Limite de dados do Reino da Arábia Saudita (KSA) com justificações de acesso

Esta página descreve o conjunto de controlos aplicados no limite de dados da Arábia Saudita com cargas de trabalho de justificações de acesso no Assured Workloads. Fornece informações detalhadas sobre a residência de dados, os produtos Google Cloud suportados e os respetivos pontos finais da API, bem como quaisquer restrições ou limitações aplicáveis a esses produtos.

As seguintes informações adicionais aplicam-se à fronteira de dados da Arábia Saudita com justificações de acesso:

• Residência dos dados: o pacote de controlos do limite de dados da Arábia Saudita com justificações de acesso define os controlos de localização dos dados para suportar regiões apenas na Arábia Saudita. Para mais informações, consulte a secção Google CloudRestrições da política organizacional ao nível da organização.
• Apoio técnico: os serviços de apoio técnico para a fronteira de dados da KSA com cargas de trabalho de justificações de acesso estão disponíveis com subscrições do Cloud Customer Care Standard, Enhanced ou Premium. Os registos de apoio técnico da fronteira de dados da ASA com justificações de acesso são encaminhados para o pessoal de apoio técnico global. Para mais informações, consulte o artigo Receber apoio técnico.
• Preços: o pacote de controlos do limite de dados da Arábia Saudita com justificações de acesso está incluído no nível gratuito dos Assured Workloads, que não incorre em custos adicionais. Para mais informações, consulte os preços dos Assured Workloads.

Pré-requisitos

Verifique se cumpre e concluiu os seguintes pré-requisitos antes de implementar cargas de trabalho no limite de dados da AAS com justificações de acesso:

• Crie uma pasta de limite de dados da KSA com justificações de acesso através do Assured Workloads e implemente as suas cargas de trabalho apenas nessa pasta.
• Não altere os valores predefinidos da restrição da política da organização, a menos que compreenda e esteja disposto a aceitar os riscos de residência de dados que possam ocorrer.
• Quando aceder à Google Cloud consola para cargas de trabalho do limite de dados da AÁS com justificações de acesso, tem de usar um dos seguintes URLs da consola Google Cloud
  jurisdicional Google Cloud específicos da AÁS:
  • console.sa.cloud.google.com
  • console.sa.cloud.google para utilizadores de identidade federada
• Use apenas os pontos finais regionais especificados para serviços que os ofereçam. Para mais informações, consulte os serviços de limite de dados da Arábia Saudita no âmbito com justificações de acesso.
• Considere adotar as práticas recomendadas de segurança gerais fornecidas no Google Cloud centro de práticas recomendadas de segurança.

Produtos e pontos finais da API compatíveis

Salvo indicação em contrário, os utilizadores podem aceder a todos os produtos suportados através da Google Cloud consola. As restrições ou as limitações que afetam as funcionalidades de um produto suportado, incluindo as que são aplicadas através das definições de restrições da política da organização, estão listadas na tabela seguinte.

Se um produto não estiver listado, significa que não é suportado e não cumpriu os requisitos de controlo para o limite de dados da Arábia Saudita com justificações de acesso. Não é recomendado usar produtos não suportados sem a devida diligência e uma compreensão exaustiva das suas responsabilidades no modelo de responsabilidade partilhada. Antes de usar um produto não suportado, certifique-se de que tem conhecimento e está disposto a aceitar os riscos associados envolvidos, como impactos negativos na residência ou soberania dos dados.

Restrições e limitações

As secções seguintes descrevem as restrições ou as limitações ao nível da organização ou específicas do produto para funcionalidades, incluindo quaisquer restrições da política da organização que estejam definidas por predefinição nas pastas do limite de dados da KSA com justificações de acesso. Google CloudOutras restrições de políticas da organização aplicáveis, mesmo que não estejam definidas por predefinição, podem oferecer uma defesa em profundidade adicional para proteger ainda mais os recursos da sua organização. Google Cloud

Google Cloudde largura

Funcionalidades afetadas Google Cloud

Funcionalidade	Descrição
Google Cloud consola	Para aceder à Google Cloud consola quando usar o limite de dados da Arábia Saudita com o pacote de controlos de justificações de acesso, tem de usar um dos seguintes URLs: console.me.cloud.google.com console.me.cloud.google para utilizadores de identidade federada Para mais informações, consulte a página da consola Google Cloud jurisdicional.

Google Cloudrestrições de políticas da organização ao nível da entidade

As seguintes restrições de políticas da organização aplicam-se em Google Cloud.

Restrição da política da organização	Descrição
gcp.resourceLocations	Definido para as seguintes localizações na lista allowedValues: me-central2 Este valor restringe a criação de novos recursos aos valores selecionados. Quando definido, não é possível criar recursos noutras regiões, multirregiões ou localizações fora da seleção. Consulte o artigo Serviços suportados por localizações de recursos para ver uma lista de recursos que podem ser restritos pela restrição da política da organização de localizações de recursos, uma vez que alguns recursos podem estar fora do âmbito e não ser restritíveis. A alteração deste valor para um valor menos restritivo compromete potencialmente a residência de dados, uma vez que permite que os dados sejam criados ou armazenados fora de um limite de dados em conformidade.
gcp.restrictNonCmekServices	Definido como uma lista de todos os nomes de serviços da API no âmbito, incluindo: bigquerydatatransfer.googleapis.com Algumas funcionalidades podem ser afetadas para cada um dos serviços indicados acima. Cada serviço listado requer chaves de encriptação geridas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam encriptados com uma chave gerida por si e não com os mecanismos de encriptação predefinidos da Google. Alterar este valor removendo um ou mais serviços no âmbito da lista pode comprometer a soberania dos dados, porque os novos dados em repouso são encriptados automaticamente com as próprias chaves da Google em vez das suas. Os dados em repouso existentes vão permanecer encriptados pela chave que forneceu.
gcp.restrictServiceUsage	Definido para permitir todos os produtos e pontos finais da API suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restringir a utilização de recursos.
gcp.restrictTLSVersion	Definido para recusar as seguintes versões do TLS: TLS_1_0 TLS_1_1 Consulte a página Restrinja as versões de TLS para mais informações.

Bigtable

Funcionalidades do Bigtable afetadas

Funcionalidade	Descrição
Aumento de dados	Esta funcionalidade está desativada.

Cloud Interconnect

Funcionalidades do Cloud Interconnect afetadas

Funcionalidade	Descrição
VPN de alta disponibilidade (HA)	Tem de ativar a funcionalidade de VPN de alta disponibilidade (HA) quando usar o Cloud Interconnect com o Cloud VPN. Além disso, tem de cumprir os requisitos de encriptação e regionalização indicados na secção Funcionalidades da VPN na nuvem afetadas.

Cloud Monitoring

Funcionalidades do Cloud Monitoring afetadas

Funcionalidade	Descrição
Monitor sintético	Esta funcionalidade está desativada.
Verificações de tempo de atividade	Esta funcionalidade está desativada.
Widgets do painel de registo em Painéis de controlo	Esta funcionalidade está desativada. Não pode adicionar um painel de registo a um painel de controlo.
Widgets do painel de relatórios de erros em Painéis de controlo	Esta funcionalidade está desativada. Não pode adicionar um painel de relatórios de erros a um painel de controlo.
Filtre em EventAnnotation para Painéis de controlo	Esta funcionalidade está desativada. O filtro de EventAnnotation não pode ser definido num painel de controlo.
SqlCondition em alertPolicies	Esta funcionalidade está desativada. Não pode adicionar um SqlCondition a um alertPolicy.

Cloud Run

Funcionalidades do Cloud Run afetadas

Funcionalidade	Descrição
Funcionalidades não suportadas	As seguintes funcionalidades do Cloud Run não são suportadas: Integração do Cloud Trace Funções do Cloud Run Acionadores do Eventarc

Cloud SQL

Restrições de políticas de organização do Cloud SQL

Restrição da política da organização	Descrição
sql.restrictNoncompliantDiagnosticDataAccess	Definido como Verdadeiro. Aplica controlos adicionais de soberania de dados e capacidade de suporte aos recursos do Cloud SQL. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
sql.restrictNoncompliantResourceCreation	Definido como Verdadeiro. Aplica controlos de soberania de dados adicionais para impedir a criação de recursos do Cloud SQL não conformes. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.

Cloud Storage

Funcionalidades do Cloud Storage afetadas

Funcionalidade	Descrição
Google Cloud consola	É da sua responsabilidade usar a consola Google Cloud jurisdicional para o limite de dados da Arábia Saudita com justificações de acesso. A consola jurisdicional impede o carregamento e a transferência de objetos do Cloud Storage. Para carregar e transferir objetos do Cloud Storage, consulte a linha Pontos finais da API em conformidade.
Pontos finais da API em conformidade	É da sua responsabilidade usar um dos pontos finais regionais no âmbito com o Cloud Storage. Para mais informações, consulte o artigo sobre as localizações do Cloud Storage.

Restrições da política da organização do Cloud Storage

Restrição da política da organização	Descrição
storage.restrictAuthTypes	Definido para impedir a autenticação através do código de autenticação de mensagens baseado em hash (HMAC). Os seguintes tipos são especificados neste valor de restrição: USER_ACCOUNT_HMAC_SIGNED_REQUESTS SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS Por predefinição, as chaves HMAC são impedidas de fazer a autenticação em recursos do Cloud Storage para cargas de trabalho do limite de dados da KSA com justificações de acesso. As chaves HMAC afetam a soberania dos dados porque podem ser usadas para aceder aos dados dos clientes sem o conhecimento dos mesmos. Consulte as chaves de HMAC na documentação do Cloud Storage. A alteração deste valor pode afetar a soberania dos dados na sua carga de trabalho. Recomendamos vivamente que mantenha o valor definido.
storage.uniformBucketLevelAccess	Definido como Verdadeiro. O acesso a novos contentores é gerido através de políticas de IAM em vez de listas de controlo de acesso (ACLs) do Cloud Storage. Esta restrição fornece autorizações detalhadas para contentores e o respetivo conteúdo. Se um contentor for criado enquanto esta restrição estiver ativada, o acesso ao mesmo nunca pode ser gerido através de ACLs. Por outras palavras, o método de controlo de acesso para um contentor é definido permanentemente para usar políticas de IAM em vez de ACLs do Cloud Storage.

Cloud VPN

Funcionalidades do Cloud VPN afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades da VPN na nuvem não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.
Endpoints da VPN	Tem de usar apenas pontos finais da VPN do Google Cloud localizados numa região dentro do âmbito. Certifique-se de que o gateway de VPN está configurado para utilização apenas numa região no âmbito.

Compute Engine

Funcionalidades do Compute Engine afetadas

Funcionalidade	Descrição
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado atualmente através da CMEK. Consulte a restrição da gcp.restrictNonCmekServices política da organização na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
SSDs locais	Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque, atualmente, não podem ser encriptados através da CMEK. Consulte a restrição da gcp.restrictNonCmekServices política da organização na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
Google Cloud consola	As seguintes funcionalidades do Compute Engine não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI gcloud: Verificações de saúde Grupos de pontos finais da rede
Adicionar um grupo de instâncias a um balanceador de carga global	Não pode adicionar um grupo de instâncias a um equilibrador de carga global. Esta funcionalidade está desativada pela restrição de política da organização compute.disableGlobalLoadBalancing.
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado com CMEK. Esta funcionalidade está desativada pela restrição da gcp.restrictNonCmekServices política da organização.
SSDs locais	Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque não podem ser encriptados com a CMEK. Esta funcionalidade está desativada pela restrição da gcp.restrictNonCmekServices política da organização.
Ambiente convidado	É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações a este software podem ser instaladas por predefinição. Consulte o ambiente de convidado para ver informações específicas sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos de segurança internos e processos. No entanto, se quiser um controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a restrição da compute.trustedImageProjects política da organização. Consulte a página Criar uma imagem personalizada para mais informações.
Políticas de SO no VM Manager	Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK). Não inclua informações confidenciais nestes ficheiros. Considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os exemplos de políticas de SO. Se quiser restringir a criação ou a modificação de recursos da política de SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Para mais informações, consulte as Restrições para a configuração do SO.
instances.getSerialPortOutput()	Esta API está desativada. Não vai poder obter a saída da porta de série da instância especificada através desta API. Altere o valor da restrição da política da organização compute.disableInstanceDataAccessApis para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções em Ativar o acesso para um projeto.
instances.getScreenshot()	Esta API está desativada. Não vai poder obter uma captura de ecrã da instância especificada com esta API. Altere o valor da restrição da política da organização compute.disableInstanceDataAccessApis para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções em Ativar o acesso para um projeto.

Restrições de políticas de organização do Compute Engine

Restrição da política da organização	Descrição
compute.enableComplianceMemoryProtection	Definido como Verdadeiro. Desativa algumas funcionalidades de diagnóstico internas para oferecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
compute.disableGlobalCloudArmorPolicy	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras a políticas de segurança do Google Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a capacidade de remover ou alterar a descrição e a ficha de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por esta restrição. Todas as políticas de segurança globais e regionais que existam antes da aplicação desta restrição permanecem em vigor.
compute.disableGlobalLoadBalancing	Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
compute.disableInstanceDataAccessApis	Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot(). A ativação desta restrição impede que gere credenciais em VMs do Windows Server. Se precisar de gerir um nome de utilizador e uma palavra-passe numa VM do Windows, faça o seguinte: Ative o SSH para VMs Windows. Execute o seguinte comando para alterar a palavra-passe da VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Substitua o seguinte: VM_NAME: o nome da VM para a qual está a definir a palavra-passe. USERNAME: o nome de utilizador do utilizador para o qual está a definir a palavra-passe. PASSWORD: a nova palavra-passe.
compute.disableSshInBrowser	Definido como Verdadeiro. Desativa a ferramenta SSH no navegador na Google Cloud consola para VMs que usam o Início de sessão do SO e VMs do ambiente flexível do App Engine. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
compute.restrictNonConfidentialComputing	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre a VM confidencial para mais informações.
compute.trustedImageProjects	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados, impedindo a utilização de imagens ou agentes não autorizados.

Dataplex Universal Catalog

Funcionalidades do Dataplex Universal Catalog

Funcionalidade	Descrição
Metadados de aspetos e glossários	Os aspetos e os glossários não são suportados. Não pode pesquisar nem gerir aspetos e glossários, nem importar metadados personalizados.
Atribua uma loja	Esta funcionalidade está descontinuada e desativada.
Catálogo de dados	Esta funcionalidade está descontinuada e desativada. Não pode pesquisar nem gerir os seus metadados no Data Catalog.
Qualidade de dados e análise do perfil de dados	A exportação dos resultados da análise de qualidade de dados não é suportada.
Descoberta	Esta funcionalidade está desativada. Não pode executar as análises de deteção para extrair metadados dos seus dados.
Lagos e zonas	Esta funcionalidade está desativada. Não pode gerir lagos, zonas nem tarefas.

Google Cloud Armor

Funcionalidades do Google Cloud Armor afetadas

Funcionalidade	Descrição
Políticas de segurança com âmbito global	Esta funcionalidade está desativada pela restrição da política da organização.compute.disableGlobalCloudArmorPolicy

Google Kubernetes Engine

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
container.restrictNoncompliantDiagnosticDataAccess	Definido como Verdadeiro. Desativa a análise agregada de problemas do kernel, que é necessária para manter o controlo soberano de uma carga de trabalho. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.

Pub/Sub

Restrições de políticas da organização do Pub/Sub

Restrição da política da organização	Descrição
pubsub.enforceInTransitRegions	Definido como Verdadeiro. Garante que os dados do cliente transitam apenas nas regiões permitidas especificadas na política de armazenamento de mensagens para o tópico do Pub/Sub. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
pubsub.managed.disableTopicMessageTransforms	Definido como Verdadeiro. Impede que os tópicos do Pub/Sub sejam definidos com transformações de mensagens únicas (SMTs). A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
pubsub.managed.disableSubscriptionMessageTransforms	Definido como Verdadeiro. Impede que as subscrições do Pub/Sub sejam definidas com transformações de mensagens únicas (SMTs). A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.

Spanner

Restrições da política da organização do Spanner

Restrição da política da organização	Descrição
spanner.assuredWorkloadsAdvancedServiceControls	Definido como Verdadeiro. Aplica controlos de soberania e capacidade de suporte de dados adicionais aos recursos do Spanner.
spanner.disableMultiRegionInstanceIfNoLocationSelected	Definido como Verdadeiro. Desativa a capacidade de criar instâncias do Spanner de várias regiões para aplicar a residência e a soberania dos dados.

O que se segue?

• Saiba como criar uma pasta do Assured Workloads
• Compreenda os preços do Assured Workloads