrowser`	Configurado como True. Inhabilita la herramienta SSH en el navegador en la Google Cloud consola para las VMs que usan el Acceso al SO y las VMs del entorno flexible de App Engine. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
`compute.restrictNonConfidentialComputing`	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.
`compute.trustedImageProjects`	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados.

Dataplex Universal Catalog

Funciones de Dataplex Universal Catalog

Función	Descripción
Metadatos de aspectos y glosarios	No se admiten los aspectos ni los glosarios. No puedes buscar ni administrar aspectos y glosarios, ni importar metadatos personalizados.
Attribute Store	Esta función está obsoleta y se inhabilitó.
Data Catalog	Esta función está obsoleta y se inhabilitó. No puedes buscar ni administrar tus metadatos en Data Catalog.
Análisis de calidad y perfil de los datos	No se admite la exportación de los resultados del análisis de calidad de los datos.
Discovery	Se inhabilitó esta función. No puedes ejecutar los análisis de detección para extraer metadatos de tus datos.
Lakes y zonas	Se inhabilitó esta función. No puedes administrar lakes, zonas ni tareas.

Google Cloud Armor

Funciones de Google Cloud Armor afectadas

Función	Descripción
Políticas de seguridad con alcance global	Esta función está inhabilitada por la restricción de la política de la organización `compute.disableGlobalCloudArmorPolicy`.

Google Kubernetes Engine

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Configurado como True. Inhabilita el análisis agregado de los problemas del kernel, que es necesario para mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.

Pub/Sub

Restricciones de las políticas de la organización de Pub/Sub

Restricción de las políticas de la organización	Descripción
`pubsub.enforceInTransitRegions`	Configurado como True. Garantiza que los datos de los clientes solo pasen por las regiones permitidas que se especificaron en la política de almacenamiento de mensajes del tema de Pub/Sub. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
`pubsub.managed.disableTopicMessageTransforms`	Configurado como True. Inhabilita la configuración de temas de Pub/Sub con transformaciones de mensaje único (SMT). Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
`pubsub.managed.disableSubscriptionMessageTransforms`	Configurado como True. Inhabilita la configuración de suscripciones a Pub/Sub con transformaciones de mensaje único (SMT). Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.

Spanner

Restricciones de las políticas de la organización de Spanner

Restricción de las políticas de la organización	Descripción
`spanner.assuredWorkloadsAdvancedServiceControls`	Configurado como True. Aplica controles adicionales de soberanía y capacidad de asistencia de los datos a los recursos de Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Configurado como True. Inhabilita la capacidad de crear instancias de Spanner multirregionales para aplicar la residencia y la soberanía de los datos.

¿Qué sigue?

Aprende a crear una carpeta de Assured Workloads.
Comprende los precios de Assured Workloads