Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Halaman ini diterjemahkan oleh Cloud Translation API.

Batas Data Kerajaan Arab Saudi (KSA) dengan Alasan Akses

Halaman ini menjelaskan serangkaian kontrol yang diterapkan pada workload KSA Data Boundary dengan Pembenaran Akses di Assured Workloads. Dokumen ini memberikan informasi mendetail tentang lokalitas data, produk Google Cloud yang didukung dan endpoint API-nya, serta pembatasan atau batasan yang berlaku pada produk tersebut.

Informasi tambahan berikut berlaku untuk Batas Data KSA dengan Alasan Akses:

Residensi data: Paket kontrol Batas Data KSA dengan Justifikasi Akses menetapkan kontrol lokasi data untuk mendukung region khusus KSA. Untuk mengetahui informasi selengkapnya, lihat bagian Batasan kebijakan organisasi di seluruhGoogle Cloud.
Dukungan: Layanan dukungan teknis untuk beban kerja KSA Data Boundary dengan Pembenaran Akses tersedia dengan langganan Cloud Customer Care Standard, Enhanced, atau Premium. Kasus dukungan workload Batas Data KSA dengan Alasan Akses akan diarahkan ke personel dukungan global. Untuk mengetahui informasi selengkapnya, lihat Mendapatkan dukungan.
Harga: Paket kontrol Batas Data KSA dengan Justifikasi Akses disertakan dalam tingkat Gratis Assured Workloads, yang tidak menimbulkan biaya tambahan. Untuk mengetahui informasi selengkapnya, lihat Harga Assured Workloads.

Prasyarat

Pastikan Anda memenuhi dan telah menyelesaikan prasyarat berikut sebelum men-deploy workload ke Batas Data KSA dengan Justifikasi Akses:

Buat folder KSA Data Boundary dengan Alasan Akses menggunakan Assured Workloads dan deploy workload Anda hanya di folder tersebut.
Jangan ubah nilai batasan kebijakan organisasi default kecuali jika Anda memahami dan bersedia menerima risiko residensi data yang mungkin terjadi.
Saat mengakses konsol Google Cloud untuk workload Justifikasi Akses dengan Batas Data KSA, Anda harus menggunakan salah satu URL Konsol Google Cloud Yurisdiksi khusus KSA berikut:
- console.sa.cloud.google.com
- console.sa.cloud.google untuk pengguna identitas gabungan
Gunakan hanya endpoint regional yang ditentukan untuk layanan yang menawarkannya. Untuk mengetahui informasi selengkapnya, lihat layanan Batas Data KSA dalam cakupan dengan Pembenaran Akses.
Pertimbangkan untuk menerapkan praktik terbaik keamanan umum yang disediakan di Google Cloud pusat praktik terbaik keamanan.

Produk dan endpoint API yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua produk yang didukung melalui konsol Google Cloud . Pembatasan atau batasan yang memengaruhi fitur produk yang didukung, termasuk yang diterapkan melalui setelan batasan kebijakan organisasi, tercantum dalam tabel berikut.

Jika produk tidak tercantum, produk tersebut tidak didukung dan belum memenuhi persyaratan kontrol untuk Batas Data KSA dengan Pembenaran Akses. Produk yang tidak didukung tidak direkomendasikan untuk digunakan tanpa uji tuntas dan pemahaman menyeluruh tentang tanggung jawab Anda dalam model tanggung jawab bersama. Sebelum menggunakan produk yang tidak didukung, pastikan Anda mengetahui dan bersedia menerima risiko terkait yang mungkin timbul, seperti dampak negatif terhadap residensi data atau kedaulatan data.

Produk yang didukung	endpoint API	Batasan atau pembatasan
Access Approval	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `accessapproval.googleapis.com`	Tidak ada
Access Context Manager	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `accesscontextmanager.googleapis.com`	Tidak ada
Artifact Registry	Endpoint API regional: `artifactregistry.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `artifactregistry.googleapis.com`	Tidak ada
BigQuery	Endpoint API regional: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` `bigquerydatatransfer.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Tidak ada
Bigtable	Endpoint API regional: `bigtable.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Fitur yang terpengaruh
Certificate Authority Service	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `privateca.googleapis.com`	Tidak ada
Cloud Build	Endpoint API regional: `cloudbuild.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `cloudbuild.googleapis.com`	Tidak ada
Cloud DNS	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `dns.googleapis.com`	Tidak ada
Cloud HSM	Endpoint API regional: `cloudkms.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `cloudkms.googleapis.com`	Tidak ada
Cloud Interconnect	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com`	Fitur yang terpengaruh
Cloud Key Management Service (Cloud KMS)	Endpoint API regional: `cloudkms.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `cloudkms.googleapis.com`	Tidak ada
Cloud Load Balancing	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com`	Tidak ada
Cloud Logging	Endpoint API regional: `logging.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `logging.googleapis.com`	Tidak ada
Cloud Monitoring	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `monitoring.googleapis.com`	Fitur yang terpengaruh
Cloud NAT	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com`	Tidak ada
Cloud Router	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com`	Tidak ada
Cloud Run	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `run.googleapis.com`	Fitur yang terpengaruh
Cloud SQL	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `sqladmin.googleapis.com`	Batasan kebijakan organisasi
Cloud Service Mesh	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com` `networksecurity.googleapis.com`	Tidak ada
Cloud Storage	Endpoint API regional: `storage.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `storage.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Cloud VPN	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com`	Fitur yang terpengaruh
Compute Engine	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Connect	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Tidak ada
Dataflow	Endpoint API regional: `dataflow.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Tidak ada
Dataplex Universal Catalog	Endpoint API regional: `dataplex.me-central2.rep.googleapis.com` `datalineage.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `dataplex.googleapis.com` `datalineage.googleapis.com`	Fitur yang terpengaruh
Dataproc	Endpoint API regional: `dataproc.me-central2.rep.googleapis.com` `dataproc-control.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Tidak ada
Kontak Penting	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `essentialcontacts.googleapis.com`	Tidak ada
Filestore	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `file.googleapis.com`	Tidak ada
GKE Hub	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `gkehub.googleapis.com`	Tidak ada
GKE Identity Service	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `anthosidentityservice.googleapis.com`	Tidak ada
Google Cloud Armor	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com`	Fitur yang terpengaruh
Google Cloud console	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `N/A`	Tidak ada
Google Kubernetes Engine	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `container.googleapis.com` `containersecurity.googleapis.com`	Batasan kebijakan organisasi
Identity and Access Management (IAM)	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `iam.googleapis.com` `policytroubleshooter.googleapis.com`	Tidak ada
Identity-Aware Proxy (IAP)	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `iap.googleapis.com`	Tidak ada
Memorystore for Redis	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `redis.googleapis.com`	Tidak ada
Network Connectivity Center	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `networkconnectivity.googleapis.com`	Tidak ada
Organization Policy Service	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `orgpolicy.googleapis.com`	Tidak ada
Persistent Disk	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com`	Tidak ada
Pub/Sub	Endpoint API regional: `pubsub.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `pubsub.googleapis.com`	Batasan kebijakan organisasi
Resource Manager	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `cloudresourcemanager.googleapis.com`	Tidak ada
Setelan Resource	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `resourcesettings.googleapis.com`	Tidak ada
Secret Manager	Endpoint API regional: `secretmanager.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `secretmanager.googleapis.com`	Tidak ada
Sensitive Data Protection	Endpoint API regional: `dlp.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `dlp.googleapis.com`	Tidak ada
Direktori Layanan	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `servicedirectory.googleapis.com`	Tidak ada
Spanner	Endpoint API regional: `spanner.me-central2.rep.googleapis.com` Endpoint API lokasi tidak didukung. Endpoint API global: `spanner.googleapis.com`	Batasan kebijakan organisasi
Kontrol Layanan VPC	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `accesscontextmanager.googleapis.com`	Tidak ada
Virtual Private Cloud (VPC)	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: `compute.googleapis.com` `servicenetworking.googleapis.com`	Tidak ada

Batas dan pembatasan

Bagian berikut menjelaskan batasan atau keterbatasan Google Cloud-luas atau khusus produk untuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default pada folder Batas Data KSA dengan Pembenaran Akses. Batasan kebijakan organisasi lainnya yang berlaku—meskipun tidak ditetapkan secara default—dapat memberikan pertahanan mendalam tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Google Cloud-lebar

Fitur Google Cloudyang terpengaruh

Fitur	Deskripsi
Google Cloud console	Untuk mengakses konsol Google Cloud saat menggunakan paket kontrol Pembenaran Akses dengan Batas Data KSA, Anda harus menggunakan salah satu URL berikut: console.me.cloud.google.com console.me.cloud.google untuk pengguna identitas gabungan Untuk mengetahui informasi selengkapnya, lihat halaman Konsol Google Cloud yurisdiksi.

Batasan kebijakan organisasi di seluruhGoogle Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh Google Cloud.

Batasan kebijakan organisasi	Deskripsi
`gcp.resourceLocations`	Tetapkan ke lokasi berikut dalam daftar `allowedValues`: `me-central2` Nilai ini membatasi pembuatan resource baru ke nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Lihat Layanan yang didukung lokasi resource untuk mengetahui daftar resource yang dapat dibatasi oleh batasan kebijakan organisasi Lokasi Resource, karena beberapa resource mungkin berada di luar cakupan dan tidak dapat dibatasi. Mengubah nilai ini dengan membuatnya kurang ketat berpotensi merusak residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data yang sesuai.
`gcp.restrictNonCmekServices`	Disetel ke daftar semua nama layanan API dalam cakupan, termasuk: `bigquerydatatransfer.googleapis.com` Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan data saat istirahat dienkripsi dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan dalam cakupan dari daftar dapat merusak kedaulatan data, karena data saat istirahat yang baru akan dienkripsi secara otomatis menggunakan kunci Google sendiri, bukan kunci Anda. Data istirahat yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
`gcp.restrictServiceUsage`	Disetel untuk mengizinkan semua produk dan endpoint API yang didukung. Menentukan layanan mana yang dapat digunakan dengan membatasi akses runtime ke resource-nya. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource.
`gcp.restrictTLSVersion`	Disetel untuk menolak versi TLS berikut: `TLS_1_0` `TLS_1_1` Lihat halaman Membatasi versi TLS untuk mengetahui informasi selengkapnya.

Bigtable

Fitur Bigtable yang terpengaruh

Fitur	Deskripsi
Data Boost	Fitur ini dinonaktifkan.

Cloud Interconnect

Fitur Cloud Interconnect yang terpengaruh

Fitur	Deskripsi
VPN ketersediaan tinggi (HA)	Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian Fitur Cloud VPN yang terpengaruh.

Cloud Monitoring

Fitur Cloud Monitoring yang terpengaruh

Fitur	Deskripsi
Monitor Sintetis	Fitur ini dinonaktifkan.
Cek uptime	Fitur ini dinonaktifkan.
Widget panel log di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di `EventAnnotation` untuk Dasbor	Fitur ini dinonaktifkan. Filter `EventAnnotation` tidak dapat ditetapkan di dasbor.
`SqlCondition` di `alertPolicies`	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan `SqlCondition` ke `alertPolicy`.

Cloud Run

Fitur Cloud Run yang terpengaruh

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur Cloud Run berikut tidak didukung: Integrasi Cloud Trace Cloud Run Functions Pemicu Eventarc

Cloud SQL

Batasan kebijakan organisasi Cloud SQL

Batasan kebijakan organisasi	Deskripsi
`sql.restrictNoncompliantDiagnosticDataAccess`	Tetapkan ke True. Menerapkan kontrol kedaulatan dan dukungan data tambahan ke resource Cloud SQL. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`sql.restrictNoncompliantResourceCreation`	Tetapkan ke True. Menerapkan kontrol kedaulatan data tambahan untuk mencegah pembuatan resource Cloud SQL yang tidak mematuhi kebijakan. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Cloud Storage

Fitur Cloud Storage yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Anda bertanggung jawab untuk menggunakan Jurisdictional Google Cloud console untuk Batas Data KSA dengan Pembenaran Akses. Konsol Jurisdiksi mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Endpoint API yang sesuai berikut.
Endpoint API yang sesuai	Anda bertanggung jawab untuk menggunakan salah satu endpoint regional dalam cakupan dengan Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Lokasi Cloud Storage.

Batasan kebijakan organisasi Cloud Storage

Batasan kebijakan organisasi Deskripsi

Batasan kebijakan organisasi	Deskripsi
`storage.restrictAuthTypes`	Disetel untuk mencegah autentikasi menggunakan kode autentikasi pesan berbasis hash (HMAC). Jenis berikut ditentukan dalam nilai batasan ini: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Secara default, kunci HMAC dicegah untuk mengautentikasi ke resource Cloud Storage untuk KSA Data Boundary dengan workload Access Justifications. Kunci HMAC memengaruhi kedaulatan data karena dapat digunakan untuk mengakses data pelanggan tanpa sepengetahuan pelanggan. Lihat Kunci HMAC di dokumen Cloud Storage. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.
`storage.uniformBucketLevelAccess`	Tetapkan ke True. Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin mendetail untuk bucket dan isinya. Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak akan pernah dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen ke menggunakan kebijakan IAM, bukan ACL Cloud Storage.

storage.restrictAuthTypes

Disetel untuk mencegah autentikasi menggunakan kode autentikasi pesan berbasis hash (HMAC). Jenis berikut ditentukan dalam nilai batasan ini:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Secara default, kunci HMAC dicegah untuk mengautentikasi ke resource Cloud Storage untuk KSA Data Boundary dengan workload Access Justifications. Kunci HMAC memengaruhi kedaulatan data karena dapat digunakan untuk mengakses data pelanggan tanpa sepengetahuan pelanggan. Lihat Kunci HMAC di dokumen Cloud Storage.

Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.

storage.uniformBucketLevelAccess Tetapkan ke True.

Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin mendetail untuk bucket dan isinya.

Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak akan pernah dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen ke menggunakan kebijakan IAM, bukan ACL Cloud Storage.

Cloud VPN

Fitur Cloud VPN yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur Cloud VPN tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.
Endpoint VPN	Anda hanya boleh menggunakan endpoint Cloud VPN yang berada di region dalam cakupan. Pastikan gateway VPN Anda dikonfigurasi untuk digunakan di region yang termasuk dalam cakupan saja.

Compute Engine

Fitur Compute Engine yang terpengaruh

Fitur	Deskripsi
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data jika fitur ini diaktifkan.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data jika fitur ini diaktifkan.
Google Cloud console	Fitur Compute Engine berikut tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya: Health check Grup endpoint jaringan
Menambahkan grup instance ke load balancer global	Anda tidak dapat menambahkan grup instance ke load balancer global. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `compute.disableGlobalLoadBalancing`.
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan tidak dapat dienkripsi menggunakan CMEK. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `gcp.restrictNonCmekServices`.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena SSD tersebut tidak dapat dienkripsi menggunakan CMEK. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `gcp.restrictNonCmekServices`.
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data yang tidak dienkripsi saat istirahat dan saat digunakan. Bergantung pada konfigurasi VM Anda, update software ini mungkin diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi `compute.trustedImageProjects`. Lihat halaman Membangun image kustom untuk mengetahui informasi selengkapnya.
Kebijakan OS di VM Manager	Skrip inline dan file output biner dalam file kebijakan OS tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Jangan sertakan informasi sensitif apa pun dalam file ini. Sebaiknya simpan skrip dan file output ini di bucket Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Contoh kebijakan OS. Jika Anda ingin membatasi pembuatan atau modifikasi resource kebijakan OS yang menggunakan skrip inline atau file output biner, aktifkan batasan kebijakan organisasi `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Untuk mengetahui informasi selengkapnya, lihat Batasan untuk Konfigurasi OS.
`instances.getSerialPortOutput()`	API ini dinonaktifkan; Anda tidak akan dapat memperoleh output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.
`instances.getScreenshot()`	API ini dinonaktifkan; Anda tidak akan dapat mengambil screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
`compute.enableComplianceMemoryProtection`	Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan pada konten memori saat terjadi kesalahan infrastruktur. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`compute.disableGlobalCloudArmorPolicy`	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru, dan penambahan atau modifikasi aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan listingan kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum pemberlakuan batasan ini tetap berlaku.
`compute.disableGlobalLoadBalancing`	Tetapkan ke True. Menonaktifkan pembuatan produk load balancing global. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`compute.disableInstanceDataAccessApis`	Tetapkan ke True. Menonaktifkan `instances.getSerialPortOutput()` dan `instances.getScreenshot()` API secara global. Mengaktifkan batasan ini akan mencegah Anda membuat kredensial di VM Windows Server. Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan tindakan berikut: Aktifkan SSH untuk VM Windows. Jalankan perintah berikut untuk mengubah sandi VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Ganti kode berikut: `VM_NAME`: Nama VM yang sandinya sedang Anda tetapkan. `USERNAME`: Nama pengguna yang sandinya Anda tetapkan. `PASSWORD`: Sandi baru.
`compute.disableSshInBrowser`	Tetapkan ke True. Menonaktifkan alat SSH di browser di konsol Google Cloud untuk VM yang menggunakan Login OS dan VM lingkungan fleksibel App Engine. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`compute.restrictNonConfidentialComputing`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan tambahan yang mendalam. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
`compute.trustedImageProjects`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan tambahan yang mendalam. Menetapkan nilai ini akan membatasi penyimpanan image dan instansiasi disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Dataplex Universal Catalog

Fitur Dataplex Universal Catalog

Fitur	Deskripsi
Metadata aspek dan glosarium	Aspek dan glosarium tidak didukung. Anda tidak dapat menelusuri atau mengelola aspek dan glosarium, serta tidak dapat mengimpor metadata kustom.
Attribute Store	Fitur ini tidak digunakan lagi dan dinonaktifkan.
Data Catalog	Fitur ini tidak digunakan lagi dan dinonaktifkan. Anda tidak dapat menelusuri atau mengelola metadata di Data Catalog.
Pemindaian Profil Data dan Kualitas Data	Ekspor hasil Pemindaian Kualitas Data tidak didukung.
Discovery	Fitur ini dinonaktifkan. Anda tidak dapat menjalankan pemindaian Penemuan untuk mengekstrak metadata dari data Anda.
Danau dan Zona	Fitur ini dinonaktifkan. Anda tidak dapat mengelola lake, zona, dan tugas.

Google Cloud Armor

Fitur Google Cloud Armor yang terpengaruh

Fitur	Deskripsi
Kebijakan keamanan dengan cakupan global	Fitur ini dinonaktifkan oleh batasan kebijakan organisasi.`compute.disableGlobalCloudArmorPolicy`

Google Kubernetes Engine

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan kebijakan organisasi	Deskripsi
`container.restrictNoncompliantDiagnosticDataAccess`	Tetapkan ke True. Menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol berdaulat atas workload. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Pub/Sub

Batasan kebijakan organisasi Pub/Sub

Batasan kebijakan organisasi	Deskripsi
`pubsub.enforceInTransitRegions`	Tetapkan ke True. Memastikan bahwa Data Pelanggan hanya ditransit di dalam region yang diizinkan yang ditentukan dalam kebijakan penyimpanan pesan untuk topik Pub/Sub. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`pubsub.managed.disableTopicMessageTransforms`	Tetapkan ke True. Menonaktifkan topik Pub/Sub agar tidak ditetapkan dengan Transformasi Pesan Tunggal (SMT). Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`pubsub.managed.disableSubscriptionMessageTransforms`	Tetapkan ke True. Menonaktifkan langganan Pub/Sub agar tidak ditetapkan dengan Transformasi Pesan Tunggal (SMT). Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Spanner

Batasan kebijakan organisasi Spanner

Batasan kebijakan organisasi	Deskripsi
`spanner.assuredWorkloadsAdvancedServiceControls`	Tetapkan ke True. Menerapkan kontrol kedaulatan data dan dukungan tambahan ke resource Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Tetapkan ke True. Menonaktifkan kemampuan untuk membuat instance Spanner multi-region guna menerapkan residensi data dan kedaulatan data.

Langkah berikutnya

Pelajari cara membuat folder Assured Workloads
Memahami harga Assured Workloads