部分 Assured Workloads 控制软件包的名称已更改。如需了解名称变更，请参阅控制软件包重命名通知。

此页面由 Cloud Translation API 翻译。

沙特阿拉伯王国 (KSA) 数据边界与访问理由

本页面介绍了在 Assured Workloads 中对具有访问权限正当理由的工作负载应用 KSA 数据边界时所采用的一组控制措施。其中详细介绍了数据留存、支持的 Google Cloud 产品及其 API 端点，以及这些产品适用的任何限制。

以下附加信息适用于沙特阿拉伯数据边界与访问理由：

数据驻留：KSA 数据边界与访问权限正当理由控制软件包将数据位置控制设置为仅支持沙特阿拉伯区域。如需了解详情，请参阅Google Cloud范围的组织政策限制条件部分。
支持：对于 KSA 数据边界（含访问理由）工作负载，您可以通过标准、增强型或高级 Cloud Customer Care 订阅获取技术支持服务。KSA 数据边界与访问理由工作负载支持案例会分配给全球支持人员。如需了解详情，请参阅获取支持。
价格：包含“具有访问权限正当理由的 KSA 数据边界”控制软件包的 Assured Workloads 免费层级不会产生额外费用。如需了解详情，请参阅 Assured Workloads 价格。

前提条件

在通过访问理由将工作负载部署到 KSA 数据边界之前，请验证您是否满足并已完成以下前提条件：

使用 Assured Workloads 创建一个具有访问理由的 KSA 数据边界文件夹，并将工作负载仅部署在该文件夹中。
除非您了解并愿意接受可能发生的数据留存风险，否则请勿更改默认的组织政策限制条件值。
当您访问 Google Cloud 控制台以处理“KSA 数据边界与访问理由”工作负载时，必须使用以下特定于 KSA 的管辖区 Google Cloud 控制台网址之一：
- console.sa.cloud.google.com
- console.sa.cloud.google（适用于联合身份用户）
仅使用提供区域端点的服务所指定的区域端点。如需了解详情，请参阅具有访问权限正当理由服务的 KSA 数据边界。
不妨采纳Google Cloud 安全最佳实践中心提供的一般安全最佳实践。

支持的产品和 API 端点

除非另有说明，否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。下表列出了影响受支持产品的功能的限制，包括通过组织政策限制条件设置强制执行的限制。

如果未列出某个产品，则表示该产品不受支持，并且未满足 KSA 数据边界（含访问权限正当理由）的控制要求。在未尽到合理注意义务且未充分了解您在责任共担模型中的责任之前，不建议使用不受支持的产品。在使用不受支持的产品之前，请确保您了解并愿意接受任何相关风险，例如对数据留存或数据主权产生负面影响。

支持的产品	API 端点	限制或局限
Access Approval	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `accessapproval.googleapis.com`	无
Access Context Manager	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `accesscontextmanager.googleapis.com`	无
Artifact Registry	区域 API 端点： `artifactregistry.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `artifactregistry.googleapis.com`	无
BigQuery	区域 API 端点： `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` `bigquerydatatransfer.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	无
Bigtable	区域 API 端点： `bigtable.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	受影响的功能
Certificate Authority Service	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `privateca.googleapis.com`	无
Cloud Build	区域 API 端点： `cloudbuild.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `cloudbuild.googleapis.com`	无
Cloud DNS	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `dns.googleapis.com`	无
Cloud HSM	区域 API 端点： `cloudkms.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `cloudkms.googleapis.com`	无
Cloud Interconnect	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能
Cloud Key Management Service (Cloud KMS)	区域 API 端点： `cloudkms.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `cloudkms.googleapis.com`	无
Cloud Load Balancing	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无
Cloud Logging	区域 API 端点： `logging.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `logging.googleapis.com`	无
Cloud Monitoring	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `monitoring.googleapis.com`	受影响的功能
Cloud NAT	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无
Cloud Router	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无
Cloud Run	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `run.googleapis.com`	受影响的功能
Cloud SQL	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `sqladmin.googleapis.com`	组织政策限制条件
Cloud Service Mesh	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com` `networksecurity.googleapis.com`	无
Cloud Storage	区域 API 端点： `storage.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `storage.googleapis.com`	受影响的功能和组织政策限制条件
Cloud VPN	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能
Compute Engine	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能和组织政策限制条件
Connect	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	无
Dataflow	区域 API 端点： `dataflow.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `dataflow.googleapis.com` `datapipelines.googleapis.com`	无
Dataplex Universal Catalog	区域 API 端点： `dataplex.me-central2.rep.googleapis.com` `datalineage.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `dataplex.googleapis.com` `datalineage.googleapis.com`	受影响的功能
Dataproc	区域 API 端点： `dataproc.me-central2.rep.googleapis.com` `dataproc-control.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `dataproc-control.googleapis.com` `dataproc.googleapis.com`	无
重要联系人	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `essentialcontacts.googleapis.com`	无
Filestore	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `file.googleapis.com`	无
GKE Hub	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `gkehub.googleapis.com`	无
GKE Identity Service	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `anthosidentityservice.googleapis.com`	无
Google Cloud Armor	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能
Google Cloud 控制台	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `N/A`	无
Google Kubernetes Engine	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `container.googleapis.com` `containersecurity.googleapis.com`	组织政策限制条件
身份和访问权限管理 (IAM)	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `iam.googleapis.com` `policytroubleshooter.googleapis.com`	无
Identity-Aware Proxy (IAP)	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `iap.googleapis.com`	无
Memorystore for Redis	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `redis.googleapis.com`	无
Network Connectivity Center	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `networkconnectivity.googleapis.com`	无
组织政策服务	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `orgpolicy.googleapis.com`	无
Persistent Disk	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无
Pub/Sub	区域 API 端点： `pubsub.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `pubsub.googleapis.com`	组织政策限制条件
Resource Manager	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `cloudresourcemanager.googleapis.com`	无
Resource Settings	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `resourcesettings.googleapis.com`	无
Secret Manager	区域 API 端点： `secretmanager.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `secretmanager.googleapis.com`	无
敏感数据保护	区域 API 端点： `dlp.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `dlp.googleapis.com`	无
Service Directory	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `servicedirectory.googleapis.com`	无
Spanner	区域 API 端点： `spanner.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `spanner.googleapis.com`	组织政策限制条件
VPC Service Controls	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `accesscontextmanager.googleapis.com`	无
Virtual Private Cloud (VPC)	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com` `servicenetworking.googleapis.com`	无

限制和局限

以下部分介绍了功能在 Google Cloud范围或产品范围内的限制，包括在“KSA 数据边界与访问理由”文件夹中默认设置的任何组织政策限制条件。其他适用的组织政策限制条件（即使默认设置未设置）可以提供额外的深度防御，以进一步保护贵组织的 Google Cloud 资源。

Google Cloud宽

受影响的 Google Cloud范围功能

功能	说明
Google Cloud 控制台	如果在使用 KSA 数据边界和访问理由控制软件包时要访问 Google Cloud 控制台，您必须使用以下网址之一： console.me.cloud.google.com console.me.cloud.google（适用于联合身份用户）如需了解详情，请参阅管辖区级 Google Cloud 控制台页面。

Google Cloud范围的组织政策限制条件

以下组织政策限制条件适用于 Google Cloud。

组织政策限制条件	说明
`gcp.resourceLocations`	设置为 `allowedValues` 列表中的以下位置： `me-central2` 此值将新资源的创建限制为仅限所选值。设置此标志后，您将无法在所选区域、多区域位置或其他位置创建任何资源。如需查看可受“资源位置”组织政策限制条件限制的资源列表，请参阅资源位置支持的服务，因为某些资源可能超出范围且无法限制。如果更改此值，则允许在合规的数据边界之外创建或存储数据，从而可能破坏数据驻留。
`gcp.restrictNonCmekServices`	设置为所有范围内的 API 服务名称的列表，包括： `bigquerydatatransfer.googleapis.com` 对于上述每个服务，一些功能可能会受到影响。每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥（而不是 Google 的默认加密机制）加密静态数据。如果通过从列表中移除一个或多个范围内的服务来更改此值，则可能会破坏数据主权，因为系统会使用 Google 自己的密钥（而不是您自己的密钥）自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
`gcp.restrictServiceUsage`	设置为允许所有受支持的产品和 API 端点。通过限制对资源进行运行时访问，确定哪些服务可以使用。如需了解详情，请参阅限制资源使用。
`gcp.restrictTLSVersion`	设置为拒绝以下 TLS 版本： `TLS_1_0` `TLS_1_1` 如需了解详情，请参阅限制 TLS 版本页面。

Bigtable

受影响的 Bigtable 功能

功能	说明
Data Boost	此功能处于禁用状态。

Cloud Interconnect

受影响的 Cloud Interconnect 功能

功能	说明
高可用性 (HA) VPN	将 Cloud Interconnect 与 Cloud VPN 搭配使用时，您必须启用高可用性 (HA) VPN 功能。此外，您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。

Cloud Monitoring

受影响的 Cloud Monitoring 功能

功能	说明
合成监控工具	此功能处于禁用状态。
拨测	此功能处于禁用状态。
信息中心中的日志面板 widget	此功能处于禁用状态。您无法向信息中心添加日志面板。
信息中心内的错误报告面板 widget	此功能处于禁用状态。您无法向信息中心添加错误报告面板。
`EventAnnotation` 中的过滤条件（适用于信息中心）	此功能处于禁用状态。无法在信息中心内设置 `EventAnnotation` 的过滤条件。
`SqlCondition` 在 `alertPolicies` 中	此功能处于禁用状态。您无法向 `alertPolicy` 添加 `SqlCondition`。

Cloud Run

受影响的 Cloud Run 功能

功能	说明
不受支持的功能	不支持以下 Cloud Run 功能： Cloud Trace 集成 Cloud Run functions Eventarc 触发器

Cloud SQL

Cloud SQL 组织政策限制条件

组织政策限制条件	说明
`sql.restrictNoncompliantDiagnosticDataAccess`	设置为 True。对 Cloud SQL 资源应用额外的数据主权和可支持性控制。更改此值可能会影响工作负载的数据驻留或数据主权。
`sql.restrictNoncompliantResourceCreation`	设置为 True。应用额外的数据主权控制措施，以防止创建不合规的 Cloud SQL 资源。更改此值可能会影响工作负载的数据驻留或数据主权。

Cloud Storage

受影响的 Cloud Storage 功能

功能	说明
Google Cloud 控制台	您有责任使用管辖区级 Google Cloud 控制台来设置具有访问权限正当理由的 KSA 数据边界。Jurisdictional 控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象，请参阅以下合规的 API 端点行。
符合要求的 API 端点	您有责任将 Cloud Storage 与适用范围内的区域端点搭配使用。如需了解详情，请参阅 Cloud Storage 位置。

Cloud Storage 组织政策限制条件

组织政策限制条件说明

组织政策限制条件	说明
`storage.restrictAuthTypes`	设置为防止使用基于哈希的消息认证码 (HMAC) 进行身份验证。此限制值中指定了以下类型： `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` 默认情况下，系统会阻止 HMAC 密钥对具有访问原因工作负载的 KSA 数据边界 Cloud Storage 资源进行身份验证。HMAC 密钥会影响数据主权，因为它们可用于在客户不知情的情况下访问客户数据。请参阅 Cloud Storage 文档中的 HMAC 密钥。更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。
`storage.uniformBucketLevelAccess`	设置为 True。您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储分区的访问权限。此限制条件可为存储分区及其内容提供精细的权限。如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

storage.restrictAuthTypes

设置为防止使用基于哈希的消息认证码 (HMAC) 进行身份验证。此限制值中指定了以下类型：

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

默认情况下，系统会阻止 HMAC 密钥对具有访问原因工作负载的 KSA 数据边界 Cloud Storage 资源进行身份验证。HMAC 密钥会影响数据主权，因为它们可用于在客户不知情的情况下访问客户数据。请参阅 Cloud Storage 文档中的 HMAC 密钥。

更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。

storage.uniformBucketLevelAccess 设置为 True。

您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储分区的访问权限。此限制条件可为存储分区及其内容提供精细的权限。

如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

Cloud VPN

受影响的 Cloud VPN 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台不支持 Cloud VPN 功能。请改用 API 或 Google Cloud CLI。
VPN 端点	您必须仅使用位于适用范围内的区域中的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在适用区域中使用。

Compute Engine

受影响的 Compute Engine 功能

功能	说明
暂停和恢复虚拟机实例	此功能处于禁用状态。暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
本地 SSD	此功能处于禁用状态。无法创建具有本地 SSD 的实例，因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
Google Cloud 控制台	Google Cloud 控制台中不提供以下 Compute Engine 功能。请改用 API 或 Google Cloud CLI：健康检查网络端点组
将实例组添加到全球负载均衡器	您无法将实例组添加到全局负载均衡器。此功能已因 `compute.disableGlobalLoadBalancing` 组织政策限制而被停用。
暂停和恢复虚拟机实例	此功能处于禁用状态。暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间无法使用 CMEK 加密。此功能已因`gcp.restrictNonCmekServices`组织政策限制而被停用。
本地 SSD	此功能处于禁用状态。无法创建具有本地 SSD 的实例，因为它们无法使用 CMEK 进行加密。此功能已因`gcp.restrictNonCmekServices`组织政策限制而被停用。
客机环境	客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置，系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等，请参阅客机环境。这些组件可帮助您通过内部安全控制和流程满足数据主权。不过，如果您需要额外控制，还可以挑选自己的映像或代理，并选择性地使用 `compute.trustedImageProjects` 组织政策限制条件。如需了解详情，请参阅构建自定义映像页面。
虚拟机管理器中的操作系统政策	操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。请勿在这些文件中包含任何敏感信息。不妨考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情，请参阅操作系统政策示例。如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源，请启用 `constraints/osconfig.restrictInlineScriptAndOutputFileUsage` 组织政策限制条件。如需了解详情，请参阅 OS Config 的限制。
`instances.getSerialPortOutput()`	此 API 已停用；您将无法使用此 API 从指定实例获取串行端口输出。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。
`instances.getScreenshot()`	此 API 已停用；您将无法使用此 API 从指定实例获取屏幕截图。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。

Compute Engine 组织政策限制条件

组织政策限制条件	说明
`compute.enableComplianceMemoryProtection`	设置为 True。停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。更改此值可能会影响工作负载的数据驻留或数据主权。
`compute.disableGlobalCloudArmorPolicy`	设置为 True。禁止创建新的Google Cloud Armor 全局安全政策，以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则，也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。
`compute.disableGlobalLoadBalancing`	设置为 True。禁止创建全球负载均衡产品。更改此值可能会影响工作负载的数据驻留或数据主权。
`compute.disableInstanceDataAccessApis`	设置为 True。全局停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。启用此限制条件后，您将无法在 Windows Server 虚拟机上生成凭据。如果您需要管理 Windows 虚拟机上的用户名和密码，请执行以下操作：为 Windows 虚拟机启用 SSH。运行以下命令可更改虚拟机的密码： gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" 替换以下内容： `VM_NAME`：您要设置密码的虚拟机的名称。 `USERNAME`：您要为其设置密码的用户的用户名。 `PASSWORD`：新密码。
`compute.disableSshInBrowser`	设置为 True。针对使用 OS Login 的虚拟机和 App Engine 柔性环境虚拟机，停用 Google Cloud 控制台中的“在浏览器中使用 SSH”工具。更改此值可能会影响工作负载的数据驻留或数据主权。
`compute.restrictNonConfidentialComputing`	（可选）不设置值。设置此值可提供额外的深度防御。如需了解详情，请参阅机密虚拟机文档。
`compute.trustedImageProjects`	（可选）不设置值。设置此值可提供额外的深度防御。设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理，从而影响数据主权。

Dataplex Universal Catalog

Dataplex Universal Catalog 功能

功能	说明
切面和术语表元数据	不支持方面和术语表。您无法搜索或管理切面和术语库，也无法导入自定义元数据。
Attribute Store	此功能已弃用并已停用。
Data Catalog	此功能已弃用并已停用。您无法在 Data Catalog 中搜索或管理元数据。
数据质量和数据分析扫描	不支持导出数据质量扫描结果。
发现广告	此功能处于停用状态。您无法运行 Discovery 扫描来从数据中提取元数据。
湖泊和可用区	此功能处于停用状态。您无法管理数据湖、区域和任务。

Google Cloud Armor

受影响的 Google Cloud Armor 功能

功能	说明
全球范围的安全政策	此功能已因组织政策限制而被停用。 `compute.disableGlobalCloudArmorPolicy`

Google Kubernetes Engine

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件	说明
`container.restrictNoncompliantDiagnosticDataAccess`	设置为 True。停用内核问题的汇总分析，这是维护工作负载的主权所必需的。更改此值可能会影响工作负载的数据驻留或数据主权。

Pub/Sub

Pub/Sub 组织政策限制条件

组织政策限制条件	说明
`pubsub.enforceInTransitRegions`	设置为 True。确保客户数据只在 Pub/Sub 主题的消息存储政策中指定的允许区域内传输。更改此值可能会影响工作负载的数据驻留或数据主权。
`pubsub.managed.disableTopicMessageTransforms`	设置为 True。禁止为 Pub/Sub 主题设置单条消息转换 (SMT)。更改此值可能会影响工作负载的数据驻留或数据主权。
`pubsub.managed.disableSubscriptionMessageTransforms`	设置为 True。禁止为 Pub/Sub 订阅设置单条消息转换 (SMT)。更改此值可能会影响工作负载的数据驻留或数据主权。

Spanner

Spanner 组织政策限制条件

组织政策限制条件	说明
`spanner.assuredWorkloadsAdvancedServiceControls`	设置为 True。对 Spanner 资源应用额外的数据主权和支持性控制。
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	设置为 True。禁止创建多区域 Spanner 实例，以强制执行数据驻留和数据主权。

后续步骤

了解如何创建 Assured Workloads 文件夹
了解 Assured Workloads 价格