I nomi di alcuni pacchetti di controlli di Assured Workloads sono cambiati. Per informazioni sul cambio di nome, vedi Controllare l'avviso di ridenominazione del pacchetto.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Data Boundary nel Regno dell'Arabia Saudita (KSA) con giustificazioni di accesso

Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro di KSA Data Boundary con giustificazioni di accesso in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, prodotti Google Cloud supportati e i relativi endpoint API, nonché eventuali restrizioni o limitazioni applicabili a questi prodotti.

Le seguenti informazioni aggiuntive si applicano a Data Boundary nel Regno dell'Arabia Saudita con giustificazioni di accesso:

Residenza dei dati: il pacchetto di controlli del Data Boundary dell'Arabia Saudita con le giustificazioni dell'accesso imposta i controlli della località dei dati in modo da supportare solo le regioni dell'Arabia Saudita. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
Assistenza: i servizi di assistenza tecnica per KSA Data Boundary con i carichi di lavoro delle giustificazioni di accesso sono disponibili con gli abbonamenti all'assistenza clienti Google Cloud Standard, Avanzata o Premium. Le richieste di assistenza per i workload di Data Boundary in Arabia Saudita con giustificazioni di accesso vengono indirizzate al personale di assistenza globale. Per ulteriori informazioni, vedi Richiedere assistenza.
Prezzi: il pacchetto di controlli del Data Boundary dell'Arabia Saudita con giustificazioni dell'accesso è incluso nel Livello senza costi di Assured Workloads, che non comporta costi aggiuntivi. Per ulteriori informazioni, consulta i prezzi di Assured Workloads.

Prerequisiti

Prima di eseguire il deployment dei carichi di lavoro nel Data Boundary del Regno dell'Arabia Saudita con Key Access Justifications, verifica di soddisfare e aver completato i seguenti prerequisiti:

Crea una cartella KSA Data Boundary con Access Justifications utilizzando Assured Workloads ed esegui il deployment dei workload solo in questa cartella.
Non modificare i valori predefiniti del vincolo dei criteri dell'organizzazione, a meno che tu non comprenda e non voglia accettare i rischi di residenza dei dati che potrebbero verificarsi.
Quando accedi alla console Google Cloud per i carichi di lavoro di Data Boundary dell'Arabia Saudita con le giustificazioni dell'accesso, devi utilizzare uno dei seguenti URL della console Google Cloud giurisdizionale specifici per l'Arabia Saudita:
- console.sa.cloud.google.com
- console.sa.cloud.google per gli utenti con identità federata
Utilizza solo gli endpoint regionali specificati per i servizi che li offrono. Per maggiori informazioni, vedi servizi Data Boundary del KSA nell'ambito con giustificazioni di accesso.
Non utilizzare i server MCP di Google Cloud, se non diversamente specificato. KSA Data Boundary con giustificazioni di accesso non fornisce controlli di residenza dei dati per i dati in uso e in transito con i server MCP di Google Cloud. Per bloccare l'accesso indesiderato ai server MCP Google Cloud, consulta la pagina Controlla l'utilizzo dei server MCP Google Cloud con IAM.
Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Google Cloud Centro best practice per la sicurezza.

Prodotti ed endpoint API supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.

Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per il Data Boundary KSA con le giustificazioni di accesso. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, come impatti negativi sulla residenza o sulla sovranità dei dati.

Prodotto supportato	Endpoint API	Restrizioni o limitazioni
Approvazione accesso	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `accessapproval.googleapis.com`	Nessuno
Gestore contesto accesso	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `accesscontextmanager.googleapis.com`	Nessuno
Artifact Registry	Endpoint API regionali: `artifactregistry.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `artifactregistry.googleapis.com`	Nessuno
BigQuery	Endpoint API regionali: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` `bigquerydatatransfer.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Nessuno
Bigtable	Endpoint API regionali: `bigtable.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Funzionalità interessate
Certificate Authority Service	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `privateca.googleapis.com`	Nessuno
Cloud Build	Endpoint API regionali: `cloudbuild.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `cloudbuild.googleapis.com`	Nessuno
Cloud DNS	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `dns.googleapis.com`	Nessuno
Cloud HSM	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `cloudkms.googleapis.com`	Nessuno
Cloud Interconnect	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Cloud Key Management Service (Cloud KMS)	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `cloudkms.googleapis.com`	Nessuno
Cloud Load Balancing	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Logging	Endpoint API regionali: `logging.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `logging.googleapis.com`	Funzionalità interessate
Cloud Monitoring	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `monitoring.googleapis.com`	Funzionalità interessate
Cloud NAT	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Router	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Run	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `run.googleapis.com`	Funzionalità interessate
Cloud SQL	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `sqladmin.googleapis.com`	Vincoli delle policy dell'organizzazione
Cloud Service Mesh	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com` `networksecurity.googleapis.com`	Nessuno
Cloud Storage	Endpoint API regionali: `storage.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `storage.googleapis.com`	Funzionalità interessate e vincoli delle policy dell'organizzazione
Cloud VPN	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Cloud Workstations	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `workstations.googleapis.com`	Nessuno
Compute Engine	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate e vincoli delle policy dell'organizzazione
Connect	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Nessuno
Dataflow	Endpoint API regionali: `dataflow.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Nessuno
Contatti fondamentali	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `essentialcontacts.googleapis.com`	Nessuno
Filestore	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `file.googleapis.com`	Nessuno
Regole di sicurezza Firebase	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `firebaserules.googleapis.com`	Nessuno
GKE Hub	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `gkehub.googleapis.com`	Nessuno
Servizio di identità GKE	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `anthosidentityservice.googleapis.com`	Nessuno
Google Cloud Armor	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Google Cloud console	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `Not applicable`	Nessuno
Google Kubernetes Engine	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `container.googleapis.com` `containersecurity.googleapis.com`	Vincoli delle policy dell'organizzazione
Identity and Access Management (IAM)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `iam.googleapis.com` `policytroubleshooter.googleapis.com`	Nessuno
Identity-Aware Proxy (IAP)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `iap.googleapis.com`	Nessuno
Knowledge Catalog	Endpoint API regionali: `dataplex.me-central2.rep.googleapis.com` `datalineage.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `dataplex.googleapis.com` `datalineage.googleapis.com`	Funzionalità interessate
Managed Service for Apache Spark	Endpoint API regionali: `dataproc.me-central2.rep.googleapis.com` `dataproc-control.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nessuno
Memorystore for Redis	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `redis.googleapis.com`	Nessuno
Network Connectivity Center	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `networkconnectivity.googleapis.com`	Nessuno
Servizio Criteri dell'organizzazione	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `orgpolicy.googleapis.com`	Nessuno
Persistent Disk	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Personalized Service Health	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `servicehealth.googleapis.com`	Nessuno
Pub/Sub	Endpoint API regionali: `pubsub.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `pubsub.googleapis.com`	Vincoli delle policy dell'organizzazione
Resource Manager	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `cloudresourcemanager.googleapis.com`	Nessuno
Secret Manager	Endpoint API regionali: `secretmanager.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `secretmanager.googleapis.com`	Nessuno
Secure Source Manager	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `securesourcemanager.googleapis.com`	Nessuno
Sensitive Data Protection	Endpoint API regionali: `dlp.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `dlp.googleapis.com`	Nessuno
Service Directory	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `servicedirectory.googleapis.com`	Nessuno
Spanner	Endpoint API regionali: `spanner.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `spanner.googleapis.com`	Vincoli delle policy dell'organizzazione
Controlli di servizio VPC	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `accesscontextmanager.googleapis.com`	Nessuno
Virtual Private Cloud (VPC)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. I server MCP di Google Cloud non sono supportati. Endpoint API globali: `compute.googleapis.com` `servicenetworking.googleapis.com`	Nessuno

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi i vincoli delle policy dell'organizzazione impostati per impostazione predefinita nelle cartelle di Data Boundary del Regno dell'Arabia Saudita con giustificazioni dell'accesso. Altri vincoli delle norme dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud dell'organizzazione.

Google Cloud-wide

Funzionalità interessate Google Cloud

Funzionalità	Descrizione
ConsoleGoogle Cloud	Per accedere alla console Google Cloud quando utilizzi il pacchetto di controlli del Data Boundary dell'Arabia Saudita con Access Justifications, devi utilizzare uno dei seguenti URL: console.sa.cloud.google.com console.sa.cloud.google per gli utenti con identità federata

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli delle policy dell'organizzazione si applicano a Google Cloud.

Vincolo delle policy dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta le seguenti località nell'elenco `allowedValues`: `me-central2` Questo valore limita la creazione di nuove risorse ai valori selezionati. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero non rientrare nell'ambito e non possono essere limitate. La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un limite di dati conforme.
`gcp.restrictNonCmekServices`	Impostato su un elenco di tutti i nomi di servizio API inclusi nell'ambito, tra cui: `bigquerydatatransfer.googleapis.com` Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK cripta i dati at-rest con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito.
`gcp.restrictServiceUsage`	Imposta l'opzione per consentire tutti gli endpoint API e prodotti supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, consulta Limitazione dell'utilizzo delle risorse.
`gcp.restrictTLSVersion`	Impostato per negare le seguenti versioni TLS: `TLS_1_0` `TLS_1_1` Per saperne di più, consulta Limitare le versioni TLS.

Bigtable

Funzionalità di Bigtable interessate

Funzionalità	Descrizione
Data Boost	Questa funzionalità è disattivata.
Confini della suddivisione	Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire i confini della suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet. Questi confini della suddivisione sono accessibili al personale di Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Assured Workloads.

Funzionalità

Descrizione

Data Boost

Questa funzionalità è disattivata.

Confini della suddivisione

Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire i confini della suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet.

Questi confini della suddivisione sono accessibili al personale di Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Assured Workloads.

Cloud Interconnect

Funzionalità Cloud Interconnect interessate

Funzionalità	Descrizione
VPN ad alta disponibilità	Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate.

Cloud Logging

Funzionalità di Cloud Logging interessate

Funzionalità	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti.
Voci di log di coda in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di tailing in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti.
Policy di avviso basate su SQL	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL.

Cloud Monitoring

Funzionalità di Cloud Monitoring interessate

Funzionalità	Descrizione
Monitor sintetico	Questa funzionalità è disattivata.
Controlli di uptime	Questa funzionalità è disattivata.
Widget del pannello dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello dei log a una dashboard.
Widget del riquadro di segnalazione degli errori in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello di segnalazione errori a una dashboard.
Filtra in `EventAnnotation` per Dashboard	Questa funzionalità è disattivata. Il filtro di `EventAnnotation` non può essere impostato in una dashboard.
`SqlCondition` in `alertPolicies`	Questa funzionalità è disattivata. Non puoi aggiungere un `SqlCondition` a un `alertPolicy`.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Cloud SQL

Vincoli dei criteri dell'organizzazione Cloud SQL

Vincolo delle policy dell'organizzazione	Descrizione
`sql.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Applica controlli aggiuntivi di sovranità dei dati e supporto alle risorse Cloud SQL. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`sql.restrictNoncompliantResourceCreation`	Imposta su True. Applica controlli aggiuntivi di sovranità dei dati per impedire la creazione di risorse Cloud SQL non conformi. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Cloud Storage

Funzionalità di Cloud Storage interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	È tua responsabilità utilizzare la console Google Cloud giurisdizionale per il Data Boundary dell'Arabia Saudita con le giustificazioni dell'accesso. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi	È tua responsabilità utilizzare uno degli endpoint regionali inclusi nell'ambito con Cloud Storage. Per maggiori informazioni, consulta la pagina Località di Cloud Storage.

Vincoli dei criteri dell'organizzazione Cloud Storage

Vincolo delle policy dell'organizzazione Descrizione

Vincolo delle policy dell'organizzazione	Descrizione
`storage.restrictAuthTypes`	Impostato per impedire l'autenticazione tramite HMAC (Hash-based Message Authentication Code). I seguenti tipi sono specificati in questo valore di vincolo: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Per impostazione predefinita, le chiavi HMAC non possono autenticarsi alle risorse Cloud Storage per i carichi di lavoro di KSA Data Boundary con giustificazioni dell'accesso. Le chiavi HMAC influiscono sulla sovranità dei dati perché possono essere utilizzate per accedere ai dati dei clienti senza che questi ne siano a conoscenza. Consulta la sezione Chiavi HMAC nella documentazione di Cloud Storage. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato.
`storage.uniformBucketLevelAccess`	Imposta su True. L'accesso ai nuovi bucket viene gestito utilizzando le policy IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando gli elenchi di controllo degli accessi. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo delle policy IAM anziché degli ACL di Cloud Storage.

storage.restrictAuthTypes

Impostato per impedire l'autenticazione tramite HMAC (Hash-based Message Authentication Code). I seguenti tipi sono specificati in questo valore di vincolo:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Per impostazione predefinita, le chiavi HMAC non possono autenticarsi alle risorse Cloud Storage per i carichi di lavoro di KSA Data Boundary con giustificazioni dell'accesso. Le chiavi HMAC influiscono sulla sovranità dei dati perché possono essere utilizzate per accedere ai dati dei clienti senza che questi ne siano a conoscenza. Consulta la sezione Chiavi HMAC nella documentazione di Cloud Storage.

La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato.

storage.uniformBucketLevelAccess Imposta su True.

L'accesso ai nuovi bucket viene gestito utilizzando le policy IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti.

Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando gli elenchi di controllo degli accessi. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo delle policy IAM anziché degli ACL di Cloud Storage.

Cloud VPN

Funzionalità Cloud VPN interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.
Endpoint VPN	Devi utilizzare solo endpoint Cloud VPN che si trovano in una regione inclusa nell'ambito. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione inclusa nell'ambito.

Compute Engine

Funzionalità di Compute Engine interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI: Controlli di integrità Gruppi di endpoint di rete
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalLoadBalancing`.
Ambiente guest	È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo della policy dell'organizzazione `compute.trustedImageProjects`. Per saperne di più, vedi Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager	Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Non includere informazioni sensibili in questi file. Valuta la possibilità di archiviare questi script e file di output in bucket Cloud Storage. Per saperne di più, consulta Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse di policy del sistema operativo che utilizzano script in linea o file di output binari, abilita il vincolo della policy dell'organizzazione `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Per saperne di più, consulta Vincoli per OS Config.
`instances.getSerialPortOutput()`	Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.

Vincoli dei criteri dell'organizzazione Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interne per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un guasto dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.disableGlobalCloudArmorPolicy`	Imposta su True. Disabilita la creazione di nuove policy di sicurezza Google Cloud Armor e l'aggiunta o la modifica di regole alle policy di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sulle policy di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
`compute.disableGlobalLoadBalancing`	Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disabilita a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`. L'attivazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo: Attiva SSH per le VM Windows. Esegui questo comando per modificare la password della VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sostituisci quanto segue: `VM_NAME`: il nome della VM per cui stai impostando la password. `USERNAME`: il nome utente dell'utente per cui stai impostando la password. `PASSWORD`: la nuova password.
`compute.disableSshInBrowser`	Imposta su True. Disabilita lo strumento SSH nel browser nella console Google Cloud per le VM che utilizzano OS Login e le VM dell'ambiente flessibile di App Engine. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per maggiori informazioni, consulta la documentazione di Confidential VM.
`compute.trustedImageProjects`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. L'impostazione di questo valore vincola l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Knowledge Catalog

Funzionalità di Knowledge Catalog

Funzionalità	Descrizione
Attribute Store	Questa funzionalità è ritirata e disattivata.
Data Catalog	Questa funzionalità è ritirata e disattivata. Non puoi cercare né gestire i tuoi metadati in Data Catalog.
Scansione della qualità dei dati e scansione di profilazione dei dati	L'esportazione dei risultati della scansione della qualità dei dati non è supportata.
Discovery	Questa funzionalità è disattivata. Non puoi eseguire le scansioni di rilevamento per estrarre i metadati dai tuoi dati.
Informazioni basate sui dati	Questa funzionalità è disattivata. Non puoi generare approfondimenti sui dati per i tuoi cataloghi.
Lake e zone	Questa funzionalità è disattivata. Non puoi gestire i lake, le zone e le attività.

Google Cloud Armor

Funzionalità di Google Cloud Armor interessate

Funzionalità	Descrizione
Policy di sicurezza con ambito globale	Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalCloudArmorPolicy`.

Google Kubernetes Engine

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo delle policy dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Disabilita l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un workload. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Pub/Sub

Vincoli delle policy dell'organizzazione Pub/Sub

Vincolo delle policy dell'organizzazione	Descrizione
`pubsub.enforceInTransitRegions`	Imposta su True. Garantisce che i dati dei clienti transitino solo all'interno delle regioni consentite specificate nella policy di archiviazione dei messaggi per l'argomento Pub/Sub. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`pubsub.managed.disableSubscriptionMessageTransforms`	Imposta su True. Disabilita l'impostazione delle sottoscrizioni Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`pubsub.managed.disableTopicMessageTransforms`	Imposta su True. Impedisce l'impostazione di argomenti Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Spanner

Funzionalità Spanner interessate

Funzionalità	Descrizione
Confini della suddivisione	Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i confini della suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili al personale di Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Assured Workloads.

Funzionalità

Descrizione

Confini della suddivisione

Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i confini della suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole.

Questi confini della suddivisione sono accessibili al personale di Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Assured Workloads.

Vincoli dei criteri dell'organizzazione Spanner

Vincolo delle policy dell'organizzazione	Descrizione
`spanner.assuredWorkloadsAdvancedServiceControls`	Imposta su True. Applica controlli aggiuntivi di sovranità dei dati e supporto alle risorse Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Imposta su True. Disabilita la possibilità di creare istanze Spanner multiregionali per applicare la residenza e la sovranità dei dati.

Passaggi successivi

Scopri come creare una cartella Assured Workloads
Informazioni sui prezzi di Assured Workloads