Cambiaron los nombres de algunos paquetes de controles de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta el Aviso sobre el cambio de nombre del paquete de control.

Se usó la API de Cloud Translation para traducir esta página.

Límite de datos de la UE con justificaciones de acceso

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando usas el Límite de datos de la UE con justificaciones de acceso.

Descripción general

El Límite de datos de la UE con justificaciones de acceso proporciona funciones de residencia de datos y soberanía de datos para los servicios Google Cloud compatibles. Para proporcionar estas funciones, algunas de las funciones del servicio están restringidas o limitadas. La mayoría de estos cambios se aplican durante el proceso de integración cuando se crea una carpeta o un proyecto nuevo en un entorno de Límite de datos de la UE con justificaciones de acceso. Sin embargo, algunos de ellos se pueden cambiar más adelante mediante la modificación de las políticas de la organización.

Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio determinado de Google Cloud o afectan la soberanía de los datos o la residencia de datos. Por ejemplo, algunas funciones o capacidades pueden inhabilitarse de forma automática para verificar que se mantengan la soberanía de los datos y la residencia de datos. Además, si se cambia la configuración de una política de la organización, podría tener la consecuencia no deseada de copiar datos de una región a otra.

Productos y servicios compatibles

Consulta la página Productos compatibles para obtener una lista de los productos y servicios compatibles con el Límite de datos de la UE con justificaciones de acceso.

Políticas de la organización

En esta sección, se describe cómo los servicios se ven afectados por los valores de restricciones de la política predeterminada de la organización cuando se crean carpetas o proyectos mediante el límite de datos de la UE con justificaciones de acceso. Otras restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una “defensa en profundidad” adicional para proteger aún más los recursos Google Cloud de tu organización.

Restricciones de la política de la organización en toda la nube

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización	Descripción
`gcp.resourceLocations`	Se establece en `in:eu-locations` como el elemento de lista `allowedValues`. Este valor restringe la creación de recursos nuevos solo al grupo de valores EU. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la UE. Consulta Servicios compatibles con las ubicaciones de los recursos para obtener una lista de los recursos que pueden restringirse con la restricción de la política de la organización de ubicaciones de recursos, ya que algunos recursos pueden estar fuera del alcance y no se pueden restringir. Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos conforme, como reemplazar el grupo de valores `in:eu-locations` por el grupo de valores `in:europe-locations`, que incluye ubicaciones de estados que no son miembros de la UE.
`gcp.restrictNonCmekServices`	Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Algunas funciones pueden verse afectadas por cada uno de los servicios mencionados anteriormente. Consulta la sección de funciones afectadas a continuación. Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). CMEK permite que los datos en reposo se encripten con una clave administrada por ti, no los mecanismos de encriptación predeterminados de Google. Si cambias este valor mediante la eliminación de uno o más servicios compatibles de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente mediante las claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
`gcp.restrictCmekCryptoKeyProjects`	Los usuarios pueden establecer este valor en proyectos o carpetas que están destinados a usarse con el Límite de datos de la UE con justificaciones de acceso. Por ejemplo: `under:folders/my-folder-name` Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios admitidos.
`gcp.restrictServiceUsage`	Se establece para permitir todos los servicios compatibles. Determina qué servicios se pueden usar mediante la restricción del acceso del entorno de ejecución a sus recursos. Para obtener más información, consulta Cómo restringir el uso de recursos para las cargas de trabajo.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización	Descripción
`compute.enableComplianceMemoryProtection`	Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos.
`compute.disableInstanceDataAccessApis`	Configurado como True. Inhabilita de manera global las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`.
`compute.disableGlobalCloudArmorPolicy`	Configurado como True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad globales de Google Cloud Armor existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes.
`compute.restrictNonConfidentialComputing`	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.
`compute.trustedImageProjects`	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados.

Restricciones de la política de la organización de Cloud Storage

Restricción de las políticas de la organización Descripción

storage.uniformBucketLevelAccess Configurado como True.

El acceso a los depósitos nuevos se administra mediante políticas de IAM en lugar de Listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos específicos para los depósitos y su contenido.

Si se crea un bucket mientras está habilitada esta restricción, el acceso a la ruta nunca se puede administrar mediante LCA. En otras palabras, el método de control de acceso para un bucket se establece de forma permanente con las políticas de IAM en lugar de las LCA de Cloud Storage.

Restricción de las políticas de la organización	Descripción
`storage.uniformBucketLevelAccess`	Configurado como True. El acceso a los depósitos nuevos se administra mediante políticas de IAM en lugar de Listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos específicos para los depósitos y su contenido. Si se crea un bucket mientras está habilitada esta restricción, el acceso a la ruta nunca se puede administrar mediante LCA. En otras palabras, el método de control de acceso para un bucket se establece de forma permanente con las políticas de IAM en lugar de las LCA de Cloud Storage.

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Configurado como True. Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Restricciones de las políticas de la organización de Cloud Key Management Service

Restricción de las políticas de la organización	Descripción
`cloudkms.allowedProtectionLevels`	Se define en `EXTERNAL`. Restringe los tipos de CryptoKey de Cloud Key Management Service que se pueden crear y está configurado para permitir solo tipos de clave externos.

Funciones afectadas

En esta sección, se enumera cómo las funciones o capacidades de cada servicio se ven afectadas por el Límite de datos de la UE con justificaciones de acceso.

Características de BigQuery

Función	Descripción
Habilita BigQuery en una carpeta nueva	BigQuery es compatible, pero no se habilita automáticamente cuando creas una nueva carpeta de Assured Workloads debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos: En la consola de Google Cloud , ve a la página Assured Workloads. Ve a Assured Workloads Selecciona tu nueva carpeta de Assured Workloads en la lista. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisar actualizaciones disponibles. En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización Restringir el uso de recursos de la carpeta. Si los servicios de BigQuery aparecen en la lista, haz clic en Permitir servicios para agregarlos. Si no aparecen los servicios de BigQuery, espera a que se complete el proceso interno. Si los servicios no aparecen en la lista en un plazo de 12 horas después de crear la carpeta, comunícate con Atención al cliente de Cloud. Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta Assured Workloads. Gemini en BigQuery no es compatible con Assured Workloads.
Características no compatibles	Las siguientes funciones de BigQuery no son compatibles y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlas en BigQuery para el límite de datos de la UE con justificaciones de acceso. Interacción con fuentes de datos remotas No se admiten los modelos de BQML entrenados de forma externa. Se admiten modelos de BQML entrenados de forma interna. Consultas programadas y federadas Enmascaramiento dinámico de datos Exportación a GDrive Funciones remotas Consultas guardadas Programación del flujo de trabajo En BigQuery Studio, no se admiten notebooks.
Integraciones no admitidas	No se admiten las siguientes integraciones de BigQuery. Es tu responsabilidad no usarlos con BigQuery para el límite de datos de la UE con justificaciones de acceso. Los métodos de la API de `CreateTag`, `SearchCatalog`, `Bulk tagging` y `Business Glossary` de la API de Data Catalog pueden procesar y almacenar datos técnicos de una manera que no es compatible. Es tu responsabilidad no usar esos métodos para el límite de datos de la UE con justificaciones de acceso.
APIs de BigQuery compatibles	Se admiten las siguientes APIs de BigQuery: Conjuntos de datos Trabajos Modelos Proyectos Reservas Rutinas Políticas de acceso a las filas Lectura de almacenamiento Escritura de almacenamiento Tablas Datos de la tabla La API de Reservations no está habilitada de forma predeterminada. Puedes habilitar la API con las instrucciones que se indican en esta página.
Regiones	BigQuery es compatible con todas las regiones de BigQuery EU excepto la multirregión de la UE. No se puede garantizar el cumplimiento si se crea un conjunto de datos en una multirregión de la UE, una región fuera de la UE o una multirregión fuera de la UE. Es tu responsabilidad especificar una región que cumpla con las políticas cuando crees conjuntos de datos de BigQuery. Si se envía una solicitud de lista de datos de tabla con una región de la UE, pero el conjunto de datos se creó en otra región de la UE, BigQuery no puede inferir a qué región te referías y la operación fallará con un mensaje de error que indica que no se encontró el conjunto de datos.
Google Cloud console	Se admite la interfaz de usuario de BigQuery en la consola de Google Cloud .
CLI de BigQuery	Se admite la CLI de BigQuery.
SDK de Google Cloud	Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos para los datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta `gcloud --version` y, luego, `gcloud components update` para actualizar a la versión más reciente.
Controles del administrador	BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no compatible. Si esto ocurre, se te notificará el posible incumplimiento a través del panel de supervisión de Assured Workloads.
Carga datos	No se admiten los conectores del Servicio de transferencia de datos de BigQuery para apps de software de Google como servicio (SaaS), proveedores externos de almacenamiento en la nube y almacenes de datos. Es tu responsabilidad no usar los conectores del Servicio de transferencia de datos de BigQuery para cargas de trabajo de Límite de datos de la UE con justificaciones de acceso.
Transferencias de terceros	BigQuery no verifica la compatibilidad con transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad verificar la compatibilidad cuando uses cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery.
Modelos de BQML que no cumplen con los requisitos	No se admiten los modelos de BQML entrenados de forma externa.
Trabajos de consulta	Las tareas de consulta solo deben crearse dentro de las carpetas Límite de datos de la UE con justificaciones de acceso.
Consultas en conjuntos de datos de otros proyectos	BigQuery no impide que se consulten conjuntos de datos de Límite de datos de la UE con justificaciones de acceso desde proyectos que no son de Límite de datos de la UE con justificaciones de acceso. Debes asegurarte de que cualquier consulta que tenga una operación de lectura o unión en los datos de Límite de datos de la UE con justificaciones de acceso se coloque en una carpeta de Límite de datos de la UE con justificaciones de acceso. Puedes especificar un nombre de tabla completamente calificado para el resultado de la consulta con `projectname.dataset.table` en la CLI de BigQuery.
Cloud Logging	BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar tus buckets de registro de `_Default` o restringirlos a regiones de la UE para mantener el cumplimiento.`_Default` Para obtener información sobre cómo establecer la ubicación de buckets `_Default` nuevos o cómo inhabilitar las entradas de enrutamiento a buckets `_Default` nuevos, consulta Configura la configuración predeterminada para las organizaciones y carpetas.

Funciones de Bigtable

Función Descripción

Características no compatibles

Función	Descripción
Características no compatibles	No se admiten las siguientes funciones ni métodos de API de Bigtable. Es tu responsabilidad no usarlos con Bigtable para el Límite de datos de la UE con justificaciones de acceso. El método de la API de `ListHotTablets` de la API de RPC Admin procesa y almacena datos técnicos de una manera que no es compatible. Es tu responsabilidad no usar ese método para el límite de datos de la UE con justificaciones de acceso. El método de la API de `hotTablets.list` de la API de Rest Admin procesa y almacena datos técnicos de una manera que no es compatible. Es tu responsabilidad no usar ese método para el límite de datos de la UE con justificaciones de acceso.
Límites de división	Bigtable usa un subconjunto pequeño de claves de fila para definir los límites de división, que pueden incluir datos y metadatos de los clientes. Un límite de división en Bigtable denota la ubicación en la que los rangos contiguos de filas de una tabla se dividen en tablets. El personal de Google puede acceder a estos límites de división con fines de asistencia técnica y depuración, y no están sujetos a controles de datos de acceso administrativos en el límite de datos de la UE con justificaciones de acceso.

No se admiten las siguientes funciones ni métodos de API de Bigtable. Es tu responsabilidad no usarlos con Bigtable para el Límite de datos de la UE con justificaciones de acceso.

El método de la API de ListHotTablets de la API de RPC Admin procesa y almacena datos técnicos de una manera que no es compatible. Es tu responsabilidad no usar ese método para el límite de datos de la UE con justificaciones de acceso.
El método de la API de hotTablets.list de la API de Rest Admin procesa y almacena datos técnicos de una manera que no es compatible. Es tu responsabilidad no usar ese método para el límite de datos de la UE con justificaciones de acceso.

Límites de división Bigtable usa un subconjunto pequeño de claves de fila para definir los límites de división, que pueden incluir datos y metadatos de los clientes. Un límite de división en Bigtable denota la ubicación en la que los rangos contiguos de filas de una tabla se dividen en tablets.

El personal de Google puede acceder a estos límites de división con fines de asistencia técnica y depuración, y no están sujetos a controles de datos de acceso administrativos en el límite de datos de la UE con justificaciones de acceso.

Características de Google Cloud Armor

Función	Descripción
Políticas de seguridad con alcance global	La restricción de la política de la organización `compute.disableGlobalCloudArmorPolicy` inhabilita esta función.

Funciones de Spanner

Función	Descripción
Límites de división	Spanner usa un pequeño subconjunto de claves primarias y columnas indexadas para definir límites de división, que pueden incluir datos y metadatos de los clientes. Un límite de división en Spanner denota la ubicación en la que los rangos contiguos de filas se dividen en partes más pequeñas. El personal de Google puede acceder a estos límites de división con fines de asistencia técnica y depuración, y no están sujetos a controles de datos de acceso administrativos en el límite de datos de la UE con justificaciones de acceso.

Función

Descripción

Límites de división

Spanner usa un pequeño subconjunto de claves primarias y columnas indexadas para definir límites de división, que pueden incluir datos y metadatos de los clientes. Un límite de división en Spanner denota la ubicación en la que los rangos contiguos de filas se dividen en partes más pequeñas.

El personal de Google puede acceder a estos límites de división con fines de asistencia técnica y depuración, y no están sujetos a controles de datos de acceso administrativos en el límite de datos de la UE con justificaciones de acceso.

Funciones de Dataproc

Función	Descripción
Google Cloud console	Actualmente, Dataproc no admite la consolaGoogle Cloud jurisdiccional. Para aplicar la residencia de datos, asegúrate de usar Google Cloud CLI o la API cuando uses Dataproc.

Funciones de GKE

Función	Descripción
Restricciones de recursos del clúster	Asegúrate de que la configuración de tu clúster no use recursos para servicios que no se admiten en el límite de datos de la UE con justificaciones de acceso. Por ejemplo, la siguiente configuración no es válida porque requiere habilitar o usar un servicio no compatible: set `binaryAuthorization.evaluationMode` to `enabled`

Funciones de Cloud Logging

Para usar Cloud Logging con claves de encriptación administradas por el cliente (CMEK), debes completar los pasos de la página Habilita CMEK para una organización en la documentación de Cloud Logging.

Función	Descripción
Receptores de registros	Los filtros no deben contener datos del cliente. Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos del cliente.
Entradas de registro de transmisión de registros en tiempo real	Los filtros no deben contener datos del cliente. Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos de clientes.
Alertas basadas en registros	Se inhabilitó esta función. No puedes crear alertas basadas en registros en la Google Cloud consola.
URL reducidas para las consultas del Explorador de registros	Se inhabilitó esta función. No puedes crear URLs acortadas de consultas en la Google Cloud consola.
Guarda consultas en el Explorador de registros	Se inhabilitó esta función. No puedes guardar ninguna consulta en la Google Cloud consola.
Estadísticas de registros con BigQuery	Se inhabilitó esta función. No puedes usar la función de estadísticas de registros.
Políticas de alertas basadas en SQL	Se inhabilitó esta función. No puedes usar la función de políticas de alertas basadas en SQL.

Funciones de Cloud Monitoring

Función	Descripción
Monitor sintético	Se inhabilitó esta función.
Verificación del tiempo de actividad	Se inhabilitó esta función.
Widgets del panel de registros en Paneles de control	Esta función está inhabilitada. No puedes agregar un panel de registro a un panel.
Widgets del panel de informes de errores en Paneles	Esta función está inhabilitada. No puedes agregar un panel de informes de errores a un panel.
Filtra en `EventAnnotation` por Paneles.	Esta función está inhabilitada. No se puede configurar el filtro de `EventAnnotation` en un panel.
`SqlCondition` en `alertPolicies`	Esta función está inhabilitada. No puedes agregar un `SqlCondition` a un `alertPolicy`.

Funciones de Cloud Run

Función	Descripción
Características no compatibles	No se admiten las siguientes funciones de Cloud Run: Integración de Cloud Trace Cloud Run Functions Activadores de Eventarc

Características de Compute Engine

Atributo	Descripción
Suspende y reanuda una instancia de VM	Se inhabilitó esta función. La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar mediante el uso de CMEK. Consulta la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
SSD locales	Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque, por el momento, no se pueden encriptar mediante CMEK. Consulta la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
Entorno huésped	Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a cumplir con la soberanía de los datos mediante procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización `compute.trustedImageProjects`. Consulta la página Cómo compilar una imagen personalizada para obtener más información.
Políticas del SO en VM Manager	Las secuencias de comandos intercaladas y los archivos de salida binarios dentro de los archivos de políticas del SO no se encriptan con claves de encriptación administradas por el cliente (CMEK). Por lo tanto, no incluyas información sensible en estos archivos. Como alternativa, considera almacenar estas secuencias de comandos y archivos de salida en buckets de Cloud Storage. Para obtener más información, consulta Ejemplos de políticas del SO. Si deseas restringir la creación o modificación de recursos de políticas del SO que usan secuencias de comandos intercaladas o archivos de salida binarios, habilita la restricción de políticas de la organización `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para obtener más información, consulta Restricciones para la configuración del SO.
`instances.getSerialPortOutput()`	Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en esta página.
`instances.getScreenshot()`	Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en esta página.