Confine per i dati nel Regno dell'Arabia Saudita di base di CNTXT

Questa pagina descrive l'insieme di controlli applicati alle cartelle di base del perimetro dei dati del Regno dell'Arabia Saudita di CNTXT in Controlli di sovranità dai partner. Fornisce informazioni dettagliate sui prodotti Google Cloud supportati e sui relativi endpoint API, nonché su eventuali restrizioni o limitazioni applicabili a questi prodotti.

Per saperne di più su questa offerta, visita il sito di CNTXT Kingdom of Saudi Arabia Data Boundary Foundation di CNTXT.

Prodotti ed endpoint API supportati

Le restrizioni o limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli dei criteri dell'organizzazione, sono elencate nella tabella seguente. Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per la base del confine dei dati del Regno dell'Arabia Saudita di CNTXT. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, ad esempio impatti negativi sulla residenza o sulla sovranità dei dati.

I servizi che interagiscono con i dati dei clienti nelle loro operazioni API forniscono endpoint API regionali. Questi devono essere utilizzati al posto dell'endpoint API globale del servizio in Kingdom of Saudi Arabia Data Boundary Foundation di CNTXT. Per i servizi le cui operazioni API non interagiscono con i dati dei clienti, è consentito l'utilizzo di endpoint API globali. Per saperne di più, consulta la pagina Residenza dei dati di Assured Workloads.

Prodotto supportato	Endpoint API	Restrizioni o limitazioni
Access Transparency	Gli endpoint API regionali non sono supportati. Endpoint API globali: `accessapproval.googleapis.com`	Nessuno
Artifact Registry	Endpoint API regionali: `artifactregistry.me-central2.rep.googleapis.com` Endpoint API globali: `artifactregistry.googleapis.com`	Nessuno
BigQuery	Endpoint API regionali: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` Endpoint API globali: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Funzionalità interessate
Bigtable	Endpoint API regionali: `bigtable.me-central2.rep.googleapis.com` Endpoint API globali: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Funzionalità interessate
Compute Engine	Gli endpoint API regionali non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate e vincoli delle policy dell'organizzazione
Sensitive Data Protection	Endpoint API regionali: `dlp.me-central2.rep.googleapis.com` Endpoint API globali: `dlp.googleapis.com`	Nessuno
Dataflow	Endpoint API regionali: `dataflow.me-central2.rep.googleapis.com` Endpoint API globali: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Nessuno
Dataplex Universal Catalog	Endpoint API regionali: `dataplex.me-central2.rep.googleapis.com` Endpoint API globali: `dataplex.googleapis.com` `datalineage.googleapis.com`	Funzionalità interessate
Dataproc	Endpoint API regionali: `dataproc.me-central2.rep.googleapis.com` Endpoint API globali: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Funzionalità interessate
Cloud DNS	Gli endpoint API regionali non sono supportati. Endpoint API globali: `dns.googleapis.com`	Nessuno
Contatti fondamentali	Gli endpoint API regionali non sono supportati. Endpoint API globali: `essentialcontacts.googleapis.com`	Nessuno
Filestore	Gli endpoint API regionali non sono supportati. Endpoint API globali: `file.googleapis.com`	Nessuno
Cloud Next Generation Firewall	Gli endpoint API regionali non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Google Cloud Armor	Gli endpoint API regionali non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Identity and Access Management (IAM)	Gli endpoint API regionali non sono supportati. Endpoint API globali: `iam.googleapis.com`	Nessuno
Identity-Aware Proxy	Gli endpoint API regionali non sono supportati. Endpoint API globali: `iap.googleapis.com`	Nessuno
Cloud Key Management Service (Cloud KMS)	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Endpoint API globali: `cloudkms.googleapis.com`	Vincoli delle policy dell'organizzazione
Cloud HSM	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Endpoint API globali: `cloudkms.googleapis.com`	Nessuno
Cloud External Key Manager (Cloud EKM)	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Endpoint API globali: `cloudkms.googleapis.com`	Nessuno
Google Kubernetes Engine	Gli endpoint API regionali non sono supportati. Endpoint API globali: `container.googleapis.com` `containersecurity.googleapis.com`	Funzionalità interessate e vincoli delle policy dell'organizzazione
GKE Hub	Gli endpoint API regionali non sono supportati. Endpoint API globali: `gkehub.googleapis.com`	Nessuno
Cloud Load Balancing	Gli endpoint API regionali non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Cloud Logging	Endpoint API regionali: `logging.me-central2.rep.googleapis.com` Endpoint API globali: `logging.googleapis.com`	Funzionalità interessate
Cloud Monitoring	Gli endpoint API regionali non sono supportati. Endpoint API globali: `monitoring.googleapis.com`	Funzionalità interessate
Network Connectivity Center	Gli endpoint API regionali non sono supportati. Endpoint API globali: `networkconnectivity.googleapis.com`	Nessuno
Cloud NAT	Gli endpoint API regionali non sono supportati. Endpoint API globali: `networkconnectivity.googleapis.com`	Nessuno
Cloud Router	Gli endpoint API regionali non sono supportati. Endpoint API globali: `networkconnectivity.googleapis.com`	Nessuno
Cloud Interconnect	Gli endpoint API regionali non sono supportati. Endpoint API globali: `networkconnectivity.googleapis.com`	Funzionalità interessate
Servizio Criteri dell'organizzazione	Gli endpoint API regionali non sono supportati. Endpoint API globali: `orgpolicy.googleapis.com`	Nessuno
Persistent Disk	Gli endpoint API regionali non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Pub/Sub	Endpoint API regionali: `pubsub.me-central2.rep.googleapis.com` Endpoint API globali: `pubsub.googleapis.com`	Nessuno
Resource Manager	Gli endpoint API regionali non sono supportati. Endpoint API globali: `cloudresourcemanager.googleapis.com`	Nessuno
Cloud Run	Gli endpoint API regionali non sono supportati. Endpoint API globali: `run.googleapis.com`	Funzionalità interessate
Secret Manager	Endpoint API regionali: `secretmanager.me-central2.rep.googleapis.com` Endpoint API globali: `secretmanager.googleapis.com`	Nessuno
Service Directory	Gli endpoint API regionali non sono supportati. Endpoint API globali: `servicedirectory.googleapis.com`	Nessuno
Spanner	Endpoint API regionali: `spanner.me-central2.rep.googleapis.com` Endpoint API globali: `spanner.googleapis.com`	Funzionalità interessate e vincoli delle policy dell'organizzazione
Cloud SQL	Gli endpoint API regionali non sono supportati. Endpoint API globali: `sqladmin.googleapis.com`	Funzionalità interessate e vincoli delle policy dell'organizzazione
Cloud Storage	Endpoint API regionali: `storage.me-central2.rep.googleapis.com` Endpoint API globali: `storage.googleapis.com`	Vincoli delle policy dell'organizzazione
Virtual Private Cloud	Gli endpoint API regionali non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Controlli di servizio VPC	Gli endpoint API regionali non sono supportati. Endpoint API globali: `accesscontextmanager.googleapis.com`	Nessuno
Cloud VPN	Gli endpoint API regionali non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Regole di sicurezza Firebase	Gli endpoint API regionali non sono supportati. Endpoint API globali: `firebaserules.googleapis.com`	Nessuno
Cloud Workstations	Gli endpoint API regionali non sono supportati. Endpoint API globali: `workstations.googleapis.com`	Nessuno
Secure Source Manager	Gli endpoint API regionali non sono supportati. Endpoint API globali: `securesourcemanager.googleapis.com`	Nessuno

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o le restrizioni a livello di cloud o specifiche del prodotto per le funzionalità, inclusi i vincoli delle policy dell'organizzazione impostati per impostazione predefinita nelle cartelle di Kingdom of Saudi Arabia Data Boundary Foundation di CNTXT.

Google Cloud-wide

Funzionalità interessate Google Cloud

Funzionalità	Descrizione
ConsoleGoogle Cloud	Per accedere alla console Google Cloud quando utilizzi il pacchetto di controlli di base per il perimetro dei dati del Regno dell'Arabia Saudita di CNTXT, devi utilizzare uno dei seguenti URL: console.sa.cloud.google.com console.sa.cloud.google per gli utenti con identità federata

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli delle policy dell'organizzazione si applicano a Google Cloud.

Vincolo delle policy dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta le seguenti località nell'elenco `allowedValues`: `me-central2` Questo valore limita la creazione di nuove risorse ai valori selezionati. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero non rientrare nell'ambito e non possono essere limitate. La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione dei dati al di fuori di un confine dei dati conforme.
`gcp.restrictNonCmekServices`	Impostato su un elenco di tutti i nomi di servizio API inclusi nell'ambito, tra cui: `bigquerydatatransfer.googleapis.com` Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK cripta i dati inattivi con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito.
`gcp.restrictServiceUsage`	Imposta l'opzione per consentire tutti gli endpoint API e prodotti supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, consulta Limitazione dell'utilizzo delle risorse.
`gcp.restrictTLSVersion`	Imposta il rifiuto delle seguenti versioni TLS: `TLS_1_0` `TLS_1_1` Per saperne di più, consulta Limitare le versioni TLS.

BigQuery

Funzionalità di BigQuery interessate

Funzionalità	Descrizione
Abilitazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è terminato e per abilitare BigQuery, completa i seguenti passaggi: Nella console Google Cloud , vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella, nella sezione Servizi consentiti, fai clic su Controlla aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione Limite di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per Controlli di sovranità dai partner. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono supportati. Sono supportati i modelli BQML addestrati internamente. Mascheramento dinamico dei dati Esportazione di GDrive Funzioni del telecomando Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, i notebook non sono supportati. Gemini in BigQuery non è supportato.
Integrazioni non supportate	Le seguenti integrazioni BigQuery non sono supportate. È tua responsabilità non utilizzarli con BigQuery per i controlli di sovranità dei partner. I metodi API `CreateTag`, `SearchCatalog`, `Bulk tagging` e `Business Glossary` dell'API Data Catalog elaborano e archiviano i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questi metodi per i Controlli di Sovranità dai Partner.
API BigQuery supportate	Sono supportate le seguenti API BigQuery: Set di dati Job Modelli Progetti Prenotazioni Routine Policy di accesso alle righe Storage Read Storage Write Tabelle Dati della tabella L'API Reservations non è abilitata per impostazione predefinita. Puoi abilitare l'API seguendo le istruzioni riportate in Attivazione di un'API nel progetto Google Cloud .
CLI BigQuery	L'interfaccia a riga di comando BigQuery è supportata.
Google Cloud SDK	Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui `gcloud --version` e poi `gcloud components update` per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare cartelle Controlli di Sovranità dai Partner possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads.
Caricamento di dati	I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per i workload di Kingdom of Saudi Arabia Data Boundary Foundation di CNTXT.
Trasferimenti di terze parti	BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono supportati.
Job di query	I job di query devono essere creati solo all'interno delle cartelle Controlli di Sovranità dai Partner.
Query sui set di dati in altri progetti	BigQuery non impedisce l'esecuzione di query sui set di dati Controlli di sovranità dai partner da progetti non Controlli di sovranità dai partner. Assicurati che qualsiasi query che abbia una lettura o un'unione sui dati di Sovereign Controls by Partners venga inserita nelle cartelle di Sovereign Controls by Partners. Puoi specificare un nome di tabella completo per il risultato della query utilizzando `projectname.dataset.table` nella CLI BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare i bucket di logging `_default` o limitare i bucket `_default` alle regioni incluse nell'ambito utilizzando il seguente comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Per saperne di più, consulta Regionalizzare i log.

Bigtable

Funzionalità di Bigtable interessate

Funzionalità	Descrizione
Data Boost	Questa funzionalità è disattivata.
Confini della suddivisione	Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire confini della suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet. Questi confini della suddivisione sono accessibili al personale Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Sovereign Controls by Partners.

Funzionalità

Descrizione

Data Boost

Questa funzionalità è disattivata.

Confini della suddivisione

Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire confini della suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet.

Questi confini della suddivisione sono accessibili al personale Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Sovereign Controls by Partners.

Cloud Interconnect

Funzionalità Cloud Interconnect interessate

Funzionalità	Descrizione
VPN ad alta disponibilità	Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate.

Cloud KMS

Vincoli dei criteri dell'organizzazione Cloud KMS

Vincolo delle policy dell'organizzazione	Descrizione
`cloudkms.allowedProtectionLevels`	Impostato per consentire la creazione di chiavi di crittografia Cloud Key Management Service con i seguenti livelli di protezione: `EXTERNAL` `EXTERNAL_VPC` `SOFTWARE` `HSM` Per ulteriori informazioni, consulta Livelli di protezione.

Cloud Load Balancing

Funzionalità di Cloud Load Balancing interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.
Bilanciatori del carico regionali	Devi utilizzare solo i bilanciatori del carico regionali con Kingdom of Saudi Arabia Data Boundary Foundation di CNTXT. Per ulteriori informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine: Bilanciatore del carico delle applicazioni interno Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico di rete passthrough interno Bilanciatore del carico di rete passthrough esterno

Funzionalità

Descrizione

ConsoleGoogle Cloud

Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.

Bilanciatori del carico regionali

Devi utilizzare solo i bilanciatori del carico regionali con Kingdom of Saudi Arabia Data Boundary Foundation di CNTXT. Per ulteriori informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine:

Cloud Logging

Funzionalità di Cloud Logging interessate

Funzionalità	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti.
Voci di log di coda in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti.
Avvisi basati sui log	Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud .
URL abbreviati per le query di Esplora log	Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud .
Salvataggio delle query in Esplora log	Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud .
Analisi dei log tramite BigQuery	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics.
Policy di avviso basate su SQL	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL.

Cloud Monitoring

Funzionalità di Cloud Monitoring interessate

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controlli di uptime	Questa funzionalità è disattivata.
Widget del pannello dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello dei log a una dashboard.
Widget del riquadro di Error Reporting in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello di segnalazione errori a una dashboard.
Filtra in `EventAnnotation` per Dashboard	Questa funzionalità è disattivata. Il filtro di `EventAnnotation` non può essere impostato in una dashboard.
`SqlCondition` in `alertPolicies`	Questa funzionalità è disattivata. Non puoi aggiungere un `SqlCondition` a un `alertPolicy`.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Cloud SQL

Funzionalità Cloud SQL interessate

Funzionalità	Descrizione
Query Insights	Quando viene eseguita il deployment di un'istanza Cloud SQL, Query Insights può essere utilizzato solo se i tag dell'applicazione non sono abilitati. Se i tag delle applicazioni sono abilitati, riceverai un messaggio di errore quando tenti di utilizzare Query Insights.

Vincoli dei criteri dell'organizzazione Cloud SQL

Vincolo delle policy dell'organizzazione	Descrizione
`sql.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Cloud SQL. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`sql.restrictNoncompliantResourceCreation`	Imposta su True. Applica controlli aggiuntivi di sovranità dei dati per impedire la creazione di risorse Cloud SQL non conformi. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Cloud Storage

Funzionalità di Cloud Storage interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Per mantenere la conformità alle ITAR, è tua responsabilità utilizzare la console Google Cloud per le giurisdizioni. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi in questa sezione.
Endpoint API conformi	Devi utilizzare uno degli endpoint regionali conformi all'ITAR con Cloud Storage. Per maggiori informazioni, consulta Endpoint regionali di Cloud Storage e Località di Cloud Storage.
Limitazioni	Per rispettare l'ITAR, devi utilizzare gli endpoint regionali di Cloud Storage. Per ulteriori informazioni sugli endpoint regionali di Cloud Storage per ITAR, consulta Endpoint regionali di Cloud Storage. Le seguenti operazioni non sono supportate dagli endpoint regionali. Tuttavia, queste operazioni non comportano il trasferimento dei dati del cliente come definito nei termini di servizio per la residenza dei dati. Pertanto, puoi utilizzare gli endpoint globali per queste operazioni, se necessario, senza violare la conformità all'ITAR: Operazioni con le chiavi HMAC Operazioni account di servizio IAM Notifiche Pub/Sub Notifiche di modifica degli oggetti Se un utente tenta di eseguire un'operazione non supportata utilizzando endpoint regionali, Cloud Storage restituirà un codice di errore HTTP 400 con il messaggio di errore: `This endpoint does not implement this operation. Please use the global endpoint.`
Copia e riscrittura per gli oggetti	Le operazioni di copia e riscrittura per gli oggetti sono supportate dagli endpoint regionali se i bucket di origine e di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non puoi utilizzare endpoint regionali per copiare o riscrivere un oggetto da un bucket a un altro se i bucket si trovano in località diverse. È possibile utilizzare endpoint globali per copiare o riscrivere tra le località, ma non lo consigliamo in quanto potrebbe violare la conformità ITAR.

Vincoli dei criteri dell'organizzazione Cloud Storage

Vincolo delle policy dell'organizzazione Descrizione

Vincolo delle policy dell'organizzazione	Descrizione
`storage.restrictAuthTypes`	Impostato per impedire l'autenticazione tramite HMAC (Hash-based Message Authentication Code). I seguenti tipi sono specificati in questo valore di vincolo: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Per impostazione predefinita, le chiavi HMAC non possono autenticarsi alle risorse Cloud Storage per i carichi di lavoro di Kingdom of Saudi Arabia Data Boundary Foundation di CNTXT. Le chiavi HMAC influiscono sulla sovranità dei dati perché possono essere utilizzate per accedere ai dati dei clienti senza che questi ne siano a conoscenza. Consulta Chiavi HMAC nella documentazione di Cloud Storage. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato.
`storage.uniformBucketLevelAccess`	Imposta su True. L'accesso ai nuovi bucket viene gestito utilizzando i criteri IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando gli elenchi di controllo dell'accesso. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

storage.restrictAuthTypes

Impostato per impedire l'autenticazione tramite HMAC (Hash-based Message Authentication Code). I seguenti tipi sono specificati in questo valore di vincolo:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Per impostazione predefinita, le chiavi HMAC non possono autenticarsi alle risorse Cloud Storage per i carichi di lavoro di Kingdom of Saudi Arabia Data Boundary Foundation di CNTXT. Le chiavi HMAC influiscono sulla sovranità dei dati perché possono essere utilizzate per accedere ai dati dei clienti senza che questi ne siano a conoscenza. Consulta Chiavi HMAC nella documentazione di Cloud Storage.

La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato.

storage.uniformBucketLevelAccess Imposta su True.

L'accesso ai nuovi bucket viene gestito utilizzando i criteri IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti.

Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando gli elenchi di controllo dell'accesso. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

Compute Engine

Funzionalità di Compute Engine interessate

Funzionalità	Descrizione
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo delle policy dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
ConsoleGoogle Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI: Controlli di integrità Gruppi di endpoint di rete
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalLoadBalancing`.
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere criptata utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `gcp.restrictNonCmekServices`.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `gcp.restrictNonCmekServices`.
Ambiente guest	È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo della policy dell'organizzazione `compute.trustedImageProjects`. Per saperne di più, vedi Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager	Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Non includere informazioni sensibili in questi file. Valuta la possibilità di archiviare questi script e file di output in bucket Cloud Storage. Per saperne di più, consulta Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse policy del sistema operativo che utilizzano script in linea o file di output binari, attiva il vincolo della policy dell'organizzazione `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Per saperne di più, consulta Vincoli per OS Config.
`instances.getSerialPortOutput()`	Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione `compute.disableInstanceDataAccessApis` impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai ottenere uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione `compute.disableInstanceDataAccessApis` impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.

Vincoli dei criteri dell'organizzazione Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interne per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un guasto all'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.disableGlobalCloudArmorPolicy`	Imposta su True. Disabilita la creazione di nuove policy di sicurezza Google Cloud Armor globali e l'aggiunta o la modifica di regole alle policy di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sulle policy di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
`compute.disableGlobalLoadBalancing`	Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disabilita a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`. L'attivazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo: Attiva SSH per le VM Windows. Esegui questo comando per modificare la password della VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sostituisci quanto segue: `VM_NAME`: il nome della VM per cui stai impostando la password. `USERNAME`: il nome utente dell'utente per cui stai impostando la password. `PASSWORD`: la nuova password.
`compute.disableSshInBrowser`	Imposta su True. Disabilita lo strumento SSH nel browser nella console Google Cloud per le VM che utilizzano OS Login e le VM dell'ambiente flessibile di App Engine. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per maggiori informazioni, consulta la documentazione di Confidential VM.
`compute.trustedImageProjects`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Dataplex Universal Catalog

Funzionalità di Dataplex Universal Catalog

Funzionalità	Descrizione
Attribute Store	Questa funzionalità è ritirata e disattivata.
Data Catalog	Questa funzionalità è ritirata e disattivata. Non puoi cercare né gestire i tuoi metadati in Data Catalog.
Laghi e zone	Questa funzionalità è disattivata. Non puoi gestire i lake, le zone e le attività.

Dataproc

Funzionalità di Dataproc interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Al momento Dataproc non supporta la console giurisdizionale Google Cloud . Per applicare la residenza dei dati, assicurati di utilizzare Google Cloud CLI o l'API quando utilizzi Dataproc.

Google Cloud Armor

Funzionalità di Google Cloud Armor interessate

Funzionalità	Descrizione
Policy di sicurezza con ambito globale	Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalCloudArmorPolicy`.

Google Kubernetes Engine

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo delle policy dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Disabilita l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un workload. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Spanner

Funzionalità di Spanner interessate

Funzionalità	Descrizione
Confini della suddivisione	Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i limiti di suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili al personale Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Sovereign Controls by Partners.

Funzionalità

Descrizione

Confini della suddivisione

Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i limiti di suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole.

Questi confini della suddivisione sono accessibili al personale Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Sovereign Controls by Partners.

Vincoli dei criteri dell'organizzazione Spanner

Vincolo delle policy dell'organizzazione	Descrizione
`spanner.assuredWorkloadsAdvancedServiceControls`	Imposta su True. Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Imposta su True. Disabilita la possibilità di creare istanze Spanner multiregionali per applicare la residenza e la sovranità dei dati.

Confine per i dati nel Regno dell'Arabia Saudita di base di CNTXT Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prodotti ed endpoint API supportati

Limitazioni e restrizioni

Google Cloud-wide

Funzionalità interessate Google Cloud

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

BigQuery

Funzionalità di BigQuery interessate

Bigtable

Funzionalità di Bigtable interessate

Cloud Interconnect

Funzionalità Cloud Interconnect interessate

Cloud KMS

Vincoli dei criteri dell'organizzazione Cloud KMS

Cloud Load Balancing

Funzionalità di Cloud Load Balancing interessate

Cloud Logging

Funzionalità di Cloud Logging interessate

Cloud Monitoring

Funzionalità di Cloud Monitoring interessate

Cloud Run

Funzionalità di Cloud Run interessate

Cloud SQL

Funzionalità Cloud SQL interessate

Vincoli dei criteri dell'organizzazione Cloud SQL

Cloud Storage

Funzionalità di Cloud Storage interessate

Vincoli dei criteri dell'organizzazione Cloud Storage

Compute Engine

Funzionalità di Compute Engine interessate

Vincoli dei criteri dell'organizzazione Compute Engine

Dataplex Universal Catalog

Funzionalità di Dataplex Universal Catalog

Dataproc

Funzionalità di Dataproc interessate

Google Cloud Armor

Funzionalità di Google Cloud Armor interessate

Google Kubernetes Engine

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Spanner

Funzionalità di Spanner interessate

Vincoli dei criteri dell'organizzazione Spanner

Confine per i dati nel Regno dell'Arabia Saudita di base di CNTXT