CNTXT 提供的沙特阿拉伯王国数据边界基础

本页介绍了在 Sovereign Controls by Partners 中应用于“沙特阿拉伯王国数据边界基础”文件夹（由 CNTXT 提供）的一组控制措施。其中详细介绍了受支持的 Google Cloud 产品及其 API 端点，以及适用于这些产品的任何限制。

如需详细了解此产品，请访问 CNTXT 网站，查看沙特阿拉伯王国数据边界基础架构（由 CNTXT 提供）。

支持的产品和 API 端点

下表列出了会影响受支持产品的功能的限制，包括通过组织政策限制条件设置强制执行的限制。如果产品未列出，则表示该产品不受支持，并且未满足 CNTXT 针对沙特阿拉伯王国数据边界基础架构的控制要求。在未尽到应有的注意义务并充分了解责任共担模型中您的责任之前，不建议使用不受支持的产品。在使用不受支持的产品之前，请确保您了解并愿意接受任何相关风险，例如对数据留存或数据主权产生负面影响。

在其 API 操作中与客户数据互动的服务提供区域性 API 端点。在 CNTXT 的沙特阿拉伯王国数据边界基础架构中，必须使用这些端点，而不是服务的全球 API 端点。对于 API 操作不与客户数据互动的服务，可以使用全球 API 端点。如需了解详情，请参阅 Assured Workloads 数据驻留页面。

支持的产品	API 端点	限制或局限
Access Transparency	不支持区域 API 端点。全局 API 端点： `accessapproval.googleapis.com`	无
Artifact Registry	区域 API 端点： `artifactregistry.me-central2.rep.googleapis.com` 全局 API 端点： `artifactregistry.googleapis.com`	无
BigQuery	区域 API 端点： `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` 全局 API 端点： `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	受影响的功能
Bigtable	区域 API 端点： `bigtable.me-central2.rep.googleapis.com` 全局 API 端点： `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	受影响的功能
Compute Engine	不支持区域 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能和组织政策限制条件
敏感数据保护	区域 API 端点： `dlp.me-central2.rep.googleapis.com` 全局 API 端点： `dlp.googleapis.com`	无
Dataflow	区域 API 端点： `dataflow.me-central2.rep.googleapis.com` 全局 API 端点： `dataflow.googleapis.com` `datapipelines.googleapis.com`	无
Dataplex Universal Catalog	区域 API 端点： `dataplex.me-central2.rep.googleapis.com` 全局 API 端点： `dataplex.googleapis.com` `datalineage.googleapis.com`	受影响的功能
Dataproc	区域 API 端点： `dataproc.me-central2.rep.googleapis.com` 全局 API 端点： `dataproc-control.googleapis.com` `dataproc.googleapis.com`	受影响的功能
Cloud DNS	不支持区域 API 端点。全局 API 端点： `dns.googleapis.com`	无
重要联系人	不支持区域 API 端点。全局 API 端点： `essentialcontacts.googleapis.com`	无
Filestore	不支持区域 API 端点。全局 API 端点： `file.googleapis.com`	无
Cloud Next Generation Firewall	不支持区域 API 端点。全局 API 端点： `compute.googleapis.com`	无
Google Cloud Armor	不支持区域 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能
身份和访问权限管理 (IAM)	不支持区域 API 端点。全局 API 端点： `iam.googleapis.com`	无
Identity-Aware Proxy	不支持区域 API 端点。全局 API 端点： `iap.googleapis.com`	无
Cloud Key Management Service (Cloud KMS)	区域 API 端点： `cloudkms.me-central2.rep.googleapis.com` 全局 API 端点： `cloudkms.googleapis.com`	组织政策限制条件
Cloud HSM	区域 API 端点： `cloudkms.me-central2.rep.googleapis.com` 全局 API 端点： `cloudkms.googleapis.com`	无
Cloud External Key Manager (Cloud EKM)	区域 API 端点： `cloudkms.me-central2.rep.googleapis.com` 全局 API 端点： `cloudkms.googleapis.com`	无
Google Kubernetes Engine	不支持区域 API 端点。全局 API 端点： `container.googleapis.com` `containersecurity.googleapis.com`	受影响的功能和组织政策限制条件
GKE Hub	不支持区域 API 端点。全局 API 端点： `gkehub.googleapis.com`	无
Cloud Load Balancing	不支持区域 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能
Cloud Logging	区域 API 端点： `logging.me-central2.rep.googleapis.com` 全局 API 端点： `logging.googleapis.com`	受影响的功能
Cloud Monitoring	不支持区域 API 端点。全局 API 端点： `monitoring.googleapis.com`	受影响的功能
Network Connectivity Center	不支持区域 API 端点。全局 API 端点： `networkconnectivity.googleapis.com`	无
Cloud NAT	不支持区域 API 端点。全局 API 端点： `networkconnectivity.googleapis.com`	无
Cloud Router	不支持区域 API 端点。全局 API 端点： `networkconnectivity.googleapis.com`	无
Cloud Interconnect	不支持区域 API 端点。全局 API 端点： `networkconnectivity.googleapis.com`	受影响的功能
组织政策服务	不支持区域 API 端点。全局 API 端点： `orgpolicy.googleapis.com`	无
Persistent Disk	不支持区域 API 端点。全局 API 端点： `compute.googleapis.com`	无
Pub/Sub	区域 API 端点： `pubsub.me-central2.rep.googleapis.com` 全局 API 端点： `pubsub.googleapis.com`	无
Resource Manager	不支持区域 API 端点。全局 API 端点： `cloudresourcemanager.googleapis.com`	无
Cloud Run	不支持区域 API 端点。全局 API 端点： `run.googleapis.com`	受影响的功能
Secret Manager	区域 API 端点： `secretmanager.me-central2.rep.googleapis.com` 全局 API 端点： `secretmanager.googleapis.com`	无
Service Directory	不支持区域 API 端点。全局 API 端点： `servicedirectory.googleapis.com`	无
Spanner	区域 API 端点： `spanner.me-central2.rep.googleapis.com` 全局 API 端点： `spanner.googleapis.com`	受影响的功能和组织政策限制条件
Cloud SQL	不支持区域 API 端点。全局 API 端点： `sqladmin.googleapis.com`	受影响的功能和组织政策限制条件
Cloud Storage	区域 API 端点： `storage.me-central2.rep.googleapis.com` 全局 API 端点： `storage.googleapis.com`	组织政策限制条件
虚拟私有云	不支持区域 API 端点。全局 API 端点： `compute.googleapis.com`	无
VPC Service Controls	不支持区域 API 端点。全局 API 端点： `accesscontextmanager.googleapis.com`	无
Cloud VPN	不支持区域 API 端点。全局 API 端点： `compute.googleapis.com`	无
Firebase 安全规则	不支持区域 API 端点。全局 API 端点： `firebaserules.googleapis.com`	无
Cloud Workstations	不支持区域 API 端点。全局 API 端点： `workstations.googleapis.com`	无
Secure Source Manager	不支持区域 API 端点。全局 API 端点： `securesourcemanager.googleapis.com`	无

限制和局限

以下部分介绍了功能在整个云端或特定产品中的限制，包括 CNTXT 为沙特阿拉伯王国数据边界基础文件夹设置的任何组织政策限制条件。

Google Cloud宽

受影响的 Google Cloud范围功能

功能	说明
Google Cloud 控制台	使用 CNTXT 的沙特阿拉伯王国数据边界基础控制软件包时，如需访问 Google Cloud 控制台，您必须使用以下网址之一： console.sa.cloud.google.com console.sa.cloud.google （适用于联合身份用户）

Google Cloud范围的组织政策限制条件

以下组织政策限制条件适用于 Google Cloud。

组织政策限制条件	说明
`gcp.resourceLocations`	设置为 `allowedValues` 列表中的以下位置： `me-central2` 此值将新资源的创建限制为仅限所选值。设置此标志后，您将无法在所选区域、多区域位置或其他位置创建任何资源。如需查看可受“资源位置”组织政策限制条件限制的资源列表，请参阅资源位置支持的服务，因为某些资源可能不在范围内，无法受到限制。如果更改此值，则允许更少的数据在合规的数据边界之外创建或存储，从而可能破坏数据驻留。
`gcp.restrictNonCmekServices`	设置为所有范围内的 API 服务名称的列表，包括： `bigquerydatatransfer.googleapis.com` 对于上述每个服务，一些功能可能会受到影响。每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 使用您管理的密钥（而不是 Google 的默认加密机制）加密静态数据。如果通过从列表中移除一个或多个范围内的服务来更改此值，则可能会破坏数据主权，因为系统会使用 Google 自己的密钥（而不是您自己的密钥）自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
`gcp.restrictServiceUsage`	设置为允许所有受支持的产品和 API 端点。通过限制对资源进行运行时访问，确定哪些服务可以使用。如需了解详情，请参阅限制资源使用。
`gcp.restrictTLSVersion`	设置为拒绝以下 TLS 版本： `TLS_1_0` `TLS_1_1` 如需了解详情，请参阅限制 TLS 版本。

BigQuery

受影响的 BigQuery 功能

功能	说明
在新文件夹中启用 BigQuery	BigQuery 受支持，但由于内部配置流程，在您创建新的 Assured Workloads 文件夹时，系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成，但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery，请完成以下步骤：在 Google Cloud 控制台中，前往 Assured Workloads 页面。前往 Assured Workloads 从列表中选择新的 Assured Workloads 文件夹。在文件夹详情页面上的允许的服务部分中，点击查看可用更新。在允许的服务窗格中，查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务，请点击允许服务以添加这些服务。如果未列出 BigQuery 服务，请等待内部进程完成。如果服务在文件夹创建后的 12 小时内未列出，请与 Cloud Customer Care 联系。启用流程完成后，您可以在 Assured Workloads 文件夹中使用 BigQuery。 Assured Workloads 不支持 Gemini in BigQuery。
不受支持的功能	以下 BigQuery 功能不受支持，不应在 BigQuery CLI 中使用。您有责任不在 BigQuery 中使用这些模型来满足合作伙伴的自主控制要求。与远程数据源的交互不支持外部训练的 BQML 模型。支持内部训练的 BQML 模型。动态数据遮盖 GDrive 导出远程函数已保存的查询工作流安排对于 BigQuery Studio，不支持笔记本。 Gemini in BigQuery 不受支持。
不受支持的集成	以下 BigQuery 集成不受支持。您有责任不将这些功能与合作伙伴的 BigQuery 主权控制功能搭配使用。 Data Catalog API 的 `CreateTag`、`SearchCatalog`、`Bulk tagging` 和 `Business Glossary` API 方法以不受支持的方式处理和存储技术数据。您有责任不将这些方法用于 Sovereign Controls by Partners。
支持的 BigQuery API	支持以下 BigQuery API：数据集作业模型项目预留日常安排行访问权限政策 Storage Read Storage Write Tables 表格数据 Reservations API 默认处于未启用状态。您可以按照在 Google Cloud 项目中启用 API 中的说明启用该 API。
BigQuery CLI	支持 BigQuery CLI。
Google Cloud SDK	您必须使用 Google Cloud SDK 403.0.0 或更高版本，才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本，请运行 `gcloud --version`，然后运行 `gcloud components update` 以更新到最新版本。
管理员控制功能	BigQuery 将停用不受支持的 API，但有足够权限创建“合作伙伴主权控制”文件夹的管理员可以启用不受支持的 API。如果发生这种情况，您将通过 Assured Workloads 监控信息中心收到有关可能不合规的通知。
正在加载数据	不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于 Kingdom of Saudi Arabia Data Boundary Foundation by CNTXT 工作负载。
第三方转移作业	BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移作业来使用 BigQuery Data Transfer Service 时，您有责任验证支持情况。
不合规的 BQML 模型	不支持外部训练的 BQML 模型。
查询作业	查询作业应仅在 Sovereign Controls by Partners 文件夹中创建。
针对其他项目中的数据集的查询	BigQuery 不会阻止从非“Sovereign Controls by Partners”项目查询“Sovereign Controls by Partners”数据集。您应确保对 Sovereign Controls by Partners 数据进行读取或联接的任何查询都放置在 Sovereign Controls by Partners 文件夹中。您可以在 BigQuery CLI 中使用 `projectname.dataset.table` 为查询结果指定完全限定的表名称。
Cloud Logging	BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 `_default` 日志存储分区或将 `_default` 存储分区限制为仅限使用适用范围内的区域，以保持合规性。为此，请使用以下命令： `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` 如需了解详情，请参阅区域化存储日志。

Bigtable

受影响的 Bigtable 功能

功能	说明
Data Boost	此功能处于禁用状态。
分块边界	Bigtable 使用一小部分行键来定义分块边界，这些行键可能包含客户数据和元数据。Bigtable 中的分片边界表示表中的连续行范围被拆分为多个片的位置。 Google 人员可以出于技术支持和调试目的访问这些拆分边界，并且这些边界不受 Sovereign Controls by Partners 中的管理员权限数据控制的约束。

Cloud Interconnect

受影响的 Cloud Interconnect 功能

功能	说明
高可用性 (HA) VPN	将 Cloud Interconnect 与 Cloud VPN 搭配使用时，您必须启用高可用性 (HA) VPN 功能。此外，您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。

Cloud KMS

Cloud KMS 组织政策限制条件

组织政策限制条件	说明
`cloudkms.allowedProtectionLevels`	设置为允许创建具有以下保护级别的 Cloud Key Management Service CryptoKey： `EXTERNAL` `EXTERNAL_VPC` `SOFTWARE` `HSM` 如需了解详情，请参阅保护级别。

Cloud Load Balancing

受影响的 Cloud Load Balancing 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台不支持 Cloud Load Balancing 功能。请改用 API 或 Google Cloud CLI。
区域级负载均衡器	您必须仅将区域级负载平衡器与 CNTXT 的沙特阿拉伯王国数据边界基础搭配使用。如需详细了解如何配置区域级负载平衡器，请参阅以下页面：内部应用负载均衡器区域级外部应用负载均衡器内部直通式网络负载均衡器外部直通式网络负载均衡器

Cloud Logging

受影响的 Cloud Logging 功能

功能	说明
日志接收器	过滤条件不应包含客户数据。日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。
Live Tailing 日志条目	过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据，但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。
基于日志的提醒	此功能处于禁用状态。您无法在 Google Cloud 控制台中创建基于日志的提醒。
日志浏览器查询的缩短的网址	此功能处于禁用状态。您无法在 Google Cloud 控制台中创建查询的缩短网址。
在日志浏览器中保存查询	此功能处于禁用状态。您无法在 Google Cloud 控制台中保存任何查询。
使用 BigQuery 的 Log Analytics	此功能处于禁用状态。您无法使用日志分析功能。
基于 SQL 的提醒政策	此功能处于禁用状态。您无法使用基于 SQL 的提醒政策功能。

Cloud Monitoring

受影响的 Cloud Monitoring 功能

功能	说明
合成监控工具	此功能处于禁用状态。
拨测	此功能处于禁用状态。
信息中心中的日志面板 widget	此功能处于禁用状态。您无法向信息中心添加日志面板。
信息中心内的错误报告面板 widget	此功能处于禁用状态。您无法向信息中心添加错误报告面板。
信息中心中的过滤条件 `EventAnnotation`	此功能处于禁用状态。无法在信息中心内设置 `EventAnnotation` 的过滤条件。
`alertPolicies` 中的 `SqlCondition`	此功能处于禁用状态。您无法向 `alertPolicy` 添加 `SqlCondition`。

Cloud Run

受影响的 Cloud Run 功能

功能	说明
不受支持的功能	不支持以下 Cloud Run 功能： Cloud Trace 集成 Cloud Run functions Eventarc 触发器

Cloud SQL

受影响的 Cloud SQL 功能

功能	说明
Query Insights	部署 Cloud SQL 实例时，只有在未启用应用标记的情况下才能使用查询数据分析。如果启用了应用标记，您在尝试使用查询洞见时会收到错误消息。

Cloud SQL 组织政策限制条件

组织政策限制条件	说明
`sql.restrictNoncompliantDiagnosticDataAccess`	设置为 True。对 Cloud SQL 资源应用额外的数据主权和可支持性控制。更改此值可能会影响工作负载的数据驻留或数据主权。
`sql.restrictNoncompliantResourceCreation`	设置为 True。应用额外的数据主权控制措施，以防止创建不合规的 Cloud SQL 资源。更改此值可能会影响工作负载的数据驻留或数据主权。

Cloud Storage

受影响的 Cloud Storage 功能

功能	说明
Google Cloud 控制台	为了保持 ITAR 合规性，您有责任使用管辖区级 Google Cloud 控制台。 Jurisdictional 控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象，请参阅本部分中的合规的 API 端点行。
符合要求的 API 端点	您必须将符合 ITAR 要求的区域端点与 Cloud Storage 搭配使用。如需了解详情，请参阅 Cloud Storage 区域端点和 Cloud Storage 位置。
限制	您必须使用 Cloud Storage 区域端点才能符合 ITAR 要求。如需详细了解 ITAR 的 Cloud Storage 区域端点，请参阅 Cloud Storage 区域端点。区域端点不支持以下操作。不过，这些操作不会携带数据驻留服务条款中定义的客户数据。因此，您可以根据需要使用这些操作的全局端点，而不会违反 ITAR 合规性要求： HMAC 密钥操作 IAM 服务账号操作 Pub/Sub 通知对象更改通知如果用户尝试使用区域端点执行不支持的操作，Cloud Storage 将返回 400 HTTP 错误代码以及以下错误消息：`This endpoint does not implement this operation. Please use the global endpoint.`
复制和重写对象	如果源存储分区和目标存储分区都位于端点中指定的区域，则区域端点支持针对对象的复制和重写操作。不过，如果存储桶位于不同的位置，则无法使用区域级端点将对象从一个存储桶复制或重写到另一个存储桶。虽然可以使用全局端点跨位置复制或重写，但我们不建议这样做，因为这可能会违反 ITAR 合规性。

Cloud Storage 组织政策限制条件

组织政策限制条件说明

组织政策限制条件	说明
`storage.restrictAuthTypes`	设置为防止使用基于哈希的消息认证码 (HMAC) 进行身份验证。此限制值中指定了以下类型： `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` 默认情况下，系统会阻止 HMAC 密钥通过 CNTXT 工作负载向沙特阿拉伯王国数据边界基础资源进行身份验证。HMAC 密钥会影响数据主权，因为它们可用于在客户不知情的情况下访问客户数据。请参阅 Cloud Storage 文档中的 HMAC 密钥。更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。
`storage.uniformBucketLevelAccess`	设置为 True。您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储分区的访问权限。此限制条件可为存储分区及其内容提供精细的权限。如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

storage.restrictAuthTypes

设置为防止使用基于哈希的消息认证码 (HMAC) 进行身份验证。此限制值中指定了以下类型：

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

默认情况下，系统会阻止 HMAC 密钥通过 CNTXT 工作负载向沙特阿拉伯王国数据边界基础资源进行身份验证。HMAC 密钥会影响数据主权，因为它们可用于在客户不知情的情况下访问客户数据。请参阅 Cloud Storage 文档中的 HMAC 密钥。

更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。

storage.uniformBucketLevelAccess 设置为 True。

您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储分区的访问权限。此限制条件可为存储分区及其内容提供精细的权限。

如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

Compute Engine

受影响的 Compute Engine 功能

功能	说明
暂停和恢复虚拟机实例	此功能处于禁用状态。暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
本地 SSD	此功能处于禁用状态。无法创建具有本地 SSD 的实例，因为它们无法使用 CMEK 进行加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
Google Cloud 控制台	Google Cloud 控制台中不提供以下 Compute Engine 功能。请改用 API 或 Google Cloud CLI：健康检查网络端点组
将实例组添加到全球负载均衡器	您无法将实例组添加到全局负载均衡器。此功能已因`compute.disableGlobalLoadBalancing`组织政策限制而被停用。
暂停和恢复虚拟机实例	此功能处于禁用状态。暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间无法使用 CMEK 加密。此功能已通过`gcp.restrictNonCmekServices`组织政策限制条件停用。
本地 SSD	此功能处于禁用状态。无法创建具有本地 SSD 的实例，因为它们无法使用 CMEK 进行加密。此功能已通过`gcp.restrictNonCmekServices`组织政策限制条件停用。
客机环境	客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置，系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等，请参阅客机环境。这些组件可帮助您通过内部安全控制和流程满足数据主权。不过，如果您需要额外控制，还可以挑选自己的映像或代理，并选择性地使用 `compute.trustedImageProjects` 组织政策限制条件。如需了解详情，请参阅构建自定义映像。
虚拟机管理器中的操作系统政策	操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。请勿在这些文件中包含任何敏感信息。不妨考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情，请参阅操作系统政策示例。如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源，请启用 `constraints/osconfig.restrictInlineScriptAndOutputFileUsage` 组织政策限制条件。如需了解详情，请参阅 OS Config 的限制。
`instances.getSerialPortOutput()`	此 API 已停用。您将无法使用此 API 从指定实例获取串行端口输出。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False，以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。
`instances.getScreenshot()`	此 API 已停用。您将无法使用此 API 从指定实例获取屏幕截图。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False，以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。

Compute Engine 组织政策限制条件

组织政策限制条件	说明
`compute.enableComplianceMemoryProtection`	设置为 True。停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。更改此值可能会影响工作负载的数据驻留或数据主权。
`compute.disableGlobalCloudArmorPolicy`	设置为 True。禁止创建新的 Google Cloud Armor 安全政策，以及向现有的 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则，也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。
`compute.disableGlobalLoadBalancing`	设置为 True。禁止创建全球负载均衡产品。更改此值可能会影响工作负载的数据驻留或数据主权。
`compute.disableInstanceDataAccessApis`	设置为 True。全局停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。启用此限制条件后，您将无法在 Windows Server 虚拟机上生成凭据。如果您需要在 Windows 虚拟机上管理用户名和密码，请执行以下操作：为 Windows 虚拟机启用 SSH。运行以下命令可更改虚拟机的密码： gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" 替换以下内容： `VM_NAME`：您要设置密码的虚拟机的名称。 `USERNAME`：您要为其设置密码的用户的用户名。 `PASSWORD`：新密码。
`compute.disableSshInBrowser`	设置为 True。针对使用 OS Login 的虚拟机和 App Engine 柔性环境虚拟机，停用 Google Cloud 控制台内“浏览器中的 SSH”工具。更改此值可能会影响工作负载的数据驻留或数据主权。
`compute.restrictNonConfidentialComputing`	（可选）不设置值。设置此值可提供额外的深度防御。如需了解详情，请参阅机密虚拟机文档。
`compute.trustedImageProjects`	（可选）不设置值。设置此值可提供额外的深度防御。设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理，从而影响数据主权。

Dataplex Universal Catalog

Dataplex Universal Catalog 功能

功能	说明
属性商店	此功能已弃用并已停用。
Data Catalog	此功能已弃用并已停用。您无法在 Data Catalog 中搜索或管理元数据。
湖泊和可用区	此功能处于停用状态。您无法管理数据湖、区域和任务。

Dataproc

受影响的 Dataproc 功能

功能	说明
Google Cloud 控制台	Dataproc 目前不支持管辖区 Google Cloud 控制台。如需强制执行数据驻留，请确保在使用 Dataproc 时使用 Google Cloud CLI 或 API。

Google Cloud Armor

受影响的 Google Cloud Armor 功能

功能	说明
全球范围的安全政策	此功能已因组织政策限制而被停用。 `compute.disableGlobalCloudArmorPolicy`

Google Kubernetes Engine

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件	说明
`container.restrictNoncompliantDiagnosticDataAccess`	设置为 True。停用内核问题的汇总分析，这是维护工作负载的主权所必需的。更改此值可能会影响工作负载的数据驻留或数据主权。

Spanner

受影响的 Spanner 功能

功能	说明
分块边界	Spanner 使用一小部分主键和已编入索引的列来定义分块边界，这些边界可能包含客户数据和元数据。Spanner 中的分块边界表示连续的行范围被拆分为更小块的位置。 Google 人员可以出于技术支持和调试目的访问这些拆分边界，并且这些边界不受 Sovereign Controls by Partners 中的管理员权限数据控制的约束。

Spanner 组织政策限制条件

组织政策限制条件	说明
`spanner.assuredWorkloadsAdvancedServiceControls`	设置为 True。对 Spanner 资源应用额外的数据主权和可支持性控制。
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	设置为 True。禁止创建多区域 Spanner 实例，以强制执行数据驻留和数据主权。