CNTXT 提供的沙烏地阿拉伯王國資料邊界基礎

本頁面說明在 Sovereign Controls by Partners 中，套用至 CNTXT 資料夾的沙烏地阿拉伯王國資料邊界基礎控管機制。其中詳細說明支援的 Google Cloud 產品及其 API 端點，以及這些產品適用的限制。

如要進一步瞭解這項服務，請參閱 CNTXT 網站的「CNTXT 提供的沙烏地阿拉伯王國資料邊界基礎」。

支援的產品和 API 端點

下表列出會影響支援產品功能的限制，包括透過機構政策限制設定強制執行的限制。如果產品未列出，表示該產品不受支援，且不符合 CNTXT 的沙烏地阿拉伯王國資料邊界基礎架構控制項規定。如未盡到應盡的注意義務，並充分瞭解共同責任模式中的責任，建議不要使用不受支援的產品。使用不支援的產品前，請務必瞭解並願意承擔相關風險，例如對資料駐留或資料主權造成負面影響。

在 API 作業中與客戶資料互動的服務會提供區域 API 端點。在 CNTXT 的沙烏地阿拉伯王國資料邊界基礎中，您必須使用這些端點，而非服務的全域 API 端點。如果服務的 API 作業不會與客戶資料互動，則可使用全域 API 端點。詳情請參閱 Assured Workloads 的資料落地頁面。

支援的產品	API 端點	限制
資料存取透明化控管機制	不支援區域性 API 端點。全球 API 端點： `accessapproval.googleapis.com`	無
Artifact Registry	區域 API 端點： `artifactregistry.me-central2.rep.googleapis.com` 全球 API 端點： `artifactregistry.googleapis.com`	無
BigQuery	區域 API 端點： `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` 全球 API 端點： `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	受影響的功能
Bigtable	區域 API 端點： `bigtable.me-central2.rep.googleapis.com` 全球 API 端點： `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	受影響的功能
Compute Engine	不支援區域性 API 端點。全球 API 端點： `compute.googleapis.com`	受影響的功能和機構政策限制
Sensitive Data Protection	區域 API 端點： `dlp.me-central2.rep.googleapis.com` 全球 API 端點： `dlp.googleapis.com`	無
Dataflow	區域 API 端點： `dataflow.me-central2.rep.googleapis.com` 全球 API 端點： `dataflow.googleapis.com` `datapipelines.googleapis.com`	無
Dataplex Universal Catalog	區域 API 端點： `dataplex.me-central2.rep.googleapis.com` 全球 API 端點： `dataplex.googleapis.com` `datalineage.googleapis.com`	受影響的功能
Dataproc	區域 API 端點： `dataproc.me-central2.rep.googleapis.com` 全球 API 端點： `dataproc-control.googleapis.com` `dataproc.googleapis.com`	受影響的功能
Cloud DNS	不支援區域性 API 端點。全球 API 端點： `dns.googleapis.com`	無
重要聯絡人	不支援區域性 API 端點。全球 API 端點： `essentialcontacts.googleapis.com`	無
Filestore	不支援區域性 API 端點。全球 API 端點： `file.googleapis.com`	無
Cloud Next Generation Firewall	不支援區域性 API 端點。全球 API 端點： `compute.googleapis.com`	無
Google Cloud Armor	不支援區域性 API 端點。全球 API 端點： `compute.googleapis.com`	受影響的功能
身分與存取權管理 (IAM)	不支援區域性 API 端點。全球 API 端點： `iam.googleapis.com`	無
Identity-Aware Proxy	不支援區域性 API 端點。全球 API 端點： `iap.googleapis.com`	無
Cloud Key Management Service (Cloud KMS)	區域 API 端點： `cloudkms.me-central2.rep.googleapis.com` 全球 API 端點： `cloudkms.googleapis.com`	組織政策限制
Cloud HSM	區域 API 端點： `cloudkms.me-central2.rep.googleapis.com` 全球 API 端點： `cloudkms.googleapis.com`	無
Cloud External Key Manager (Cloud EKM)	區域 API 端點： `cloudkms.me-central2.rep.googleapis.com` 全球 API 端點： `cloudkms.googleapis.com`	無
Google Kubernetes Engine	不支援區域性 API 端點。全球 API 端點： `container.googleapis.com` `containersecurity.googleapis.com`	受影響的功能和機構政策限制
GKE Hub	不支援區域性 API 端點。全球 API 端點： `gkehub.googleapis.com`	無
Cloud Load Balancing	不支援區域性 API 端點。全球 API 端點： `compute.googleapis.com`	受影響的功能
Cloud Logging	區域 API 端點： `logging.me-central2.rep.googleapis.com` 全球 API 端點： `logging.googleapis.com`	受影響的功能
Cloud Monitoring	不支援區域性 API 端點。全球 API 端點： `monitoring.googleapis.com`	受影響的功能
Network Connectivity Center	不支援區域性 API 端點。全球 API 端點： `networkconnectivity.googleapis.com`	無
Cloud NAT	不支援區域性 API 端點。全球 API 端點： `networkconnectivity.googleapis.com`	無
Cloud Router	不支援區域性 API 端點。全球 API 端點： `networkconnectivity.googleapis.com`	無
Cloud Interconnect	不支援區域性 API 端點。全球 API 端點： `networkconnectivity.googleapis.com`	受影響的功能
機構政策服務	不支援區域性 API 端點。全球 API 端點： `orgpolicy.googleapis.com`	無
Persistent Disk	不支援區域性 API 端點。全球 API 端點： `compute.googleapis.com`	無
Pub/Sub	區域 API 端點： `pubsub.me-central2.rep.googleapis.com` 全球 API 端點： `pubsub.googleapis.com`	無
Resource Manager	不支援區域性 API 端點。全球 API 端點： `cloudresourcemanager.googleapis.com`	無
Cloud Run	不支援區域性 API 端點。全球 API 端點： `run.googleapis.com`	受影響的功能
Secret Manager	區域 API 端點： `secretmanager.me-central2.rep.googleapis.com` 全球 API 端點： `secretmanager.googleapis.com`	無
Service Directory	不支援區域性 API 端點。全球 API 端點： `servicedirectory.googleapis.com`	無
Spanner	區域 API 端點： `spanner.me-central2.rep.googleapis.com` 全球 API 端點： `spanner.googleapis.com`	受影響的功能和機構政策限制
Cloud SQL	不支援區域性 API 端點。全球 API 端點： `sqladmin.googleapis.com`	受影響的功能和機構政策限制
Cloud Storage	區域 API 端點： `storage.me-central2.rep.googleapis.com` 全球 API 端點： `storage.googleapis.com`	組織政策限制
虛擬私有雲	不支援區域性 API 端點。全球 API 端點： `compute.googleapis.com`	無
VPC Service Controls	不支援區域性 API 端點。全球 API 端點： `accesscontextmanager.googleapis.com`	無
Cloud VPN	不支援區域性 API 端點。全球 API 端點： `compute.googleapis.com`	無
Firebase 安全性規則	不支援區域性 API 端點。全球 API 端點： `firebaserules.googleapis.com`	無
Cloud Workstations	不支援區域性 API 端點。全球 API 端點： `workstations.googleapis.com`	無
Secure Source Manager	不支援區域性 API 端點。全球 API 端點： `securesourcemanager.googleapis.com`	無

規定與限制

以下各節說明功能在雲端或產品層級的限制，包括 CNTXT 資料邊界基礎資料夾在沙烏地阿拉伯王國預設設定的任何組織政策限制。

Google Cloud-wide

受影響的 Google Cloud功能

功能	說明
Google Cloud 控制台	使用 CNTXT 提供的沙烏地阿拉伯王國資料邊界基礎控管套件時，如要存取 Google Cloud 控制台，請務必使用下列網址之一： console.sa.cloud.google.com console.sa.cloud.google 適用於聯合身分使用者

Google Cloud全機構適用的組織政策限制

下列機構政策限制適用於 Google Cloud。

機構政策限制	說明
`gcp.resourceLocations`	在 `allowedValues` 清單中設定下列位置： `me-central2` 這個值會將新資源的建立作業限制在所選值。設定後，您就無法在所選區域、多區域或位置以外的任何其他區域建立資源。如要查看可透過「資源位置」組織政策限制的資源清單，請參閱「資源位置支援的服務」，因為部分資源可能超出範圍，無法受到限制。如果變更這個值，放寬限制，可能會允許在符合規定的資料邊界外建立或儲存資料，進而破壞資料落地設定。
`gcp.restrictNonCmekServices`	設定為所有適用範圍內的 API 服務名稱清單，包括： `bigquerydatatransfer.googleapis.com` 上述各項服務的部分功能可能會受到影響。清單中的每項服務都必須使用客戶管理的加密金鑰 (CMEK)。CMEK 會使用您管理的金鑰加密靜態資料，而非 Google 的預設加密機制。從清單中移除一或多項適用服務來變更這個值，可能會損害資料主權，因為系統會使用 Google 專屬金鑰，而非您的金鑰，自動加密新的靜態資料。現有的靜態資料仍會以您提供的金鑰加密。
`gcp.restrictServiceUsage`	設為允許所有支援的產品和 API 端點。限制對資源的執行階段存取權，決定可使用的服務。詳情請參閱「限制資源用量」。
`gcp.restrictTLSVersion`	設為拒絕下列 TLS 版本： `TLS_1_0` `TLS_1_1` 詳情請參閱「限制 TLS 版本」。

BigQuery

受影響的 BigQuery 功能

功能	說明
在新資料夾中啟用 BigQuery	系統支援 BigQuery，但由於內部設定程序，建立新的 Assured Workloads 資料夾時不會自動啟用 BigQuery。這項程序通常會在十分鐘內完成，但在某些情況下可能需要更久。如要檢查程序是否完成並啟用 BigQuery，請完成下列步驟：前往 Google Cloud 控制台的「Assured Workloads」頁面。前往 Assured Workloads 從清單中選取新的 Assured Workloads 資料夾。在「Allowed services」(允許的服務) 區段的「Folder Details」(資料夾詳細資料) 頁面中，按一下「Review Available Updates」(查看可用更新)。在「Allowed services」(允許的服務) 窗格中，查看要新增至資料夾「資源用量限制」機構政策的服務。如果列出 BigQuery 服務，請按一下「允許服務」新增服務。如果未列出 BigQuery 服務，請等待內部程序完成。如果服務未在建立資料夾後的 12 小時內列出，請與 Cloud Customer Care 聯絡。啟用程序完成後，您就可以在 Assured Workloads 資料夾中使用 BigQuery。 Assured Workloads 不支援 Gemini in BigQuery。
不支援的功能	BigQuery CLI 不支援下列 BigQuery 功能，請勿使用。您有責任不在 BigQuery 中使用這些模型，以免違反 Sovereign Controls by Partners 規定。與遠端資料來源互動不支援外部訓練的 BQML 模型。支援內部訓練的 BQML 模型。遮蓋動態資料匯出至 Google 雲端硬碟遠端函式儲存的查詢工作流程排程 BigQuery Studio 不支援筆記本。不支援 Gemini in BigQuery。
不支援的整合項目	系統不支援下列 BigQuery 整合功能。您有責任確保不將這些功能與合作夥伴的 Sovereign Controls 搭配使用 BigQuery。 Data Catalog API 的 `CreateTag`、`SearchCatalog`、`Bulk tagging` 和 `Business Glossary` API 方法會以不支援的方式處理及儲存技術資料。您有責任避免使用這些方法進行 Sovereign Controls by Partners。
支援的 BigQuery API	支援的 BigQuery API 如下：資料集工作模型專案預訂日常安排資料列存取政策儲存空間讀取儲存空間寫入 Tables 表格資料 Reservations API 預設為停用。您可以按照「在專案中啟用 API Google Cloud 」一文中的操作說明啟用 API。
BigQuery CLI	支援 BigQuery CLI。
Google Cloud SDK	您必須使用 Google Cloud SDK 403.0.0 以上版本，才能確保技術資料的資料區域化。如要確認目前的 Google Cloud SDK 版本，請執行 `gcloud --version`，然後執行 `gcloud components update`，更新至最新版本。
管理員控制項	BigQuery 會停用不支援的 API，但如果管理員具備足夠權限，可建立「合作夥伴主權控制項」資料夾，就能啟用不支援的 API。如果發生這種情況，您會透過 Assured Workloads 監控資訊主頁收到潛在不符規定的通知。
正在載入資料	不支援 Google 軟體即服務 (SaaS) 應用程式、外部雲端儲存空間供應商和資料倉儲的 BigQuery 資料移轉服務連接器。您有責任確保不使用 BigQuery 資料移轉服務連接器，處理 CNTXT 工作負載的沙烏地阿拉伯王國資料邊界基礎。
第三方轉移	BigQuery 不會驗證 BigQuery 資料移轉服務是否支援第三方轉移。使用任何第三方移轉服務搭配 BigQuery 資料移轉服務時，您有責任確認支援情況。
不符規定的 BQML 模型	不支援外部訓練的 BQML 模型。
查詢工作	查詢工作只能在 Sovereign Controls by Partners 資料夾中建立。
查詢其他專案中的資料集	BigQuery 不會禁止從非合作夥伴主權控制專案查詢合作夥伴主權控制資料集。請務必將任何讀取或聯結合作夥伴提供的主權控管機制資料的查詢，放在合作夥伴提供的主權控管機制資料夾中。您可以在 BigQuery CLI 中使用 `projectname.dataset.table`，為查詢結果指定完整格式的資料表名稱。
Cloud Logging	BigQuery 會使用 Cloud Logging 處理部分記錄檔資料。您應停用 `_default` 記錄 bucket，或將 `_default` bucket 限制在適用範圍內的區域，以使用下列指令維持法規遵循狀態： `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` 詳情請參閱「將記錄檔區域化」。

Bigtable

受影響的 Bigtable 功能

功能	說明
Data Boost	這項功能已停用。
分割邊界	Bigtable 會使用一小部分的資料列鍵定義分割界線，其中可能包含客戶資料和中繼資料。Bigtable 中的分割邊界表示資料表中的連續資料列範圍分割成子表的位置。 Google 人員可基於技術支援和偵錯目的存取這些分割界線，且這些界線不受合作夥伴主權控管機制中的管理存取資料控管措施限制。

Cloud Interconnect

受影響的 Cloud Interconnect 功能

功能	說明
高可用性 (HA) VPN	使用 Cloud Interconnect 和 Cloud VPN 時，必須啟用高可用性 (HA) VPN 功能。此外，您必須遵守「受影響的 Cloud VPN 功能」一節列出的加密和區域化規定。

Cloud KMS

Cloud KMS 機構政策限制

機構政策限制	說明
`cloudkms.allowedProtectionLevels`	設定為允許建立具有下列保護層級的 Cloud Key Management Service 加密編譯金鑰： `EXTERNAL` `EXTERNAL_VPC` `SOFTWARE` `HSM` 詳情請參閱「保護等級」。

Cloud Load Balancing

受影響的 Cloud Load Balancing 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不支援 Cloud Load Balancing 功能。請改用 API 或 Google Cloud CLI。
區域性負載平衡器	使用 CNTXT 提供的沙烏地阿拉伯王國資料邊界基礎時，只能使用區域負載平衡器。如要進一步瞭解如何設定區域負載平衡器，請參閱下列頁面：內部應用程式負載平衡器區域性外部應用程式負載平衡器內部直通式網路負載平衡器外部直通式網路負載平衡器

Cloud Logging

受影響的 Cloud Logging 功能

功能	說明
記錄接收器	篩選器不得包含客戶資料。記錄接收器包含篩選器，篩選器會儲存為設定。請勿建立含有顧客資料的篩選器。
即時追蹤記錄項目	篩選器不得包含客戶資料。即時追蹤工作階段包含篩選器，並以設定的形式儲存。追蹤記錄本身不會儲存任何記錄項目資料，但可以跨區域查詢及傳輸資料。請勿建立含有顧客資料的篩選器。
記錄式快訊	這項功能已停用。您無法在 Google Cloud 控制台中建立記錄式快訊。
Logs Explorer 查詢的縮短網址	這項功能已停用。您無法在 Google Cloud 控制台中建立查詢的縮短網址。
在 Logs Explorer 中儲存查詢	這項功能已停用。您無法在 Google Cloud 控制台中儲存任何查詢。
使用 BigQuery 分析記錄檔	這項功能已停用。您無法使用記錄檔分析功能。
以 SQL 為基礎的快訊政策	這項功能已停用。您無法使用以 SQL 為基礎的快訊政策功能。

Cloud Monitoring

受影響的 Cloud Monitoring 功能

功能	說明
綜合監控項目	這項功能已停用。
運作時間檢查	這項功能已停用。
記錄面板小工具，位於資訊主頁	這項功能已停用。您無法在資訊主頁中新增記錄面板。
Error Reporting 面板小工具位於資訊主頁	這項功能已停用。您無法在資訊主頁中新增錯誤報告面板。
在「`EventAnnotation`」中篩選「資訊主頁」	這項功能已停用。無法在資訊主頁中設定 `EventAnnotation` 篩選器。
`SqlCondition` 在 `alertPolicies` 中	這項功能已停用。你無法將 `SqlCondition` 新增至 `alertPolicy`。

Cloud Run

受影響的 Cloud Run 功能

功能	說明
不支援的功能	系統不支援下列 Cloud Run 功能： Cloud Trace 整合 Cloud Run functions Eventarc 觸發條件

Cloud SQL

受影響的 Cloud SQL 功能

功能	說明
查詢洞察	部署 Cloud SQL 執行個體時，只有在未啟用應用程式標記的情況下，才能使用查詢洞察功能。如果已啟用應用程式標記，嘗試使用查詢洞察時會收到錯誤訊息。

Cloud SQL 機構政策限制

機構政策限制	說明
`sql.restrictNoncompliantDiagnosticDataAccess`	設為 True。對 Cloud SQL 資源套用額外的資料主權和支援性控制項。變更這個值可能會影響工作負載的資料落地或資料主權。
`sql.restrictNoncompliantResourceCreation`	設為 True。套用額外的資料主權控制項，防止建立不符規定的 Cloud SQL 資源。變更這個值可能會影響工作負載的資料落地或資料主權。

Cloud Storage

受影響的 Cloud Storage 功能

功能	說明
Google Cloud 控制台	為確保符合 ITAR 規定，您有責任使用管轄區 Google Cloud 控制台。 Jurisdictional 控制台會禁止上傳及下載 Cloud Storage 物件。如要上傳及下載 Cloud Storage 物件，請參閱本節中的「符合規範的 API 端點」列。
符合規定的 API 端點	您必須搭配 Cloud Storage 使用其中一個符合 ITAR 規範的地區端點。詳情請參閱「Cloud Storage 區域端點」和「Cloud Storage 位置」。
限制	您必須使用 Cloud Storage 地區端點，才能符合 ITAR 規定。如要進一步瞭解 ITAR 適用的 Cloud Storage 區域端點，請參閱「Cloud Storage 區域端點」。區域端點不支援下列作業。不過，這些作業不會攜帶資料落地服務條款中定義的客戶資料。因此，您可以視需要使用這些作業的全球端點，不會違反 ITAR 法規： HMAC 金鑰作業 IAM 服務帳戶作業 Pub/Sub 通知物件變更通知如果使用者嘗試透過區域端點執行不支援的操作，Cloud Storage 會傳回 400 HTTP 錯誤代碼，並顯示以下錯誤訊息： `This endpoint does not implement this operation. Please use the global endpoint.`
複製及重新編寫物件	如果來源和目標值區都位於端點指定的區域，區域端點就支援物件的複製和重新寫入作業。不過，如果值區位於不同位置，您就無法使用區域端點，將物件從一個值區複製或重寫至另一個值區。您可以使用全域端點在不同位置之間複製或重新編寫，但我們不建議這麼做，因為這可能會違反 ITAR 法規。

Cloud Storage 組織政策限制

機構政策限制說明

機構政策限制	說明
`storage.restrictAuthTypes`	設定為禁止使用雜湊式訊息驗證碼 (HMAC) 進行驗證。這個限制值會指定下列類型： `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` 根據預設，HMAC 金鑰無法透過 CNTXT 工作負載，向沙烏地阿拉伯王國資料邊界基礎架構的 Cloud Storage 資源進行驗證。HMAC 金鑰會影響資料主權，因為有心人士可利用這類金鑰存取顧客資料，且顧客不會知情。請參閱 Cloud Storage 文件中的 HMAC 金鑰。變更這個值可能會影響工作負載中的資料主權，因此強烈建議保留設定值。
`storage.uniformBucketLevelAccess`	設為 True。新值區的存取權是透過 IAM 政策管理，而非 Cloud Storage 存取控制清單 (ACL)。這項限制可為 bucket 及其內容提供精細的權限。如果啟用這項限制時建立值區，就無法再使用 ACL 管理值區存取權。換句話說，值區的存取控管方法會永久設定為使用 IAM 政策，而非 Cloud Storage ACL。

storage.restrictAuthTypes

設定為禁止使用雜湊式訊息驗證碼 (HMAC) 進行驗證。這個限制值會指定下列類型：

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

根據預設，HMAC 金鑰無法透過 CNTXT 工作負載，向沙烏地阿拉伯王國資料邊界基礎架構的 Cloud Storage 資源進行驗證。HMAC 金鑰會影響資料主權，因為有心人士可利用這類金鑰存取顧客資料，且顧客不會知情。請參閱 Cloud Storage 文件中的 HMAC 金鑰。

變更這個值可能會影響工作負載中的資料主權，因此強烈建議保留設定值。

storage.uniformBucketLevelAccess 設為 True。

新值區的存取權是透過 IAM 政策管理，而非 Cloud Storage 存取控制清單 (ACL)。這項限制可為 bucket 及其內容提供精細的權限。

如果啟用這項限制時建立值區，就無法再使用 ACL 管理值區存取權。換句話說，值區的存取控管方法會永久設定為使用 IAM 政策，而非 Cloud Storage ACL。

Compute Engine

受影響的 Compute Engine 功能

功能	說明
暫停及重新啟用 VM 執行個體	這項功能已停用。暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間，且目前無法使用 CMEK 加密用於儲存暫停 VM 狀態的永久磁碟儲存空間。請參閱上方章節中的`gcp.restrictNonCmekServices`組織政策限制，瞭解啟用這項功能對資料主權和資料駐留的影響。
本機 SSD	這項功能已停用。您無法建立具有本機 SSD 的執行個體，因為這類執行個體無法使用 CMEK 加密。請參閱上方章節中的`gcp.restrictNonCmekServices`組織政策限制，瞭解啟用這項功能對資料主權和資料駐留的影響。
Google Cloud 控制台	Google Cloud 控制台不支援下列 Compute Engine 功能。請改用 API 或 Google Cloud CLI：安全狀態檢查網路端點群組
將執行個體群組新增至全域負載平衡器	您無法將執行個體群組新增至全域負載平衡器。這項功能已遭`compute.disableGlobalLoadBalancing`機構政策限制停用。
暫停及重新啟用 VM 執行個體	這項功能已停用。暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間，且用於儲存暫停 VM 狀態的永久磁碟儲存空間無法使用 CMEK 加密。這項功能已遭`gcp.restrictNonCmekServices`機構政策限制停用。
本機 SSD	這項功能已停用。您無法建立具有本機 SSD 的執行個體，因為本機 SSD 無法使用 CMEK 加密。這項功能已遭`gcp.restrictNonCmekServices`機構政策限制停用。
訪客環境	訪客環境隨附的指令碼、常駐程式和二進位檔可能會存取未加密的靜態和使用中資料。視 VM 設定而定，系統可能會預設安裝這類軟體的更新。如要瞭解各套件的內容、原始碼等具體資訊，請參閱「訪客環境」。這些元件可透過內部安全控管機制和程序，協助您符合資料主權規定。不過，如要進一步控管，您也可以自行管理圖片或代理程式，並視需要使用 `compute.trustedImageProjects` 組織政策限制。詳情請參閱「建構自訂映像檔」。
VM 管理員中的 OS 政策	作業系統政策檔案中的內嵌指令碼和二進位輸出檔案，不會使用客戶自行管理的加密金鑰 (CMEK) 加密。請勿在這些檔案中加入任何私密資訊。建議將這些指令碼和輸出檔案儲存在 Cloud Storage bucket 中。詳情請參閱「作業系統政策範例」。如要限制建立或修改使用內嵌指令碼或二進位輸出檔案的 OS 政策資源，請啟用 `constraints/osconfig.restrictInlineScriptAndOutputFileUsage` 組織政策限制。詳情請參閱「OS Config 的限制」。
`instances.getSerialPortOutput()`	這個 API 已停用。您將無法使用這個 API，從指定執行個體取得序列埠輸出內容。將 `compute.disableInstanceDataAccessApis` 機構政策限制值變更為 False，即可啟用這項 API。您也可以按照「啟用專案的存取權」一文中的操作說明，啟用及使用互動式序列埠。
`instances.getScreenshot()`	這個 API 已停用。您將無法使用這個 API，從指定執行個體取得螢幕截圖。將 `compute.disableInstanceDataAccessApis` 機構政策限制值變更為 False，即可啟用這項 API。您也可以按照「啟用專案的存取權」一文中的操作說明，啟用及使用互動式序列埠。

Compute Engine 機構政策限制

機構政策限制	說明
`compute.enableComplianceMemoryProtection`	設為 True。停用部分內部診斷功能，在發生基礎架構故障時，提供額外的記憶體內容保護措施。變更這個值可能會影響工作負載的資料落地或資料主權。
`compute.disableGlobalCloudArmorPolicy`	設為 True。禁止建立新的全域 Google Cloud Armor 安全性政策，以及在現有全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制未禁止移除規則，或者移除或變更全域 Google Cloud Armor 安全性政策的說明和清單。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。
`compute.disableGlobalLoadBalancing`	設為 True。停用全球性負載平衡產品的建立功能。變更這個值可能會影響工作負載的資料落地或資料主權。
`compute.disableInstanceDataAccessApis`	設為 True。全域停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。啟用這項限制後，您就無法在 Windows Server VM 上產生憑證。如要管理 Windows VM 的使用者名稱和密碼，請按照下列步驟操作：為 Windows VM 啟用 SSH。執行下列指令來變更 VM 的密碼： gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" 更改下列內容： `VM_NAME`：要設定密碼的 VM 名稱。 `USERNAME`：要設定密碼的使用者名稱。 `PASSWORD`：新密碼。
`compute.disableSshInBrowser`	設為 True。針對使用 OS 登入和 App Engine 彈性環境的 VM，停用 Google Cloud 控制台中透過瀏覽器建立 SSH 連線的工具。變更這個值可能會影響工作負載的資料落地或資料主權。
`compute.restrictNonConfidentialComputing`	(選用) 未設定值。請設定這個值，以提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件。
`compute.trustedImageProjects`	(選用) 未設定值。設定這個值，提供額外的縱深防禦。設定這個值後，映像檔儲存空間和磁碟執行個體化作業就會限制在指定的專案清單中。這個值會禁止使用任何未經授權的圖片或代理程式，進而影響資料主權。

Dataplex Universal Catalog

Dataplex Universal Catalog 功能

功能	說明
屬性存放區	這項功能已淘汰並停用。
Data Catalog	這項功能已淘汰並停用。您無法在 Data Catalog 中搜尋或管理中繼資料。
資料湖泊與可用區	這項功能已停用。您無法管理湖泊、區域和工作。

Dataproc

受影響的 Dataproc 功能

功能	說明
Google Cloud 控制台	Dataproc 目前不支援管轄區 Google Cloud 控制台。如要強制執行資料落地，請務必在使用 Dataproc 時，使用 Google Cloud CLI 或 API。

Google Cloud Armor

受影響的 Google Cloud Armor 功能

功能	說明
全域範圍的安全性政策	這項功能已遭機構政策限制停用。`compute.disableGlobalCloudArmorPolicy`

Google Kubernetes Engine

Google Kubernetes Engine 機構政策限制

機構政策限制	說明
`container.restrictNoncompliantDiagnosticDataAccess`	設為 True。停用核心問題的匯總分析，這是維持工作負載主權控制權的必要條件。變更這個值可能會影響工作負載的資料落地或資料主權。

Spanner

受影響的 Spanner 功能

功能	說明
分割邊界	Spanner 會使用一小部分主鍵和索引資料欄定義分割界線，其中可能包含客戶資料和中繼資料。Spanner 中的分割界線表示連續資料列範圍分割成較小區塊的位置。 Google 人員可基於技術支援和偵錯目的存取這些分割界線，且這些界線不受合作夥伴主權控管機制中的管理存取資料控管措施限制。

Spanner 機構政策限制

機構政策限制	說明
`spanner.assuredWorkloadsAdvancedServiceControls`	設為 True。對 Spanner 資源套用額外的資料主權和支援性控制項。
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	設為 True。禁止建立多區域 Spanner 執行個體，以強制執行資料落地權和資料主權。