Límite de datos de Italia de PSN

En esta página, se describe el conjunto de controles que se aplican en el límite de datos de Italia a las carpetas de PSN en Controles soberanos operados por socios. Proporciona información detallada sobre los productos Google Cloud compatibles y sus extremos de API, así como las restricciones o limitaciones aplicables a esos productos.

Consulta el sitio de PSN Italy Data Boundary by PSN para obtener más información sobre esta oferta.

Productos y extremos de API compatibles

A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos compatibles a través de la consola de Google Cloud . En la siguiente tabla, se indican las restricciones o limitaciones que afectan las funciones de un producto compatible, incluidas las que se aplican a través de la configuración de restricciones de políticas de la organización.

Si un producto no aparece en la lista, significa que no es compatible y que no cumple con los requisitos de control del límite de datos de Italia de PSN. No se recomienda usar los productos no admitidos sin la debida diligencia y una comprensión exhaustiva de tus responsabilidades en el modelo de responsabilidad compartida. Antes de usar un producto no compatible, asegúrate de conocer y aceptar los riesgos asociados, como los impactos negativos en la residencia o la soberanía de los datos.

Producto compatible extremos de API Restricciones o limitaciones
Access Context Manager accesscontextmanager.googleapis.com
 Ninguno
Transparencia de acceso accessapproval.googleapis.com
 Ninguno
Artifact Registry artifactregistry.googleapis.com
 Ninguno
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerydatatransfer.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
 Funciones afectadas
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
 Funciones afectadas
Certificate Authority Service privateca.googleapis.com
 Ninguno
Cloud Composer composer.googleapis.com
 Ninguno
Compute Engine compute.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Connect gkeconnect.googleapis.com
connectgateway.googleapis.com
 Ninguno
Sensitive Data Protection dlp.googleapis.com
 Ninguno
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
 Ninguno
Dataplex Universal Catalog dataplex.googleapis.com
datalineage.googleapis.com
 Funciones afectadas
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
 Funciones afectadas
Cloud DNS dns.googleapis.com
 Ninguno
Filestore file.googleapis.com
 Ninguno
GKE Identity Service anthosidentityservice.googleapis.com
 Ninguno
GKE Hub gkehub.googleapis.com
 Ninguno
Google Cloud Armor compute.googleapis.com
 Funciones afectadas
Administración de identidades y accesos (IAM) iam.googleapis.com
 Ninguno
Identity-Aware Proxy iap.googleapis.com
 Ninguno
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
 Restricciones de las políticas de la organización
Cloud HSM cloudkms.googleapis.com
 Ninguno
Cloud External Key Manager (Cloud EKM) cloudkms.googleapis.com
 Ninguno
Google Kubernetes Engine container.googleapis.com
containersecurity.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Cloud Load Balancing compute.googleapis.com
 Funciones afectadas
Cloud Logging logging.googleapis.com
 Funciones afectadas
Cloud Monitoring monitoring.googleapis.com
 Funciones afectadas
Memorystore para Redis redis.googleapis.com
 Ninguno
Network Connectivity Center networkconnectivity.googleapis.com
 Ninguno
Cloud NAT networkconnectivity.googleapis.com
 Ninguno
Cloud Router networkconnectivity.googleapis.com
 Ninguno
Cloud Interconnect networkconnectivity.googleapis.com
 Funciones afectadas
Servicio de políticas de la organización orgpolicy.googleapis.com
 Ninguno
Persistent Disk compute.googleapis.com
 Ninguno
Pub/Sub pubsub.googleapis.com
 Ninguno
Resource Manager cloudresourcemanager.googleapis.com
 Ninguno
Cloud Run run.googleapis.com
 Funciones afectadas
Cloud Service Mesh mesh.googleapis.com
meshconfig.googleapis.com
trafficdirector.googleapis.com
networkservices.google.com
 Ninguno
Secret Manager secretmanager.googleapis.com
 Ninguno
Directorio de servicios servicedirectory.googleapis.com
 Ninguno
Spanner spanner.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Speech-to-Text speech.googleapis.com
 Ninguno
Cloud SQL sqladmin.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Cloud Storage storage.googleapis.com
 Restricciones de las políticas de la organización
Nube privada virtual (VPC) compute.googleapis.com
 Ninguno
Controles del servicio de VPC accesscontextmanager.googleapis.com
 Ninguno
Cloud VPN compute.googleapis.com
 Ninguno
Copia de seguridad para GKE gkebackup.googleapis.com
 Ninguno
Cloud Build cloudbuild.googleapis.com
 Funciones afectadas
Cloud Workstations workstations.googleapis.com
 Ninguno
Reglas de seguridad de Firebase firebaserules.googleapis.com
 Ninguno
Firestore firestore.googleapis.com
 Ninguno
Secure Source Manager securesourcemanager.googleapis.com
 Ninguno

Restricciones y limitaciones

En las siguientes secciones, se describen las restricciones o limitaciones a nivel de la nube o específicas del producto para las funciones, incluidas las restricciones de políticas de la organización que se establecen de forma predeterminada en la frontera de datos de Italia por las carpetas de PSN.

Google Cloudde ancho

Restricciones de las políticas de la organización enGoogle Cloud

Las siguientes restricciones de política de la organización se aplican en Google Cloud.

Restricción de las políticas de la organización Descripción
gcp.resourceLocations Establece las siguientes ubicaciones en la lista allowedValues:
  • europe-west8
  • europe-west12
Este valor restringe la creación de recursos nuevos a los valores seleccionados. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la selección. Consulta Servicios compatibles con las ubicaciones de recursos para obtener una lista de los recursos que se pueden restringir con la restricción de la política de la organización Ubicaciones de recursos, ya que algunos recursos pueden estar fuera del alcance y no se pueden restringir.

Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con los requisitos.
gcp.restrictCmekCryptoKeyProjects Se establece en under:organizations/your-organization-name, que es tu organización de Sovereign Controls by Partners. Puedes restringir aún más este valor si especificas un proyecto o una carpeta.

Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de Cloud KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance.
gcp.restrictNonCmekServices Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes:
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • documentai.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • workstations.googleapis.com
Algunas funciones pueden verse afectadas por cada uno de los servicios mencionados anteriormente.

Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). La CMEK encripta los datos en reposo con una clave administrada por ti, no con los mecanismos de encriptación predeterminados de Google.

Si cambias este valor mediante la eliminación de uno o más servicios dentro del alcance de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente con las propias claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
gcp.restrictServiceUsage Se configura para permitir todos los productos y extremos de API compatibles.

Determina qué servicios se pueden usar restringiendo el acceso en el tiempo de ejecución a sus recursos. Para obtener más información, consulta Cómo restringir el uso de recursos.
gcp.restrictTLSVersion Se establece para rechazar las siguientes versiones de TLS:
  • TLS_1_0
  • TLS_1_1
Para obtener más información, consulta Restringe las versiones de TLS.

BigQuery

Funciones de BigQuery afectadas

Función Descripción
Cómo habilitar BigQuery en una carpeta nueva BigQuery es compatible, pero no se habilita automáticamente cuando creas una carpeta nueva de Assured Workloads debido a un proceso de configuración interno. Este proceso suele finalizar en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
  1. En la consola de Google Cloud , ve a la página Assured Workloads.

    Ir a Assured Workloads

  2. Selecciona tu nueva carpeta de Assured Workloads en la lista.
  3. En la página Folder Details, en la sección Allowed services, haz clic en Review Available Updates.
  4. En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización Restricción del uso de recursos de la carpeta. Si se enumeran los servicios de BigQuery, haz clic en Allow Services para agregarlos.

    Si no se muestran los servicios de BigQuery, espera a que se complete el proceso interno. Si los servicios no aparecen en un plazo de 12 horas después de la creación de la carpeta, comunícate con Atención al cliente de Cloud.

Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta de Assured Workloads.

Assured Workloads no admite Gemini en BigQuery.
Características no compatibles Las siguientes funciones de BigQuery no son compatibles y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para los controles soberanos de los socios.
Integraciones no admitidas No se admiten las siguientes integraciones de BigQuery. Es tu responsabilidad no usarlos con BigQuery para los Controles Soberanos de Socios.
  • Los métodos de API CreateTag, SearchCatalog, Bulk tagging y Business Glossary de la API de Data Catalog procesan y almacenan datos técnicos de una manera no compatible. Es tu responsabilidad no usar esos métodos para los Controles soberanos operados por socios.
APIs de BigQuery compatibles Se admiten las siguientes APIs de BigQuery:
Regiones BigQuery es compatible con todas las regiones de BigQuery de la UE, excepto la multirregión de la UE. No se puede garantizar el cumplimiento si se crea un conjunto de datos en una multirregión de la UE, en una región que no sea de la UE o en una multirregión que no sea de la UE. Es tu responsabilidad especificar una región que cumpla con los requisitos cuando crees conjuntos de datos de BigQuery.

Si se envía una solicitud de lista de datos de la tabla con una región de la UE, pero el conjunto de datos se creó en otra región de la UE, BigQuery no puede inferir qué región querías usar y la operación fallará con un mensaje de error "No se encontró el conjunto de datos".
CLI de BigQuery Se admite la CLI de BigQuery.

SDK de Google Cloud Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
Controles del administrador BigQuery inhabilitará las APIs no admitidas, pero los administradores con permisos suficientes para crear carpetas de Controles Soberanos Operados por Socios pueden habilitar una API no admitida. Si esto ocurre, recibirás una notificación sobre el posible incumplimiento a través del panel de supervisión de Assured Workloads.
Carga datos No se admiten los conectores del Servicio de transferencia de datos de BigQuery para las aplicaciones de software como servicio (SaaS) de Google, los proveedores externos de almacenamiento en la nube ni los almacenes de datos. Es tu responsabilidad no utilizar los conectores del Servicio de transferencia de datos de BigQuery para las cargas de trabajo del límite de datos de Italia de PSN.
Transferencias de terceros BigQuery no verifica la compatibilidad con las transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad verificar la compatibilidad cuando uses cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery.
Modelos de BQML que no cumplen con los requisitos Los modelos de BQML entrenados de forma externa no son compatibles.
Trabajos de consulta Los trabajos de consulta solo se deben crear en las carpetas de Controles soberanos operados por socios.
Consultas sobre conjuntos de datos en otros proyectos BigQuery no impide que se realicen consultas a los conjuntos de datos de Socios de Controles Soberanos desde proyectos que no sean de Socios de Controles Soberanos. Debes asegurarte de que cualquier consulta que tenga una lectura o una unión en los datos de Sovereign Controls by Partners se coloque en las carpetas de Sovereign Controls by Partners. Puedes especificar un nombre de tabla completo para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
Cloud Logging BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar tus buckets de registros de _default o restringir los buckets de _default a las regiones dentro del alcance para mantener el cumplimiento con el siguiente comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Para obtener más información, consulta Regionaliza tus registros.

Bigtable

Funciones de Bigtable afectadas

Función Descripción
Data Boost Se inhabilitó esta función.
Límites de división Bigtable usa un pequeño subconjunto de claves de fila para definir los límites de división, que pueden incluir datos y metadatos del cliente. Un límite de división en Bigtable indica la ubicación en la que los rangos contiguos de filas de una tabla se dividen en tablets.

El personal de Google puede acceder a estos límites de división para brindar asistencia técnica y depurar, y no están sujetos a los controles de acceso a los datos administrativos en los Controles soberanos de los socios.

Cloud Build

Funciones de Cloud Build afectadas

Función Descripción
Cómo generar la procedencia de la compilación Esta función no es compatible y no se debe usar con el límite de datos de Italia de PSN. Las compilaciones configuradas con options.requestedVerifyOption: VERIFIED pueden fallar debido a dependencias no admitidas. Para evitar errores de compilación, quita esta opción de tu configuración de Cloud Build.

Cloud Interconnect

Funciones de Cloud Interconnect afectadas

Función Descripción
VPN con alta disponibilidad (HA) Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en la sección Funciones afectadas de Cloud VPN.

Cloud KMS

Restricciones de las políticas de la organización de Cloud KMS

Restricción de las políticas de la organización Descripción
cloudkms.allowedProtectionLevels Se configura para permitir la creación de CryptoKeys de Cloud Key Management Service con los siguientes niveles de protección:
  • EXTERNAL
  • EXTERNAL_VPC
Consulta Niveles de protección para obtener más información.

Cloud Load Balancing

Funciones de Cloud Load Balancing afectadas

Función Descripción
Consola deGoogle Cloud Las funciones de Cloud Load Balancing no están disponibles en la consola de Google Cloud . En su lugar, usa la API o Google Cloud CLI.
Balanceadores de cargas regionales Solo debes usar balanceadores de cargas regionales con el límite de datos de Italia de PSN. Para obtener más información sobre la configuración de los balanceadores de cargas regionales, consulta las siguientes páginas:

Cloud Logging

Funciones de Cloud Logging afectadas

Función Descripción
Receptores de registros Los filtros no deben contener datos del cliente.

Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos del cliente.
Entradas de registro de transmisión de registros en tiempo real Los filtros no deben contener datos del cliente.

Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos del cliente.
Alertas basadas en registros Se inhabilitó esta función.

No puedes crear alertas basadas en registros en la Google Cloud consola.
URLs reducidas para las consultas del Explorador de registros Se inhabilitó esta función.

No puedes crear URLs acortadas de consultas en la Google Cloud consola.
Cómo guardar consultas en el Explorador de registros Se inhabilitó esta función.

No puedes guardar ninguna consulta en la consola de Google Cloud .
Análisis de registros con BigQuery Se inhabilitó esta función.

No puedes usar la función de estadísticas de registros.
Políticas de alertas basadas en SQL Se inhabilitó esta función.

No puedes usar la función de políticas de alertas basadas en SQL.

Cloud Monitoring

Funciones de Cloud Monitoring afectadas

Función Descripción
Monitor sintético Se inhabilitó esta función.
Verificaciones de tiempo de actividad Se inhabilitó esta función.
Widgets del panel de registros en Paneles Se inhabilitó esta función.

No puedes agregar un panel de registros a un panel.
Widgets del panel de Error Reporting en Paneles Se inhabilitó esta función.

No puedes agregar un panel de informes de errores a un panel.
Filtro en EventAnnotation para Paneles Se inhabilitó esta función.

El filtro de EventAnnotation no se puede establecer en un panel.
SqlCondition en alertPolicies Se inhabilitó esta función.

No puedes agregar un SqlCondition a un alertPolicy.

Cloud Run

Funciones de Cloud Run afectadas

Función Descripción
Características no compatibles No se admiten las siguientes funciones de Cloud Run:

Cloud SQL

Funciones de Cloud SQL afectadas

Función Descripción
Estadísticas de consultas Cuando se implementa una instancia de Cloud SQL, Estadísticas de consultas solo se puede usar si no se habilitan las etiquetas de la aplicación. Si las etiquetas de aplicación están habilitadas, recibirás un mensaje de error cuando intentes usar Estadísticas de la búsqueda.

Restricciones de las políticas de la organización de Cloud SQL

Restricción de las políticas de la organización Descripción
sql.restrictNoncompliantDiagnosticDataAccess Configurado como True.

Aplica controles adicionales de soberanía y compatibilidad de datos a los recursos de Cloud SQL.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
sql.restrictNoncompliantResourceCreation Configurado como True.

Aplica controles adicionales de soberanía de los datos para evitar la creación de recursos de Cloud SQL que no cumplan con las normas.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.

Cloud Storage

Funciones de Cloud Storage afectadas

Función Descripción
Consola deGoogle Cloud Para mantener el cumplimiento de ITAR, es tu responsabilidad usar la consola de Google Cloud jurisdiccional. La consola jurisdiccional impide la carga y descarga de objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la fila Extremos de API que cumplen con los requisitos en esta sección.
Extremos de API que cumplen con los requisitos Debes usar uno de los extremos regionales que cumplen con la ITAR con Cloud Storage. Consulta los extremos regionales de Cloud Storage y las ubicaciones de Cloud Storage para obtener más información.
Restricciones Debes usar extremos regionales de Cloud Storage para cumplir con la ITAR. Para obtener más información sobre los extremos regionales de Cloud Storage para la ITAR, consulta Extremos regionales de Cloud Storage.

Los extremos regionales no admiten las siguientes operaciones. Sin embargo, estas operaciones no transfieren Datos del Cliente, como se definen en las condiciones del servicio de residencia de datos. Por lo tanto, puedes usar extremos globales para estas operaciones según sea necesario sin incumplir el cumplimiento de la ITAR:
Copiar y reescribir para objetos Los extremos regionales admiten las operaciones de copia y reescritura de objetos si los buckets de origen y destino se encuentran en la región especificada en el extremo. Sin embargo, no puedes usar extremos regionales para copiar o reescribir un objeto de un bucket a otro si los buckets existen en ubicaciones diferentes. Es posible usar extremos globales para copiar o reescribir contenido en diferentes ubicaciones, pero no lo recomendamos, ya que puede incumplir el cumplimiento de la ITAR.

Restricciones de la política de la organización de Cloud Storage

Restricción de las políticas de la organización Descripción
storage.restrictAuthTypes

Se configura para evitar la autenticación con el código de autenticación de mensajes basado en hash (HMAC). En este valor de restricción, se especifican los siguientes tipos:

  • USER_ACCOUNT_HMAC_SIGNED_REQUESTS
  • SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS
De forma predeterminada, las claves HMAC no pueden autenticarse en los recursos de Cloud Storage para el límite de datos de Italia por las cargas de trabajo de PSN. Las claves de HMAC afectan la soberanía de los datos porque se pueden usar para acceder a los datos del cliente sin su conocimiento. Consulta las claves HMAC en la documentación de Cloud Storage.

Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.
storage.uniformBucketLevelAccess Configurado como True.

El acceso a los buckets nuevos se administra con políticas de IAM en lugar de listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos específicos para los buckets y su contenido.

Si se crea un bucket mientras está habilitada esta restricción, el acceso a la ruta nunca se puede administrar con LCA. En otras palabras, el método de control de acceso para un bucket se establece de forma permanente con las políticas de IAM en lugar de las LCA de Cloud Storage.

Compute Engine

Funciones de Compute Engine afectadas

Función Descripción
Suspende y reanuda una instancia de VM Se inhabilitó esta función.

La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar actualmente con CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
SSD locales Se inhabilitó esta función.

No podrás crear una instancia con SSD locales porque no se pueden encriptar con CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de soberanía y residencia de datos de habilitar esta función.
Suspende y reanuda una instancia de VM Se inhabilitó esta función.

La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar con CMEK.

Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
SSD locales Se inhabilitó esta función.

No podrás crear una instancia con SSD locales porque no se pueden encriptar con CMEK.

Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
Entorno huésped Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de tu VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más.

Estos componentes te ayudan a cumplir con la soberanía de los datos a través de procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización compute.trustedImageProjects.

Para obtener más información, consulta Compila una imagen personalizada.
Políticas del SO en VM Manager Los archivos de salida binarios y las secuencias de comandos intercaladas dentro de los archivos de políticas del SO no se encriptan con claves de encriptación administradas por el cliente (CMEK). No incluyas información sensible en estos archivos. Considera almacenar estos archivos de salida y secuencias de comandos en buckets de Cloud Storage. Para obtener más información, consulta Ejemplos de políticas del SO.

Si deseas restringir la creación o modificación de recursos de políticas del SO que usan secuencias de comandos intercaladas o archivos de salida binarios, habilita la restricción de la política de la organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Para obtener más información, consulta Restricciones para OS Config.
instances.getSerialPortOutput() Esta API está inhabilitada. No podrás obtener la salida del puerto en serie de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso para un proyecto.
instances.getScreenshot() Esta API está inhabilitada. No podrás obtener una captura de pantalla de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso para un proyecto.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización Descripción
compute.enableComplianceMemoryProtection Configurado como True.

Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
compute.disableGlobalCloudArmorPolicy Configurado como True.

Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad de Google Cloud Armor globales existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes.
compute.disableInstanceDataAccessApis Configurado como True.

Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot().

Habilitar esta restricción impide que generes credenciales en las VMs de Windows Server.

Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
  1. Habilita SSH para VMs de Windows.
  2. Ejecuta el siguiente comando para cambiar la contraseña de la VM: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    Reemplaza lo siguiente:
    • VM_NAME: Es el nombre de la VM para la que configuras la contraseña.
    • USERNAME: Es el nombre de usuario para el que establecerás la contraseña.
    • PASSWORD: Es la contraseña nueva.
compute.disableSshInBrowser Configurado como True.

Inhabilita la herramienta SSH en el navegador en la Google Cloud consola para las VMs que usan el Acceso al SO y las VMs del entorno flexible de App Engine.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
compute.restrictNonConfidentialComputing

 (Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la documentación de Confidential VM.
compute.trustedImageProjects

 (Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional.

Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados.

Dataplex Universal Catalog

Funciones de Dataplex Universal Catalog

Función Descripción
Attribute Store Esta función está obsoleta y se inhabilitó.
Data Catalog Esta función está obsoleta y se inhabilitó. No puedes buscar ni administrar tus metadatos en Data Catalog.
Lakes y zonas Se inhabilitó esta función. No puedes administrar lakes, zonas ni tareas.

Dataproc

Funciones de Dataproc afectadas

Función Descripción
Consola deGoogle Cloud Actualmente, Dataproc no admite la consola de Jurisdicción Google Cloud . Para aplicar la residencia de datos, asegúrate de usar Google Cloud CLI o la API cuando uses Dataproc.

Google Cloud Armor

Funciones de Google Cloud Armor afectadas

Función Descripción
Políticas de seguridad con alcance global Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalCloudArmorPolicy.

Google Kubernetes Engine

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización Descripción
container.restrictNoncompliantDiagnosticDataAccess Configurado como True.

Inhabilita el análisis agregado de los problemas del kernel, que es necesario para mantener el control soberano de una carga de trabajo.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.

Spanner

Funciones de Spanner afectadas

Función Descripción
Límites de división Spanner usa un pequeño subconjunto de claves primarias y columnas indexadas para definir los límites de división, que pueden incluir datos y metadatos del cliente. Un límite de división en Spanner indica la ubicación en la que los rangos contiguos de filas se dividen en partes más pequeñas.

El personal de Google puede acceder a estos límites de división para brindar asistencia técnica y depurar, y no están sujetos a los controles de acceso a los datos administrativos en los Controles soberanos de los socios.

Restricciones de las políticas de la organización de Spanner

Restricción de las políticas de la organización Descripción
spanner.assuredWorkloadsAdvancedServiceControls Configurado como True.

Aplica controles adicionales de soberanía y capacidad de asistencia de los datos a los recursos de Spanner.
spanner.disableMultiRegionInstanceIfNoLocationSelected Configurado como True.

Inhabilita la capacidad de crear instancias de Spanner multirregionales para aplicar la residencia y la soberanía de los datos.