Périmètre de données au Royaume d'Arabie saoudite (KSA) avec justifications d'accès
Cette page décrit l'ensemble des contrôles appliqués aux charges de travail du périmètre de données de l'Arabie saoudite avec les justifications d'accès dans Assured Workloads. Il fournit des informations détaillées sur la résidence des données, les produits Google Cloud compatibles et leurs points de terminaison d'API, ainsi que les restrictions ou limites applicables à ces produits.
Les informations supplémentaires suivantes s'appliquent au périmètre de données KSA avec justifications d'accès :
- Résidence des données : le package de contrôles "Périmètre de données pour le Royaume d'Arabie saoudite avec justifications d'accès" définit les contrôles d'emplacement des données pour n'accepter que les régions du Royaume d'Arabie saoudite. Pour en savoir plus, consultez la section Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud.
- Assistance : les services d'assistance technique pour les charges de travail liées au périmètre de données KSA avec justifications d'accès sont disponibles avec les abonnements Cloud Customer Care Standard, Advanced ou Premium. Les demandes d'assistance concernant les charges de travail du périmètre de données du Royaume d'Arabie saoudite avec justifications d'accès sont transmises au personnel d'assistance mondial. Pour en savoir plus, consultez Obtenir de l'aide.
- Tarification : le package de contrôles "Périmètre de données pour l'Arabie saoudite avec justifications d'accès" est inclus dans le niveau gratuit d'Assured Workloads, qui n'entraîne aucun frais supplémentaire. Pour en savoir plus, consultez Tarifs d'Assured Workloads.
Prérequis
Avant de déployer des charges de travail dans la limite de données de l'Arabie saoudite avec des justifications d'accès, vérifiez que vous remplissez les conditions préalables suivantes :
- Créez un dossier Périmètre de données pour l'Arabie saoudite avec des justifications d'accès à l'aide d'Assured Workloads, puis déployez vos charges de travail uniquement dans ce dossier.
- Ne modifiez pas les valeurs par défaut des contraintes de règles d'administration, sauf si vous comprenez et êtes prêt à accepter les risques liés à la résidence des données qui peuvent survenir.
- Lorsque vous accédez à la console Google Cloud pour les charges de travail du périmètre de données KSA avec justifications d'accès, vous devez utiliser l'une des URL de la console Google Cloud juridictionnelle spécifiques au KSA suivantes :
- console.sa.cloud.google.com
- console.sa.cloud.google pour les utilisateurs de la fédération d'identité
- N'utilisez que les points de terminaison régionaux spécifiés pour les services qui en proposent. Pour en savoir plus, consultez Services de périmètre de données KSA avec justifications d'accès.
- Envisagez d'adopter les bonnes pratiques générales de sécurité fournies dans le centre des bonnes pratiques de sécurité Google Cloud .
Produits et points de terminaison d'API compatibles
Sauf indication contraire, les utilisateurs peuvent accéder à tous les produits compatibles via la console Google Cloud . Les restrictions ou limitations qui affectent les fonctionnalités d'un produit compatible, y compris celles appliquées par le biais des paramètres de contraintes des règles d'administration, sont listées dans le tableau suivant.
Si un produit n'est pas listé, cela signifie qu'il n'est pas pris en charge et qu'il ne répond pas aux exigences de contrôle pour la limite de données de l'Arabie saoudite avec justifications d'accès. Nous vous déconseillons d'utiliser des produits non compatibles sans avoir fait preuve de diligence raisonnable et sans avoir bien compris vos responsabilités dans le modèle de responsabilité partagée. Avant d'utiliser un produit non compatible, assurez-vous d'être conscient des risques associés et de les accepter, comme les impacts négatifs sur la résidence ou la souveraineté des données.
| Produit concerné | points de terminaison de l'API | Restrictions ou limites |
|---|---|---|
| Access Approval |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Access Context Manager |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Artifact Registry |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| BigQuery |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Bigtable |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées |
| Certificate Authority Service |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud Build |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud DNS |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud HSM |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud Interconnect |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées |
| Cloud Key Management Service (Cloud KMS) |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud Load Balancing |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud Logging |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud Monitoring |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées |
| Cloud NAT |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud Router |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud Run |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées |
| Cloud SQL |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Contraintes liées aux règles d'administration |
| Cloud Service Mesh |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud Storage |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Cloud VPN |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées |
| Compute Engine |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Connect |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Dataflow |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Dataplex Universal Catalog |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées |
| Dataproc |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Contacts essentiels |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Filestore |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| GKE Hub |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Service d'identité GKE |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Google Cloud Armor |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Fonctionnalités concernées |
| Google Cloud console |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Google Kubernetes Engine |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Contraintes liées aux règles d'administration |
| Identity and Access Management (IAM) |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Identity-Aware Proxy (IAP) |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Memorystore pour Redis |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Network Connectivity Center |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Service de règles d'organisation |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Persistent Disk |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Pub/Sub |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Contraintes liées aux règles d'administration |
| Resource Manager |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Paramètres de ressources |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Secret Manager |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Sensitive Data Protection |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Annuaire des services |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Spanner |
Points de terminaison régionaux de l'API :
Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale :
|
Contraintes liées aux règles d'administration |
| VPC Service Controls |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
| Cloud privé virtuel (VPC) |
Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison de l'API globale :
|
Aucun |
Restrictions et limitations
Les sections suivantes décrivent les restrictions ou limites au niveau de Google Cloudou des produits pour les fonctionnalités, y compris les contraintes de règles d'administration définies par défaut sur les dossiers "Limites de données pour l'Arabie saoudite avec justifications d'accès". D'autres contraintes de règles d'administration applicables, même si elles ne sont pas définies par défaut, peuvent fournir une défense en profondeur supplémentaire pour mieux protéger les ressources de votre organisation Google Cloud .
Google Cloudde large
Fonctionnalités concernées Google Cloud
| Fonctionnalité | Description |
|---|---|
| ConsoleGoogle Cloud | Pour accéder à la console Google Cloud lorsque vous utilisez le package de contrôles "Périmètre de données pour l'Arabie saoudite avec justifications d'accès", vous devez utiliser l'une des URL suivantes :
|
Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud
Les contraintes de règles d'administration suivantes s'appliquent à Google Cloud.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez les emplacements suivants dans la liste allowedValues :
Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme. |
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). La CMEK permet de chiffrer les données au repos avec une clé que vous gérez, et non avec les mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées avec la clé que vous avez fournie. |
gcp.restrictServiceUsage |
Définissez-le pour autoriser tous les produits et points de terminaison d'API compatibles. Détermine les services pouvant être utilisés en limitant l'accès du runtime à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources. |
gcp.restrictTLSVersion |
Définissez les versions TLS suivantes sur "Refuser" :
|
Bigtable
Fonctionnalités Bigtable concernées
| Fonctionnalité | Description |
|---|---|
| Data Boost | Cette fonctionnalité est désactivée. |
Cloud Interconnect
Fonctionnalités Cloud Interconnect concernées
| Fonctionnalité | Description |
|---|---|
| VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation listées dans la section Fonctionnalités Cloud VPN concernées. |
Cloud Monitoring
Fonctionnalités Cloud Monitoring concernées
| Fonctionnalité | Description |
|---|---|
| Surveillance synthétique | Cette fonctionnalité est désactivée. |
| Tests de disponibilité | Cette fonctionnalité est désactivée. |
| Widgets du panneau des journaux dans Tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journaux à un tableau de bord. |
| Widgets du panneau Error Reporting dans Tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement des erreurs à un tableau de bord. |
Filtrer dans
EventAnnotation
pour Tableaux de bord
|
Cette fonctionnalité est désactivée. Le filtre de EventAnnotation
ne peut pas être défini dans un tableau de bord.
|
SqlCondition
dans alertPolicies
|
Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de SqlCondition
à un
alertPolicy.
|
Cloud Run
Fonctionnalités Cloud Run concernées
| Fonctionnalité | Description |
|---|---|
| Fonctionnalités non compatibles | Les fonctionnalités Cloud Run suivantes ne sont pas acceptées : |
Cloud SQL
Contraintes applicables aux règles d'administration Cloud SQL
| Contrainte liée aux règles d'administration | Description |
|---|---|
sql.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Applique des contrôles supplémentaires de souveraineté et de compatibilité des données aux ressources Cloud SQL. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
sql.restrictNoncompliantResourceCreation |
Défini sur True. Applique des contrôles supplémentaires sur la souveraineté des données pour empêcher la création de ressources Cloud SQL non conformes. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
Cloud Storage
Fonctionnalités Cloud Storage concernées
| Fonctionnalité | Description |
|---|---|
| ConsoleGoogle Cloud | Il vous incombe d'utiliser la console Jurisdictional Google Cloud pour le périmètre de données du Royaume d'Arabie saoudite avec les justifications d'accès. La console juridictionnelle empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison d'API conformes. |
| Points de terminaison d'API conformes | Il vous incombe d'utiliser l'un des points de terminaison régionaux concernés avec Cloud Storage. Pour en savoir plus, consultez Emplacements Cloud Storage. |
Contraintes applicables aux règles d'administration Cloud Storage
| Contrainte liée aux règles d'administration | Description |
|---|---|
storage.restrictAuthTypes |
Définissez cette valeur pour empêcher l'authentification à l'aide d'un code HMAC (Hash-based Message Authentication Code). Les types suivants sont spécifiés dans cette valeur de contrainte :
La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons vivement de conserver la valeur définie. |
storage.uniformBucketLevelAccess |
Défini sur True. L'accès aux nouveaux buckets est géré à l'aide de stratégies IAM au lieu des listes de contrôle d'accès (LCA) Cloud Storage. Cette contrainte fournit des autorisations précises pour les buckets et leur contenu. Si un bucket est créé alors que cette contrainte est activée, l'accès à celui-ci ne pourra jamais être géré à l'aide de LCA. En d'autres termes, la méthode de contrôle des accès pour un bucket est définitivement définie sur l'utilisation de stratégies IAM au lieu des LCA Cloud Storage. |
Cloud VPN
Fonctionnalités Cloud VPN concernées
| Fonctionnalité | Description |
|---|---|
| ConsoleGoogle Cloud | Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI. |
| Points de terminaison VPN | Vous ne devez utiliser que des points de terminaison Cloud VPN situés dans une région concernée. Assurez-vous que votre passerelle VPN est configurée pour être utilisée uniquement dans une région concernée. |
Compute Engine
Fonctionnalités Compute Engine concernées
| Fonctionnalité | Description |
|---|---|
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK pour le moment. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
|
| ConsoleGoogle Cloud | Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI : |
| Ajouter un groupe d'instances à un équilibreur de charge global | Vous ne pouvez pas ajouter de groupe d'instances à un équilibreur de charge global. Cette fonctionnalité est désactivée par la contrainte liée aux règles de l'organisation compute.disableGlobalLoadBalancing.
|
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut pas être chiffré avec CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
|
| Environnement invité | Il est possible que les scripts, les daemons et les binaires inclus dans l'environnement invité accèdent aux données non chiffrées au repos et en cours d'utilisation. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et d'autres informations spécifiques à chaque package, consultez Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et processus de sécurité internes. Toutefois, si vous souhaitez exercer un contrôle supplémentaire, vous pouvez également organiser vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects.
Pour en savoir plus, consultez la page Créer une image personnalisée. |
| Règles d'OS dans VM Manager |
Les scripts intégrés et les fichiers de sortie binaires dans les fichiers de règles d'OS ne sont pas chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). N'incluez aucune information sensible dans ces fichiers. Envisagez de stocker ces scripts et fichiers de sortie dans des buckets Cloud Storage. Pour en savoir plus, consultez Exemples de règles d'OS. Si vous souhaitez limiter la création ou la modification de ressources de règles d'OS qui utilisent des scripts intégrés ou des fichiers de sortie binaires, activez la contrainte de règle d'administration constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Pour en savoir plus, consultez Contraintes pour OS Config. |
instances.getSerialPortOutput()
|
Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.
|
instances.getScreenshot() |
Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.
|
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.enableComplianceMemoryProtection |
Défini sur True. Désactive certaines fonctionnalités de diagnostic interne pour renforcer la protection du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
compute.disableGlobalCloudArmorPolicy |
Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles dans les stratégies de sécurité Google Cloud Armor globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la suppression ou la modification de la description et de la liste des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les stratégies de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur. |
compute.disableGlobalLoadBalancing |
Défini sur True. Désactive la création de produits d'équilibrage de charge mondiaux. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
compute.disableInstanceDataAccessApis
| Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot().L'activation de cette contrainte vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit :
|
compute.disableSshInBrowser
| Défini sur True. Désactive l'outil SSH dans le navigateur dans la console Google Cloud pour les VM qui utilisent OS Login et les VM d'environnement flexible App Engine. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
compute.restrictNonConfidentialComputing |
(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur les Confidential VMs. |
compute.trustedImageProjects |
(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur.
Définir cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés. |
Dataplex Universal Catalog
Fonctionnalités de Dataplex Universal Catalog
| Fonctionnalité | Description |
|---|---|
| Métadonnées des aspects et des glossaires | Les aspects et les glossaires ne sont pas acceptés. Vous ne pouvez pas rechercher ni gérer les aspects et les glossaires, ni importer de métadonnées personnalisées. |
| Attribute Store | Cette fonctionnalité est obsolète et désactivée. |
| Data Catalog | Cette fonctionnalité est obsolète et désactivée. Vous ne pouvez pas rechercher ni gérer vos métadonnées dans Data Catalog. |
| Analyse de la qualité et du profil des données | L'exportation des résultats de l'analyse de la qualité des données n'est pas prise en charge. |
| Discovery | Cette fonctionnalité est désactivée. Vous ne pouvez pas exécuter d'analyses Discovery pour extraire les métadonnées de vos données. |
| Lacs et zones | Cette fonctionnalité est désactivée. Vous ne pouvez pas gérer les lacs, les zones ni les tâches. |
Google Cloud Armor
Fonctionnalités Google Cloud Armor concernées
| Fonctionnalité | Description |
|---|---|
| Stratégies de sécurité à l'échelle mondiale | Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration compute.disableGlobalCloudArmorPolicy.
|
Google Kubernetes Engine
Contraintes liées aux règles d'administration Google Kubernetes Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Désactive l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
Pub/Sub
Contraintes liées aux règles d'administration Pub/Sub
| Contrainte liée aux règles d'administration | Description |
|---|---|
pubsub.enforceInTransitRegions |
Défini sur True. Garantit que les données client ne transitent que dans les régions autorisées spécifiées dans la règle de stockage des messages pour le sujet Pub/Sub. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
pubsub.managed.disableTopicMessageTransforms |
Défini sur True. Empêche la définition de transformations de message unique (SMT) pour les sujets Pub/Sub. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
pubsub.managed.disableSubscriptionMessageTransforms |
Défini sur True. Empêche la définition d'abonnements Pub/Sub avec des transformations de message unique (SMT). La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
Spanner
Contraintes liées aux règles d'administration Spanner
| Contrainte liée aux règles d'administration | Description |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Défini sur True. Applique des contrôles supplémentaires de souveraineté et d'assistance pour les ressources Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Défini sur True. Désactive la possibilité de créer des instances Spanner multirégionales pour appliquer la résidence et la souveraineté des données. |
Étapes suivantes
- Découvrez comment créer un dossier Assured Workloads.
- Comprendre les tarifs Assured Workloads