I nomi di alcuni pacchetti di controlli di Assured Workloads sono cambiati. Per informazioni sul cambio di nome, vedi Controllare l'avviso di ridenominazione del pacchetto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Confine per i dati nel Regno dell'Arabia Saudita (KSA) con giustificazioni di accesso

Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro del limite dei dati del Regno dell'Arabia Saudita con le giustificazioni di accesso in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, sui prodotti supportati Google Cloud e sui relativi endpoint API e su eventuali restrizioni o limitazioni applicabili a questi prodotti.

Le seguenti informazioni aggiuntive si applicano al confine per i dati nel Regno dell'Arabia Saudita con giustificazioni di accesso:

Residenza dei dati: il pacchetto di controlli del perimetro dei dati dell'Arabia Saudita con giustificazioni dell'accesso imposta i controlli della località dei dati in modo da supportare solo le regioni dell'Arabia Saudita. Per ulteriori informazioni, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
Assistenza: i servizi di assistenza tecnica per il confine dei dati dell'Arabia Saudita con i carichi di lavoro delle giustificazioni di accesso sono disponibili con gli abbonamenti Cloud Customer Care Standard, Avanzato o Premium. Le richieste di assistenza per i carichi di lavoro del confine per i dati in Arabia Saudita con giustificazioni di accesso vengono indirizzate al personale di assistenza globale. Per ulteriori informazioni, vedi Richiedere assistenza.
Prezzi: il pacchetto di controlli del perimetro dei dati dell'Arabia Saudita con giustificazioni dell'accesso è incluso nel livello gratuito di Assured Workloads, che non comporta costi aggiuntivi. Per ulteriori informazioni, consulta i prezzi di Assured Workloads.

Prerequisiti

Prima di eseguire il deployment dei carichi di lavoro nel perimetro dei dati dell'Arabia Saudita con Key Access Justifications, verifica di soddisfare e aver completato i seguenti prerequisiti:

Crea una cartella per il perimetro dei dati dell'Arabia Saudita con giustificazioni dell'accesso utilizzando Assured Workloads ed esegui il deployment dei workload solo in questa cartella.
Non modificare i valori predefiniti del vincolo dei criteri dell'organizzazione, a meno che tu non comprenda e non voglia accettare i rischi di residenza dei dati che potrebbero verificarsi.
Quando accedi alla console Google Cloud per il confine dei dati dell'Arabia Saudita con i carichi di lavoro delle giustificazioni dell'accesso, devi utilizzare uno dei seguenti URL della console Google Cloud giurisdizionale specifici per l'Arabia Saudita:
- console.sa.cloud.google.com
- console.sa.cloud.google per gli utenti con identità federata
Utilizza solo gli endpoint regionali specificati per i servizi che li offrono. Per maggiori informazioni, consulta Servizi del confine per i dati in Arabia Saudita inclusi nell'ambito con giustificazioni di accesso.
Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Google Cloud Centro best practice per la sicurezza.

Prodotti ed endpoint API supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le restrizioni o le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.

Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per il confine dei dati dell'Arabia Saudita con giustificazioni di accesso. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di accettare eventuali rischi associati, come impatti negativi sulla residenza o sulla sovranità dei dati.

Prodotto supportato	Endpoint API	Restrizioni o limitazioni
Approvazione accesso	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `accessapproval.googleapis.com`	Nessuno
Gestore contesto accesso	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `accesscontextmanager.googleapis.com`	Nessuno
Artifact Registry	Endpoint API regionali: `artifactregistry.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `artifactregistry.googleapis.com`	Nessuno
BigQuery	Endpoint API regionali: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` `bigquerydatatransfer.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Nessuno
Bigtable	Endpoint API regionali: `bigtable.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Funzionalità interessate
Certificate Authority Service	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `privateca.googleapis.com`	Nessuno
Cloud Build	Endpoint API regionali: `cloudbuild.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `cloudbuild.googleapis.com`	Nessuno
Cloud DNS	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `dns.googleapis.com`	Nessuno
Cloud HSM	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `cloudkms.googleapis.com`	Nessuno
Cloud Interconnect	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Cloud Key Management Service (Cloud KMS)	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `cloudkms.googleapis.com`	Nessuno
Cloud Load Balancing	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Logging	Endpoint API regionali: `logging.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `logging.googleapis.com`	Nessuno
Cloud Monitoring	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `monitoring.googleapis.com`	Funzionalità interessate
Cloud NAT	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Router	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Run	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `run.googleapis.com`	Funzionalità interessate
Cloud SQL	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `sqladmin.googleapis.com`	Vincoli delle policy dell'organizzazione
Cloud Service Mesh	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com` `networksecurity.googleapis.com`	Nessuno
Cloud Storage	Endpoint API regionali: `storage.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `storage.googleapis.com`	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Cloud VPN	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Compute Engine	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Connect	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Nessuno
Dataflow	Endpoint API regionali: `dataflow.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Nessuno
Dataplex Universal Catalog	Endpoint API regionali: `dataplex.me-central2.rep.googleapis.com` `datalineage.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `dataplex.googleapis.com` `datalineage.googleapis.com`	Funzionalità interessate
Dataproc	Endpoint API regionali: `dataproc.me-central2.rep.googleapis.com` `dataproc-control.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nessuno
Contatti fondamentali	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `essentialcontacts.googleapis.com`	Nessuno
Filestore	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `file.googleapis.com`	Nessuno
GKE Hub	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `gkehub.googleapis.com`	Nessuno
Servizio di identità GKE	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `anthosidentityservice.googleapis.com`	Nessuno
Google Cloud Armor	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Google Cloud console	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `N/A`	Nessuno
Google Kubernetes Engine	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `container.googleapis.com` `containersecurity.googleapis.com`	Vincoli delle policy dell'organizzazione
Identity and Access Management (IAM)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `iam.googleapis.com` `policytroubleshooter.googleapis.com`	Nessuno
Identity-Aware Proxy (IAP)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `iap.googleapis.com`	Nessuno
Memorystore for Redis	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `redis.googleapis.com`	Nessuno
Network Connectivity Center	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `networkconnectivity.googleapis.com`	Nessuno
Servizio Criteri dell'organizzazione	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `orgpolicy.googleapis.com`	Nessuno
Persistent Disk	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Pub/Sub	Endpoint API regionali: `pubsub.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `pubsub.googleapis.com`	Vincoli delle policy dell'organizzazione
Resource Manager	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `cloudresourcemanager.googleapis.com`	Nessuno
Impostazioni delle risorse	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `resourcesettings.googleapis.com`	Nessuno
Secret Manager	Endpoint API regionali: `secretmanager.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `secretmanager.googleapis.com`	Nessuno
Sensitive Data Protection	Endpoint API regionali: `dlp.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `dlp.googleapis.com`	Nessuno
Service Directory	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `servicedirectory.googleapis.com`	Nessuno
Spanner	Endpoint API regionali: `spanner.me-central2.rep.googleapis.com` Gli endpoint API di localizzazione non sono supportati. Endpoint API globali: `spanner.googleapis.com`	Vincoli delle policy dell'organizzazione
Controlli di servizio VPC	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `accesscontextmanager.googleapis.com`	Nessuno
Virtual Private Cloud (VPC)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com` `servicenetworking.googleapis.com`	Nessuno

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o le restrizioni a livello di Google Cloudo specifiche per prodotto per le funzionalità, inclusi eventuali vincoli dei criteri dell'organizzazione impostati per impostazione predefinita nelle cartelle del perimetro dei dati del Regno dell'Arabia Saudita con giustificazioni dell'accesso. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse della tua organizzazione. Google Cloud

Google Cloud-wide

Funzionalità interessate Google Cloud

Funzionalità	Descrizione
ConsoleGoogle Cloud	Per accedere alla console Google Cloud quando utilizzi il pacchetto di controlli per il perimetro dei dati dell'Arabia Saudita con Key Access Justifications, devi utilizzare uno dei seguenti URL: console.me.cloud.google.com console.me.cloud.google per gli utenti dell'identità federata Per ulteriori informazioni, consulta la pagina Console Google Cloud giurisdizionale.

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a Google Cloud.

Vincolo delle policy dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta le seguenti località nell'elenco `allowedValues`: `me-central2` Questo valore limita la creazione di nuove risorse ai valori selezionati. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta la sezione Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non limitabili. La modifica di questo valore rendendolo meno restrittivo potrebbe compromettere la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un confine dei dati conforme.
`gcp.restrictNonCmekServices`	Impostato su un elenco di tutti i nomi dei servizi API inclusi nell'ambito, tra cui: `bigquerydatatransfer.googleapis.com` Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). La CMEK consente di criptare i dati inattivi con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito.
`gcp.restrictServiceUsage`	Imposta l'opzione per consentire tutti i prodotti e gli endpoint API supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per ulteriori informazioni, vedi Limitazione dell'utilizzo delle risorse.
`gcp.restrictTLSVersion`	Imposta il rifiuto delle seguenti versioni TLS: `TLS_1_0` `TLS_1_1` Per saperne di più, consulta la pagina Limita le versioni TLS.

Bigtable

Funzionalità Bigtable interessate

Funzionalità	Descrizione
Data Boost	Questa funzionalità è disattivata.

Cloud Interconnect

Funzionalità Cloud Interconnect interessate

Funzionalità	Descrizione
VPN ad alta disponibilità	Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate.

Cloud Monitoring

Funzionalità di Cloud Monitoring interessate

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controlli di uptime	Questa funzionalità è disattivata.
Widget del pannello dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello dei log a una dashboard.
Widget del riquadro di segnalazione degli errori in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello di segnalazione degli errori a una dashboard.
Filtra in `EventAnnotation` per Dashboard	Questa funzionalità è disattivata. Il filtro di `EventAnnotation` non può essere impostato in una dashboard.
`SqlCondition` in `alertPolicies`	Questa funzionalità è disattivata. Non puoi aggiungere un `SqlCondition` a un `alertPolicy`.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Cloud SQL

Vincoli dei criteri dell'organizzazione Cloud SQL

Vincolo delle policy dell'organizzazione	Descrizione
`sql.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Cloud SQL. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`sql.restrictNoncompliantResourceCreation`	Imposta su True. Applica controlli aggiuntivi di sovranità dei dati per impedire la creazione di risorse Cloud SQL non conformi. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Cloud Storage

Funzionalità di Cloud Storage interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	È tua responsabilità utilizzare la console Google Cloud per le giurisdizioni per il confine dei dati dell'Arabia Saudita con le giustificazioni dell'accesso. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi	È tua responsabilità utilizzare uno degli endpoint regionali inclusi nell'ambito con Cloud Storage. Per maggiori informazioni, consulta la pagina Località di Cloud Storage.

Vincoli dei criteri dell'organizzazione Cloud Storage

Vincolo delle policy dell'organizzazione Descrizione

Vincolo delle policy dell'organizzazione	Descrizione
`storage.restrictAuthTypes`	Impostato per impedire l'autenticazione utilizzando il codice HMAC (Hash-based Message Authentication Code). I seguenti tipi sono specificati in questo valore di vincolo: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Per impostazione predefinita, le chiavi HMAC non possono autenticarsi alle risorse Cloud Storage per i carichi di lavoro del perimetro dei dati KSA con giustificazioni dell'accesso. Le chiavi HMAC influiscono sulla sovranità dei dati perché possono essere utilizzate per accedere ai dati dei clienti senza che questi ne siano a conoscenza. Consulta la sezione Chiavi HMAC nella documentazione di Cloud Storage. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato.
`storage.uniformBucketLevelAccess`	Imposta su True. L'accesso ai nuovi bucket viene gestito utilizzando le policy IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando gli elenchi di controllo degli accessi. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL Cloud Storage.

storage.restrictAuthTypes

Impostato per impedire l'autenticazione utilizzando il codice HMAC (Hash-based Message Authentication Code). I seguenti tipi sono specificati in questo valore di vincolo:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Per impostazione predefinita, le chiavi HMAC non possono autenticarsi alle risorse Cloud Storage per i carichi di lavoro del perimetro dei dati KSA con giustificazioni dell'accesso. Le chiavi HMAC influiscono sulla sovranità dei dati perché possono essere utilizzate per accedere ai dati dei clienti senza che questi ne siano a conoscenza. Consulta la sezione Chiavi HMAC nella documentazione di Cloud Storage.

La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato.

storage.uniformBucketLevelAccess Imposta su True.

L'accesso ai nuovi bucket viene gestito utilizzando le policy IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti.

Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando gli elenchi di controllo degli accessi. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL Cloud Storage.

Cloud VPN

Funzionalità Cloud VPN interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.
Endpoint VPN	Devi utilizzare solo endpoint Cloud VPN che si trovano in una regione inclusa nell'ambito. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione inclusa nell'ambito.

Compute Engine

Funzionalità di Compute Engine interessate

Funzionalità	Descrizione
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo delle policy dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptati utilizzando CMEK. Consulta il vincolo `gcp.restrictNonCmekServices` delle policy dell'organizzazione nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
ConsoleGoogle Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI: Controlli di integrità Gruppi di endpoint di rete
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalLoadBalancing`.
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere criptata utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `gcp.restrictNonCmekServices`.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `gcp.restrictNonCmekServices`.
Ambiente guest	È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e utilizzare facoltativamente il vincolo della policy dell'organizzazione `compute.trustedImageProjects`. Per saperne di più, consulta la pagina Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager	Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Non includere informazioni sensibili in questi file. Valuta la possibilità di archiviare questi script e file di output in bucket Cloud Storage. Per ulteriori informazioni, consulta Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse di policy del sistema operativo che utilizzano script in linea o file di output binari, abilita il vincolo della policy dell'organizzazione `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Per saperne di più, consulta Vincoli per OS Config.
`instances.getSerialPortOutput()`	Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo di policy dell'organizzazione `compute.disableInstanceDataAccessApis` impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo di policy dell'organizzazione `compute.disableInstanceDataAccessApis` impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.

Vincoli dei criteri dell'organizzazione Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.disableGlobalCloudArmorPolicy`	Imposta su True. Disabilita la creazione di nuove policy di sicurezza di Google Cloud Armor e l'aggiunta o la modifica di regole alle policy di sicurezza di Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sui criteri di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
`compute.disableGlobalLoadBalancing`	Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disabilita a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`. L'attivazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo: Attiva SSH per le VM Windows. Esegui questo comando per modificare la password della VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sostituisci quanto segue: `VM_NAME`: il nome della VM per cui stai impostando la password. `USERNAME`: il nome utente dell'utente per cui stai impostando la password. `PASSWORD`: La nuova password.
`compute.disableSshInBrowser`	Imposta su True. Disabilita lo strumento SSH nel browser nella console Google Cloud per le VM che utilizzano OS Login e le VM dell'ambiente flessibile di App Engine. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per saperne di più, consulta la documentazione di Confidential VM.
`compute.trustedImageProjects`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Dataplex Universal Catalog

Funzionalità del Catalogo universale Dataplex

Funzionalità	Descrizione
Metadati di aspetti e glossari	Aspetti e glossari non sono supportati. Non puoi cercare o gestire aspetti e glossari, né importare metadati personalizzati.
Attribute Store	Questa funzionalità è ritirata e disattivata.
Data Catalog	Questa funzionalità è ritirata e disattivata. Non puoi cercare né gestire i tuoi metadati in Data Catalog.
Scansione della qualità dei dati e del profilo di dati	L'esportazione dei risultati della scansione della qualità dei dati non è supportata.
Discovery	Questa funzionalità è disattivata. Non puoi eseguire le scansioni di rilevamento per estrarre i metadati dai tuoi dati.
Lakes e zone	Questa funzionalità è disattivata. Non puoi gestire i lake, le zone e le attività.

Google Cloud Armor

Funzionalità di Google Cloud Armor interessate

Funzionalità	Descrizione
Criteri di sicurezza con ambito globale	Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalCloudArmorPolicy`.

Google Kubernetes Engine

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo delle policy dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Disabilita l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un workload. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Pub/Sub

Vincoli dei criteri dell'organizzazione Pub/Sub

Vincolo delle policy dell'organizzazione	Descrizione
`pubsub.enforceInTransitRegions`	Imposta su True. Garantisce che i dati dei clienti transitino solo all'interno delle regioni consentite specificate nella policy di archiviazione dei messaggi per l'argomento Pub/Sub. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`pubsub.managed.disableTopicMessageTransforms`	Imposta su True. Impedisce l'impostazione di argomenti Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`pubsub.managed.disableSubscriptionMessageTransforms`	Imposta su True. Disabilita l'impostazione delle sottoscrizioni Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Spanner

Vincoli dei criteri dell'organizzazione Spanner

Vincolo delle policy dell'organizzazione	Descrizione
`spanner.assuredWorkloadsAdvancedServiceControls`	Imposta su True. Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Imposta su True. Disabilita la possibilità di creare istanze Spanner multiregionali per applicare la residenza e la sovranità dei dati.

Passaggi successivi

Scopri come creare una cartella Assured Workloads
Informazioni sui prezzi di Assured Workloads