Limite de dados avançado do Reino da Arábia Saudita pela CNTXT

Esta página descreve o conjunto de controles aplicados às pastas do Advanced Data Boundary do Reino da Arábia Saudita pela CNTXT nos Controles de soberania dos parceiros. Ele fornece informações detalhadas sobre os produtos Google Cloud compatíveis e os endpoints de API deles, além de restrições ou limitações aplicáveis a esses produtos.

Consulte o site da CNTXT Fronteira de dados avançada do Reino da Arábia Saudita pela CNTXT para mais informações sobre essa oferta.

Produtos e endpoints de API compatíveis

As restrições ou limitações que afetam os recursos de um produto compatível, incluindo aquelas que são aplicadas pelas configurações de restrição da política da organização, estão listadas na tabela a seguir. Se um produto não estiver listado, ele não terá suporte e não terá atendido aos requisitos de controle para o Advanced de fronteira de dados do Reino da Arábia Saudita pela CNTXT. Não é recomendável usar produtos sem suporte sem a devida diligência e um entendimento completo das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você conhece e aceita os riscos associados, como impactos negativos na residência ou soberania de dados.

Os serviços que interagem com os dados do cliente nas operações de API fornecem endpoints regionais de API. Eles precisam ser usados em vez do endpoint global da API do serviço no limite de dados avançado do Reino da Arábia Saudita pela CNTXT. Para serviços cujas operações de API não interagem com dados do cliente, é permitido usar endpoints globais de API. Consulte a página Residência de dados do Assured Workloads para mais informações.

Produto compatível Endpoints de API Restrições ou limitações
Transparência no acesso Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • accessapproval.googleapis.com
 Nenhum
Artifact Registry Endpoints regionais da API:
  • artifactregistry.me-central2.rep.googleapis.com


Endpoints globais da API:
  • artifactregistry.googleapis.com
 Nenhum
BigQuery Endpoints regionais da API:
  • bigquery.me-central2.rep.googleapis.com
  • bigqueryconnection.me-central2.rep.googleapis.com
  • bigqueryreservation.me-central2.rep.googleapis.com
  • bigquerystorage.me-central2.rep.googleapis.com


Endpoints globais da API:
  • bigquery.googleapis.com
  • bigqueryconnection.googleapis.com
  • bigquerydatapolicy.googleapis.com
  • bigqueryreservation.googleapis.com
  • bigquerystorage.googleapis.com
 Recursos afetados
Bigtable Endpoints regionais da API:
  • bigtable.me-central2.rep.googleapis.com


Endpoints globais da API:
  • bigtable.googleapis.com
  • bigtableadmin.googleapis.com
 Recursos afetados
Compute Engine Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • compute.googleapis.com
 Recursos afetados e restrições da política da organização
Proteção de Dados Sensíveis Endpoints regionais da API:
  • dlp.me-central2.rep.googleapis.com


Endpoints globais da API:
  • dlp.googleapis.com
 Nenhum
Dataflow Endpoints regionais da API:
  • dataflow.me-central2.rep.googleapis.com


Endpoints globais da API:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
 Nenhum
Dataplex Universal Catalog Endpoints regionais da API:
  • dataplex.me-central2.rep.googleapis.com


Endpoints globais da API:
  • dataplex.googleapis.com
  • datalineage.googleapis.com
 Recursos afetados
Dataproc Endpoints regionais da API:
  • dataproc.me-central2.rep.googleapis.com


Endpoints globais da API:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
 Recursos afetados
Cloud DNS Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • dns.googleapis.com
 Nenhum
Contatos essenciais Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • essentialcontacts.googleapis.com
 Nenhum
Filestore Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • file.googleapis.com
 Nenhum
Cloud Next Generation Firewall Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum
Google Cloud Armor Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • compute.googleapis.com
 Recursos afetados
Gerenciamento de identidade e acesso (IAM) Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • iam.googleapis.com
 Nenhum
Identity-Aware Proxy Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • iap.googleapis.com
 Nenhum
Cloud Key Management Service (Cloud KMS) Endpoints regionais da API:
  • cloudkms.me-central2.rep.googleapis.com


Endpoints globais da API:
  • cloudkms.googleapis.com
 Restrições das políticas da organização
Cloud HSM Endpoints regionais da API:
  • cloudkms.me-central2.rep.googleapis.com


Endpoints globais da API:
  • cloudkms.googleapis.com
 Nenhum
Gerenciador de chaves externas do Cloud (Cloud EKM) Endpoints regionais da API:
  • cloudkms.me-central2.rep.googleapis.com


Endpoints globais da API:
  • cloudkms.googleapis.com
 Nenhum
Google Kubernetes Engine Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Recursos afetados e restrições da política da organização
Hub GKE Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • gkehub.googleapis.com
 Nenhum
Cloud Load Balancing Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • compute.googleapis.com
 Recursos afetados
Cloud Logging Endpoints regionais da API:
  • logging.me-central2.rep.googleapis.com


Endpoints globais da API:
  • logging.googleapis.com
 Recursos afetados
Cloud Monitoring Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • monitoring.googleapis.com
 Recursos afetados
Network Connectivity Center Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • networkconnectivity.googleapis.com
 Nenhum
Cloud NAT Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • networkconnectivity.googleapis.com
 Nenhum
Cloud Router Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • networkconnectivity.googleapis.com
 Nenhum
Cloud Interconnect Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • networkconnectivity.googleapis.com
 Recursos afetados
Organization Policy Service Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • orgpolicy.googleapis.com
 Nenhum
Persistent Disk Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum
Pub/Sub Endpoints regionais da API:
  • pubsub.me-central2.rep.googleapis.com


Endpoints globais da API:
  • pubsub.googleapis.com
 Nenhum
Resource Manager Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • cloudresourcemanager.googleapis.com
 Nenhum
Cloud Run Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • run.googleapis.com
 Recursos afetados
Secret Manager Endpoints regionais da API:
  • secretmanager.me-central2.rep.googleapis.com


Endpoints globais da API:
  • secretmanager.googleapis.com
 Nenhum
Diretório de serviços Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • servicedirectory.googleapis.com
 Nenhum
Spanner Endpoints regionais da API:
  • spanner.me-central2.rep.googleapis.com


Endpoints globais da API:
  • spanner.googleapis.com
 Recursos afetados e restrições da política da organização
Cloud SQL Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • sqladmin.googleapis.com
 Recursos afetados e restrições da política da organização
Cloud Storage Endpoints regionais da API:
  • storage.me-central2.rep.googleapis.com


Endpoints globais da API:
  • storage.googleapis.com
 Restrições das políticas da organização
Nuvem privada virtual Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum
VPC Service Controls Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • accesscontextmanager.googleapis.com
 Nenhum
Cloud VPN Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum
Regras de segurança do Firebase Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • firebaserules.googleapis.com
 Nenhum
Cloud Workstations Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • workstations.googleapis.com
 Nenhum
Secure Source Manager Não há suporte para endpoints regionais da API.

Endpoints globais da API:
  • securesourcemanager.googleapis.com
 Nenhum

Restrições e limitações

As seções a seguir descrevem restrições ou limitações em toda a nuvem ou específicas do produto para recursos, incluindo restrições de política da organização definidas por padrão em pastas do Advanced Data Boundary do Reino da Arábia Saudita pela CNTXT.

Google Cloudde largura

Recursos afetados em toda a Google Cloud

Recurso Descrição
Console doGoogle Cloud Para acessar o console do Google Cloud ao usar o pacote de controle de fronteira de dados avançada do Reino da Arábia Saudita pela CNTXT, use um dos seguintes URLs:

Restrições da política da organização em toda aGoogle Cloud

As restrições da política da organização a seguir se aplicam a Google Cloud.

Restrição da política da organização Descrição
gcp.resourceLocations Defina os seguintes locais na lista allowedValues:
  • me-central2
Esse valor restringe a criação de novos recursos aos valores selecionados. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da seleção. Consulte Serviços compatíveis com locais de recursos para ver uma lista de recursos que podem ser restringidos pela restrição da política da organização de locais de recursos. Alguns recursos podem estar fora do escopo e não podem ser restringidos.

Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade.
gcp.restrictNonCmekServices Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo:
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • documentai.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • workstations.googleapis.com
Alguns recursos podem ser afetados para cada um dos serviços listados acima.

Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK criptografa dados em repouso com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google.

Alterar esse valor removendo um ou mais serviços em escopo da lista pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
gcp.restrictServiceUsage Definido para permitir todos os produtos e endpoints de API compatíveis.

Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Como restringir o uso de recursos.
gcp.restrictTLSVersion Definido para negar as seguintes versões do TLS:
  • TLS_1_0
  • TLS_1_1
Para mais informações, consulte Restringir versões do TLS.

BigQuery

Recursos afetados do BigQuery

Recurso Descrição
Ativar o BigQuery em uma nova pasta O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma nova pasta do Assured Workloads devido a um processo de configuração interna. Esse processo normalmente leva 10 minutos, mas pode demorar mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:
  1. No console Google Cloud , acesse a página Assured Workloads.

    Acesse o Assured Workloads

  2. Selecione a nova pasta do Assured Workloads na lista.
  3. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis.
  4. No painel Serviços permitidos, revise os serviços que serão adicionados à política da organização Restrição de uso de recursos da pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los.

    Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care.

Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta do Assured Workloads.

O Gemini no BigQuery não é compatível com o Assured Workloads.
Recursos não suportados Os seguintes recursos do BigQuery não são compatíveis e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para controles soberanos por parceiros.
Integrações sem suporte As seguintes integrações do BigQuery não são compatíveis: É sua responsabilidade não usar esses dados com o BigQuery para controles soberanos por parceiros.
  • Os métodos de API CreateTag, SearchCatalog, Bulk tagging e Business Glossary da API Data Catalog processam e armazenam dados técnicos de uma forma não compatível. É sua responsabilidade não usar esses métodos para os Controles de Soberania dos Parceiros.
APIs BigQuery compatíveis As seguintes APIs do BigQuery são compatíveis:
CLI do BigQuery A CLI do BigQuery é compatível.

SDK do Google Cloud Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados técnicos. Para verificar sua versão atual do SDK Google Cloud, execute gcloud --version e depois gcloud components update para atualizar para a versão mais recente.
Controles do administrador O BigQuery desativa as APIs sem suporte, mas os administradores com permissões suficientes para criar pastas dos Controles de Soberania dos Parceiros podem ativar uma API sem suporte. Se isso acontecer, você vai receber uma notificação de possível não conformidade no painel de monitoramento do Assured Workloads.
Carregando dados Conectores do serviço de transferência de dados do BigQuery para apps do Google software como serviço (SaaS), provedores externos de armazenamento em nuvem e data warehouses não são compatíveis. É sua responsabilidade não usar conectores do serviço de transferência de dados do BigQuery para cargas de trabalho do Kingdom of Saudi Arabia Data Boundary Advanced da CNTXT.
Transferências de terceiros O BigQuery não verifica a compatibilidade com transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML não compatíveis Modelos do BQML treinados externamente não são compatíveis.
Jobs de consulta Os jobs de consulta só podem ser criados em pastas dos Controles de Soberania Oferecidos por Parceiros.
Consultas em conjuntos de dados de outros projetos O BigQuery não impede que os conjuntos de dados de controles de soberania por parceiros sejam consultados em projetos que não sejam de controles de soberania por parceiros. Verifique se todas as consultas que têm uma leitura ou uma junção em dados dos Controles de Soberania Oferecidos por Parceiros estão nas pastas dos Controles de Soberania Oferecidos por Parceiros. É possível especificar um nome de tabela totalmente qualificado para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery.
Cloud Logging O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative os buckets de registros do _default ou restrinja os buckets do _default a regiões no escopo para manter a conformidade usando o seguinte comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Para mais informações, consulte Regionalizar seus registros.

Bigtable

Recursos afetados do Bigtable

Recurso Descrição
Data Boost Este recurso está desativado.
Limites de divisão O Bigtable usa um pequeno subconjunto de chaves de linha para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Bigtable indica o local em que intervalos contíguos de linhas em uma tabela são divididos em blocos.

Esses limites divididos podem ser acessados pela equipe do Google para suporte técnico e depuração, e não estão sujeitos aos controles de dados de acesso administrativo em Controles soberanos por parceiros.

Cloud Interconnect

Recursos afetados do Cloud Interconnect

Recurso Descrição
VPN de alta disponibilidade (HA) É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, é necessário obedecer aos requisitos de criptografia e regionalização listados na seção Recursos afetados do Cloud VPN.

Cloud KMS

Restrições da política da organização do Cloud KMS

Restrição da política da organização Descrição
cloudkms.allowedProtectionLevels Definido para permitir a criação de CryptoKeys do Cloud Key Management Service com os seguintes níveis de proteção:
  • EXTERNAL
  • EXTERNAL_VPC
Consulte Níveis de proteção para mais informações.

Cloud Load Balancing

Recursos afetados do Cloud Load Balancing

Recurso Descrição
Console doGoogle Cloud Os recursos do Cloud Load Balancing não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.
Balanceadores de carga regionais Você precisa usar apenas balanceadores de carga regionais com o Advanced Data Boundary do Reino da Arábia Saudita pela CNTXT. Para mais informações sobre como configurar balanceadores de carga regionais, consulte as seguintes páginas:

Cloud Logging

Recursos afetados do Cloud Logging

Recurso Descrição
Coletores de registros Os filtros não podem conter dados de clientes.

Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo Os filtros não podem conter dados de clientes.

Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados entrada de registro, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.
Alertas com base em registros Este recurso está desativado.

Não é possível criar alertas baseados em registros no console do Google Cloud .
URLs encurtados para consultas do Explorador de registros Este recurso está desativado.

Não é possível criar URLs encurtados de consultas no console do Google Cloud .
Salvar consultas na Análise de registros Este recurso está desativado.

Não é possível salvar consultas no console Google Cloud .
Análise de dados de registros usando o BigQuery Este recurso está desativado.

Não é possível usar o recurso de análise de registros.
Políticas de alertas baseadas em SQL Este recurso está desativado.

Não é possível usar o recurso de políticas de alertas baseadas em SQL.

Cloud Monitoring

Recursos afetados do Cloud Monitoring

Recurso Descrição
Monitor sintético Este recurso está desativado.
Verificações de tempo de atividade Este recurso está desativado.
Widgets do painel de registros em Painéis Este recurso está desativado.

Não é possível adicionar um painel de registros a um dashboard.
Widgets do painel de relatórios de erros em Painéis Este recurso está desativado.

Não é possível adicionar um painel de relatórios de erros a um dashboard.
Filtrar em EventAnnotation para Painéis Este recurso está desativado.

O filtro de EventAnnotation não pode ser definido em um painel.
SqlCondition em alertPolicies Este recurso está desativado.

Não é possível adicionar um SqlCondition a um alertPolicy.

Cloud Run

Recursos afetados do Cloud Run

Recurso Descrição
Recursos não suportados Os seguintes recursos do Cloud Run não são compatíveis:

Cloud SQL

Recursos afetados do Cloud SQL

Recurso Descrição
Query Insights Ao implantar uma instância do Cloud SQL, o Query Insights só pode ser usado se as tags de aplicativo não estiverem ativadas. Se as tags de aplicativo estiverem ativadas, você vai receber uma mensagem de erro ao tentar usar o Query Insights.

Restrições da política da organização do Cloud SQL

Restrição da política da organização Descrição
sql.restrictNoncompliantDiagnosticDataAccess Definido como Verdadeiro.

Aplica controles adicionais de soberania e capacidade de suporte de dados aos recursos do Cloud SQL.

Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
sql.restrictNoncompliantResourceCreation Definido como Verdadeiro.

Aplica controles adicionais de soberania de dados para evitar a criação de recursos do Cloud SQL que não estão em compliance.

Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.

Cloud Storage

Recursos afetados do Cloud Storage

Recurso Descrição
Console doGoogle Cloud Para manter a conformidade com o ITAR, é sua responsabilidade usar o console Google Cloud jurisdicional. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints de API em conformidade nesta seção.
Endpoints de API em conformidade É necessário usar um dos endpoints regionais em conformidade com a ITAR com o Cloud Storage. Consulte Endpoints regionais do Cloud Storage e Locais do Cloud Storage para mais informações.
Restrições Você precisa usar endpoints regionais do Cloud Storage para obedecer à ITAR. Para mais informações sobre endpoints regionais do Cloud Storage para a ITAR, consulte Endpoints regionais do Cloud Storage.

As operações a seguir não são compatíveis com endpoints regionais. No entanto, essas operações não transferem dados do cliente, conforme definido nos termos de serviço de residência de dados. Portanto, é possível usar endpoints globais para essas operações conforme necessário sem violar a conformidade com o ITAR:
Copiar e reescrever para objetos As operações de cópia e regravação de objetos são compatíveis com endpoints regionais se os buckets de origem e destino estiverem localizados na região especificada no endpoint. No entanto, não é possível usar endpoints regionais para copiar ou regravar um objeto de um bucket para outro se eles existirem em locais diferentes. É possível usar endpoints globais para copiar ou reescrever em vários locais, mas não recomendamos isso porque pode violar a conformidade com a ITAR.

Restrições da política da organização do Cloud Storage

Restrição da política da organização Descrição
storage.restrictAuthTypes

Definido para impedir a autenticação usando o código de autenticação de mensagem baseado em hash (HMAC). Os seguintes tipos são especificados nesse valor de restrição:

  • USER_ACCOUNT_HMAC_SIGNED_REQUESTS
  • SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS
Por padrão, as chaves HMAC não podem autenticar recursos do Cloud Storage para o limite de dados avançado do Reino da Arábia Saudita por cargas de trabalho da CNTXT. As chaves HMAC afetam a soberania dos dados porque podem ser usadas para acessar dados de clientes sem que eles saibam. Consulte Chaves HMAC na documentação do Cloud Storage.

Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É altamente recomendável manter o valor definido.
storage.uniformBucketLevelAccess Definido como Verdadeiro.

O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles.

Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.

Compute Engine

Recursos afetados do Compute Engine

Recurso Descrição
Como suspender e retomar uma instância de VM Este recurso está desativado.

A suspensão e a retomada de uma instância de VM exigem armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
SSDs locais Este recurso está desativado.

Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
Console doGoogle Cloud

Os seguintes recursos do Compute Engine não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI:
Como adicionar um grupo de instâncias a um balanceador de carga global Não é possível adicionar um grupo de instâncias a um balanceador de carga global.

Esse recurso foi desativado pela restrição de política da organização compute.disableGlobalLoadBalancing.
Como suspender e retomar uma instância de VM Este recurso está desativado.

A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK.

Esse recurso foi desativado pela restrição da política da organização gcp.restrictNonCmekServices.
SSDs locais Este recurso está desativado.

Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEK.

Esse recurso foi desativado pela restrição da política da organização gcp.restrictNonCmekServices.
Ambiente para convidado Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais.

Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser ter mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização compute.trustedImageProjects.

Para mais informações, consulte Como criar uma imagem personalizada.
Políticas do SO no VM Manager Os scripts inline e os arquivos de saída binários nos arquivos de política do SO não são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK). Não inclua informações sensíveis nesses arquivos. Considere armazenar esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte Exemplos de políticas do SO.

Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição da política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Para mais informações, consulte Restrições para a Configuração do SO.
instances.getSerialPortOutput() Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API.

Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Ativar o acesso a um projeto.
instances.getScreenshot() Essa API está desativada. Não será possível receber uma captura de tela da instância especificada usando essa API.

Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Ativar o acesso a um projeto.

Restrições da política da organização do Compute Engine

Restrição da política da organização Descrição
compute.enableComplianceMemoryProtection Definido como Verdadeiro.

Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura.

Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
compute.disableGlobalCloudArmorPolicy Definido como Verdadeiro.

Desativa a criação de novas políticas de segurança globais do Google Cloud Armor e a adição ou modificação de regras às políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
compute.disableGlobalLoadBalancing Definido como Verdadeiro.

Desativa a criação de produtos de balanceamento de carga global.

Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
compute.disableInstanceDataAccessApis Definido como Verdadeiro.

Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot().

Ativar essa restrição impede que você gere credenciais em VMs do Windows Server.

Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte:
  1. Ative o SSH para VMs do Windows.
  2. Execute o comando a seguir para mudar a senha da VM: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    Substitua:
    • VM_NAME: o nome da VM para a qual você está definindo a senha.
    • USERNAME: o nome de usuário da pessoa para quem você está definindo a senha.
    • PASSWORD: a nova senha.
compute.disableSshInBrowser Definido como Verdadeiro.

Desativa a ferramenta de SSH no navegador no console do Google Cloud para VMs que usam o Login do SO e VMs de ambiente flexível do App Engine.

Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
compute.restrictNonConfidentialComputing

 (Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Para mais informações, consulte a documentação sobre VMs confidenciais.
compute.trustedImageProjects

 (Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade.

A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Dataplex Universal Catalog

Recursos do Dataplex Universal Catalog

Recurso Descrição
Attribute Store Esse recurso está descontinuado e desativado.
Data Catalog Esse recurso está descontinuado e desativado. Não é possível pesquisar nem gerenciar seus metadados no Data Catalog.
Lakes e zonas Este recurso está desativado. Não é possível gerenciar lakes, zonas e tarefas.

Dataproc

Recursos afetados do Dataproc

Recurso Descrição
Console doGoogle Cloud No momento, o Dataproc não é compatível com o console Google Cloud jurisdicional. Para aplicar a residência de dados, use a Google Cloud CLI ou a API ao usar o Dataproc.

Google Cloud Armor

Recursos afetados do Google Cloud Armor

Recurso Descrição
Políticas de segurança com escopo global Esse recurso foi desativado pela restrição de política da organização compute.disableGlobalCloudArmorPolicy.

Google Kubernetes Engine

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização Descrição
container.restrictNoncompliantDiagnosticDataAccess Definido como Verdadeiro.

Desativa a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho.

Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.

Spanner

Recursos afetados do Spanner

Recurso Descrição
Limites de divisão O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Spanner indica o local em que intervalos contíguos de linhas são divididos em partes menores.

Esses limites divididos podem ser acessados pela equipe do Google para suporte técnico e depuração, e não estão sujeitos aos controles de dados de acesso administrativo em Controles soberanos por parceiros.

Restrições da política da organização do Spanner

Restrição da política da organização Descrição
spanner.assuredWorkloadsAdvancedServiceControls Definido como Verdadeiro.

Aplica controles adicionais de soberania e capacidade de suporte de dados aos recursos do Spanner.
spanner.disableMultiRegionInstanceIfNoLocationSelected Definido como Verdadeiro.

Desativa a capacidade de criar instâncias multirregionais do Spanner para aplicar a residência e a soberania de dados.