Les noms de certains packages de contrôles Assured Workloads ont été modifiés. Pour en savoir plus sur ce changement de nom, consultez l'avis concernant le changement de nom du package Control.

Cette page a été traduite par l'API Cloud Translation.

Périmètre de données dans l'UE avec justifications d'accès

Cette page décrit les restrictions, les limites et les autres options de configuration lorsque vous utilisez le périmètre de données dans l'UE avec justifications d'accès.

Présentation

Le périmètre de données dans l'UE avec justifications d'accès fournit des fonctionnalités de résidence et de souveraineté des données pour les services compatibles Google Cloud . Pour fournir ces fonctionnalités, certaines fonctionnalités de ces services sont restreintes ou limitées. La plupart de ces modifications sont appliquées lors du processus d'intégration lors de la création d'un dossier ou d'un projet dans un environnement de périmètre de données de l'UE avec justifications d'accès. Cependant, certaines d'entre elles peuvent être modifiées ultérieurement en changeant des règles d'administration.

Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné ou affectent la souveraineté des données ou la résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour vérifier que la souveraineté et la résidence des données sont respectées. En outre, si un paramètre de règle d'administration est modifié, il peut en résulter la conséquence imprévue de copie de données d'une région à une autre.

Produits et services compatibles

Consultez la page Produits compatibles pour obtenir la liste des produits et services compatibles avec la limite de données de l'UE avec les justifications d'accès.

Règles d'administration

Cette section décrit l'impact des valeurs par défaut des contraintes de règles d'administration de l'organisation sur chaque service lorsque des dossiers ou des projets sont créés à l'aide de la fonctionnalité "Limites de données de l'UE avec justifications d'accès". D'autres contraintes applicables, même si elles ne sont pas définies par défaut, peuvent fournir une"défense en profondeur" supplémentaire pour mieux protéger les ressources de votre organisation Google Cloud .

Contraintes liées aux règles d'administration à l'échelle du cloud

Les contraintes liées aux règles d'administration suivantes s'appliquent à tous les services Google Cloud concernés.

Contrainte liée aux règles d'administration	Description
`gcp.resourceLocations`	Définissez sur `in:eu-locations` comme élément de liste `allowedValues`. Cette valeur limite la création de ressources au groupe de valeurs de l'UE uniquement. Lorsqu'il est défini, aucune ressource ne peut être créée dans d'autres régions, emplacements multirégionaux ou emplacements en dehors de l'UE. Consultez la page Services compatibles avec les emplacements de ressources pour obtenir la liste des ressources qui peuvent être limitées par la contrainte de règle d'administration "Emplacements des ressources", car certaines ressources peuvent être hors champ et ne pas pouvoir être limitées. Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme. Par exemple, remplacer le groupe de valeurs `in:eu-locations` par le groupe de valeurs `in:europe-locations`, qui inclut les emplacements des États membres de l'UE.
`gcp.restrictNonCmekServices`	Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris : `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Il est possible que certaines fonctionnalités soient affectées pour chacun des services listés ci-dessus. Consultez la section "Fonctionnalités concernées" ci-dessous. Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). La CMEK permet de chiffrer les données au repos avec une clé que vous gérez, et non avec les mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services compatibles dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées avec la clé que vous avez fournie.
`gcp.restrictCmekCryptoKeyProjects`	Les utilisateurs peuvent définir cette valeur pour les projets ou dossiers destinés à être utilisés avec le périmètre de données dans l'UE avec justifications d'accès. Par exemple : `under:folders/my-folder-name` Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou projets non approuvés de fournir des clés de chiffrement, ce qui permet de garantir la souveraineté des données au repos pour les services compatibles.
`gcp.restrictServiceUsage`	Définissez cette option pour autoriser tous les services compatibles. Détermine les services pouvant être utilisés en limitant l'accès à l'exécution à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources pour les charges de travail.

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration	Description
`compute.enableComplianceMemoryProtection`	Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour fournir une protection supplémentaire du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence ou la souveraineté de vos données.
`compute.disableInstanceDataAccessApis`	Défini sur True. Désactive globalement les API `instances.getSerialPortOutput()` et `instances.getScreenshot()`.
`compute.disableGlobalCloudArmorPolicy`	Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles dans les stratégies de sécurité Google Cloud Armor globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la suppression ou la modification de la description et de la liste des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les règles de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur.
`compute.restrictNonConfidentialComputing`	(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour fournir une défense en profondeur supplémentaire. Pour en savoir plus, consultez la documentation sur les Confidential VMs.
`compute.trustedImageProjects`	(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour fournir une défense en profondeur supplémentaire. La définition de cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés.

Contraintes applicables aux règles d'administration Cloud Storage

Contrainte liée aux règles d'administration Description

storage.uniformBucketLevelAccess Défini sur True.

L'accès aux nouveaux buckets est géré à l'aide de règles IAM au lieu des listes de contrôle d'accès (LCA) Cloud Storage. Cette contrainte fournit des autorisations précises pour les buckets et leur contenu.

Si un bucket est créé alors que cette contrainte est activée, l'accès à celui-ci ne pourra jamais être géré à l'aide de LCA. En d'autres termes, la méthode de contrôle des accès pour un bucket est définitivement définie sur l'utilisation de stratégies IAM au lieu des LCA Cloud Storage.

Contrainte liée aux règles d'administration	Description
`storage.uniformBucketLevelAccess`	Défini sur True. L'accès aux nouveaux buckets est géré à l'aide de règles IAM au lieu des listes de contrôle d'accès (LCA) Cloud Storage. Cette contrainte fournit des autorisations précises pour les buckets et leur contenu. Si un bucket est créé alors que cette contrainte est activée, l'accès à celui-ci ne pourra jamais être géré à l'aide de LCA. En d'autres termes, la méthode de contrôle des accès pour un bucket est définitivement définie sur l'utilisation de stratégies IAM au lieu des LCA Cloud Storage.

Contraintes liées aux règles d'administration Google Kubernetes Engine

Contrainte liée aux règles d'administration	Description
`container.restrictNoncompliantDiagnosticDataAccess`	Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons vivement de conserver la valeur définie.

Contraintes applicables aux règles d'administration Cloud Key Management Service

Contrainte liée aux règles d'administration	Description
`cloudkms.allowedProtectionLevels`	Variable définie sur `EXTERNAL`. Restreint les types de CryptoKeys Cloud Key Management Service pouvant être créés et est défini pour n'autoriser que les types de clés externes.

Fonctionnalités concernées

Cette section explique comment les fonctionnalités de chaque service sont affectées par le périmètre de données dans l'UE avec justifications d'accès.

Fonctionnalités de BigQuery

Fonctionnalité	Description
Activer BigQuery dans un nouveau dossier	BigQuery est compatible, mais n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Cette opération prend normalement dix minutes, mais peut durer beaucoup plus longtemps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit : Dans la console Google Cloud , accédez à la page Assured Workloads. Accéder à Assured Workloads Sélectionnez votre nouveau dossier Assured Workloads dans la liste. Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles. Dans le volet Services autorisés, vérifiez les services à ajouter à la règle d'administration Restriction d'utilisation des ressources pour le dossier. Si des services BigQuery sont listés, cliquez sur Autoriser les services pour les ajouter. Si les services BigQuery ne sont pas listés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud. Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. Gemini dans BigQuery n'est pas compatible avec Assured Workloads.
Fonctionnalités non compatibles	Les fonctionnalités BigQuery suivantes ne sont pas compatibles et ne doivent pas être utilisées dans la CLI BigQuery. Il vous incombe de ne pas les utiliser dans BigQuery pour la limite de données de l'UE avec les justifications d'accès. Interaction avec des sources de données distantes Les modèles BQML entraînés en externe ne sont pas acceptés. Les modèles BQML entraînés en interne sont acceptés. Requêtes programmées et fédérées Masquage dynamique des données Exportation GDrive Fonctions à distance Requêtes enregistrées Planification des workflows Les notebooks ne sont pas compatibles avec BigQuery Studio.
Intégrations non compatibles	Les intégrations BigQuery suivantes ne sont pas compatibles. Il vous incombe de ne pas les utiliser avec BigQuery pour la limite de données de l'UE avec les justifications d'accès. Les méthodes d'API `CreateTag`, `SearchCatalog`, `Bulk tagging` et `Business Glossary` de l'API Data Catalog peuvent traiter et stocker des données techniques d'une manière non compatible. Il vous incombe de ne pas utiliser ces méthodes pour le périmètre de données dans l'UE avec justifications d'accès.
API BigQuery compatibles	Les API BigQuery suivantes sont compatibles : Ensembles de données Emplois Modèles Projets Réservations Routines Règles d'accès aux lignes Lecture du stockage Écriture du stockage Tables Données du tableau L'API Reservations n'est pas activée par défaut. Vous pouvez activer l'API en suivant les instructions sur cette page.
Régions	BigQuery est compatible avec toutes les régions BigQuery de l'UE, à l'exception de la région multirégionale de l'UE. La conformité ne peut pas être garantie si un ensemble de données est créé dans une région multirégionale de l'UE, une région hors UE ou une région multirégionale hors UE. Il vous incombe de spécifier une région conforme lorsque vous créez des ensembles de données BigQuery. Si une requête de liste de données de table est envoyée à l'aide d'une région de l'UE, mais que l'ensemble de données a été créé dans une autre région de l'UE, BigQuery ne peut pas déduire la région que vous souhaitiez utiliser. L'opération échouera et un message d'erreur "Ensemble de données introuvable" s'affichera.
ConsoleGoogle Cloud	L'interface utilisateur BigQuery de la console Google Cloud est compatible.
CLI BigQuery	L'interface de ligne de commande BigQuery est compatible.
SDK Google Cloud	Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour garantir la régionalisation des données techniques. Pour vérifier votre version actuelle de Google Cloud SDK, exécutez `gcloud --version`, puis `gcloud components update` pour passer à la version la plus récente.
Commandes d'administration	BigQuery désactivera les API non compatibles, mais les administrateurs disposant des autorisations suffisantes pour créer un dossier Assured Workloads peuvent activer une API non compatible. Si cela se produit, vous serez informé d'un éventuel non-respect de la conformité via le tableau de bord de surveillance Assured Workloads.
Charger des données	Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) de Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas compatibles. Il vous incombe de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour les charges de travail liées à la limite de données de l'UE avec des justifications d'accès.
Transferts tiers	BigQuery ne vérifie pas la compatibilité des transferts tiers avec le service de transfert de données BigQuery. Il vous incombe de vérifier la compatibilité lorsque vous utilisez un transfert tiers pour le service de transfert de données BigQuery.
Modèles BQML non conformes	Les modèles BQML entraînés en externe ne sont pas acceptés.
Tâches de requête	Les jobs de requête ne doivent être créés que dans les dossiers "Périmètre de données dans l'UE avec justifications d'accès".
Requêtes sur les ensembles de données dans d'autres projets	BigQuery n'empêche pas d'interroger les ensembles de données du périmètre de données dans l'UE avec justifications d'accès à partir de projets ne faisant pas partie de ce périmètre. Vous devez vous assurer que toute requête comportant une lecture ou une jointure sur des données du périmètre de données dans l'UE avec justifications d'accès est placée dans un dossier "Périmètre de données dans l'UE avec justifications d'accès". Vous pouvez spécifier un nom complet de table pour le résultat de la requête à l'aide de `projectname.dataset.table` dans la CLI BigQuery.
Cloud Logging	BigQuery utilise Cloud Logging pour certaines de vos données de journaux. Pour rester conforme, vous devez désactiver vos buckets de journaux `_Default` ou limiter vos buckets `_Default` aux régions de l'UE. Pour savoir comment définir l'emplacement des nouveaux buckets `_Default` ou comment désactiver les entrées de routage vers les nouveaux buckets `_Default`, consultez Configurer les paramètres par défaut pour les organisations et les dossiers.

Fonctionnalités Bigtable

Fonctionnalité Description

Fonctionnalités non compatibles

Fonctionnalité	Description
Fonctionnalités non compatibles	Les fonctionnalités et méthodes d'API Bigtable suivantes ne sont pas compatibles. Il vous incombe de ne pas les utiliser avec Bigtable pour le périmètre de données dans l'UE avec justifications d'accès. La méthode d'API `ListHotTablets` de l'API Admin RPC traite et stocke les données techniques d'une manière non compatible. Il vous incombe de ne pas utiliser cette méthode pour le périmètre de données dans l'UE avec justifications d'accès. La méthode d'API `hotTablets.list` de l'API REST Admin traite et stocke les données techniques d'une manière non compatible. Il vous incombe de ne pas utiliser cette méthode pour le périmètre de données dans l'UE avec justifications d'accès.
Limites de division	Bigtable utilise un petit sous-ensemble de clés de ligne pour définir les limites de fractionnement, qui peuvent inclure des données et des métadonnées client. Dans Bigtable, une limite de fractionnement indique l'emplacement où des plages de lignes contiguës d'une table sont fractionnées en tablets. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans la limite de données de l'UE avec justifications d'accès.

Les fonctionnalités et méthodes d'API Bigtable suivantes ne sont pas compatibles. Il vous incombe de ne pas les utiliser avec Bigtable pour le périmètre de données dans l'UE avec justifications d'accès.

La méthode d'API ListHotTablets de l'API Admin RPC traite et stocke les données techniques d'une manière non compatible. Il vous incombe de ne pas utiliser cette méthode pour le périmètre de données dans l'UE avec justifications d'accès.
La méthode d'API hotTablets.list de l'API REST Admin traite et stocke les données techniques d'une manière non compatible. Il vous incombe de ne pas utiliser cette méthode pour le périmètre de données dans l'UE avec justifications d'accès.

Limites de division Bigtable utilise un petit sous-ensemble de clés de ligne pour définir les limites de fractionnement, qui peuvent inclure des données et des métadonnées client. Dans Bigtable, une limite de fractionnement indique l'emplacement où des plages de lignes contiguës d'une table sont fractionnées en tablets.

Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans la limite de données de l'UE avec justifications d'accès.

Fonctionnalités de Google Cloud Armor

Fonctionnalité	Description
Règles de sécurité à portée globale	Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration `compute.disableGlobalCloudArmorPolicy`.

Fonctionnalités de Spanner

Fonctionnalité	Description
Limites de division	Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir les limites de fractionnement, qui peuvent inclure des données et des métadonnées client. Dans Spanner, une limite de fractionnement indique l'emplacement où les plages contiguës de lignes sont divisées en éléments plus petits. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans la limite de données de l'UE avec justifications d'accès.

Fonctionnalité

Description

Limites de division

Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir les limites de fractionnement, qui peuvent inclure des données et des métadonnées client. Dans Spanner, une limite de fractionnement indique l'emplacement où les plages contiguës de lignes sont divisées en éléments plus petits.

Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans la limite de données de l'UE avec justifications d'accès.

Fonctionnalités de Dataplex Universal Catalog

Fonctionnalité	Description
Métadonnées des aspects et des glossaires	Les aspects et les glossaires ne sont pas acceptés. Vous ne pouvez pas rechercher ni gérer les aspects et les glossaires, ni importer de métadonnées personnalisées.
Attribute Store	Cette fonctionnalité est obsolète et désactivée.
Data Catalog	Cette fonctionnalité est obsolète et désactivée. Vous ne pouvez pas rechercher ni gérer vos métadonnées dans Data Catalog.
Analyse de la qualité et du profil des données	L'exportation des résultats de l'analyse de la qualité des données n'est pas prise en charge.
Discovery	Cette fonctionnalité est désactivée. Vous ne pouvez pas exécuter d'analyses Discovery pour extraire les métadonnées de vos données.
Lacs et zones	Cette fonctionnalité est désactivée. Vous ne pouvez pas gérer les lacs, les zones ni les tâches.

Fonctionnalités de Dataproc

Fonctionnalité	Description
ConsoleGoogle Cloud	Dataproc n'est actuellement pas compatible avec la consoleGoogle Cloud . Pour appliquer la résidence des données, assurez-vous d'utiliser Google Cloud CLI ou l'API lorsque vous utilisez Dataproc.

Fonctionnalités de GKE

Fonctionnalité	Description
Restrictions concernant les ressources de cluster	Assurez-vous que la configuration de votre cluster n'utilise pas de ressources pour des services non compatibles avec la limite de données de l'UE avec justifications d'accès. Par exemple, la configuration suivante n'est pas valide, car elle nécessite l'activation ou l'utilisation d'un service non compatible : set `binaryAuthorization.evaluationMode` to `enabled`

Fonctionnalités de Cloud Logging

Pour utiliser Cloud Logging avec des clés de chiffrement gérées par le client (CMEK), vous devez suivre les étapes décrites sur la page Activer les CMEK pour une organisation de la documentation Cloud Logging.

Fonctionnalité	Description
Récepteurs de journaux	Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres stockés en tant que configuration. Ne créez pas de filtres contenant des données client.
Affichage en direct des dernières lignes des entrées de journal	Les filtres ne doivent pas contenir de données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. La lecture des journaux en temps réel ne stocke aucune donnée d'entrée de journal, mais peut interroger et transmettre des données entre les régions. Ne créez pas de filtres contenant des données client.
Alertes basées sur des journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud .
URL raccourcies pour les requêtes de l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud .
Enregistrer des requêtes dans l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud .
Analyse de journaux avec BigQuery	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité d'analyse des journaux.
Règles d'alerte basées sur SQL	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité de règles d'alerte basées sur SQL.

Fonctionnalités de Cloud Monitoring

Fonctionnalité	Description
Surveillance synthétique	Cette fonctionnalité est désactivée.
Test de disponibilité	Cette fonctionnalité est désactivée.
Widgets du panneau des journaux dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journaux à un tableau de bord.
Widgets du panneau Error Reporting dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement d'erreurs à un tableau de bord.
Filtre dans `EventAnnotation` pour Tableaux de bord	Cette fonctionnalité est désactivée. Le filtre de `EventAnnotation` ne peut pas être défini dans un tableau de bord.
`SqlCondition` dans `alertPolicies`	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de `SqlCondition` à un `alertPolicy`.

Fonctionnalités de Cloud Run

Fonctionnalité	Description
Fonctionnalités non compatibles	Les fonctionnalités Cloud Run suivantes ne sont pas acceptées : Intégration à Cloud Trace Fonctions Cloud Run Déclencheurs Eventarc

Fonctionnalités de Compute Engine

Extraction	Description
Suspendre et réactiver une instance de VM	Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration `gcp.restrictNonCmekServices` dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
Disques SSD locaux	Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés avec CMEK pour le moment. Consultez la contrainte de règle d'administration `gcp.restrictNonCmekServices` dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
Environnement invité	Il est possible que les scripts, les daemons et les binaires inclus dans l'environnement invité accèdent aux données non chiffrées au repos et en cours d'utilisation. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et d'autres informations spécifiques à chaque package, consultez Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et processus de sécurité internes. Toutefois, si vous souhaitez exercer un contrôle supplémentaire, vous pouvez également organiser vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration `compute.trustedImageProjects`. Pour en savoir plus, consultez la page Créer une image personnalisée.
Règles d'OS dans VM Manager	Les scripts intégrés et les fichiers de sortie binaires dans les fichiers de règles d'OS ne sont pas chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). Par conséquent, n'incluez aucune information sensible dans ces fichiers. Vous pouvez également envisager de stocker ces scripts et fichiers de sortie dans des buckets Cloud Storage. Pour en savoir plus, consultez Exemples de règles d'OS. Si vous souhaitez limiter la création ou la modification de ressources de règles d'OS qui utilisent des scripts intégrés ou des fichiers de sortie binaires, activez la contrainte de règle d'administration `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Pour en savoir plus, consultez Contraintes pour OS Config.
`instances.getSerialPortOutput()`	Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration `compute.disableInstanceDataAccessApis` sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions sur cette page.
`instances.getScreenshot()`	Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration `compute.disableInstanceDataAccessApis` sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions sur cette page.