Han cambiado los nombres de algunos paquetes de control de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta Controlar el aviso de cambio de nombre del paquete.

Esta página se ha traducido con Cloud Translation API.

Límite de datos de la UE con justificaciones de acceso

En esta página se describen las restricciones, las limitaciones y otras opciones de configuración al usar la frontera de datos de la UE con las justificaciones de acceso.

Información general

La frontera de datos de la UE con justificaciones de acceso ofrece funciones de residencia y soberanía de los datos para los servicios admitidos Google Cloud . Para ofrecer estas funciones, algunas de las funciones de estos servicios están restringidas o limitadas. La mayoría de estos cambios se aplican durante el proceso de incorporación al crear una carpeta o un proyecto en un entorno de frontera de datos de la UE con justificaciones de acceso. Sin embargo, algunos de ellos se pueden cambiar más adelante modificando las políticas de la organización.

Es importante saber cómo modifican estas restricciones el comportamiento de un servicio concreto o cómo afectan a la soberanía de los datos o a la residencia de los datos. Google Cloud Por ejemplo, algunas funciones o características pueden inhabilitarse automáticamente para verificar que se mantienen la soberanía y la residencia de los datos. Además, si se cambia un ajuste de una política de la organización, podría copiarse información de una región a otra por error.

Productos y servicios admitidos

Consulta la página Productos admitidos para ver una lista de los productos y servicios que admite la frontera de datos de la UE con justificaciones de acceso.

Políticas de organización

En esta sección se describe cómo afecta a cada servicio el valor predeterminado de la restricción de la política de la organización cuando se crean carpetas o proyectos con la opción Frontera de Datos de la UE con Justificaciones de Acceso. Otras restricciones aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una "defensa en profundidad" adicional para proteger aún más los recursos de tu organización. Google Cloud

Restricciones de políticas de la organización en toda la nube

Las siguientes restricciones de políticas de la organización se aplican a cualquier Google Cloud servicio aplicable.

Restricción de política de organización	Descripción
`gcp.resourceLocations`	Se ha definido `in:eu-locations` como el elemento `allowedValues` de la lista. Este valor restringe la creación de recursos nuevos al grupo de valores de la UE. únicamente. Si se define, no se podrán crear recursos en ninguna otra región, multirregión ni ubicación fuera de la Unión Europea. Consulta la sección Servicios admitidos en ubicaciones de recursos para ver una lista de los recursos que se pueden restringir mediante la restricción de la política de organización de ubicaciones de recursos, ya que es posible que algunos recursos no estén incluidos y no se puedan restringir. Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o se almacenen fuera de un límite de datos conforme, como sustituir el grupo de valores `in:eu-locations` por el grupo de valores `in:europe-locations`, que incluye ubicaciones de Estados miembros que no pertenecen a la UE.
`gcp.restrictNonCmekServices`	Se define como una lista de todos los nombres de servicios de API incluidos en el ámbito, entre los que se incluyen los siguientes: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Es posible que algunas funciones se vean afectadas en cada uno de los servicios indicados anteriormente. Consulta la sección Funciones afectadas que aparece más abajo. Cada servicio de la lista requiere claves de cifrado gestionadas por el cliente (CMEK). Las CMEK permiten que los datos en reposo se cifren con una clave que tú gestionas, no con los mecanismos de cifrado predeterminados de Google. Si cambias este valor quitando uno o varios servicios admitidos de la lista, puede que se vea afectada la soberanía de los datos, ya que los nuevos datos en reposo se cifrarán automáticamente con las propias claves de Google en lugar de con las tuyas. Los datos en reposo se seguirán cifrando con la clave que hayas proporcionado.
`gcp.restrictCmekCryptoKeyProjects`	Los usuarios pueden asignar este valor a proyectos o carpetas que estén pensados para usarse con la frontera de datos de la UE con justificaciones de acceso. Por ejemplo: `under:folders/my-folder-name` Limita el ámbito de las carpetas o proyectos aprobados que pueden proporcionar claves de KMS para cifrar datos en reposo con CMEK. Esta restricción impide que las carpetas o los proyectos no aprobados proporcionen claves de cifrado, lo que ayuda a garantizar la soberanía de los datos en reposo de los servicios admitidos.
`gcp.restrictServiceUsage`	Se permite el acceso a todos los servicios compatibles. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos para cargas de trabajo.

Restricciones de las políticas de organización de Compute Engine

Restricción de política de organización	Descripción
`compute.enableComplianceMemoryProtection`	Su valor debe ser True. Inhabilita algunas funciones de diagnóstico internas para proporcionar una protección adicional del contenido de la memoria cuando se produce un fallo en la infraestructura. Si cambia este valor, puede afectar a la residencia o la soberanía de sus datos.
`compute.disableInstanceDataAccessApis`	Su valor debe ser True. Inhabilita globalmente las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`.
`compute.disableGlobalCloudArmorPolicy`	Su valor debe ser True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales, así como la adición o modificación de reglas en políticas de seguridad de Google Cloud Armor globales. Esta restricción no limita la eliminación de reglas ni la capacidad de eliminar o cambiar la descripción y la lista de políticas de seguridad globales de Google Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Google Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de la entrada en vigor de esta restricción seguirán vigentes.
`compute.restrictNonConfidentialComputing`	(Opcional) No se ha definido ningún valor. Asigna este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la documentación sobre máquinas virtuales confidenciales.
`compute.trustedImageProjects`	(Opcional) No se ha definido ningún valor. Asigna este valor para proporcionar una defensa en profundidad adicional. Si se define este valor, el almacenamiento de imágenes y la creación de instancias de disco se limitarán a la lista de proyectos especificada. Este valor afecta a la soberanía de los datos, ya que impide el uso de imágenes o agentes no autorizados.

Restricciones de políticas de la organización de Cloud Storage

Restricción de política de organización Descripción

storage.uniformBucketLevelAccess Su valor debe ser True.

El acceso a los segmentos nuevos se gestiona mediante políticas de IAM en lugar de listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos detallados para los contenedores y su contenido.

Si se crea un contenedor mientras esta restricción está habilitada, nunca se podrá gestionar el acceso a él mediante ACLs. Es decir, el método de control de acceso de un segmento se define de forma permanente para usar políticas de gestión de identidades y accesos en lugar de LCAs de Cloud Storage.

Restricción de política de organización	Descripción
`storage.uniformBucketLevelAccess`	Su valor debe ser True. El acceso a los segmentos nuevos se gestiona mediante políticas de IAM en lugar de listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos detallados para los contenedores y su contenido. Si se crea un contenedor mientras esta restricción está habilitada, nunca se podrá gestionar el acceso a él mediante ACLs. Es decir, el método de control de acceso de un segmento se define de forma permanente para usar políticas de gestión de identidades y accesos en lugar de LCAs de Cloud Storage.

Restricciones de políticas de organización de Google Kubernetes Engine

Restricción de política de organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Su valor debe ser True. Se usa para inhabilitar el análisis agregado de problemas del kernel, que es necesario para mantener el control soberano de una carga de trabajo. Si cambia este valor, puede afectar a la soberanía de los datos de su carga de trabajo. Le recomendamos que mantenga el valor definido.

Restricciones de políticas de la organización de Cloud Key Management Service

Restricción de política de organización	Descripción
`cloudkms.allowedProtectionLevels`	Su valor debe ser `EXTERNAL`. Restringe los tipos de CryptoKey de Cloud Key Management Service que se pueden crear y se define para permitir solo los tipos de clave externa.

Funciones afectadas

En esta sección se indica cómo se ven afectadas las funciones o las capacidades de cada servicio por la frontera de datos de la UE con justificaciones de acceso.

Funciones de BigQuery

Función	Descripción
Habilitar BigQuery en una carpeta nueva	BigQuery es compatible, pero no se habilita automáticamente al crear una carpeta de Assured Workloads debido a un proceso de configuración interno. Este proceso suele completarse en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para comprobar si el proceso ha finalizado y habilitar BigQuery, sigue estos pasos: En la Google Cloud consola, ve a la página Assured Workloads. Ir a Assured Workloads Selecciona la nueva carpeta de Assured Workloads de la lista. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Ver actualizaciones disponibles. En el panel Servicios permitidos, revisa los servicios que se van a añadir a la política de organización Restricción de uso de recursos de la carpeta. Si aparecen servicios de BigQuery, haga clic en Permitir servicios para añadirlos. Si los servicios de BigQuery no aparecen en la lista, espera a que se complete el proceso interno. Si los servicios no aparecen en un plazo de 12 horas desde que se creó la carpeta, ponte en contacto con Asistencia de Google Cloud. Una vez que se haya completado el proceso de habilitación, podrá usar BigQuery en su carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery.
Funciones no compatibles	Las siguientes funciones de BigQuery no se admiten y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para la frontera de datos de la UE con justificaciones de acceso. Interacción con fuentes de datos remotas No se admiten los modelos de BQML entrenados externamente. Se admiten los modelos de BQML entrenados internamente. Consultas programadas y federadas Enmascaramiento de datos dinámico Exportación de GDrive Funciones remotas Consultas guardadas Programación de flujos de trabajo En BigQuery Studio, los cuadernos no se admiten.
Integraciones no admitidas	Las siguientes integraciones de BigQuery no se admiten. Es tu responsabilidad no usarlos con BigQuery para la frontera de datos de la UE con justificaciones de acceso. Los métodos de la API `CreateTag`, `SearchCatalog`, `Bulk tagging` y `Business Glossary` de la API Data Catalog pueden procesar y almacenar datos técnicos de una forma no admitida. Es su responsabilidad no usar esos métodos para la frontera de datos de la UE con justificaciones de acceso.
APIs de BigQuery admitidas	Se admiten las siguientes APIs de BigQuery: Conjuntos de datos Empleos Modelos Proyectos Reservas Rutinas Políticas de acceso a las filas Lectura de almacenamiento Escritura de almacenamiento Tablas Datos de tabla La API Reservations no está habilitada de forma predeterminada. Para habilitar la API, sigue las instrucciones de esta página.
Regiones	BigQuery se admite en todas las regiones de la UE de BigQuery, excepto en la multirregión de la UE. No se puede garantizar el cumplimiento si se crea un conjunto de datos en una multirregión de la UE, en una región que no sea de la UE o en una multirregión que no sea de la UE. Es tu responsabilidad especificar una región que cumpla los requisitos al crear conjuntos de datos de BigQuery. Si se envía una solicitud de lista de datos de una tabla mediante una región de la UE, pero el conjunto de datos se ha creado en otra región de la UE, BigQuery no podrá inferir qué región querías usar y la operación fallará con el mensaje de error "dataset not found" (conjunto de datos no encontrado).
Google Cloud consola	Se admite la interfaz de usuario de BigQuery en la Google Cloud consola.
CLI de BigQuery	Se admite la CLI de BigQuery.
SDK de Google Cloud	Debes usar la versión 403.0.0 o una posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar la versión actual del SDK de Google Cloud, ejecuta `gcloud --version` y, a continuación, `gcloud components update` para actualizar a la versión más reciente.
Controles del administrador	BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no compatible. Si esto ocurre, se te notificará la posible infracción a través del panel de control de monitorización de Assured Workloads.
Cargando datos	No se admiten los conectores de BigQuery Data Transfer Service para aplicaciones de software como servicio (SaaS) de Google, proveedores de almacenamiento en la nube externos y almacenes de datos. Es tu responsabilidad no usar los conectores de BigQuery Data Transfer Service para cargas de trabajo de la frontera de datos de la UE con justificaciones de acceso.
Transferencias de terceros	BigQuery no verifica la compatibilidad con las transferencias de terceros de BigQuery Data Transfer Service. Es tu responsabilidad verificar la compatibilidad cuando utilices una transferencia de terceros para BigQuery Data Transfer Service.
Modelos de BQML no conformes	No se admiten los modelos de BQML entrenados externamente.
Tareas de consulta	Las tareas de consulta solo se deben crear en el límite de datos de la UE con carpetas de justificaciones de acceso.
Consultas en conjuntos de datos de otros proyectos	BigQuery no impide que se consulten conjuntos de datos de la frontera de datos de la UE con justificaciones de acceso desde proyectos que no pertenezcan a la frontera de datos de la UE con justificaciones de acceso. Debes asegurarte de que cualquier consulta que tenga una lectura o una combinación en el límite de datos de la UE con datos de justificaciones de acceso se coloque en una carpeta del límite de datos de la UE con justificaciones de acceso. Puedes especificar un nombre de tabla completo para el resultado de la consulta con `projectname.dataset.table` en la CLI de BigQuery.
Cloud Logging	BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debe inhabilitar sus contenedores de registro de `_Default` o restringir sus contenedores de `_Default` a las regiones de la UE para mantener el cumplimiento. Para saber cómo definir la ubicación de los nuevos `_Default` contenedores o cómo inhabilitar las entradas de enrutamiento a los nuevos contenedores `_Default`, consulta el artículo Configurar los ajustes predeterminados de organizaciones y carpetas.

Funciones de Bigtable

Función Descripción

Funciones no compatibles

Función	Descripción
Funciones no compatibles	Las siguientes funciones y métodos de la API de Bigtable no se admiten. Es su responsabilidad no usarlos con Bigtable para la frontera de datos de la UE con justificaciones de acceso. El método de la API `ListHotTablets` de la API Admin RPC procesa y almacena datos técnicos de una forma no admitida. Es su responsabilidad no usar ese método para la frontera de datos de la UE con justificaciones de acceso. El método de la API `hotTablets.list` de la API de administrador de REST procesa y almacena datos técnicos de una forma no admitida. Es su responsabilidad no usar ese método para la frontera de datos de la UE con justificaciones de acceso.
Dividir límites	Bigtable usa un pequeño subconjunto de claves de fila para definir los límites de las divisiones, que pueden incluir datos y metadatos de clientes. Un límite de división en Bigtable indica la ubicación en la que los intervalos contiguos de filas de una tabla se dividen en tablets. El personal de Google puede acceder a estos límites divididos con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo en la frontera de datos de la UE con justificaciones de acceso.

Las siguientes funciones y métodos de la API de Bigtable no se admiten. Es su responsabilidad no usarlos con Bigtable para la frontera de datos de la UE con justificaciones de acceso.

El método de la API ListHotTablets de la API Admin RPC procesa y almacena datos técnicos de una forma no admitida. Es su responsabilidad no usar ese método para la frontera de datos de la UE con justificaciones de acceso.
El método de la API hotTablets.list de la API de administrador de REST procesa y almacena datos técnicos de una forma no admitida. Es su responsabilidad no usar ese método para la frontera de datos de la UE con justificaciones de acceso.

Dividir límites Bigtable usa un pequeño subconjunto de claves de fila para definir los límites de las divisiones, que pueden incluir datos y metadatos de clientes. Un límite de división en Bigtable indica la ubicación en la que los intervalos contiguos de filas de una tabla se dividen en tablets.

El personal de Google puede acceder a estos límites divididos con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo en la frontera de datos de la UE con justificaciones de acceso.

Funciones de Google Cloud Armor

Función	Descripción
Políticas de seguridad de ámbito global	Esta función está inhabilitada por la restricción de la política de la organización `compute.disableGlobalCloudArmorPolicy`.

Funciones de Spanner

Función	Descripción
Dividir límites	Spanner usa un pequeño subconjunto de claves principales y columnas indexadas para definir límites de divisiones, que pueden incluir datos y metadatos de clientes. Un límite de división en Spanner indica la ubicación en la que los intervalos contiguos de filas se dividen en partes más pequeñas. El personal de Google puede acceder a estos límites divididos con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo en la frontera de datos de la UE con justificaciones de acceso.

Función

Descripción

Dividir límites

Spanner usa un pequeño subconjunto de claves principales y columnas indexadas para definir límites de divisiones, que pueden incluir datos y metadatos de clientes. Un límite de división en Spanner indica la ubicación en la que los intervalos contiguos de filas se dividen en partes más pequeñas.

El personal de Google puede acceder a estos límites divididos con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo en la frontera de datos de la UE con justificaciones de acceso.

Funciones de Dataplex Universal Catalog

Función	Descripción
Metadatos de aspectos y glosarios	No se admiten aspectos ni glosarios. No puedes buscar ni gestionar aspectos y glosarios, ni tampoco importar metadatos personalizados.
Attribute Store	Esta función está obsoleta y se ha inhabilitado.
Data Catalog	Esta función está obsoleta y se ha inhabilitado. No puedes buscar ni gestionar tus metadatos en Data Catalog.
Calidad de los datos y análisis de perfil de datos	No se admite la exportación de los resultados de los análisis de calidad de los datos.
Discovery	Esta función está inhabilitada. No puedes ejecutar análisis de detección para extraer metadatos de tus datos.
Lakes y Zones	Esta función está inhabilitada. No puedes gestionar lagos, zonas ni tareas.

Funciones de Dataproc

Función	Descripción
Google Cloud consola	Actualmente, Dataproc no admite la consola Jurisdictional Google Cloud . Para aplicar la residencia de datos, asegúrate de usar la CLI de Google Cloud o la API cuando utilices Dataproc.

Características de GKE

Función	Descripción
Restricciones de recursos de clúster	Asegúrate de que la configuración de tu clúster no use recursos para servicios que no se admitan en la frontera de datos de la UE con justificaciones de acceso. Por ejemplo, la siguiente configuración no es válida porque requiere habilitar o usar un servicio no admitido: set `binaryAuthorization.evaluationMode` to `enabled`

Funciones de Cloud Logging

Para usar Cloud Logging con claves de cifrado gestionadas por el cliente (CMEK), debes completar los pasos que se indican en la página Habilitar CMEK en una organización de la documentación de Cloud Logging.

Función	Descripción
Sumideros de registros	Los filtros no deben contener datos de clientes. Los receptores de registro incluyen filtros que se almacenan como configuración. No cree filtros que contengan Datos de Clientes.
Seguimiento en tiempo real de entradas de registro	Los filtros no deben contener datos de clientes. Una sesión de seguimiento en directo incluye un filtro que se almacena como configuración. El seguimiento de registros no almacena ningún dato de entrada de registro, pero puede consultar y transmitir datos entre regiones. No cree filtros que contengan datos de clientes.
Alertas basadas en registros	Esta función está inhabilitada. No puedes crear alertas basadas en registros en la consola Google Cloud .
URLs abreviadas para consultas del Explorador de registros	Esta función está inhabilitada. No puedes crear URLs acortadas de consultas en la Google Cloud consola.
Guardar consultas en el Explorador de registros	Esta función está inhabilitada. No puedes guardar ninguna consulta en la Google Cloud consola.
Analíticas de registros con BigQuery	Esta función está inhabilitada. No puedes usar la función Analíticas de registros.
Políticas de alertas basadas en SQL	Esta función está inhabilitada. No puedes usar la función de políticas de alertas basadas en SQL.

Funciones de Cloud Monitoring

Función	Descripción
Monitor sintético	Esta función está inhabilitada.
Comprobación de disponibilidad del servicio	Esta función está inhabilitada.
Widgets del panel de registro en Paneles de control	Esta función está inhabilitada. No puedes añadir un panel de registro a un panel de control.
Widgets del panel de informes de errores en Paneles de control	Esta función está inhabilitada. No puedes añadir un panel de informes de errores a un panel de control.
Filtrar en `EventAnnotation` por Paneles	Esta función está inhabilitada. El filtro de `EventAnnotation` no se puede definir en un panel de control.
`SqlCondition` en `alertPolicies`	Esta función está inhabilitada. No puedes añadir un `SqlCondition` a un `alertPolicy`.

Características de Cloud Run

Función	Descripción
Funciones no compatibles	Las siguientes funciones de Cloud Run no se admiten: Integración de Cloud Trace Cloud Run Functions Activadores de Eventarc

Características de Compute Engine

Función	Descripción
Suspender y reanudar una instancia de máquina virtual	Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente, y el almacenamiento en disco persistente que se usa para almacenar el estado de la VM suspendida no se puede cifrar con CMEK. Consulte la restricción de política de `gcp.restrictNonCmekServices` org en la sección anterior para comprender las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
SSDs locales	Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque actualmente no se pueden cifrar con CMEK. Consulte la restricción de política de `gcp.restrictNonCmekServices` org en la sección anterior para comprender las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
Entorno de invitado	Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu VM, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta la sección Entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete. Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización `compute.trustedImageProjects`. Consulta la página Crear una imagen personalizada para obtener más información.
Políticas de SO en VM Manager	Las secuencias de comandos insertadas y los archivos de salida binarios de los archivos de políticas del SO no se cifran con claves de cifrado gestionadas por el cliente (CMEK). Por lo tanto, no incluyas información sensible en estos archivos. También puedes almacenar estos archivos de secuencias de comandos y de salida en segmentos de Cloud Storage. Para obtener más información, consulta los ejemplos de políticas de SO. Si quieres restringir la creación o modificación de recursos de políticas de SO que usen secuencias de comandos insertadas o archivos de salida binarios, habilita la restricción de la política de organización `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para obtener más información, consulta Restricciones de configuración del SO.
`instances.getSerialPortOutput()`	Esta API está inhabilitada, por lo que no podrás obtener la salida del puerto serie de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones que se indican en esta página.
`instances.getScreenshot()`	Esta API está inhabilitada, por lo que no podrás obtener una captura de pantalla de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones que se indican en esta página.