Pacote de controle de Regiões de Hong Kong

Esta página descreve o conjunto de controles aplicados às cargas de trabalho das regiões de Hong Kong no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos Google Cloud compatíveis e os endpoints de API deles, e todas as restrições ou limitações aplicáveis a esses produtos. As informações a seguir se aplicam às regiões de Hong Kong:

  • Residência de dados: o pacote de controle de regiões de Hong Kong define os controles de localização de dados para oferecer suporte a apenas regiões de Hong Kong. Consulte a seção Restrições da política da organização em todo oGoogle Cloud para mais informações.
  • Suporte: os serviços de suporte técnico para workloads das Regiões de Hong Kong estão disponíveis com as assinaturas Standard, Enhanced ou Premium do Cloud Customer Care. Os casos de suporte de cargas de trabalho das Regiões de Hong Kong são encaminhados para a equipe de suporte global.
  • Preços: o pacote de controle das regiões de Hong Kong está incluído no nível gratuito do Assured Workloads, que não gera cobranças adicionais. Consulte Preços do Assured Workloads para mais informações.

Produtos e endpoints de API com suporte

Salvo indicação contrária, os usuários podem acessar todos os produtos com suporte pelo console do Google Cloud. As restrições ou limitações que afetam os recursos de um produto com suporte, incluindo aquelas que são aplicadas com configurações de restrição da política da organização, estão listadas na tabela a seguir.

Se um produto não estiver listado, ele não terá suporte e não atenderá aos requisitos de controle para as regiões de Hong Kong. Não é recomendável usar produtos sem suporte sem a devida diligência e um entendimento completo das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você está ciente e aceita os riscos associados, como impactos negativos na residência de dados ou soberania de dados.

Produto compatível Endpoints de API Restrições ou limitações
Aprovação de acesso accessapproval.googleapis.com
 Nenhum
Access Context Manager accesscontextmanager.googleapis.com
 Nenhum
Transparência no acesso accessapproval.googleapis.com
 Nenhum
AlloyDB para PostgreSQL alloydb.googleapis.com
 Nenhum
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
 Nenhum
Artifact Registry artifactregistry.googleapis.com
 Nenhum
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerydatatransfer.googleapis.com
bigquerymigration.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
 Recursos afetados
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
 Nenhum
Certificate Authority Service privateca.googleapis.com
 Nenhum
Cloud Composer composer.googleapis.com
 Nenhum
Cloud DNS dns.googleapis.com
 Nenhum
Cloud Data Fusion datafusion.googleapis.com
 Nenhum
Gerenciador de chaves externas do Cloud (Cloud EKM) cloudkms.googleapis.com
 Nenhum
Cloud Run functions cloudfunctions.googleapis.com
 Nenhum
Cloud HSM cloudkms.googleapis.com
 Nenhum
Cloud Interconnect networkconnectivity.googleapis.com
 Nenhum
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
 Nenhum
Cloud Load Balancing compute.googleapis.com
 Nenhum
Cloud Logging logging.googleapis.com
 Recursos afetados
Cloud Monitoring monitoring.googleapis.com
 Nenhum
Cloud NAT networkconnectivity.googleapis.com
 Nenhum
Cloud Router networkconnectivity.googleapis.com
 Nenhum
Cloud Run run.googleapis.com
 Nenhum
Cloud SQL sqladmin.googleapis.com
 Nenhum
Cloud Storage storage.googleapis.com
 Nenhum
Cloud Tasks cloudtasks.googleapis.com
 Nenhum
Cloud VPN compute.googleapis.com
 Nenhum
API Cloud Vision vision.googleapis.com
 Nenhum
Compute Engine compute.googleapis.com
 Recursos afetados e restrições da política da organização
Conectar gkeconnect.googleapis.com
 Nenhum
Proteção de Dados Sensíveis dlp.googleapis.com
 Nenhum
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
 Nenhum
Dataform dataform.googleapis.com
 Nenhum
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
 Nenhum
Eventarc eventarc.googleapis.com
 Nenhum
Filestore file.googleapis.com
 Nenhum
Firestore firestore.googleapis.com
 Nenhum
Hub GKE gkehub.googleapis.com
 Nenhum
Serviço de identidade do GKE anthosidentityservice.googleapis.com
 Nenhum
IA generativa na Vertex AI aiplatform.googleapis.com
 Nenhum
Google Cloud Armor compute.googleapis.com
networksecurity.googleapis.com
 Recursos afetados
Google Kubernetes Engine (GKE) container.googleapis.com
containersecurity.googleapis.com
 Nenhum
Google Security Operations SIEM chronicle.googleapis.com
chronicleservicemanager.googleapis.com
 Nenhum
Gerenciamento de identidade e acesso (IAM) iam.googleapis.com
 Nenhum
Identity-Aware Proxy (IAP) iap.googleapis.com
 Nenhum
Looker (Google Cloud Core) looker.googleapis.com
 Nenhum
Memorystore para Redis redis.googleapis.com
 Nenhum
Network Connectivity Center networkconnectivity.googleapis.com
 Nenhum
Persistent Disk compute.googleapis.com
 Nenhum
Pub/Sub pubsub.googleapis.com
 Nenhum
Resource Manager cloudresourcemanager.googleapis.com
 Nenhum
Secure Source Manager securesourcemanager.googleapis.com
 Nenhum
Speech-to-Text speech.googleapis.com
 Nenhum
Cloud Service Mesh trafficdirector.googleapis.com
 Nenhum
VPC Service Controls accesscontextmanager.googleapis.com
 Nenhum
Vertex AI para Pesquisa discoveryengine.googleapis.com
 Nenhum
Nuvem privada virtual (VPC) compute.googleapis.com
 Nenhum

Restrições e limitações

As seções a seguir descrevem restrições ou limitações de recursos específicos do produto ou de todo o Google Cloud, incluindo as restrições da política da organização definidas por padrão nas pastas das Regiões de Hong Kong. Outras restrições da política da organização aplicáveis, mesmo que não definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.

Google Cloudde largura

Restrições da política da organização em todo oGoogle Cloud

As seguintes restrições da política da organização se aplicam a Google Cloud.

Restrição da política da organização Descrição
gcp.resourceLocations Defina os seguintes locais na lista allowedValues:
  • asia-east2
Esse valor restringe a criação de novos recursos somente ao grupo de valores selecionado. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da seleção. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados compatível. Consulte a documentação Grupos de valores de política da organização para mais informações.
gcp.restrictServiceUsage Defina para permitir todos os produtos e endpoints de API compatíveis.

Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Como restringir o uso de recursos.
gcp.restrictTLSVersion Configurado para negar as seguintes versões do TLS:
  • TLS_1_0
  • TLS_1_1
Consulte a página Restringir versões do TLS para mais informações.

BigQuery

Recursos do BigQuery afetados

Recurso Descrição
Como ativar o BigQuery em uma nova pasta O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova pasta de workloads garantidas devido a um processo de configuração interno. Esse processo normalmente termina em 10 minutos, mas pode levar muito mais tempo em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:
  1. No console do Google Cloud, acesse a página Assured Workloads.

    Acesse o Assured Workloads

  2. Selecione a nova pasta do Assured Workloads na lista.
  3. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis.
  4. No painel Serviços permitidos, analise os serviços que serão adicionados à política da organização de restrição de uso de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los.

    Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care.

Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta Assured Workloads.

O Gemini no BigQuery não é compatível com as cargas de trabalho garantidas.
Recursos não suportados Os recursos do BigQuery a seguir não têm suporte e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para Assured Workloads.
CLI do BigQuery A CLI do BigQuery é compatível.

SDK do Google Cloud Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados para dados técnicos. Para verificar a versão atual do SDK do Google Cloud, execute gcloud --version e, em seguida, gcloud components update para atualizar para a versão mais recente.
Controles do administrador O BigQuery desativa APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta de cargas de trabalho garantidas podem ativar uma API sem suporte. Se isso acontecer, você vai receber um aviso de possível não conformidade no Painel de monitoramento do Assured Workloads.
Carregando dados Não há suporte para conectores do serviço de transferência de dados do BigQuery para apps de Software as a Service (SaaS) do Google, provedores de armazenamento em nuvem externos e repositórios de dados. É sua responsabilidade não usar os conectores do serviço de transferência de dados do BigQuery para cargas de trabalho das regiões de Hong Kong.
Transferências de terceiros O BigQuery não verifica o suporte a transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML sem compliance Modelos do BQML treinados externamente não são aceitos.
Jobs de consulta Os jobs de consulta só podem ser criados em pastas do Assured Workloads.
Consultas em conjuntos de dados em outros projetos O BigQuery não impede que os conjuntos de dados do Assured Workloads sejam consultados em projetos que não são do Assured Workloads. Verifique se todas as consultas que têm uma leitura ou uma mesclagem nos dados do Assured Workloads são colocadas em uma pasta do Assured Workloads. É possível especificar um nome de tabela totalmente qualificado para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery.
Cloud Logging O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative seus buckets de registro _default ou restrinja os buckets _default a regiões no escopo para manter a conformidade usando o seguinte comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Consulte Regionalizar seus registros para mais informações.

Compute Engine

Recursos do Compute Engine afetados

Recurso Descrição
Ambiente para convidado Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para informações específicas sobre o conteúdo de cada pacote, o código-fonte e muito mais.

Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser mais controle, também é possível selecionar suas próprias imagens ou agentes e usar a restrição de política da organização compute.trustedImageProjects.

Consulte a página Como criar uma imagem personalizada para mais informações.

Restrições da política da organização do Compute Engine

Restrição da política da organização Descrição
compute.disableGlobalCloudArmorPolicy Definido como Verdadeiro.

Desativa a criação de novas políticas de segurança globais do Google Cloud Armor e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou alterar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. Todas as políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
compute.restrictNonConfidentialComputing

 (Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa detalhada adicional. Consulte a documentação sobre VMs confidenciais para mais informações.
compute.trustedImageProjects

 (Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa detalhada adicional.

A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Cloud Logging

Recursos do Cloud Logging afetados

Recurso Descrição
Coletores de registros Os filtros não podem conter dados de clientes.

Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo Os filtros não podem conter dados de clientes.

Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.

A seguir