沙特阿拉伯王国数据边界高级版(由 CNTXT 提供)

本页介绍了在“合作伙伴提供的主权控制”中应用于“CNTXT 提供的高级沙特阿拉伯王国数据边界”文件夹的一组控制措施。其中详细介绍了受支持的 Google Cloud 产品及其 API 端点,以及适用于这些产品的任何限制。

如需详细了解此服务,请访问 CNTXT 网站,查看沙特阿拉伯王国数据边界高级版(由 CNTXT 提供)

支持的产品和 API 端点

下表列出了会影响受支持产品的功能的限制,包括通过组织政策限制条件设置强制执行的限制。如果产品未列出,则表示该产品不受支持,并且不符合 CNTXT 提供的沙特阿拉伯王国数据边界高级控制要求。在未尽到应有的注意义务并充分了解责任共担模型中您的责任之前,不建议使用不受支持的产品。在使用不受支持的产品之前,请确保您了解并愿意接受任何相关风险,例如对数据留存或数据主权产生负面影响。

在其 API 操作中与客户数据互动的服务提供区域性 API 端点。在沙特阿拉伯王国数据边界高级版(由 CNTXT 提供)中,必须使用这些端点,而不是服务的全球 API 端点。对于 API 操作不与客户数据互动的服务,可以使用全球 API 端点。如需了解详情,请参阅 Assured Workloads 数据驻留页面。

支持的产品 API 端点 限制或局限
Access Transparency 不支持区域 API 端点。

全局 API 端点:
  • accessapproval.googleapis.com
Artifact Registry 区域 API 端点:
  • artifactregistry.me-central2.rep.googleapis.com


全局 API 端点:
  • artifactregistry.googleapis.com
BigQuery 区域 API 端点:
  • bigquery.me-central2.rep.googleapis.com
  • bigqueryconnection.me-central2.rep.googleapis.com
  • bigqueryreservation.me-central2.rep.googleapis.com
  • bigquerystorage.me-central2.rep.googleapis.com


全局 API 端点:
  • bigquery.googleapis.com
  • bigqueryconnection.googleapis.com
  • bigquerydatapolicy.googleapis.com
  • bigqueryreservation.googleapis.com
  • bigquerystorage.googleapis.com
 受影响的功能
Bigtable 区域 API 端点:
  • bigtable.me-central2.rep.googleapis.com


全局 API 端点:
  • bigtable.googleapis.com
  • bigtableadmin.googleapis.com
 受影响的功能
Compute Engine 不支持区域 API 端点。

全局 API 端点:
  • compute.googleapis.com
 受影响的功能组织政策限制条件
敏感数据保护 区域 API 端点:
  • dlp.me-central2.rep.googleapis.com


全局 API 端点:
  • dlp.googleapis.com
Dataflow 区域 API 端点:
  • dataflow.me-central2.rep.googleapis.com


全局 API 端点:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
Dataplex Universal Catalog 区域 API 端点:
  • dataplex.me-central2.rep.googleapis.com


全局 API 端点:
  • dataplex.googleapis.com
  • datalineage.googleapis.com
 受影响的功能
Dataproc 区域 API 端点:
  • dataproc.me-central2.rep.googleapis.com


全局 API 端点:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
 受影响的功能
Cloud DNS 不支持区域 API 端点。

全局 API 端点:
  • dns.googleapis.com
重要联系人 不支持区域 API 端点。

全局 API 端点:
  • essentialcontacts.googleapis.com
Filestore 不支持区域 API 端点。

全局 API 端点:
  • file.googleapis.com
Cloud Next Generation Firewall 不支持区域 API 端点。

全局 API 端点:
  • compute.googleapis.com
Google Cloud Armor 不支持区域 API 端点。

全局 API 端点:
  • compute.googleapis.com
 受影响的功能
身份和访问权限管理 (IAM) 不支持区域 API 端点。

全局 API 端点:
  • iam.googleapis.com
Identity-Aware Proxy 不支持区域 API 端点。

全局 API 端点:
  • iap.googleapis.com
Cloud Key Management Service (Cloud KMS) 区域 API 端点:
  • cloudkms.me-central2.rep.googleapis.com


全局 API 端点:
  • cloudkms.googleapis.com
 组织政策限制条件
Cloud HSM 区域 API 端点:
  • cloudkms.me-central2.rep.googleapis.com


全局 API 端点:
  • cloudkms.googleapis.com
Cloud External Key Manager (Cloud EKM) 区域 API 端点:
  • cloudkms.me-central2.rep.googleapis.com


全局 API 端点:
  • cloudkms.googleapis.com
Google Kubernetes Engine 不支持区域 API 端点。

全局 API 端点:
  • container.googleapis.com
  • containersecurity.googleapis.com
 受影响的功能组织政策限制条件
GKE Hub 不支持区域 API 端点。

全局 API 端点:
  • gkehub.googleapis.com
Cloud Load Balancing 不支持区域 API 端点。

全局 API 端点:
  • compute.googleapis.com
 受影响的功能
Cloud Logging 区域 API 端点:
  • logging.me-central2.rep.googleapis.com


全局 API 端点:
  • logging.googleapis.com
 受影响的功能
Cloud Monitoring 不支持区域 API 端点。

全局 API 端点:
  • monitoring.googleapis.com
 受影响的功能
Network Connectivity Center 不支持区域 API 端点。

全局 API 端点:
  • networkconnectivity.googleapis.com
Cloud NAT 不支持区域 API 端点。

全局 API 端点:
  • networkconnectivity.googleapis.com
Cloud Router 不支持区域 API 端点。

全局 API 端点:
  • networkconnectivity.googleapis.com
Cloud Interconnect 不支持区域 API 端点。

全局 API 端点:
  • networkconnectivity.googleapis.com
 受影响的功能
组织政策服务 不支持区域 API 端点。

全局 API 端点:
  • orgpolicy.googleapis.com
Persistent Disk 不支持区域 API 端点。

全局 API 端点:
  • compute.googleapis.com
Pub/Sub 区域 API 端点:
  • pubsub.me-central2.rep.googleapis.com


全局 API 端点:
  • pubsub.googleapis.com
Resource Manager 不支持区域 API 端点。

全局 API 端点:
  • cloudresourcemanager.googleapis.com
Cloud Run 不支持区域 API 端点。

全局 API 端点:
  • run.googleapis.com
 受影响的功能
Secret Manager 区域 API 端点:
  • secretmanager.me-central2.rep.googleapis.com


全局 API 端点:
  • secretmanager.googleapis.com
Service Directory 不支持区域 API 端点。

全局 API 端点:
  • servicedirectory.googleapis.com
Spanner 区域 API 端点:
  • spanner.me-central2.rep.googleapis.com


全局 API 端点:
  • spanner.googleapis.com
 受影响的功能组织政策限制条件
Cloud SQL 不支持区域 API 端点。

全局 API 端点:
  • sqladmin.googleapis.com
 受影响的功能组织政策限制条件
Cloud Storage 区域 API 端点:
  • storage.me-central2.rep.googleapis.com


全局 API 端点:
  • storage.googleapis.com
 组织政策限制条件
虚拟私有云 不支持区域 API 端点。

全局 API 端点:
  • compute.googleapis.com
VPC Service Controls 不支持区域 API 端点。

全局 API 端点:
  • accesscontextmanager.googleapis.com
Cloud VPN 不支持区域 API 端点。

全局 API 端点:
  • compute.googleapis.com
Firebase 安全规则 不支持区域 API 端点。

全局 API 端点:
  • firebaserules.googleapis.com
Cloud Workstations 不支持区域 API 端点。

全局 API 端点:
  • workstations.googleapis.com
Secure Source Manager 不支持区域 API 端点。

全局 API 端点:
  • securesourcemanager.googleapis.com

限制和局限

以下部分介绍了功能在整个云端或特定产品中的限制,包括 CNTXT 针对沙特阿拉伯王国数据边界高级版文件夹默认设置的任何组织政策限制条件。

Google Cloud宽

受影响的 Google Cloud范围功能

功能 说明
Google Cloud 控制台 使用 CNTXT 推动的沙特阿拉伯王国数据边界高级控制软件包时,如需访问 Google Cloud 控制台,您必须使用以下网址之一:

Google Cloud范围的组织政策限制条件

以下组织政策限制条件适用于 Google Cloud。

组织政策限制条件 说明
gcp.resourceLocations 设置为 allowedValues 列表中的以下位置:
  • me-central2
此值将新资源的创建限制为仅限所选值。设置此标志后,您将无法在所选区域、多区域位置或其他位置创建任何资源。如需查看可受“资源位置”组织政策限制条件限制的资源列表,请参阅资源位置支持的服务,因为某些资源可能不在范围内,无法受到限制。

如果更改此值,则允许更少的数据在合规的数据边界之外创建或存储,从而可能破坏数据驻留。
gcp.restrictNonCmekServices 设置为所有范围内的 API 服务名称的列表,包括:
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • documentai.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • workstations.googleapis.com
对于上述每个服务,一些功能可能会受到影响。

每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 使用您管理的密钥(而不是 Google 的默认加密机制)加密静态数据。

如果通过从列表中移除一个或多个范围内的服务来更改此值,则可能会破坏数据主权,因为系统会使用 Google 自己的密钥(而不是您自己的密钥)自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
gcp.restrictServiceUsage 设置为允许所有受支持的产品和 API 端点

通过限制对资源进行运行时访问,确定哪些服务可以使用。如需了解详情,请参阅限制资源使用
gcp.restrictTLSVersion 设置为拒绝以下 TLS 版本:
  • TLS_1_0
  • TLS_1_1
如需了解详情,请参阅限制 TLS 版本

BigQuery

受影响的 BigQuery 功能

功能 说明
在新文件夹中启用 BigQuery BigQuery 受支持,但由于内部配置流程,在您创建新的 Assured Workloads 文件夹时,系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery,请完成以下步骤:
  1. 在 Google Cloud 控制台中,前往 Assured Workloads 页面。

    前往 Assured Workloads

  2. 从列表中选择新的 Assured Workloads 文件夹。
  3. 文件夹详情页面上的允许的服务部分中,点击查看可用更新
  4. 允许的服务窗格中,查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务,请点击允许服务以添加这些服务。

    如果未列出 BigQuery 服务,请等待内部进程完成。如果服务在文件夹创建后的 12 小时内未列出,请与 Cloud Customer Care 联系。

启用流程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。

Assured Workloads 不支持 Gemini in BigQuery。
不受支持的功能 以下 BigQuery 功能不受支持,不应在 BigQuery CLI 中使用。您有责任不在 BigQuery 中使用这些模型来满足合作伙伴的自主控制要求。
不受支持的集成 以下 BigQuery 集成不受支持。您有责任不将这些功能与合作伙伴的 BigQuery 主权控制功能搭配使用。
  • Data Catalog APICreateTagSearchCatalogBulk taggingBusiness Glossary API 方法以不受支持的方式处理和存储技术数据。您有责任不将这些方法用于 Sovereign Controls by Partners。
支持的 BigQuery API 支持以下 BigQuery API:
BigQuery CLI 支持 BigQuery CLI。

Google Cloud SDK 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。
管理员控制功能 BigQuery 将停用不受支持的 API,但有足够权限创建“合作伙伴主权控制”文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您将通过 Assured Workloads 监控信息中心收到有关可能不合规的通知。
正在加载数据 不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于 Kingdom of Saudi Arabia Data Boundary Advanced by CNTXT 工作负载。
第三方转移作业 BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移作业来使用 BigQuery Data Transfer Service 时,您有责任验证支持情况。
不合规的 BQML 模型 不支持外部训练的 BQML 模型
查询作业 查询作业应仅在 Sovereign Controls by Partners 文件夹中创建。
针对其他项目中的数据集的查询 BigQuery 不会阻止从非“Sovereign Controls by Partners”项目查询“Sovereign Controls by Partners”数据集。您应确保对 Sovereign Controls by Partners 数据进行读取或联接的任何查询都放置在 Sovereign Controls by Partners 文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为查询结果指定完全限定的表名称
Cloud Logging BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 _default 日志存储分区或将 _default 存储分区限制为仅限使用适用范围内的区域,以保持合规性。为此,请使用以下命令:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

如需了解详情,请参阅区域化存储日志

Bigtable

受影响的 Bigtable 功能

功能 说明
Data Boost 此功能处于禁用状态。
分块边界 Bigtable 使用一小部分行键来定义分块边界,这些行键可能包含客户数据和元数据。Bigtable 中的分片边界表示表中的连续行范围被拆分为多个片的位置。

Google 人员可以出于技术支持和调试目的访问这些拆分边界,并且这些边界不受 Sovereign Controls by Partners 中的管理员权限数据控制的约束。

Cloud Interconnect

受影响的 Cloud Interconnect 功能

功能 说明
高可用性 (HA) VPN 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。

Cloud KMS

Cloud KMS 组织政策限制条件

组织政策限制条件 说明
cloudkms.allowedProtectionLevels 设置为允许创建具有以下保护级别的 Cloud Key Management Service CryptoKey:
  • EXTERNAL
  • EXTERNAL_VPC
如需了解详情,请参阅保护级别

Cloud Load Balancing

受影响的 Cloud Load Balancing 功能

功能 说明
Google Cloud 控制台 Google Cloud 控制台不支持 Cloud Load Balancing 功能。请改用 API 或 Google Cloud CLI
区域级负载均衡器 您必须仅使用区域级负载平衡器,并搭配 CNTXT 的沙特阿拉伯王国数据边界高级版。如需详细了解如何配置区域级负载平衡器,请参阅以下页面:

Cloud Logging

受影响的 Cloud Logging 功能

功能 说明
日志接收器 过滤条件不应包含客户数据。

日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。
Live Tailing 日志条目 过滤条件不应包含客户数据。

Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。
基于日志的提醒 此功能处于禁用状态。

您无法在 Google Cloud 控制台中创建基于日志的提醒。
日志浏览器查询的缩短的网址 此功能处于禁用状态。

您无法在 Google Cloud 控制台中创建查询的缩短网址。
在日志浏览器中保存查询 此功能处于禁用状态。

您无法在 Google Cloud 控制台中保存任何查询。
使用 BigQuery 的 Log Analytics 此功能处于禁用状态。

您无法使用日志分析功能。
基于 SQL 的提醒政策 此功能处于禁用状态。

您无法使用基于 SQL 的提醒政策功能。

Cloud Monitoring

受影响的 Cloud Monitoring 功能

功能 说明
合成监控工具 此功能处于禁用状态。
拨测 此功能处于禁用状态。
信息中心中的日志面板 widget 此功能处于禁用状态。

您无法向信息中心添加日志面板。
信息中心内的错误报告面板 widget 此功能处于禁用状态。

您无法向信息中心添加错误报告面板。
信息中心中的过滤条件 EventAnnotation 此功能处于禁用状态。

无法在信息中心内设置 EventAnnotation 的过滤条件。
alertPolicies 中的 SqlCondition 此功能处于禁用状态。

您无法向 alertPolicy 添加 SqlCondition

Cloud Run

受影响的 Cloud Run 功能

功能 说明
不受支持的功能 不支持以下 Cloud Run 功能:

Cloud SQL

受影响的 Cloud SQL 功能

功能 说明
Query Insights 部署 Cloud SQL 实例时,只有在未启用应用标记的情况下才能使用查询数据分析。如果启用了应用标记,您在尝试使用查询洞见时会收到错误消息。

Cloud SQL 组织政策限制条件

组织政策限制条件 说明
sql.restrictNoncompliantDiagnosticDataAccess 设置为 True

对 Cloud SQL 资源应用额外的数据主权和可支持性控制。

更改此值可能会影响工作负载的数据驻留或数据主权。
sql.restrictNoncompliantResourceCreation 设置为 True

应用额外的数据主权控制措施,以防止创建不合规的 Cloud SQL 资源。

更改此值可能会影响工作负载的数据驻留或数据主权。

Cloud Storage

受影响的 Cloud Storage 功能

功能 说明
Google Cloud 控制台 为了保持 ITAR 合规性,您有责任使用管辖区级 Google Cloud 控制台。 Jurisdictional 控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象,请参阅本部分中的合规的 API 端点行。
符合要求的 API 端点 您必须将符合 ITAR 要求的区域端点与 Cloud Storage 搭配使用。如需了解详情,请参阅 Cloud Storage 区域端点Cloud Storage 位置
限制 您必须使用 Cloud Storage 区域端点才能符合 ITAR 要求。如需详细了解 ITAR 的 Cloud Storage 区域端点,请参阅 Cloud Storage 区域端点

区域端点不支持以下操作。不过,这些操作不会携带数据驻留服务条款中定义的客户数据。 因此,您可以根据需要使用这些操作的全局端点,而不会违反 ITAR 合规性要求:
复制和重写对象 如果源存储分区和目标存储分区都位于端点中指定的区域,则区域端点支持针对对象的复制和重写操作。不过,如果存储桶位于不同的位置,则无法使用区域级端点将对象从一个存储桶复制或重写到另一个存储桶。虽然可以使用全局端点跨位置复制或重写,但我们不建议这样做,因为这可能会违反 ITAR 合规性。

Cloud Storage 组织政策限制条件

组织政策限制条件 说明
storage.restrictAuthTypes

设置为防止使用基于哈希的消息认证码 (HMAC) 进行身份验证。此限制值中指定了以下类型:

  • USER_ACCOUNT_HMAC_SIGNED_REQUESTS
  • SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS
默认情况下,HMAC 密钥无法对沙特阿拉伯王国数据边界高级版(由 CNTXT 工作负载管理)的 Cloud Storage 资源进行身份验证。HMAC 密钥会影响数据主权,因为它们可用于在客户不知情的情况下访问客户数据。请参阅 Cloud Storage 文档中的 HMAC 密钥

更改此值可能会影响工作负载中的数据主权;我们强烈建议您保留此值。
storage.uniformBucketLevelAccess 设置为 True

您可以使用 IAM 政策(而不是 Cloud Storage 访问控制列表 (ACL))管理对新存储分区的访问权限。 此限制条件可为存储分区及其内容提供精细的权限。

如果在启用此限制条件时创建存储桶,则无法使用 ACL 管理对该存储桶的访问。换句话说,存储桶的访问权限控制方法已永久设置为使用 IAM 政策,而不是 Cloud Storage ACL。

Compute Engine

受影响的 Compute Engine 功能

功能 说明
暂停和恢复虚拟机实例 此功能处于禁用状态。

暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。 请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。
本地 SSD 此功能处于禁用状态。

无法创建具有本地 SSD 的实例,因为它们无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。
Google Cloud 控制台

Google Cloud 控制台中不提供以下 Compute Engine 功能。请改用 API 或 Google Cloud CLI:
将实例组添加到全球负载均衡器 您无法将实例组添加到全局负载均衡器。

此功能已因compute.disableGlobalLoadBalancing组织政策限制而被停用。
暂停和恢复虚拟机实例 此功能处于禁用状态。

暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间无法使用 CMEK 加密。

此功能已通过gcp.restrictNonCmekServices组织政策限制条件停用。
本地 SSD 此功能处于禁用状态。

无法创建具有本地 SSD 的实例,因为它们无法使用 CMEK 进行加密。

此功能已通过gcp.restrictNonCmekServices组织政策限制条件停用。
客机环境 客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境

这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您需要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。

如需了解详情,请参阅构建自定义映像
虚拟机管理器中的操作系统政策 操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。请勿在这些文件中包含任何敏感信息。不妨考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情,请参阅操作系统政策示例

如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源,请启用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 组织政策限制条件。

如需了解详情,请参阅 OS Config 的限制
instances.getSerialPortOutput() 此 API 已停用。您将无法使用此 API 从指定实例获取串行端口输出。

compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False,以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。
instances.getScreenshot() 此 API 已停用。您将无法使用此 API 从指定实例获取屏幕截图。

compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False,以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。

Compute Engine 组织政策限制条件

组织政策限制条件 说明
compute.enableComplianceMemoryProtection 设置为 True

停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。

更改此值可能会影响工作负载的数据驻留或数据主权。
compute.disableGlobalCloudArmorPolicy 设置为 True

禁止创建新的 Google Cloud Armor 安全政策,以及向现有的 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。
compute.disableGlobalLoadBalancing 设置为 True

禁止创建全球负载均衡产品。

更改此值可能会影响工作负载的数据驻留或数据主权。
compute.disableInstanceDataAccessApis 设置为 True

全局停用 instances.getSerialPortOutput()instances.getScreenshot() API。

启用此限制条件后,您将无法在 Windows Server 虚拟机上生成凭据

如果您需要在 Windows 虚拟机上管理用户名和密码,请执行以下操作:
  1. 为 Windows 虚拟机启用 SSH
  2. 运行以下命令可更改虚拟机的密码: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    替换以下内容:
    • VM_NAME:您要设置密码的虚拟机的名称。
    • USERNAME:您要为其设置密码的用户的用户名。
    • PASSWORD:新密码。
compute.disableSshInBrowser 设置为 True

针对使用 OS Login 的虚拟机和 App Engine 柔性环境虚拟机,停用 Google Cloud 控制台内“浏览器中的 SSH”工具。

更改此值可能会影响工作负载的数据驻留或数据主权。
compute.restrictNonConfidentialComputing

 (可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档
compute.trustedImageProjects

 (可选)不设置值。设置此值可提供额外的深度防御。

设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。

Dataplex Universal Catalog

Dataplex Universal Catalog 功能

功能 说明
属性商店 此功能已弃用并已停用。
Data Catalog 此功能已弃用并已停用。您无法在 Data Catalog 中搜索或管理元数据。
湖泊和可用区 此功能处于停用状态。您无法管理数据湖、区域和任务。

Dataproc

受影响的 Dataproc 功能

功能 说明
Google Cloud 控制台 Dataproc 目前不支持管辖区 Google Cloud 控制台。 如需强制执行数据驻留,请确保在使用 Dataproc 时使用 Google Cloud CLI 或 API。

Google Cloud Armor

受影响的 Google Cloud Armor 功能

功能 说明
全球范围的安全政策 此功能已因组织政策限制而被停用。 compute.disableGlobalCloudArmorPolicy

Google Kubernetes Engine

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件 说明
container.restrictNoncompliantDiagnosticDataAccess 设置为 True

停用内核问题的汇总分析,这是维护工作负载的主权所必需的。

更改此值可能会影响工作负载的数据驻留或数据主权。

Spanner

受影响的 Spanner 功能

功能 说明
分块边界 Spanner 使用一小部分主键和已编入索引的列来定义分块边界,这些边界可能包含客户数据和元数据。Spanner 中的分块边界表示连续的行范围被拆分为更小块的位置。

Google 人员可以出于技术支持和调试目的访问这些拆分边界,并且这些边界不受 Sovereign Controls by Partners 中的管理员权限数据控制的约束。

Spanner 组织政策限制条件

组织政策限制条件 说明
spanner.assuredWorkloadsAdvancedServiceControls 设置为 True

对 Spanner 资源应用额外的数据主权和可支持性控制。
spanner.disableMultiRegionInstanceIfNoLocationSelected 设置为 True

禁止创建多区域 Spanner 实例,以强制执行数据驻留和数据主权。