Périmètre de données de base au Royaume d'Arabie saoudite par CNTXT

Cette page décrit l'ensemble des contrôles appliqués aux dossiers "Limites de données de base pour le Royaume d'Arabie saoudite par CNTXT" dans les Contrôles souverains fournis par les partenaires. Il fournit des informations détaillées sur les produits Google Cloud pris en charge et leurs points de terminaison d'API, ainsi que sur les restrictions ou limites applicables à ces produits.

Pour en savoir plus sur cette offre, consultez le site CNTXT Kingdom of Saudi Arabia Data Boundary Foundation by CNTXT.

Produits et points de terminaison d'API compatibles

Les restrictions ou limitations qui affectent les fonctionnalités d'un produit compatible, y compris celles appliquées par le biais des paramètres de contraintes des règles d'administration, sont listées dans le tableau suivant. Si un produit n'est pas listé, cela signifie qu'il n'est pas pris en charge et qu'il ne répond pas aux exigences de contrôle pour la base de données du Royaume d'Arabie saoudite par CNTXT. Il n'est pas recommandé d'utiliser des produits non compatibles sans avoir fait preuve de diligence raisonnable et sans avoir bien compris vos responsabilités dans le modèle de responsabilité partagée. Avant d'utiliser un produit non compatible, assurez-vous d'être conscient des risques associés et de les accepter, comme les impacts négatifs sur la résidence ou la souveraineté des données.

Les services qui interagissent avec les données client dans leurs opérations d'API fournissent des points de terminaison d'API régionaux. Ils doivent être utilisés à la place du point de terminaison d'API mondial du service dans la zone de données de base du Royaume d'Arabie saoudite par CNTXT. Pour les services dont les opérations d'API n'interagissent pas avec les données client, l'utilisation de points de terminaison d'API mondiaux est autorisée. Pour en savoir plus, consultez la page Résidence des données d'Assured Workloads.

Restrictions et limitations

Les sections suivantes décrivent les restrictions ou limites au niveau du cloud ou spécifiques à un produit pour les fonctionnalités, y compris les contraintes liées aux règles d'administration qui sont définies par défaut sur les dossiers Kingdom of Saudi Arabia Data Boundary Foundation by CNTXT.

Google Cloudde large

Fonctionnalités concernées Google Cloud

Fonctionnalité	Description
ConsoleGoogle Cloud	Pour accéder à la console Google Cloud lorsque vous utilisez le package de contrôles "Kingdom of Saudi Arabia Data Boundary Foundation by CNTXT" (Principes de base de la limite de données pour le Royaume d'Arabie saoudite par CNTXT), vous devez utiliser l'une des URL suivantes : console.sa.cloud.google.com console.sa.cloud.google pour les utilisateurs d'identités fédérées

Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud

Les contraintes de règles d'administration suivantes s'appliquent à Google Cloud.

Contrainte liée aux règles d'administration	Description
gcp.resourceLocations	Définissez les emplacements suivants dans la liste allowedValues : me-central2 Cette valeur limite la création de ressources aux valeurs sélectionnées. Si cette option est définie, aucune ressource ne peut être créée dans d'autres régions, emplacements multirégionaux ou emplacements en dehors de la sélection. Consultez la page Services compatibles avec les emplacements de ressources pour obtenir la liste des ressources qui peuvent être limitées par la contrainte de règle d'administration "Emplacements des ressources". En effet, certaines ressources peuvent être hors champ et ne pas pouvoir être limitées. Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme.
gcp.restrictNonCmekServices	Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris : bigquerydatatransfer.googleapis.com Il est possible que certaines fonctionnalités soient affectées pour chacun des services listés ci-dessus. Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). CMEK chiffre les données au repos à l'aide d'une clé que vous gérez, et non à l'aide des mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées avec la clé que vous avez fournie.
gcp.restrictServiceUsage	Définissez-le pour autoriser tous les produits et points de terminaison d'API compatibles. Détermine les services pouvant être utilisés en limitant l'accès du runtime à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources.
gcp.restrictTLSVersion	Définissez les versions TLS suivantes sur "Refuser" : TLS_1_0 TLS_1_1 Pour en savoir plus, consultez Restreindre les versions TLS.

BigQuery

Fonctionnalités BigQuery concernées

Fonctionnalité	Description
Activer BigQuery dans un nouveau dossier	BigQuery est compatible, mais n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Cette opération prend normalement dix minutes, mais peut durer beaucoup plus longtemps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit : Dans la console Google Cloud , accédez à la page Assured Workloads. Accéder à Assured Workloads Sélectionnez votre nouveau dossier Assured Workloads dans la liste. Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles. Dans le volet Services autorisés, vérifiez les services à ajouter à la règle d'administration Restriction d'utilisation des ressources pour le dossier. Si des services BigQuery sont listés, cliquez sur Autoriser les services pour les ajouter. Si les services BigQuery ne sont pas listés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud. Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. Gemini dans BigQuery n'est pas compatible avec Assured Workloads.
Fonctionnalités non compatibles	Les fonctionnalités BigQuery suivantes ne sont pas compatibles et ne doivent pas être utilisées dans la CLI BigQuery. Il vous incombe de ne pas les utiliser dans BigQuery pour les contrôles de souveraineté par les partenaires. Interaction avec des sources de données distantes Les modèles BQML entraînés en externe ne sont pas acceptés. Les modèles BQML entraînés en interne sont acceptés. Masquage dynamique des données Exportation GDrive Fonctions à distance Requêtes enregistrées Planification des workflows Les notebooks ne sont pas compatibles avec BigQuery Studio. Gemini dans BigQuery n'est pas compatible.
Intégrations non compatibles	Les intégrations BigQuery suivantes ne sont pas compatibles. Il vous incombe de ne pas les utiliser avec BigQuery pour les contrôles de souveraineté par les partenaires. Les méthodes d'API CreateTag, SearchCatalog, Bulk tagging et Business Glossary de l'API Data Catalog traitent et stockent les données techniques d'une manière non compatible. Il est de votre responsabilité de ne pas utiliser ces méthodes pour les Contrôles souverains fournis par les partenaires.
API BigQuery compatibles	Les API BigQuery suivantes sont compatibles : Ensembles de données Emplois Modèles Projets Réservations Routines Règles d'accès aux lignes Lecture du stockage Écriture du stockage Tables Données du tableau
CLI BigQuery	L'interface de ligne de commande BigQuery est compatible.
SDK Google Cloud	Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour garantir la régionalisation des données techniques. Pour vérifier votre version actuelle de Google Cloud SDK, exécutez gcloud --version, puis gcloud components update pour passer à la version la plus récente.
Commandes d'administration	BigQuery désactivera les API non compatibles, mais les administrateurs disposant des autorisations suffisantes pour créer des dossiers de contrôles de souveraineté des données par les partenaires peuvent activer une API non compatible. Si cela se produit, vous serez informé d'un éventuel non-respect des règles via le tableau de bord de surveillance Assured Workloads.
Charger des données	Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) de Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas compatibles. Il vous incombe de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour les charges de travail de la zone de données de base du Royaume d'Arabie saoudite par CNTXT.
Transferts tiers	BigQuery ne vérifie pas la compatibilité des transferts tiers avec le service de transfert de données BigQuery. Il vous incombe de vérifier la compatibilité lorsque vous utilisez un transfert tiers pour le service de transfert de données BigQuery.
Modèles BQML non conformes	Les modèles BQML entraînés en externe ne sont pas acceptés.
Tâches de requête	Les tâches de requête ne doivent être créées que dans les dossiers Contrôles de souveraineté des données par les partenaires.
Requêtes sur des ensembles de données dans d'autres projets	BigQuery n'empêche pas d'interroger les ensembles de données Sovereign Controls by Partners à partir de projets autres que Sovereign Controls by Partners. Vous devez vous assurer que toute requête qui effectue une lecture ou une jointure sur les données des contrôles de souveraineté des données par les partenaires est placée dans les dossiers des contrôles de souveraineté des données par les partenaires. Vous pouvez spécifier un nom de table complet pour le résultat de la requête à l'aide de projectname.dataset.table dans la CLI BigQuery.
Cloud Logging	BigQuery utilise Cloud Logging pour certaines de vos données de journaux. Vous devez désactiver vos buckets de journaux _default ou limiter les buckets _default aux régions concernées pour rester conforme à l'aide de la commande suivante : gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Pour en savoir plus, consultez Régionaliser vos journaux.

Bigtable

Fonctionnalités Bigtable concernées

Fonctionnalité	Description
Data Boost	Cette fonctionnalité est désactivée.
Limites de fractionnement	Bigtable utilise un petit sous-ensemble de clés de ligne pour définir les limites de fractionnement, qui peuvent inclure des données et des métadonnées client. Dans Bigtable, une limite de fractionnement indique l'emplacement où des plages contiguës de lignes d'une table sont fractionnées en tablets. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans les contrôles souverains par les partenaires.

Cloud Interconnect

Fonctionnalités Cloud Interconnect concernées

Fonctionnalité	Description
VPN haute disponibilité	Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. Vous devez également respecter les exigences de chiffrement et de régionalisation listées dans la section Fonctionnalités Cloud VPN concernées.

Cloud KMS

Contraintes applicables aux règles d'administration Cloud KMS

Contrainte liée aux règles d'administration	Description
cloudkms.allowedProtectionLevels	Définissez cette option pour autoriser la création de clés CryptoKeys Cloud Key Management Service avec les niveaux de protection suivants : EXTERNAL EXTERNAL_VPC SOFTWARE HSM Pour en savoir plus, consultez Niveaux de protection.

Cloud Load Balancing

Fonctionnalités Cloud Load Balancing concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Cloud Load Balancing ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.
Équilibreurs de charge régionaux	Vous ne devez utiliser que des équilibreurs de charge régionaux avec la solution Kingdom of Saudi Arabia Data Boundary Foundation de CNTXT. Pour en savoir plus sur la configuration des équilibreurs de charge régionaux, consultez les pages suivantes : Équilibreur de charge d'application interne Équilibreur de charge d'application externe régional Équilibreur de charge réseau passthrough interne Équilibreur de charge réseau passthrough externe

Cloud Logging

Fonctionnalités Cloud Logging concernées

Fonctionnalité	Description
Récepteurs de journaux	Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres stockés en tant que configuration. Ne créez pas de filtres contenant des données client.
Affichage en direct des dernières lignes des entrées de journal	Les filtres ne doivent pas contenir de données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. La journalisation continue ne stocke aucune donnée d'entrée de journal, mais peut interroger et transmettre des données entre les régions. Ne créez pas de filtres contenant des données client.
Alertes basées sur les journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud .
URL raccourcies pour les requêtes de l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud .
Enregistrer des requêtes dans l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud .
Analyse de journaux avec BigQuery	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité d'analyse des journaux.
Règles d'alerte basées sur SQL	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité de règles d'alerte basées sur SQL.

Cloud Monitoring

Fonctionnalités Cloud Monitoring concernées

Fonctionnalité	Description
Surveillance synthétique	Cette fonctionnalité est désactivée.
Tests de disponibilité	Cette fonctionnalité est désactivée.
Widgets du panneau des journaux dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journaux à un tableau de bord.
Widgets du panneau Error Reporting dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement des erreurs à un tableau de bord.
Filtrer dans EventAnnotation pour les tableaux de bord	Cette fonctionnalité est désactivée. Le filtre EventAnnotation ne peut pas être défini dans un tableau de bord.
SqlCondition dans alertPolicies	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de SqlCondition à un alertPolicy.

Cloud Run

Fonctionnalités Cloud Run concernées

Fonctionnalité	Description
Fonctionnalités non compatibles	Les fonctionnalités Cloud Run suivantes ne sont pas acceptées : � Intégration à Cloud Trace Cloud Run Functions Déclencheurs Eventarc

Cloud SQL

Fonctionnalités Cloud SQL concernées

Fonctionnalité	Description
Insights sur les requêtes	Lorsque vous déployez une instance Cloud SQL, vous ne pouvez utiliser Insights sur les requêtes que si les tags d'application ne sont pas activés. Si les tags d'application sont activés, un message d'erreur s'affiche lorsque vous essayez d'utiliser les insights sur les requêtes.

Contraintes applicables aux règles d'administration Cloud SQL

Contrainte liée aux règles d'administration	Description
sql.restrictNoncompliantDiagnosticDataAccess	Défini sur True. Applique des contrôles supplémentaires de souveraineté et d'assistance des données aux ressources Cloud SQL. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.
sql.restrictNoncompliantResourceCreation	Défini sur True. Applique des contrôles supplémentaires sur la souveraineté des données pour empêcher la création de ressources Cloud SQL non conformes. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.

Cloud Storage

Fonctionnalités Cloud Storage concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Pour assurer la conformité ITAR, il est de votre responsabilité d'utiliser la console Google Cloud juridictionnelle. La console juridictionnelle empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison d'API conformes dans cette section.
Points de terminaison d'API conformes	Vous devez utiliser l'un des points de terminaison régionaux conformes à l'ITAR avec Cloud Storage. Pour en savoir plus, consultez Points de terminaison régionaux Cloud Storage et Emplacements Cloud Storage.
Restrictions	Pour respecter l'ITAR, vous devez utiliser des points de terminaison régionaux Cloud Storage. Pour en savoir plus sur les points de terminaison régionaux Cloud Storage pour l'ITAR, consultez Points de terminaison régionaux Cloud Storage. Les opérations suivantes ne sont pas compatibles avec les points de terminaison régionaux. Toutefois, ces opérations ne transportent pas de données client telles que définies dans les Conditions d'utilisation du service de résidence des données. Par conséquent, vous pouvez utiliser des points de terminaison globaux pour ces opérations si nécessaire, sans enfreindre la conformité ITAR : Opérations de clé HMAC Opérations sur les comptes de service IAM Notifications Pub/Sub Notifications de modification des objets
Copier et réécrire pour les objets	Les opérations de copie et de réécriture d'objets sont acceptées par les points de terminaison régionaux si les buckets source et de destination se trouvent dans la région spécifiée dans le point de terminaison. Toutefois, vous ne pouvez pas utiliser de points de terminaison régionaux pour copier ou réécrire un objet d'un bucket à un autre si les buckets se trouvent dans des emplacements différents. Il est possible d'utiliser des points de terminaison globaux pour copier ou réécrire des données entre différents lieux, mais nous ne le recommandons pas, car cela peut enfreindre la conformité ITAR.

Contraintes applicables aux règles d'administration Cloud Storage

Contrainte liée aux règles d'administration	Description
storage.restrictAuthTypes	Défini pour empêcher l'authentification à l'aide du code HMAC (Hash-based Message Authentication Code). Les types suivants sont spécifiés dans cette valeur de contrainte : USER_ACCOUNT_HMAC_SIGNED_REQUESTS SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS Par défaut, les clés HMAC ne peuvent pas s'authentifier auprès des ressources Cloud Storage pour les charges de travail de la Fondation de la limite de données du Royaume d'Arabie saoudite par CNTXT. Les clés HMAC affectent la souveraineté des données, car elles peuvent être utilisées pour accéder aux données client sans que celui-ci en soit informé. Consultez la section Clés HMAC dans la documentation Cloud Storage. La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons vivement de conserver la valeur définie.
storage.uniformBucketLevelAccess	Défini sur True. L'accès aux nouveaux buckets est géré à l'aide de stratégies IAM au lieu des listes de contrôle d'accès (LCA) Cloud Storage. Cette contrainte fournit des autorisations précises pour les buckets et leur contenu. Si un bucket est créé alors que cette contrainte est activée, l'accès à celui-ci ne pourra jamais être géré à l'aide de LCA. En d'autres termes, la méthode de contrôle des accès pour un bucket est définitivement définie sur l'utilisation de stratégies IAM au lieu des LCA Cloud Storage.

Compute Engine

Fonctionnalités Compute Engine concernées

Fonctionnalité	Description
Suspendre et réactiver une instance de VM	Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
Disques SSD locaux	Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
ConsoleGoogle Cloud	Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI : Vérifications d'état Groupes de points de terminaison du réseau
Ajouter un groupe d'instances à un équilibreur de charge mondial	Vous ne pouvez pas ajouter de groupe d'instances à un équilibreur de charge mondial. Cette fonctionnalité est désactivée par la contrainte liée aux règles de l'organisation compute.disableGlobalLoadBalancing.
Suspendre et réactiver une instance de VM	Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut pas être chiffré avec CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
Disques SSD locaux	Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
Environnement invité	Il est possible que les scripts, les daemons et les binaires inclus dans l'environnement invité accèdent aux données non chiffrées au repos et en cours d'utilisation. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et d'autres informations spécifiques à chaque package, consultez Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et des processus de sécurité internes. Toutefois, si vous souhaitez exercer un contrôle supplémentaire, vous pouvez également organiser vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects. Pour en savoir plus, consultez Créer une image personnalisée.
Règles d'OS dans VM Manager	Les scripts intégrés et les fichiers de sortie binaires dans les fichiers de règles d'OS ne sont pas chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). N'incluez aucune information sensible dans ces fichiers. Envisagez de stocker ces scripts et fichiers de sortie dans des buckets Cloud Storage. Pour en savoir plus, consultez Exemples de règles d'OS. Si vous souhaitez limiter la création ou la modification de ressources de règles d'OS qui utilisent des scripts intégrés ou des fichiers de sortie binaires, activez la contrainte de règle d'administration constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Pour en savoir plus, consultez Contraintes pour OS Config.
instances.getSerialPortOutput()	Cette API est désactivée. Vous ne pourrez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.
instances.getScreenshot()	Cette API est désactivée. Vous ne pourrez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration	Description
compute.enableComplianceMemoryProtection	Défini sur True. Désactive certaines fonctionnalités de diagnostic interne pour mieux protéger le contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.
compute.disableGlobalCloudArmorPolicy	Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles dans les stratégies de sécurité Google Cloud Armor globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la suppression ou la modification de la description et du recensement des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les règles de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur.
compute.disableGlobalLoadBalancing	Défini sur True. Désactive la création de produits d'équilibrage de charge mondiaux. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.
compute.disableInstanceDataAccessApis	Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot(). L'activation de cette contrainte vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit : Activez SSH pour les VM Windows. Exécutez la commande suivante pour modifier le mot de passe de la VM : gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Remplacez les éléments suivants : VM_NAME : nom de la VM pour laquelle vous définissez le mot de passe. USERNAME : nom d'utilisateur pour lequel vous définissez le mot de passe. PASSWORD : nouveau mot de passe.
compute.disableSshInBrowser	Défini sur True. Désactive l'outil SSH dans le navigateur dans la console Google Cloud pour les VM qui utilisent OS Login et les VM d'environnement flexible App Engine. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.
compute.restrictNonConfidentialComputing	(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur les Confidential VM.
compute.trustedImageProjects	(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur. La définition de cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés.

Dataplex Universal Catalog

Fonctionnalités de Dataplex Universal Catalog

Fonctionnalité	Description
Attribute Store	Cette fonctionnalité est obsolète et désactivée.
Data Catalog	Cette fonctionnalité est obsolète et désactivée. Vous ne pouvez pas rechercher ni gérer vos métadonnées dans Data Catalog.
Lacs et zones	Cette fonctionnalité est désactivée. Vous ne pouvez pas gérer les lacs, les zones ni les tâches.

Dataproc

Fonctionnalités Dataproc concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Dataproc n'est actuellement pas compatible avec la console Google Cloud juridictionnelle. Pour appliquer la résidence des données, assurez-vous d'utiliser Google Cloud CLI ou l'API lorsque vous utilisez Dataproc.

Google Cloud Armor

Fonctionnalités Google Cloud Armor concernées

Fonctionnalité	Description
Stratégies de sécurité à l'échelle mondiale	Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration compute.disableGlobalCloudArmorPolicy.

Google Kubernetes Engine

Contraintes liées aux règles d'administration Google Kubernetes Engine

Contrainte liée aux règles d'administration	Description
container.restrictNoncompliantDiagnosticDataAccess	Défini sur True. Désactive l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.

Spanner

Fonctionnalités Spanner concernées

Fonctionnalité

Description

Limites de fractionnement

Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir les limites de fractionnement, qui peuvent inclure des données client et des métadonnées. Dans Spanner, une limite de fractionnement indique l'emplacement où des plages contiguës de lignes sont divisées en éléments plus petits. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans les contrôles souverains par les partenaires.

Contraintes liées aux règles d'administration Spanner

Contrainte liée aux règles d'administration	Description
spanner.assuredWorkloadsAdvancedServiceControls	Défini sur True. Applique des contrôles supplémentaires de souveraineté et d'assistance pour les ressources Spanner.
spanner.disableMultiRegionInstanceIfNoLocationSelected	Défini sur True. Désactive la possibilité de créer des instances Spanner multirégionales pour appliquer la résidence et la souveraineté des données.