CNTXT によるサウジアラビア王国のデータ境界基盤

このページでは、パートナーによる主権管理の CNTXT フォルダのサウジアラビア王国データ境界基盤に適用される一連のコントロールについて説明します。サポートされている Google Cloud プロダクトとその API エンドポイント、およびそれらのプロダクトに適用される制限事項に関する詳細情報が提供されます。

このサービスの詳細については、CNTXT サイトの CNTXT によるサウジアラビア王国のデータ境界基盤をご覧ください。

サポートされているプロダクトと API エンドポイント

サポートされているプロダクトの機能に影響する制限事項（組織のポリシーの制約設定によって適用されるものを含む）は、次の表に記載されています。プロダクトがリストにない場合、そのプロダクトはサポートされておらず、CNTXT によるサウジアラビア王国データ境界基盤の制御要件を満たしていません。デューデリジェンスと責任共有モデルにおける責任の十分な理解がなければ、サポート対象外のプロダクトを使用することはおすすめしません。サポートされていないプロダクトを使用する前に、データ所在地やデータ主権への悪影響など、関連するリスクを認識し、受け入れることを確認してください。

API オペレーションで顧客データとやり取りするサービスは、リージョン API エンドポイントを提供します。これらは、CNTXT のサウジアラビア王国データ境界基盤でサービスのグローバル API エンドポイントの代わりに使用する必要があります。API オペレーションで顧客データとやり取りしないサービスの場合、グローバル API エンドポイントの使用が許可されます。詳細については、Assured Workloads のデータ所在地のページをご覧ください。

サポートされているサービス	API エンドポイント	制限事項
アクセスの透明性	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `accessapproval.googleapis.com`	なし
Artifact Registry	リージョン API エンドポイント: `artifactregistry.me-central2.rep.googleapis.com` グローバル API エンドポイント: `artifactregistry.googleapis.com`	なし
BigQuery	リージョン API エンドポイント: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` グローバル API エンドポイント: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	影響を受ける機能
Bigtable	リージョン API エンドポイント: `bigtable.me-central2.rep.googleapis.com` グローバル API エンドポイント: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	影響を受ける機能
Compute Engine	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `compute.googleapis.com`	影響を受ける機能と組織のポリシーの制約
Sensitive Data Protection	リージョン API エンドポイント: `dlp.me-central2.rep.googleapis.com` グローバル API エンドポイント: `dlp.googleapis.com`	なし
Dataflow	リージョン API エンドポイント: `dataflow.me-central2.rep.googleapis.com` グローバル API エンドポイント: `dataflow.googleapis.com` `datapipelines.googleapis.com`	なし
Dataplex Universal Catalog	リージョン API エンドポイント: `dataplex.me-central2.rep.googleapis.com` グローバル API エンドポイント: `dataplex.googleapis.com` `datalineage.googleapis.com`	影響を受ける機能
Dataproc	リージョン API エンドポイント: `dataproc.me-central2.rep.googleapis.com` グローバル API エンドポイント: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	影響を受ける機能
Cloud DNS	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `dns.googleapis.com`	なし
重要な連絡先	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `essentialcontacts.googleapis.com`	なし
Filestore	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `file.googleapis.com`	なし
Cloud Next Generation Firewall	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `compute.googleapis.com`	なし
Google Cloud Armor	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `compute.googleapis.com`	影響を受ける機能
Identity and Access Management（IAM）	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `iam.googleapis.com`	なし
Identity-Aware Proxy	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `iap.googleapis.com`	なし
Cloud Key Management Service（Cloud KMS）	リージョン API エンドポイント: `cloudkms.me-central2.rep.googleapis.com` グローバル API エンドポイント: `cloudkms.googleapis.com`	組織ポリシーの制約
Cloud HSM	リージョン API エンドポイント: `cloudkms.me-central2.rep.googleapis.com` グローバル API エンドポイント: `cloudkms.googleapis.com`	なし
Cloud External Key Manager（Cloud EKM）	リージョン API エンドポイント: `cloudkms.me-central2.rep.googleapis.com` グローバル API エンドポイント: `cloudkms.googleapis.com`	なし
Google Kubernetes Engine	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `container.googleapis.com` `containersecurity.googleapis.com`	影響を受ける機能と組織のポリシーの制約
GKE Hub	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `gkehub.googleapis.com`	なし
Cloud Load Balancing	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `compute.googleapis.com`	影響を受ける機能
Cloud Logging	リージョン API エンドポイント: `logging.me-central2.rep.googleapis.com` グローバル API エンドポイント: `logging.googleapis.com`	影響を受ける機能
Cloud Monitoring	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `monitoring.googleapis.com`	影響を受ける機能
Network Connectivity Center	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `networkconnectivity.googleapis.com`	なし
Cloud NAT	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `networkconnectivity.googleapis.com`	なし
Cloud Router	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `networkconnectivity.googleapis.com`	なし
Cloud Interconnect	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `networkconnectivity.googleapis.com`	影響を受ける機能
組織ポリシーサービス	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `orgpolicy.googleapis.com`	なし
Persistent Disk	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `compute.googleapis.com`	なし
Pub/Sub	リージョン API エンドポイント: `pubsub.me-central2.rep.googleapis.com` グローバル API エンドポイント: `pubsub.googleapis.com`	なし
Resource Manager	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `cloudresourcemanager.googleapis.com`	なし
Cloud Run	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `run.googleapis.com`	影響を受ける機能
Secret Manager	リージョン API エンドポイント: `secretmanager.me-central2.rep.googleapis.com` グローバル API エンドポイント: `secretmanager.googleapis.com`	なし
Service Directory	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `servicedirectory.googleapis.com`	なし
Spanner	リージョン API エンドポイント: `spanner.me-central2.rep.googleapis.com` グローバル API エンドポイント: `spanner.googleapis.com`	影響を受ける機能と組織のポリシーの制約
Cloud SQL	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `sqladmin.googleapis.com`	影響を受ける機能と組織のポリシーの制約
Cloud Storage	リージョン API エンドポイント: `storage.me-central2.rep.googleapis.com` グローバル API エンドポイント: `storage.googleapis.com`	組織ポリシーの制約
Virtual Private Cloud	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `compute.googleapis.com`	なし
VPC Service Controls	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `accesscontextmanager.googleapis.com`	なし
Cloud VPN	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `compute.googleapis.com`	なし
Firebase セキュリティルール	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `firebaserules.googleapis.com`	なし
Cloud Workstations	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `workstations.googleapis.com`	なし
Secure Source Manager	リージョン API エンドポイントはサポートされていません。グローバル API エンドポイント: `securesourcemanager.googleapis.com`	なし

制限事項

以降のセクションでは、クラウド全体またはプロダクト固有の制限、または機能の制限について説明します。これには、CNTXT フォルダのサウジアラビア王国データ境界基盤にデフォルトで設定されている組織ポリシーの制約も含まれます。

Google Cloud幅

影響を受ける Google Cloud全体の機能

機能	説明
Google Cloud コンソール	CNTXT のサウジアラビア王国データ境界基盤のコントロールパッケージを使用するときに Google Cloud コンソールにアクセスするには、次のいずれかの URL を使用する必要があります。 console.sa.cloud.google.com console.sa.cloud.google（フェデレーション ID ユーザーの場合）

Google Cloud全体の組織ポリシー制約

次の組織のポリシーの制約は、 Google Cloud全体に適用されます。

組織のポリシーの制約	説明
`gcp.resourceLocations`	`allowedValues` リストの次の場所に設定します。 `me-central2` この値は、新しいリソースの作成を選択した値に制限します。設定すると、選択したリージョン、マルチリージョン、ロケーションの外部にあるリージョン、マルチリージョン、ロケーションにリソースを作成できなくなります。リソースロケーションの組織のポリシーの制約によって制限できるリソースの一覧については、リソースロケーションのサポート対象サービスをご覧ください。一部のリソースは範囲外で、制限できない場合があります。制限を緩くしてこの値を変更すると、準拠したデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。
`gcp.restrictNonCmekServices`	対象範囲内のすべての API サービス名のリストに設定します。次に例を示します。 `bigquerydatatransfer.googleapis.com` 上記の各サービスで、一部の機能が影響を受ける場合があります。各サービスには、顧客管理の暗号鍵（CMEK）が必要です。CMEK は、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化します。リストから 1 つ以上の対象サービスを削除してこの値を変更すると、データ主権が損なわれる可能性があります。新しい保管中のデータは、ユーザーではなく Google 独自の鍵を使用して自動的に暗号化されるためです。既存の保存データは、指定した鍵によって暗号化されます。
`gcp.restrictServiceUsage`	すべてのサポートされているプロダクトと API エンドポイントを許可するように設定します。リソースへのランタイムアクセスを制限することで、使用できるサービスを決定します。詳細については、リソース使用量の制限をご覧ください。
`gcp.restrictTLSVersion`	次の TLS バージョンを拒否するように設定します。 `TLS_1_0` `TLS_1_1` 詳細については、TLS バージョンを制限するをご覧ください。

BigQuery

影響を受ける BigQuery の機能

機能	説明
新しいフォルダで BigQuery を有効にする	BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の操作を行います。 Google Cloud コンソールで、[Assured Workloads] ページに移動します。 Assured Workloads に移動リストから新しい Assured Workloads フォルダを選択します。 [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。 [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、サービスを許可するをクリックし、これを追加します。 BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。 Gemini in BigQuery は Assured Workloads ではサポートされていません。
対応していない機能	次の BigQuery 機能はサポートされていないため、BigQuery CLI では使用しないでください。パートナーによる主権管理に対して、これらを BigQuery で使用しないようにすることはお客様の責任です。リモートデータソースとのやり取り外部でトレーニングされた BQML モデルはサポートされていません。内部でトレーニングされた BQML モデルはサポートされています。動的データのマスキング GDrive のエクスポートリモート関数保存したクエリワークフローのスケジュール設定 BigQuery Studio では notebooksはサポートされていません。 Gemini in BigQuery はサポートされていません。
サポートされていない統合	次の BigQuery 統合はサポートされていません。パートナーによる主権管理に対して、これらを BigQuery で使用しないようにすることはお客様の責任です。 Data Catalog API の `CreateTag`、`SearchCatalog`、`Bulk tagging`、`Business Glossary` の各 API メソッドは、サポートされていない方法で技術データを処理して保存します。パートナーによる主権管理に対して、これらの方法を使用しないようにすることは、お客様の責任です。
サポートされている BigQuery API	次の BigQuery API がサポートされています。データセットジョブモデルプロジェクト予約ルーティン行アクセスポリシーストレージ読み取りストレージ書き込みテーブルテーブルデータ Reservations API はデフォルトで有効になっていません。API は、 Google Cloud プロジェクトで API を有効にするの手順に沿って有効にできます。
BigQuery CLI	BigQuery CLI がサポートされています。
Google Cloud SDK	テクニカルデータのデータリージョン指定の保証を維持するには、Google Cloud SDK バージョン 403.0.0 以降を使用する必要があります。現在の Google Cloud SDK のバージョンを確認するには、`gcloud --version` を実行してから `gcloud components update` を実行し、最新バージョンに更新します。
管理機能	BigQuery はサポートされていない API を無効にしますが、パートナーによる主権管理フォルダを作成するのに十分な権限を持つ管理者は、サポートされていない API を有効にできます。この場合、Assured Workloads モニタリングダッシュボードで、コンプライアンス違反の可能性がある旨が通知されます。
データの読み込み	Google Software as a Service（SaaS）アプリ、外部クラウドストレージプロバイダ、データウェアハウス用の BigQuery Data Transfer Service コネクタはサポートされていません。Kingdom of Saudi Arabia Data Boundary Foundation by CNTXT ワークロードに対して、BigQuery Data Transfer Service コネクタを使用しないようにすることは、お客様の責任です。
サードパーティ転送	BigQuery は、BigQuery Data Transfer Service のサードパーティ転送のサポートを検証しません。BigQuery Data Transfer Service のサードパーティ転送を使用する際のサポート確認は、お客様の責任です。
非準拠 BQML モデル	外部でトレーニングされた BQML モデルはサポートされていません。
クエリジョブ	クエリジョブは、パートナーによる主権管理のフォルダ内でのみ作成する必要があります。
他のプロジェクトのデータセットに対するクエリ	BigQuery では、パートナーによる主権管理以外のプロジェクトからパートナーによる主権管理データセットへのクエリを防ぐことはできません。パートナーによる主権管理のデータに対して読み取りや結合を行うクエリはすべて、パートナーによる主権管理のフォルダに配置する必要があります。ユーザーは、BigQuery CLI で `projectname.dataset.table` を使用して、クエリ結果の完全修飾されたテーブル名を指定できます。
Cloud Logging	BigQuery は、一部のログデータに対して Cloud Logging を利用します。コンプライアンスを維持するには、`_default` ロギングバケットを無効にするか、次のコマンドを使用して `_default` バケットを対象範囲内のリージョンに制限する必要があります。 `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` 詳細については、ログをリージョン化するをご覧ください。

Bigtable

影響を受ける Bigtable の機能

機能	説明
Data Boost	この機能は無効になっています。
スプリットの境界	Bigtable は行キーのごく一部を使用して、スプリットの境界を定義します。スプリットの境界には顧客データとメタデータが含まれる場合があります。Bigtable のスプリットの境界は、テーブル内の連続した範囲の行がタブレットに分割される場所を示します。これらのスプリットの境界は、Google の担当者がテクニカルサポートとデバッグ目的でアクセスできますが、パートナーによる主権管理における管理者権限データ管理の対象ではありません。

機能

説明

Data Boost

この機能は無効になっています。

スプリットの境界

Bigtable は行キーのごく一部を使用して、スプリットの境界を定義します。スプリットの境界には顧客データとメタデータが含まれる場合があります。Bigtable のスプリットの境界は、テーブル内の連続した範囲の行がタブレットに分割される場所を示します。

これらのスプリットの境界は、Google の担当者がテクニカルサポートとデバッグ目的でアクセスできますが、パートナーによる主権管理における管理者権限データ管理の対象ではありません。

Cloud Interconnect

影響を受ける Cloud Interconnect の機能

機能	説明
高可用性（HA）VPN	Cloud VPN で Cloud Interconnect を使用する場合は、高可用性（HA）VPN 機能を有効にする必要があります。また、影響を受ける Cloud VPN の機能セクションに記載されている暗号化と地域化の要件にも準拠する必要があります。

Cloud KMS

Cloud KMS の組織のポリシーに関する制約

組織のポリシーの制約	説明
`cloudkms.allowedProtectionLevels`	次の保護レベルの Cloud Key Management Service CryptoKey の作成を許可するように設定します。 `EXTERNAL` `EXTERNAL_VPC` `SOFTWARE` `HSM` 詳しくは、保護レベルをご覧ください。

Cloud Load Balancing

影響を受ける Cloud Load Balancing の機能

機能	説明
Google Cloud コンソール	Cloud Load Balancing の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。
リージョンロードバランサ	CNTXT のサウジアラビア王国データ境界基盤では、リージョンロードバランサのみを使用する必要があります。リージョンロードバランサの構成の詳細については、次のページをご覧ください。内部アプリケーションロードバランサリージョン外部アプリケーションロードバランサ内部パススルーネットワークロードバランサ外部パススルーネットワークロードバランサ

機能

説明

Google Cloud コンソール

Cloud Load Balancing の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

リージョンロードバランサ

CNTXT のサウジアラビア王国データ境界基盤では、リージョンロードバランサのみを使用する必要があります。リージョンロードバランサの構成の詳細については、次のページをご覧ください。

Cloud Logging

影響を受ける Cloud Logging の機能

機能	説明
ログシンク	フィルタに顧客データを含めないでください。ログシンクには、構成として格納されるフィルタが含まれます。顧客データを含むフィルタは作成しないでください。
ライブテーリングログエントリ	フィルタに顧客データを含めないでください。ライブテーリングセッションには、構成として格納されたフィルタが含まれます。テーリングログによって、ログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして送信できます。顧客データを含むフィルタは作成しないでください。
ログベースのアラート	この機能は無効になっています。 Google Cloud コンソールでログベースのアラートを作成することはできません。
ログエクスプローラクエリの短縮 URL	この機能は無効になっています。 Google Cloud コンソールでは、クエリの短縮 URL を作成できません。
ログエクスプローラにクエリを保存する	この機能は無効になっています。 Google Cloud コンソールではクエリを保存できません。
BigQuery を使用したログ分析	この機能は無効になっています。 Log Analytics 機能は使用できません。
SQL ベースのアラートポリシー	この機能は無効になっています。 SQL ベースのアラートポリシー機能は使用できません。

Cloud Monitoring

影響を受ける Cloud Monitoring の機能

機能	説明
合成モニター	この機能は無効になっています。
稼働時間チェック	この機能は無効になっています。
ダッシュボードのログパネルウィジェット	この機能は無効になっています。ダッシュボードにログパネルを追加することはできません。
ダッシュボードの Error Reporting パネルウィジェット	この機能は無効になっています。ダッシュボードに Error Reporting パネルを追加することはできません。
ダッシュボードの `EventAnnotation` のフィルタ	この機能は無効になっています。 `EventAnnotation` のフィルタはダッシュボードで設定できません。
`alertPolicies` での `SqlCondition`	この機能は無効になっています。 `SqlCondition` を `alertPolicy` に追加することはできません。

Cloud Run

影響を受ける Cloud Run の機能

機能	説明
サポートされていない機能	次の Cloud Run 機能はサポートされていません。 Cloud Trace の統合 Cloud Run functions Eventarc トリガー

Cloud SQL

影響を受ける Cloud SQL の機能

機能	説明
Query Insights	Cloud SQL インスタンスをデプロイする場合、アプリケーションタグが有効になっていない場合にのみ Query Insights を使用できます。アプリケーションタグが有効になっている場合、クエリ分析情報を使用しようとするとエラーメッセージが表示されます。

Cloud SQL の組織のポリシーに関する制約

組織のポリシーの制約	説明
`sql.restrictNoncompliantDiagnosticDataAccess`	True に設定します。 Cloud SQL リソースに追加のデータ主権とサポート性の制御を適用します。この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。
`sql.restrictNoncompliantResourceCreation`	True に設定します。追加のデータ主権制御を適用して、非準拠の Cloud SQL リソースの作成を防ぎます。この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。

Cloud Storage

影響を受ける Cloud Storage の機能

機能	説明
Google Cloud コンソール	ITAR への準拠を維持するため、管轄区域の Google Cloud コンソールを使用する責任はお客様にあります。管轄地区のコンソールでは、Cloud Storage オブジェクトのアップロードとダウンロードがブロックされます。Cloud Storage オブジェクトをアップロードおよびダウンロードするには、このセクションの準拠した API エンドポイントの行をご覧ください。
準拠した API エンドポイント	Cloud Storage で ITAR 準拠のリージョンエンドポイントのいずれかを使用する必要があります。詳細については、Cloud Storage リージョンエンドポイントと Cloud Storage のロケーションをご覧ください。
制限事項	ITAR に準拠するには、Cloud Storage リージョンエンドポイントを使用する必要があります。ITAR の Cloud Storage リージョンエンドポイントの詳細については、Cloud Storage リージョンエンドポイントをご覧ください。次のオペレーションは、リージョンエンドポイントではサポートされていません。ただし、これらのオペレーションでは、データ所在地に関するサービス規約で定義されている顧客データを扱いません。したがって、ITAR への準拠に違反することなく、必要に応じてこれらのオペレーションにグローバルエンドポイントを使用できます。 HMAC キーオペレーション IAM サービスアカウントのオペレーション Pub/Sub 通知オブジェクト変更通知ユーザーがリージョンエンドポイントを使用してサポートされていないオペレーションを実行しようとすると、Cloud Storage はエラーメッセージ `This endpoint does not implement this operation. Please use the global endpoint.` とともに 400 HTTP エラーコードを返します。
オブジェクトのコピーと書き換え	オブジェクトのコピーと書き換えのオペレーションは、送信元バケットと宛先バケットの両方がエンドポイントで指定されたリージョンにある場合、リージョンエンドポイントでサポートされます。ただし、バケットが複数のロケーションに存在する場合は、リージョンエンドポイントを使用してバケット間でオブジェクトをコピーまたはリライトすることはできません。グローバルエンドポイントを使用してロケーション間でコピーまたはリライトすることは可能ですが、ITAR への準拠に違反する可能性があるため、おすすめしません。

Cloud Storage の組織のポリシーに関する制約

組織のポリシーの制約説明

組織のポリシーの制約	説明
`storage.restrictAuthTypes`	ハッシュベースのメッセージ認証コード（HMAC）を使用した認証を防止するように設定します。この制約値には、次の型が指定されています。 `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` デフォルトでは、HMAC キーは、CNTXT ワークロードによるサウジアラビア王国データ境界基盤の Cloud Storage リソースへの認証を禁止されています。HMAC 鍵は、顧客の知らないうちに顧客データにアクセスするために使用される可能性があるため、データの主権に影響します。Cloud Storage ドキュメントの HMAC キーをご覧ください。この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することを強くおすすめします。
`storage.uniformBucketLevelAccess`	True に設定します。新しいバケットへのアクセスは、Cloud Storage アクセス制御リスト（ACL）ではなく、IAM ポリシーを使用して管理されます。この制約により、バケットとそのコンテンツに対してきめ細かい権限が付与されます。この制約が有効になっているときにバケットを作成すると、そのバケットへのアクセスを ACL を使用して管理できなくなります。つまり、バケットのアクセス制御方法は、Cloud Storage ACL ではなく IAM ポリシーを使用するように永続的に設定されます。

storage.restrictAuthTypes

ハッシュベースのメッセージ認証コード（HMAC）を使用した認証を防止するように設定します。この制約値には、次の型が指定されています。

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

デフォルトでは、HMAC キーは、CNTXT ワークロードによるサウジアラビア王国データ境界基盤の Cloud Storage リソースへの認証を禁止されています。HMAC 鍵は、顧客の知らないうちに顧客データにアクセスするために使用される可能性があるため、データの主権に影響します。Cloud Storage ドキュメントの HMAC キーをご覧ください。

この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することを強くおすすめします。

storage.uniformBucketLevelAccess True に設定します。

新しいバケットへのアクセスは、Cloud Storage アクセス制御リスト（ACL）ではなく、IAM ポリシーを使用して管理されます。この制約により、バケットとそのコンテンツに対してきめ細かい権限が付与されます。

この制約が有効になっているときにバケットを作成すると、そのバケットへのアクセスを ACL を使用して管理できなくなります。つまり、バケットのアクセス制御方法は、Cloud Storage ACL ではなく IAM ポリシーを使用するように永続的に設定されます。

Compute Engine

影響を受ける Compute Engine の機能

機能	説明
VM インスタンスの一時停止および再開	この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスクストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスクストレージは、現在、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の `gcp.restrictNonCmekServices` 組織ポリシーの制約をご覧ください。
ローカル SSD	この機能は無効になっています。ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の `gcp.restrictNonCmekServices` 組織ポリシーの制約をご覧ください。
Google Cloud コンソール	次の Compute Engine 機能は、 Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。ヘルスチェックネットワークエンドポイントグループ
ロードバランサへのインスタンスグループの追加	インスタンスグループをグローバルロードバランサに追加することはできません。この機能は、`compute.disableGlobalLoadBalancing` 組織ポリシー制約によって無効になっています。
VM インスタンスの一時停止と再開	この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスクストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスクストレージは、CMEK を使用して暗号化できません。この機能は、`gcp.restrictNonCmekServices` 組織ポリシー制約によって無効になっています。
ローカル SSD	この機能は無効になっています。ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能は、`gcp.restrictNonCmekServices` 組織ポリシー制約によって無効になっています。
ゲスト環境	ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされることがあります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージまたはエージェントを選択して、`compute.trustedImageProjects` 組織ポリシーの制約をオプションとして使用することもできます。詳細については、カスタムイメージのビルドをご覧ください。
VM Manager の OS ポリシー	OS ポリシーファイル内のインラインスクリプトとバイナリ出力ファイルは、顧客管理の暗号鍵（CMEK）を使用して暗号化されません。これらのファイルに機密情報を含めないでください。これらのスクリプトと出力ファイルを Cloud Storage バケットに保存することを検討してください。詳細については、OS ポリシーの例をご覧ください。インラインスクリプトまたはバイナリ出力ファイルを使用する OS ポリシーリソースの作成または変更を制限する場合は、`constraints/osconfig.restrictInlineScriptAndOutputFileUsage` 組織のポリシー制約を有効にします。詳細については、OS Config の制約をご覧ください。
`instances.getSerialPortOutput()`	この API は無効になっています。この API を使用して、指定したインスタンスからシリアルポート出力を取得することはできません。この API を有効にするには、`compute.disableInstanceDataAccessApis` 組織のポリシー制約値を False に変更します。プロジェクトのアクセスを有効にするの手順に沿って、インタラクティブシリアルポートを有効にして使用することもできます。
`instances.getScreenshot()`	この API は無効になっています。この API を使用して、指定したインスタンスからスクリーンショットを取得することはできません。この API を有効にするには、`compute.disableInstanceDataAccessApis` 組織のポリシー制約値を False に変更します。プロジェクトのアクセスを有効にするの手順に沿って、インタラクティブシリアルポートを有効にして使用することもできます。

Compute Engine の組織のポリシーの制約

組織のポリシーの制約	説明
`compute.enableComplianceMemoryProtection`	True に設定します。インフラストラクチャ障害が発生したときにメモリコンテンツを追加で保護するために、一部の内部診断機能を無効にします。この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。
`compute.disableGlobalCloudArmorPolicy`	True に設定します。新しいグローバル Google Cloud Armor セキュリティポリシーの作成と、既存のグローバル Google Cloud Armor セキュリティポリシーへのルールの追加または変更を無効にします。この制約は、ルールの削除や、グローバル Google Cloud Armor セキュリティポリシーの説明と一覧取得の削除または変更を制限するものではありません。リージョン Google Cloud Armor セキュリティポリシーは、この制約の影響を受けません。この制約の適用前から存在するグローバルセキュリティポリシーとリージョンセキュリティポリシーは引き続き有効です。
`compute.disableGlobalLoadBalancing`	True に設定します。グローバルロードバランシングプロダクトの作成を無効にします。この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。
`compute.disableInstanceDataAccessApis`	True に設定します。 `instances.getSerialPortOutput()` API と `instances.getScreenshot()` API をグローバルに無効にします。この制約を有効にすると、Windows Server VM で認証情報を生成できなくなります。 Windows VM でユーザー名とパスワードを管理する必要がある場合は、次の操作を行います。 Windows VM 用の SSH を有効にします。次のコマンドを実行して、VM のパスワードを変更します。 gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" 次のように置き換えます。 `VM_NAME`: パスワードを設定する VM の名前。 `USERNAME`: パスワードを設定するユーザーのユーザー名。 `PASSWORD`: 新しいパスワード。
`compute.disableSshInBrowser`	True に設定します。 OS Login と App Engine フレキシブル環境 VM を使用する VM で、 Google Cloud コンソールのブラウザでの SSH ツールを無効にします。この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。
`compute.restrictNonConfidentialComputing`	（省略可）値が設定されていません。多層防御を提供するには、この値を設定します。詳細については、Confidential VM のドキュメントをご覧ください。
`compute.trustedImageProjects`	（省略可）値が設定されていません。多層防御を提供するには、この値を設定します。この値を設定すると、イメージストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。

Dataplex Universal Catalog

Dataplex Universal Catalog の機能

機能	説明
属性ストア	この機能は非推奨となり、無効になっています。
Data Catalog	この機能は非推奨となり、無効になっています。Data Catalog でメタデータを検索したり、管理したりすることはできません。
レイクとゾーン	この機能は無効になっています。レイク、ゾーン、タスクを管理できません。

Dataproc

影響を受ける Dataproc の機能

機能	説明
Google Cloud コンソール	Dataproc は現在、法域 Google Cloud コンソールをサポートしていません。データ所在地を適用するには、Dataproc を使用するときに Google Cloud CLI または API を使用していることを確認します。

Google Cloud Armor

影響を受ける Google Cloud Armor の機能

機能	説明
グローバルスコープのセキュリティポリシー	この機能は、`compute.disableGlobalCloudArmorPolicy` 組織のポリシーの制約によって無効になっています。

Google Kubernetes Engine

Google Kubernetes Engine の組織のポリシーの制約

組織のポリシーの制約	説明
`container.restrictNoncompliantDiagnosticDataAccess`	True に設定します。ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にします。この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。

Spanner

影響を受ける Spanner の機能

機能	説明
スプリットの境界	Spanner は、主キーとインデックス付き列の小さなサブセットを使用して、顧客データとメタデータを含むスプリットの境界を定義します。Spanner のスプリットの境界は、連続する範囲の行が小さな部分に分割される場所を示します。これらのスプリットの境界は、Google の担当者がテクニカルサポートとデバッグ目的でアクセスできますが、パートナーによる主権管理における管理者権限データ管理の対象ではありません。

機能

説明