Cette page décrit l'ensemble des contrôles appliqués aux dossiers PSN dans la limite de données de l'Italie dans les Contrôles souverains fournis par les partenaires. Il fournit des informations détaillées sur les produits Google Cloud pris en charge et leurs points de terminaison d'API, ainsi que sur les restrictions ou limites applicables à ces produits.
Pour en savoir plus sur cette offre, consultez le site PSN Italy Data Boundary by PSN.
Produits et points de terminaison d'API compatibles
Sauf indication contraire, les utilisateurs peuvent accéder à tous les produits compatibles via la console Google Cloud . Les restrictions ou limitations qui affectent les fonctionnalités d'un produit compatible, y compris celles appliquées par le biais des paramètres de contraintes des règles d'administration, sont listées dans le tableau suivant.
Si un produit n'est pas listé, cela signifie qu'il n'est pas pris en charge et qu'il ne répond pas aux exigences de contrôle pour la limite de données de l'Italie par PSN. Il n'est pas recommandé d'utiliser des produits non compatibles sans avoir fait preuve de diligence raisonnable et sans avoir parfaitement compris vos responsabilités dans le modèle de responsabilité partagée. Avant d'utiliser un produit non compatible, assurez-vous d'être conscient des risques associés et de les accepter, comme les impacts négatifs sur la résidence ou la souveraineté des données.
| Produit concerné | points de terminaison de l'API | Restrictions ou limites |
|---|---|---|
| Access Context Manager |
accesscontextmanager.googleapis.com |
Aucun |
| Access Transparency |
accessapproval.googleapis.com |
Aucun |
| Artifact Registry |
artifactregistry.googleapis.com |
Aucun |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Fonctionnalités concernées |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Fonctionnalités concernées |
| Certificate Authority Service |
privateca.googleapis.com |
Aucun |
| Cloud Composer |
composer.googleapis.com |
Aucun |
| Compute Engine |
compute.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Connect |
gkeconnect.googleapis.comconnectgateway.googleapis.com |
Aucun |
| Sensitive Data Protection |
dlp.googleapis.com |
Aucun |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Aucun |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Fonctionnalités concernées |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Fonctionnalités concernées |
| Cloud DNS |
dns.googleapis.com |
Aucun |
| Filestore |
file.googleapis.com |
Aucun |
| Service d'identité GKE |
anthosidentityservice.googleapis.com |
Aucun |
| GKE Hub |
gkehub.googleapis.com |
Aucun |
| Google Cloud Armor |
compute.googleapis.com |
Fonctionnalités concernées |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Aucun |
| Identity-Aware Proxy |
iap.googleapis.com |
Aucun |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Contraintes liées aux règles d'administration |
| Cloud HSM |
cloudkms.googleapis.com |
Aucun |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Aucun |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Cloud Load Balancing |
compute.googleapis.com |
Fonctionnalités concernées |
| Cloud Logging |
logging.googleapis.com |
Fonctionnalités concernées |
| Cloud Monitoring |
monitoring.googleapis.com |
Fonctionnalités concernées |
| Memorystore pour Redis |
redis.googleapis.com |
Aucun |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Aucun |
| Cloud NAT |
networkconnectivity.googleapis.com |
Aucun |
| Cloud Router |
networkconnectivity.googleapis.com |
Aucun |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
Fonctionnalités concernées |
| Service de règles d'administration |
orgpolicy.googleapis.com |
Aucun |
| Persistent Disk |
compute.googleapis.com |
Aucun |
| Pub/Sub |
pubsub.googleapis.com |
Aucun |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Aucun |
| Cloud Run |
run.googleapis.com |
Fonctionnalités concernées |
| Cloud Service Mesh |
mesh.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.google.com |
Aucun |
| Secret Manager |
secretmanager.googleapis.com |
Aucun |
| Annuaire des services |
servicedirectory.googleapis.com |
Aucun |
| Spanner |
spanner.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Speech-to-Text |
speech.googleapis.com |
Aucun |
| Cloud SQL |
sqladmin.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Cloud Storage |
storage.googleapis.com |
Contraintes liées aux règles d'administration |
| Cloud privé virtuel (VPC) |
compute.googleapis.com |
Aucun |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Aucun |
| Cloud VPN |
compute.googleapis.com |
Aucun |
| Sauvegarde pour GKE |
gkebackup.googleapis.com |
Aucun |
| Cloud Build |
cloudbuild.googleapis.com |
Fonctionnalités concernées |
| Cloud Workstations |
workstations.googleapis.com |
Aucun |
| Règles de sécurité Firebase |
firebaserules.googleapis.com |
Aucun |
| Firestore |
firestore.googleapis.com |
Aucun |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Aucun |
Restrictions et limitations
Les sections suivantes décrivent les restrictions ou limites applicables à l'ensemble du cloud ou à des produits spécifiques, y compris les contraintes liées aux règles d'administration qui sont définies par défaut sur les dossiers PSN de la limite de données de l'Italie.
Google Cloudde large
Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud
Les contraintes de règles d'administration suivantes s'appliquent à Google Cloud.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez les emplacements suivants dans la liste allowedValues :
Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme. |
gcp.restrictCmekCryptoKeyProjects |
Définissez la valeur sur under:organizations/your-organization-name, qui correspond à votre organisation "Contrôles souverains par les partenaires". Vous pouvez restreindre davantage cette valeur en spécifiant un projet ou un dossier.Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés Cloud KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou projets non approuvés de fournir des clés de chiffrement, ce qui permet de garantir la souveraineté des données au repos pour les services concernés. |
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). CMEK chiffre les données au repos à l'aide d'une clé que vous gérez, et non à l'aide des mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées avec la clé que vous avez fournie. |
gcp.restrictServiceUsage |
Définissez-le pour autoriser tous les produits et points de terminaison d'API compatibles. Détermine les services pouvant être utilisés en limitant l'accès du runtime à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources. |
gcp.restrictTLSVersion |
Définissez les versions TLS suivantes sur "Refuser" :
|
BigQuery
Fonctionnalités BigQuery concernées
| Fonctionnalité | Description |
|---|---|
| Activer BigQuery dans un nouveau dossier | BigQuery est compatible, mais n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Cette opération prend normalement dix minutes, mais peut durer beaucoup plus longtemps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit :
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. Gemini dans BigQuery n'est pas compatible avec Assured Workloads. |
| Fonctionnalités non compatibles | Les fonctionnalités BigQuery suivantes ne sont pas compatibles et ne doivent pas être utilisées dans la CLI BigQuery. Il vous incombe de ne pas les utiliser dans BigQuery pour les contrôles de souveraineté par les partenaires.
|
| Intégrations non compatibles | Les intégrations BigQuery suivantes ne sont pas compatibles. Il vous incombe de ne pas les utiliser avec BigQuery pour les contrôles de souveraineté par les partenaires.
|
| API BigQuery compatibles | Les API BigQuery suivantes sont compatibles : |
| Régions | BigQuery est compatible avec toutes les régions BigQuery de l'UE, à l'exception de la région multirégionale de l'UE. La conformité ne peut pas être garantie si un ensemble de données est créé dans une région multirégionale de l'UE, dans une région non européenne ou dans une région multirégionale non européenne. Il vous incombe de spécifier une région conforme lorsque vous créez des ensembles de données BigQuery. Si une requête de liste de données de table est envoyée à l'aide d'une région de l'UE, mais que l'ensemble de données a été créé dans une autre région de l'UE, BigQuery ne peut pas déduire la région que vous souhaitiez utiliser. L'opération échouera et affichera le message d'erreur "Ensemble de données introuvable". |
| CLI BigQuery | L'interface de ligne de commande BigQuery est compatible.
|
| SDK Google Cloud | Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour garantir la régionalisation des données techniques. Pour vérifier votre version actuelle de Google Cloud SDK, exécutez gcloud --version, puis gcloud components update pour passer à la version la plus récente.
|
| Commandes d'administration | BigQuery désactivera les API non compatibles, mais les administrateurs disposant des autorisations suffisantes pour créer des dossiers de contrôles de souveraineté des données par les partenaires peuvent activer une API non compatible. Si cela se produit, vous serez informé d'un éventuel non-respect des règles via le tableau de bord de surveillance Assured Workloads. |
| Charger des données | Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) de Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas compatibles. Il vous incombe de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour les charges de travail PSN dans la limite de données de l'Italie. |
| Transferts tiers | BigQuery ne vérifie pas la compatibilité des transferts tiers avec le service de transfert de données BigQuery. Il vous incombe de vérifier la compatibilité lorsque vous utilisez un transfert tiers pour le service de transfert de données BigQuery. |
| Modèles BQML non conformes | Les modèles BQML entraînés en externe ne sont pas acceptés. |
| Tâches de requête | Les tâches de requête ne doivent être créées que dans les dossiers Contrôles de souveraineté des données par les partenaires. |
| Requêtes sur des ensembles de données dans d'autres projets | BigQuery n'empêche pas d'interroger les ensembles de données Sovereign Controls by Partners à partir de projets autres que Sovereign Controls by Partners. Vous devez vous assurer que toute requête qui effectue une lecture ou une jointure sur les données des contrôles de souveraineté des données par les partenaires est placée dans les dossiers des contrôles de souveraineté des données par les partenaires. Vous pouvez spécifier un nom de table complet pour le résultat de la requête à l'aide de projectname.dataset.table dans la CLI BigQuery.
|
| Cloud Logging | BigQuery utilise Cloud Logging pour certaines de vos données de journaux. Vous devez désactiver vos buckets de journaux _default ou limiter les buckets _default aux régions concernées pour rester conforme à l'aide de la commande suivante :gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Pour en savoir plus, consultez Régionaliser vos journaux. |
Bigtable
Fonctionnalités Bigtable concernées
| Fonctionnalité | Description |
|---|---|
| Data Boost | Cette fonctionnalité est désactivée. |
| Limites de fractionnement | Bigtable utilise un petit sous-ensemble de clés de ligne pour définir les limites de fractionnement, qui peuvent inclure des données et des métadonnées client. Dans Bigtable, une limite de fractionnement indique l'emplacement où des plages contiguës de lignes d'une table sont fractionnées en tablets. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans les contrôles souverains par les partenaires. |
Cloud Build
Fonctionnalités Cloud Build concernées
| Fonctionnalité | Description |
|---|---|
| Générer la provenance de la compilation | Cette fonctionnalité n'est pas compatible et ne doit pas être utilisée avec la limite de données pour l'Italie de PSN. Les compilations configurées avec options.requestedVerifyOption: VERIFIED peuvent échouer en raison de dépendances non compatibles. Pour éviter les échecs de compilation, supprimez cette option de votre configuration Cloud Build.
|
Cloud Interconnect
Fonctionnalités Cloud Interconnect concernées
| Fonctionnalité | Description |
|---|---|
| VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. Vous devez également respecter les exigences de chiffrement et de régionalisation listées dans la section Fonctionnalités Cloud VPN concernées. |
Cloud KMS
Contraintes applicables aux règles d'administration Cloud KMS
| Contrainte liée aux règles d'administration | Description |
|---|---|
cloudkms.allowedProtectionLevels |
Définissez cette option pour autoriser la création de clés CryptoKeys Cloud Key Management Service avec les niveaux de protection suivants :
|
Cloud Load Balancing
Fonctionnalités Cloud Load Balancing concernées
| Fonctionnalité | Description |
|---|---|
| ConsoleGoogle Cloud | Les fonctionnalités Cloud Load Balancing ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI. |
| Équilibreurs de charge régionaux | Vous ne devez utiliser que des équilibreurs de charge régionaux avec le périmètre de données italien de PSN. Pour en savoir plus sur la configuration des équilibreurs de charge régionaux, consultez les pages suivantes : |
Cloud Logging
Fonctionnalités Cloud Logging concernées
| Fonctionnalité | Description |
|---|---|
| Récepteurs de journaux | Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres stockés en tant que configuration. Ne créez pas de filtres contenant des données client. |
| Affichage en direct des dernières lignes des entrées de journal | Les filtres ne doivent pas contenir de données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. La journalisation continue ne stocke aucune donnée d'entrée de journal, mais peut interroger et transmettre des données entre les régions. Ne créez pas de filtres contenant des données client. |
| Alertes basées sur les journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud . |
| URL raccourcies pour les requêtes de l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud . |
| Enregistrer des requêtes dans l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud . |
| Analyse de journaux avec BigQuery | Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité d'analyse des journaux. |
| Règles d'alerte basées sur SQL | Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité de règles d'alerte basées sur SQL. |
Cloud Monitoring
Fonctionnalités Cloud Monitoring concernées
| Fonctionnalité | Description |
|---|---|
| Surveillance synthétique | Cette fonctionnalité est désactivée. |
| Tests de disponibilité | Cette fonctionnalité est désactivée. |
| Widgets du panneau des journaux dans Tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journaux à un tableau de bord. |
| Widgets du panneau Error Reporting dans Tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement des erreurs à un tableau de bord. |
Filtrer dans
EventAnnotation
pour les tableaux de bord
|
Cette fonctionnalité est désactivée. Le filtre EventAnnotation
ne peut pas être défini dans un tableau de bord.
|
SqlCondition
dans alertPolicies
|
Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de SqlCondition
à un
alertPolicy.
|
Cloud Run
Fonctionnalités Cloud Run concernées
| Fonctionnalité | Description |
|---|---|
| Fonctionnalités non compatibles |
� |
Cloud SQL
Fonctionnalités Cloud SQL concernées
| Fonctionnalité | Description |
|---|---|
| Insights sur les requêtes | Lorsque vous déployez une instance Cloud SQL, vous ne pouvez utiliser Insights sur les requêtes que si les tags d'application ne sont pas activés. Si les tags d'application sont activés, un message d'erreur s'affiche lorsque vous essayez d'utiliser les insights sur les requêtes. |
Contraintes applicables aux règles d'administration Cloud SQL
| Contrainte liée aux règles d'administration | Description |
|---|---|
sql.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Applique des contrôles supplémentaires de souveraineté et d'assistance des données aux ressources Cloud SQL. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
sql.restrictNoncompliantResourceCreation |
Défini sur True. Applique des contrôles supplémentaires sur la souveraineté des données pour empêcher la création de ressources Cloud SQL non conformes. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
Cloud Storage
Fonctionnalités Cloud Storage concernées
| Fonctionnalité | Description |
|---|---|
| ConsoleGoogle Cloud | Pour assurer la conformité ITAR, il est de votre responsabilité d'utiliser la console Google Cloud juridictionnelle. La console juridictionnelle empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison d'API conformes dans cette section. |
| Points de terminaison d'API conformes | Vous devez utiliser l'un des points de terminaison régionaux conformes à l'ITAR avec Cloud Storage. Pour en savoir plus, consultez Points de terminaison régionaux Cloud Storage et Emplacements Cloud Storage. |
| Restrictions | Pour respecter l'ITAR, vous devez utiliser des points de terminaison régionaux Cloud Storage. Pour en savoir plus sur les points de terminaison régionaux Cloud Storage pour l'ITAR, consultez Points de terminaison régionaux Cloud Storage. Les opérations suivantes ne sont pas compatibles avec les points de terminaison régionaux. Toutefois, ces opérations ne transportent pas de données client telles que définies dans les Conditions d'utilisation du service de résidence des données. Par conséquent, vous pouvez utiliser des points de terminaison globaux pour ces opérations si nécessaire, sans enfreindre la conformité ITAR : |
| Copier et réécrire pour les objets | Les opérations de copie et de réécriture d'objets sont acceptées par les points de terminaison régionaux si les buckets source et de destination se trouvent dans la région spécifiée dans le point de terminaison. Toutefois, vous ne pouvez pas utiliser de points de terminaison régionaux pour copier ou réécrire un objet d'un bucket à un autre si les buckets se trouvent dans des emplacements différents. Il est possible d'utiliser des points de terminaison globaux pour copier ou réécrire des données entre différents lieux, mais nous ne le recommandons pas, car cela peut enfreindre la conformité ITAR. |
Contraintes applicables aux règles d'administration Cloud Storage
| Contrainte liée aux règles d'administration | Description |
|---|---|
storage.restrictAuthTypes |
Défini pour empêcher l'authentification à l'aide du code HMAC (Hash-based Message Authentication Code). Les types suivants sont spécifiés dans cette valeur de contrainte :
La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons vivement de conserver la valeur définie. |
storage.uniformBucketLevelAccess |
Défini sur True. L'accès aux nouveaux buckets est géré à l'aide de stratégies IAM au lieu des listes de contrôle d'accès (LCA) Cloud Storage. Cette contrainte fournit des autorisations précises pour les buckets et leur contenu. Si un bucket est créé alors que cette contrainte est activée, l'accès à celui-ci ne pourra jamais être géré à l'aide de LCA. En d'autres termes, la méthode de contrôle des accès pour un bucket est définitivement définie sur l'utilisation de stratégies IAM au lieu des LCA Cloud Storage. |
Compute Engine
Fonctionnalités Compute Engine concernées
| Fonctionnalité | Description |
|---|---|
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
|
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut pas être chiffré avec CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
|
| Environnement invité | Il est possible que les scripts, les daemons et les binaires inclus dans l'environnement invité accèdent aux données non chiffrées au repos et en cours d'utilisation. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et d'autres informations spécifiques à chaque package, consultez Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et des processus de sécurité internes. Toutefois, si vous souhaitez exercer un contrôle supplémentaire, vous pouvez également organiser vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects.
Pour en savoir plus, consultez Créer une image personnalisée. |
| Règles d'OS dans VM Manager |
Les scripts intégrés et les fichiers de sortie binaires dans les fichiers de règles d'OS ne sont pas chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). N'incluez aucune information sensible dans ces fichiers. Envisagez de stocker ces scripts et fichiers de sortie dans des buckets Cloud Storage. Pour en savoir plus, consultez Exemples de règles d'OS. Si vous souhaitez limiter la création ou la modification de ressources de règles d'OS qui utilisent des scripts intégrés ou des fichiers de sortie binaires, activez la contrainte de règle d'administration constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Pour en savoir plus, consultez Contraintes pour OS Config. |
instances.getSerialPortOutput()
|
Cette API est désactivée. Vous ne pourrez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.
|
instances.getScreenshot() |
Cette API est désactivée. Vous ne pourrez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.
|
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.enableComplianceMemoryProtection |
Défini sur True. Désactive certaines fonctionnalités de diagnostic interne pour mieux protéger le contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
compute.disableGlobalCloudArmorPolicy |
Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles dans les stratégies de sécurité Google Cloud Armor globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la suppression ou la modification de la description et du recensement des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les règles de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur. |
compute.disableInstanceDataAccessApis
| Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et
instances.getScreenshot().L'activation de cette contrainte vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit :
|
compute.disableSshInBrowser
| Défini sur True. Désactive l'outil SSH dans le navigateur dans la console Google Cloud pour les VM qui utilisent OS Login et les VM d'environnement flexible App Engine. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
compute.restrictNonConfidentialComputing |
(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur les Confidential VM. |
compute.trustedImageProjects |
(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur.
La définition de cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés. |
Dataplex Universal Catalog
Fonctionnalités de Dataplex Universal Catalog
| Fonctionnalité | Description |
|---|---|
| Attribute Store | Cette fonctionnalité est obsolète et désactivée. |
| Data Catalog | Cette fonctionnalité est obsolète et désactivée. Vous ne pouvez pas rechercher ni gérer vos métadonnées dans Data Catalog. |
| Lacs et zones | Cette fonctionnalité est désactivée. Vous ne pouvez pas gérer les lacs, les zones ni les tâches. |
Dataproc
Fonctionnalités Dataproc concernées
| Fonctionnalité | Description |
|---|---|
| ConsoleGoogle Cloud | Dataproc n'est actuellement pas compatible avec la console Google Cloud juridictionnelle. Pour appliquer la résidence des données, assurez-vous d'utiliser Google Cloud CLI ou l'API lorsque vous utilisez Dataproc. |
Google Cloud Armor
Fonctionnalités Google Cloud Armor concernées
| Fonctionnalité | Description |
|---|---|
| Stratégies de sécurité à l'échelle mondiale | Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration compute.disableGlobalCloudArmorPolicy.
|
Google Kubernetes Engine
Contraintes liées aux règles d'administration Google Kubernetes Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Désactive l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
Spanner
Fonctionnalités Spanner concernées
| Fonctionnalité | Description |
|---|---|
| Limites de fractionnement | Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir les limites de fractionnement, qui peuvent inclure des données client et des métadonnées. Dans Spanner, une limite de fractionnement indique l'emplacement où des plages contiguës de lignes sont divisées en éléments plus petits. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans les contrôles souverains par les partenaires. |
Contraintes liées aux règles d'administration Spanner
| Contrainte liée aux règles d'administration | Description |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Défini sur True. Applique des contrôles supplémentaires de souveraineté et d'assistance pour les ressources Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Défini sur True. Désactive la possibilité de créer des instances Spanner multirégionales pour appliquer la résidence et la souveraineté des données. |