Os nomes de alguns pacotes de controle do Assured Workloads mudaram. Para mais informações sobre a mudança de nome, consulte Aviso sobre a mudança de nome do pacote de controle.

Esta página foi traduzida pela API Cloud Translation.

Limite de dados do Reino da Arábia Saudita (KSA) com justificativas de acesso

Nesta página, descrevemos o conjunto de controles aplicados em cargas de trabalho do KSA Data Boundary com justificativas de acesso no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos do Google Cloud compatíveis e os endpoints de API deles, além de restrições ou limitações aplicáveis a esses produtos.

As seguintes informações adicionais se aplicam ao limite de dados da KSA com justificativas de acesso:

Residência de dados: o pacote de controle do perímetro de dados do KSA com justificativas de acesso define controles de localização de dados para oferecer suporte a regiões exclusivas do KSA. Para mais informações, consulte a seção Restrições da política da organização em toda aGoogle Cloud.
Suporte: os serviços de suporte técnico para a fronteira de dados da KSA com cargas de trabalho de justificativas de acesso estão disponíveis com as assinaturas do Cloud Customer Care Standard, Enhanced ou Premium. As consultas ao suporte para cargas de trabalho do limite de dados da Arábia Saudita com justificativas de acesso são encaminhadas para a equipe de suporte global. Para mais informações, consulte Como receber suporte.
Preços: o pacote de controle de fronteira de dados da KSA com justificativas de acesso está incluído no nível gratuito do Assured Workloads, que não gera cobranças adicionais. Para mais informações, consulte Preços do Assured Workloads.

Pré-requisitos

Verifique se você atende e concluiu os seguintes pré-requisitos antes de implantar cargas de trabalho no limite de dados da KSA com justificativas de acesso:

Crie uma pasta de limite de dados da KSA com justificativas de acesso usando o Assured Workloads e implante suas cargas de trabalho apenas nessa pasta.
Não mude os valores padrão da restrição de política da organização, a menos que você entenda e esteja disposto a aceitar os riscos de residência de dados que podem ocorrer.
Ao acessar o console Google Cloud para o limite de dados da KSA com cargas de trabalho de justificativas de acesso, use um dos seguintes URLs doconsole Google Cloud jurisdicionalespecíficos da KSA:
- console.sa.cloud.google.com
- console.sa.cloud.google para usuários de identidade federada
Use apenas os endpoints regionais especificados para serviços que os oferecem. Para mais informações, consulte Limite de dados da KSA no escopo com serviços de justificativas de acesso.
Considere adotar as práticas recomendadas gerais de segurança fornecidas na Google Cloud central de práticas recomendadas de segurança.

Produtos e endpoints de API compatíveis

Salvo indicação em contrário, os usuários podem acessar todos os produtos compatíveis pelo console Google Cloud . As restrições ou limitações que afetam os recursos de um produto compatível, incluindo aquelas que são aplicadas pelas configurações de restrição da política da organização, estão listadas na tabela a seguir.

Se um produto não estiver listado, ele não será compatível e não terá atendido aos requisitos de controle do limite de dados da Arábia Saudita com justificativas de acesso. Não é recomendável usar produtos sem suporte sem diligência prévia e uma compreensão completa das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você conhece e aceita os riscos associados, como impactos negativos na residência ou soberania de dados.

Produto compatível	Endpoints de API	Restrições ou limitações
Aprovação de acesso	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `accessapproval.googleapis.com`	Nenhum
Access Context Manager	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `accesscontextmanager.googleapis.com`	Nenhum
Artifact Registry	Endpoints regionais da API: `artifactregistry.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `artifactregistry.googleapis.com`	Nenhum
BigQuery	Endpoints regionais da API: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` `bigquerydatatransfer.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Nenhum
Bigtable	Endpoints regionais da API: `bigtable.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Recursos afetados
Certificate Authority Service	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `privateca.googleapis.com`	Nenhum
Cloud Build	Endpoints regionais da API: `cloudbuild.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `cloudbuild.googleapis.com`	Nenhum
Cloud DNS	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `dns.googleapis.com`	Nenhum
Cloud HSM	Endpoints regionais da API: `cloudkms.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `cloudkms.googleapis.com`	Nenhum
Cloud Interconnect	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com`	Recursos afetados
Cloud Key Management Service (Cloud KMS)	Endpoints regionais da API: `cloudkms.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `cloudkms.googleapis.com`	Nenhum
Cloud Load Balancing	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com`	Nenhum
Cloud Logging	Endpoints regionais da API: `logging.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `logging.googleapis.com`	Nenhum
Cloud Monitoring	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `monitoring.googleapis.com`	Recursos afetados
Cloud NAT	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com`	Nenhum
Cloud Router	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com`	Nenhum
Cloud Run	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `run.googleapis.com`	Recursos afetados
Cloud SQL	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `sqladmin.googleapis.com`	Restrições das políticas da organização
Cloud Service Mesh	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com` `networksecurity.googleapis.com`	Nenhum
Cloud Storage	Endpoints regionais da API: `storage.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `storage.googleapis.com`	Recursos afetados e restrições da política da organização
Cloud VPN	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com`	Recursos afetados
Compute Engine	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com`	Recursos afetados e restrições da política da organização
Connect	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Nenhum
Dataflow	Endpoints regionais da API: `dataflow.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Nenhum
Dataplex Universal Catalog	Endpoints regionais da API: `dataplex.me-central2.rep.googleapis.com` `datalineage.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `dataplex.googleapis.com` `datalineage.googleapis.com`	Recursos afetados
Dataproc	Endpoints regionais da API: `dataproc.me-central2.rep.googleapis.com` `dataproc-control.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nenhum
Contatos essenciais	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `essentialcontacts.googleapis.com`	Nenhum
Filestore	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `file.googleapis.com`	Nenhum
Hub GKE	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `gkehub.googleapis.com`	Nenhum
Serviço de identidade do GKE	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `anthosidentityservice.googleapis.com`	Nenhum
Google Cloud Armor	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com`	Recursos afetados
Google Cloud console	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `N/A`	Nenhum
Google Kubernetes Engine	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `container.googleapis.com` `containersecurity.googleapis.com`	Restrições das políticas da organização
Gerenciamento de identidade e acesso (IAM)	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `iam.googleapis.com` `policytroubleshooter.googleapis.com`	Nenhum
Identity-Aware Proxy (IAP)	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `iap.googleapis.com`	Nenhum
Memorystore para Redis	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `redis.googleapis.com`	Nenhum
Network Connectivity Center	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `networkconnectivity.googleapis.com`	Nenhum
Organization Policy Service	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `orgpolicy.googleapis.com`	Nenhum
Persistent Disk	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com`	Nenhum
Pub/Sub	Endpoints regionais da API: `pubsub.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `pubsub.googleapis.com`	Restrições das políticas da organização
Resource Manager	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `cloudresourcemanager.googleapis.com`	Nenhum
Configurações de recursos	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `resourcesettings.googleapis.com`	Nenhum
Secret Manager	Endpoints regionais da API: `secretmanager.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `secretmanager.googleapis.com`	Nenhum
Proteção de Dados Sensíveis	Endpoints regionais da API: `dlp.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `dlp.googleapis.com`	Nenhum
Diretório de serviços	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `servicedirectory.googleapis.com`	Nenhum
Spanner	Endpoints regionais da API: `spanner.me-central2.rep.googleapis.com` Os endpoints de API locais não são compatíveis. Endpoints globais da API: `spanner.googleapis.com`	Restrições das políticas da organização
VPC Service Controls	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `accesscontextmanager.googleapis.com`	Nenhum
Nuvem privada virtual (VPC)	Não há suporte para endpoints regionais da API. Os endpoints de API locais não são compatíveis. Endpoints globais da API: `compute.googleapis.com` `servicenetworking.googleapis.com`	Nenhum

Restrições e limitações

As seções a seguir descrevem restrições ou limitações em todo o Google Cloudou específicas do produto para recursos, incluindo restrições da política da organização definidas por padrão nas pastas do limite de dados da KSA com justificativas de acesso. Outras restrições aplicáveis da política da organização, mesmo que não sejam definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Google Cloudde largura

Recursos afetados em todo o Google Cloud

Recurso	Descrição
Console doGoogle Cloud	Para acessar o console do Google Cloud ao usar o pacote de controle do KSA Data Boundary com justificativas de acesso, use um dos seguintes URLs: console.me.cloud.google.com console.me.cloud.google para usuários de identidade federada Para mais informações, consulte a página do console Google Cloud jurisdicional.

Restrições da política da organização em toda aGoogle Cloud

As restrições da política da organização a seguir se aplicam a Google Cloud.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Defina os seguintes locais na lista `allowedValues`: `me-central2` Esse valor restringe a criação de novos recursos aos valores selecionados. Quando definido, nenhum recurso pode ser criado em outras regiões, multirregiões ou locais fora da seleção. Consulte Serviços compatíveis com locais de recursos para ver uma lista de recursos que podem ser restringidos pela restrição da política da organização de locais de recursos, já que alguns recursos podem estar fora do escopo e não ser restritos. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade.
`gcp.restrictNonCmekServices`	Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo: `bigquerydatatransfer.googleapis.com` Alguns recursos podem ser afetados para cada um dos serviços listados acima. Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços em escopo da lista pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
`gcp.restrictServiceUsage`	Definido para permitir todos os produtos e endpoints de API compatíveis. Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Restringir o uso de recursos.
`gcp.restrictTLSVersion`	Definido para negar as seguintes versões do TLS: `TLS_1_0` `TLS_1_1` Consulte a página Restringir versões do TLS para mais informações.

Bigtable

Recursos afetados do Bigtable

Recurso	Descrição
Data Boost	Este recurso está desativado.

Cloud Interconnect

Recursos afetados do Cloud Interconnect

Recurso	Descrição
VPN de alta disponibilidade (HA)	É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, é necessário obedecer aos requisitos de criptografia e regionalização listados na seção Recursos afetados do Cloud VPN.

Cloud Monitoring

Recursos afetados do Cloud Monitoring

Recurso	Descrição
Monitor sintético	Este recurso está desativado.
Verificações de tempo de atividade	Este recurso está desativado.
Widgets do painel de registros em Painéis	Este recurso está desativado. Não é possível adicionar um painel de registros a um dashboard.
Widgets do painel de relatórios de erros em Painéis	Este recurso está desativado. Não é possível adicionar um painel de relatórios de erros a um dashboard.
Filtrar em `EventAnnotation` para Painéis	Este recurso está desativado. O filtro de `EventAnnotation` não pode ser definido em um painel.
`SqlCondition` em `alertPolicies`	Este recurso está desativado. Não é possível adicionar um `SqlCondition` a um `alertPolicy`.

Cloud Run

Recursos afetados do Cloud Run

Recurso	Descrição
Recursos não suportados	Os seguintes recursos do Cloud Run não são compatíveis: Integração do Cloud Trace Funções do Cloud Run Gatilhos do Eventarc

Cloud SQL

Restrições da política da organização do Cloud SQL

Restrição da política da organização	Descrição
`sql.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Aplica controles adicionais de soberania e capacidade de suporte de dados aos recursos do Cloud SQL. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`sql.restrictNoncompliantResourceCreation`	Definido como Verdadeiro. Aplica controles adicionais de soberania de dados para evitar a criação de recursos do Cloud SQL que não estão em compliance. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.

Cloud Storage

Recursos afetados do Cloud Storage

Recurso	Descrição
Console doGoogle Cloud	É sua responsabilidade usar o console Google Cloud jurisdicional para o limite de dados do Reino da Arábia Saudita com justificativas de acesso. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints de API em conformidade.
Endpoints de API em conformidade	É sua responsabilidade usar um dos endpoints regionais no escopo com o Cloud Storage. Para mais informações, consulte Locais do Cloud Storage.

Restrições da política da organização do Cloud Storage

Restrição da política da organização Descrição

Restrição da política da organização	Descrição
`storage.restrictAuthTypes`	Definido para impedir a autenticação usando o código de autenticação de mensagem baseado em hash (HMAC). Os seguintes tipos são especificados neste valor de restrição: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Por padrão, as chaves HMAC não podem autenticar recursos do Cloud Storage para cargas de trabalho de limite de dados da KSA com justificativas de acesso. As chaves HMAC afetam a soberania dos dados porque podem ser usadas para acessar dados dos clientes sem que eles saibam. Consulte Chaves HMAC na documentação do Cloud Storage. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. Recomendamos manter o valor definido.
`storage.uniformBucketLevelAccess`	Definido como Verdadeiro. O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles. Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.

storage.restrictAuthTypes

Definido para impedir a autenticação usando o código de autenticação de mensagem baseado em hash (HMAC). Os seguintes tipos são especificados neste valor de restrição:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Por padrão, as chaves HMAC não podem autenticar recursos do Cloud Storage para cargas de trabalho de limite de dados da KSA com justificativas de acesso. As chaves HMAC afetam a soberania dos dados porque podem ser usadas para acessar dados dos clientes sem que eles saibam. Consulte Chaves HMAC na documentação do Cloud Storage.

Alterar esse valor pode afetar a soberania de dados na carga de trabalho. Recomendamos manter o valor definido.

storage.uniformBucketLevelAccess Definido como Verdadeiro.

O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles.

Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.

Cloud VPN

Recursos afetados do Cloud VPN

Recurso	Descrição
Console doGoogle Cloud	Os recursos da Cloud VPN não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.
Endpoints de VPN	Use apenas endpoints do Cloud VPN localizados em uma região no escopo. Verifique se o gateway da VPN está configurado para uso apenas em uma região no escopo.

Compute Engine

Recursos afetados do Compute Engine

Recurso	Descrição
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM requerem armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque atualmente não é possível fazer a criptografia deles usando CMEKs. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
Console doGoogle Cloud	Os seguintes recursos do Compute Engine não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI: Verificações de integridade Grupos de endpoints de rede
Como adicionar um grupo de instâncias a um balanceador de carga global	Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Esse recurso foi desativado pela restrição de política da organização `compute.disableGlobalLoadBalancing`.
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Esse recurso foi desativado pela restrição da política da organização `gcp.restrictNonCmekServices`.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEK. Esse recurso foi desativado pela restrição da política da organização `gcp.restrictNonCmekServices`.
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização `compute.trustedImageProjects`. Para mais informações, consulte a página Como criar uma imagem personalizada.
Políticas do SO no VM Manager	Os scripts inline e os arquivos de saída binários nos arquivos de política do SO não são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK). Não inclua informações sensíveis nesses arquivos. Considere armazenar esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte Exemplos de políticas do SO. Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição da política da organização `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para mais informações, consulte Restrições para a Configuração do SO.
`instances.getSerialPortOutput()`	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Ativar o acesso a um projeto.
`instances.getScreenshot()`	Essa API está desativada. Não será possível receber uma captura de tela da instância especificada usando essa API. Mude o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Ativar o acesso a um projeto.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
`compute.enableComplianceMemoryProtection`	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`compute.disableGlobalCloudArmorPolicy`	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras às políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
`compute.disableGlobalLoadBalancing`	Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`. Ativar essa restrição impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte: Ative o SSH para VMs do Windows. Execute o comando a seguir para mudar a senha da VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Substitua: `VM_NAME`: o nome da VM para a qual você está definindo a senha. `USERNAME`: o nome de usuário da pessoa para quem você está definindo a senha. `PASSWORD`: a nova senha.
`compute.disableSshInBrowser`	Definido como Verdadeiro. Desativa a ferramenta de SSH no navegador no console Google Cloud para VMs que usam o Login do SO e VMs de ambiente flexível do App Engine. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Consulte a documentação sobre VMs confidenciais para mais informações.
`compute.trustedImageProjects`	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Dataplex Universal Catalog

Recursos do Dataplex Universal Catalog

Recurso	Descrição
Metadados de aspectos e glossários	Aspectos e glossários não são compatíveis. Não é possível pesquisar ou gerenciar aspectos e glossários nem importar metadados personalizados.
Attribute Store	Esse recurso foi descontinuado e está desativado.
Data Catalog	Esse recurso foi descontinuado e está desativado. Não é possível pesquisar nem gerenciar seus metadados no Data Catalog.
Verificação de qualidade e perfil de dados	A exportação dos resultados da verificação de qualidade de dados não é compatível.
Discovery	Este recurso está desativado. Não é possível executar as verificações de descoberta para extrair metadados dos seus dados.
Lakes e zonas	Este recurso está desativado. Não é possível gerenciar lakes, zonas e tarefas.

Google Cloud Armor

Recursos afetados do Google Cloud Armor

Recurso	Descrição
Políticas de segurança com escopo global	Esse recurso foi desativado pela restrição de política da organização `compute.disableGlobalCloudArmorPolicy`.

Google Kubernetes Engine

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
`container.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Desativa a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.

Pub/Sub

Restrições da política da organização do Pub/Sub

Restrição da política da organização	Descrição
`pubsub.enforceInTransitRegions`	Definido como Verdadeiro. Garante que os dados do cliente transitem somente dentro das regiões permitidas especificadas na política de armazenamento de mensagens para o tópico do Pub/Sub. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`pubsub.managed.disableTopicMessageTransforms`	Definido como Verdadeiro. Impede que os tópicos do Pub/Sub sejam definidos com transformações de mensagem única (SMTs). Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
`pubsub.managed.disableSubscriptionMessageTransforms`	Definido como Verdadeiro. Desativa a definição de assinaturas do Pub/Sub com transformações de mensagens únicas (SMTs). Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.

Spanner

Restrições da política da organização do Spanner

Restrição da política da organização	Descrição
`spanner.assuredWorkloadsAdvancedServiceControls`	Definido como Verdadeiro. Aplica controles adicionais de soberania e capacidade de suporte de dados aos recursos do Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Definido como Verdadeiro. Desativa a capacidade de criar instâncias multirregionais do Spanner para aplicar a residência e a soberania de dados.

A seguir

Saiba como criar uma pasta do Assured Workloads
Entenda os preços do Assured Workloads