Questa pagina descrive l'insieme di controlli applicati alle cartelle del confine dei dati della Spagna di SIA/Minsait in Controlli di sovranità dai partner. Fornisce informazioni dettagliate sui prodotti Google Cloud supportati e sui relativi endpoint API, nonché su eventuali restrizioni o limitazioni applicabili a questi prodotti.
Per saperne di più su questa offerta, visita il sito di Minsait Spain Data Boundary di SIA/Minsait.
Prodotti ed endpoint API supportati
Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le restrizioni o limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli dei criteri dell'organizzazione, sono elencate nella tabella seguente.
Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per il confine dei dati della Spagna di SIA/Minsait. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, ad esempio impatti negativi sulla residenza o sulla sovranità dei dati.
| Prodotto supportato | Endpoint API | Restrizioni o limitazioni |
|---|---|---|
| Gestore contesto accesso |
accesscontextmanager.googleapis.com |
Nessuno |
| Access Transparency |
accessapproval.googleapis.com |
Nessuno |
| Artifact Registry |
artifactregistry.googleapis.com |
Nessuno |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funzionalità interessate |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Funzionalità interessate |
| Certificate Authority Service |
privateca.googleapis.com |
Nessuno |
| Cloud Composer |
composer.googleapis.com |
Nessuno |
| Compute Engine |
compute.googleapis.com |
Funzionalità interessate e vincoli delle policy dell'organizzazione |
| Connect |
gkeconnect.googleapis.comconnectgateway.googleapis.com |
Nessuno |
| Sensitive Data Protection |
dlp.googleapis.com |
Nessuno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Nessuno |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Funzionalità interessate |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Funzionalità interessate |
| Cloud DNS |
dns.googleapis.com |
Nessuno |
| Filestore |
file.googleapis.com |
Nessuno |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Nessuno |
| Identity-Aware Proxy |
iap.googleapis.com |
Nessuno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Vincoli delle policy dell'organizzazione |
| Cloud HSM |
cloudkms.googleapis.com |
Nessuno |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Nessuno |
| Servizio di identità GKE |
anthosidentityservice.googleapis.com |
Nessuno |
| GKE Hub |
gkehub.googleapis.com |
Nessuno |
| Google Cloud Armor |
compute.googleapis.com |
Funzionalità interessate |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
Funzionalità interessate e vincoli delle policy dell'organizzazione |
| Cloud Load Balancing |
compute.googleapis.com |
Funzionalità interessate |
| Cloud Logging |
logging.googleapis.com |
Funzionalità interessate |
| Cloud Monitoring |
monitoring.googleapis.com |
Funzionalità interessate |
| Memorystore for Redis |
redis.googleapis.com |
Nessuno |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud NAT |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud Router |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud Service Mesh |
mesh.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.google.com |
Nessuno |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
Funzionalità interessate |
| Servizio Criteri dell'organizzazione |
orgpolicy.googleapis.com |
Nessuno |
| Persistent Disk |
compute.googleapis.com |
Nessuno |
| Pub/Sub |
pubsub.googleapis.com |
Nessuno |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Nessuno |
| Cloud Run |
run.googleapis.com |
Funzionalità interessate |
| Secret Manager |
secretmanager.googleapis.com |
Nessuno |
| Service Directory |
servicedirectory.googleapis.com |
Nessuno |
| Spanner |
spanner.googleapis.com |
Funzionalità interessate e vincoli delle policy dell'organizzazione |
| Speech-to-Text |
speech.googleapis.com |
Nessuno |
| Cloud SQL |
sqladmin.googleapis.com |
Funzionalità interessate e vincoli delle policy dell'organizzazione |
| Cloud Storage |
storage.googleapis.com |
Vincoli delle policy dell'organizzazione |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Nessuno |
| Controlli di servizio VPC |
accesscontextmanager.googleapis.com |
Nessuno |
| Cloud VPN |
compute.googleapis.com |
Nessuno |
Limitazioni e restrizioni
Le sezioni seguenti descrivono le limitazioni o le restrizioni a livello di cloud o specifiche del prodotto per le funzionalità, inclusi i vincoli delle policy dell'organizzazione impostati per impostazione predefinita nelle cartelle del confine dei dati della Spagna di SIA/Minsait.
Google Cloud-wide
Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud
I seguenti vincoli delle policy dell'organizzazione si applicano a Google Cloud.
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta le seguenti località nell'elenco allowedValues:
La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione dei dati al di fuori di un confine dei dati conforme. |
gcp.restrictCmekCryptoKeyProjects |
Imposta under:organizations/your-organization-name, ovvero la tua
organizzazione Controlli di sovranità di partner. Puoi limitare ulteriormente questo valore specificando un progetto
o una cartella.Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi Cloud KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce a progetti o cartelle non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i dati inattivi dei servizi inclusi nell'ambito. |
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i
nomi di servizio API inclusi nell'ambito, tra cui:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK cripta i dati inattivi con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito. |
gcp.restrictServiceUsage |
Imposta l'opzione per consentire tutti gli endpoint API e prodotti supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, consulta Limitazione dell'utilizzo delle risorse. |
gcp.restrictTLSVersion |
Imposta il rifiuto delle seguenti versioni TLS:
|
BigQuery
Funzionalità di BigQuery interessate
| Funzionalità | Descrizione |
|---|---|
| Abilitazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente
termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il
processo è terminato e per abilitare BigQuery, completa i seguenti passaggi:
Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads. |
| Funzionalità non supportate | Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella
CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per
Controlli di sovranità dai partner.
|
| Integrazioni non supportate | Le seguenti integrazioni BigQuery non sono supportate. È tua responsabilità
non utilizzarli con BigQuery per i controlli di sovranità dei partner.
|
| API BigQuery supportate | Sono supportate le seguenti API BigQuery: |
| Regioni | BigQuery è supportato per tutte le regioni BigQuery UE, ad eccezione della regione multiregionale UE. La conformità non può essere garantita se un set di dati viene creato in una multiregione UE,
in una regione non UE o in una multiregione non UE. È tua responsabilità specificare una regione conforme
quando crei set di dati BigQuery. Se viene inviata una richiesta di elenco dei dati di una tabella utilizzando una regione UE, ma il set di dati è stato creato in un'altra regione UE, BigQuery non può dedurre la regione che intendevi e l'operazione non andrà a buon fine con un messaggio di errore "set di dati non trovato". |
| CLI BigQuery | L'interfaccia a riga di comando BigQuery è supportata.
|
| Google Cloud SDK | Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati
per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui
gcloud --version e poi gcloud components update per eseguire l'aggiornamento
alla versione più recente.
|
| Controlli per gli amministratori | BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare cartelle Controlli di Sovranità dai Partner possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads. |
| Caricamento di dati | I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per i workload del limite di dati della Spagna di SIA/Minsait. |
| Trasferimenti di terze parti | BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
| Job di query | I job di query devono essere creati solo all'interno delle cartelle Controlli di Sovranità dai Partner. |
| Query sui set di dati in altri progetti | BigQuery non impedisce l'esecuzione di query sui set di dati Controlli di sovranità dai partner da progetti
non Controlli di sovranità dai partner. Assicurati che qualsiasi query che abbia una lettura o un'unione sui dati di Sovereign Controls by Partners venga inserita nelle cartelle di Sovereign Controls by Partners. Puoi specificare un nome di tabella completo per il risultato della query utilizzando projectname.dataset.table nella CLI BigQuery.
|
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare
i bucket di logging _default o limitare i bucket _default alle
regioni incluse nell'ambito utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Per saperne di più, consulta Regionalizzare i log. |
Bigtable
Funzionalità di Bigtable interessate
| Funzionalità | Descrizione |
|---|---|
| Data Boost | Questa funzionalità è disattivata. |
| Confini della suddivisione | Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire confini della suddivisione, che possono
includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la
posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet. Questi confini della suddivisione sono accessibili al personale Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Sovereign Controls by Partners. |
Cloud Interconnect
Funzionalità Cloud Interconnect interessate
| Funzionalità | Descrizione |
|---|---|
| VPN ad alta disponibilità | Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate. |
Cloud KMS
Vincoli dei criteri dell'organizzazione Cloud KMS
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
cloudkms.allowedProtectionLevels |
Impostato per consentire la creazione di chiavi di crittografia Cloud Key Management Service con i seguenti livelli di protezione:
|
Cloud Load Balancing
Funzionalità di Cloud Load Balancing interessate
| Funzionalità | Descrizione |
|---|---|
| ConsoleGoogle Cloud | Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI. |
| Bilanciatori del carico regionali | Devi utilizzare solo i bilanciatori del carico regionali con il confine dei dati della Spagna di SIA/Minsait. Per ulteriori
informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine: |
Cloud Logging
Funzionalità di Cloud Logging interessate
| Funzionalità | Descrizione |
|---|---|
| Sink di log | I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti. |
| Voci di log di coda in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti. |
| Avvisi basati sui log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud . |
| URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud . |
| Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud . |
| Analisi dei log tramite BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics. |
| Policy di avviso basate su SQL | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL. |
Cloud Monitoring
Funzionalità di Cloud Monitoring interessate
| Funzionalità | Descrizione |
|---|---|
| Monitoraggio sintetico | Questa funzionalità è disattivata. |
| Controlli di uptime | Questa funzionalità è disattivata. |
| Widget del pannello dei log in Dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un pannello dei log a una dashboard. |
| Widget del riquadro di Error Reporting in Dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un pannello di segnalazione errori a una dashboard. |
Filtra in
EventAnnotation
per Dashboard
|
Questa funzionalità è disattivata. Il filtro di EventAnnotation
non può essere impostato in una dashboard.
|
SqlCondition
in alertPolicies
|
Questa funzionalità è disattivata. Non puoi aggiungere un SqlCondition
a un
alertPolicy.
|
Cloud Run
Funzionalità di Cloud Run interessate
| Funzionalità | Descrizione |
|---|---|
| Funzionalità non supportate | Le seguenti funzionalità di Cloud Run non sono supportate: |
Cloud SQL
Funzionalità Cloud SQL interessate
| Funzionalità | Descrizione |
|---|---|
| Query Insights | Quando viene eseguita il deployment di un'istanza Cloud SQL, Query Insights può essere utilizzato solo se i tag dell'applicazione non sono abilitati. Se i tag delle applicazioni sono abilitati, riceverai un messaggio di errore quando tenti di utilizzare Query Insights. |
Vincoli dei criteri dell'organizzazione Cloud SQL
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
sql.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Cloud SQL. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
sql.restrictNoncompliantResourceCreation |
Imposta su True. Applica controlli aggiuntivi di sovranità dei dati per impedire la creazione di risorse Cloud SQL non conformi. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
Cloud Storage
Funzionalità di Cloud Storage interessate
| Funzionalità | Descrizione |
|---|---|
| ConsoleGoogle Cloud | Per mantenere la conformità alle ITAR, è tua responsabilità utilizzare la console Google Cloud per le giurisdizioni. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi in questa sezione. |
| Endpoint API conformi | Devi utilizzare uno degli endpoint regionali conformi all'ITAR con Cloud Storage. Per maggiori informazioni, consulta Endpoint regionali di Cloud Storage e Località di Cloud Storage. |
| Limitazioni | Per rispettare l'ITAR, devi utilizzare gli endpoint regionali di Cloud Storage. Per ulteriori informazioni sugli endpoint regionali di Cloud Storage per ITAR, consulta Endpoint regionali di Cloud Storage. Le seguenti operazioni non sono supportate dagli endpoint regionali. Tuttavia, queste operazioni non comportano il trasferimento dei dati del cliente come definito nei termini di servizio per la residenza dei dati. Pertanto, puoi utilizzare gli endpoint globali per queste operazioni, se necessario, senza violare la conformità all'ITAR: |
| Copia e riscrittura per gli oggetti | Le operazioni di copia e riscrittura per gli oggetti sono supportate dagli endpoint regionali se sia i bucket di origine sia quelli di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non puoi utilizzare endpoint regionali per copiare o riscrivere un oggetto da un bucket a un altro se i bucket si trovano in località diverse. È possibile utilizzare endpoint globali per copiare o riscrivere tra le località, ma non lo consigliamo in quanto potrebbe violare la conformità ITAR. |
Vincoli dei criteri dell'organizzazione Cloud Storage
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
storage.restrictAuthTypes |
Impostato per impedire l'autenticazione tramite HMAC (Hash-based Message Authentication Code). I seguenti tipi sono specificati in questo valore di vincolo:
La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato. |
storage.uniformBucketLevelAccess |
Imposta su True. L'accesso ai nuovi bucket viene gestito utilizzando i criteri IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando gli elenchi di controllo dell'accesso. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage. |
Compute Engine
Funzionalità di Compute Engine interessate
| Funzionalità | Descrizione |
|---|---|
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo delle policy dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni
della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
|
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere criptata utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
|
| Ambiente guest | È possibile che script, daemon e file binari inclusi nell'ambiente
guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche
su contenuti, codice sorgente e altro ancora di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo della policy dell'organizzazione compute.trustedImageProjects.
Per saperne di più, vedi Creare un'immagine personalizzata. |
| Policy del sistema operativo in VM Manager |
Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando
chiavi di crittografia gestite dal cliente (CMEK). Non includere informazioni sensibili in
questi file. Valuta la possibilità di archiviare questi script e file di output in
bucket Cloud Storage. Per saperne di più, consulta
Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse policy del sistema operativo che utilizzano script in linea o file di output binari, attiva il vincolo della policy dell'organizzazione constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Per saperne di più, consulta Vincoli per OS Config. |
instances.getSerialPortOutput()
|
Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata
utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione compute.disableInstanceDataAccessApis
impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva
seguendo le istruzioni riportate in
Abilitare l'accesso per un progetto.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai ottenere uno screenshot dall'istanza specificata
utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione compute.disableInstanceDataAccessApis
impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva
seguendo le istruzioni riportate in
Abilitare l'accesso per un progetto.
|
Vincoli dei criteri dell'organizzazione Compute Engine
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
compute.enableComplianceMemoryProtection |
Imposta su True. Disattiva alcune funzionalità di diagnostica interne per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un guasto all'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
compute.disableGlobalCloudArmorPolicy |
Imposta su True. Disabilita la creazione di nuove policy di sicurezza Google Cloud Armor globali e l'aggiunta o la modifica di regole alle policy di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sulle policy di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore. |
compute.disableInstanceDataAccessApis
| Imposta su True. Disabilita a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot().L'attivazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo:
|
compute.disableSshInBrowser
| Imposta su True. Disabilita lo strumento SSH nel browser nella console Google Cloud per le VM che utilizzano OS Login e le VM dell'ambiente flessibile di App Engine. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per maggiori informazioni, consulta la documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva.
L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati. |
Dataplex Universal Catalog
Funzionalità di Dataplex Universal Catalog
| Funzionalità | Descrizione |
|---|---|
| Attribute Store | Questa funzionalità è ritirata e disattivata. |
| Data Catalog | Questa funzionalità è ritirata e disattivata. Non puoi cercare né gestire i tuoi metadati in Data Catalog. |
| Laghi e zone | Questa funzionalità è disattivata. Non puoi gestire i lake, le zone e le attività. |
Dataproc
Funzionalità di Dataproc interessate
| Funzionalità | Descrizione |
|---|---|
| ConsoleGoogle Cloud | Al momento Dataproc non supporta la console giurisdizionale Google Cloud . Per applicare la residenza dei dati, assicurati di utilizzare Google Cloud CLI o l'API quando utilizzi Dataproc. |
Google Cloud Armor
Funzionalità di Google Cloud Armor interessate
| Funzionalità | Descrizione |
|---|---|
| Policy di sicurezza con ambito globale | Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalCloudArmorPolicy.
|
Google Kubernetes Engine
Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Disabilita l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un workload. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
Spanner
Funzionalità di Spanner interessate
| Funzionalità | Descrizione |
|---|---|
| Confini della suddivisione | Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i limiti di suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili al personale Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Sovereign Controls by Partners. |
Vincoli dei criteri dell'organizzazione Spanner
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Imposta su True. Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Imposta su True. Disabilita la possibilità di creare istanze Spanner multiregionali per applicare la residenza e la sovranità dei dati. |