Cambiaron los nombres de algunos paquetes de controles de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta el Aviso sobre el cambio de nombre del paquete de control.

Se usó la API de Cloud Translation para traducir esta página.

Límite de datos del Reino de Arabia Saudita (KSA) con justificaciones de acceso

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando se usa el límite de datos de KSA con el paquete de controles de Justificaciones de acceso.

Descripción general

El paquete de controles del límite de datos de KSA con justificaciones de acceso habilita las funciones de control de acceso y residencia de datos para los productos Google Cloud compatibles. Google restringe o limita algunas de las funciones de estos servicios para que sean compatibles con el límite de datos de KSA con justificaciones de acceso. La mayoría de estas restricciones y limitaciones se aplican cuando se crea una carpeta nueva de Assured Workloads para el límite de datos de KSA con justificaciones de acceso. Sin embargo, algunas de ellas se pueden cambiar más adelante modificando las políticas de la organización. Además, algunas restricciones y limitaciones requieren que el usuario sea responsable de su cumplimiento.

Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio Google Cloud determinado o afectan el acceso a los datos o la residencia de datos. Por ejemplo, algunas funciones o capacidades pueden inhabilitarse de forma automática para garantizar que se mantengan las restricciones de acceso a los datos y la residencia de datos. Además, si se cambia la configuración de una política de la organización, podría tener la consecuencia no deseada de copiar datos de una región a otra.

Servicios compatibles

A menos que se indique lo contrario, los usuarios pueden acceder a todos los servicios admitidos a través de la consola de Google Cloud .

Los siguientes servicios son compatibles con el límite de datos de KSA con justificaciones de acceso:

Producto compatible	extremos de API	Restricciones o limitaciones
Aprobación de acceso	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `accessapproval.googleapis.com`	Ninguno
Access Context Manager	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `accesscontextmanager.googleapis.com`	Ninguno
Artifact Registry	Extremos de la API regionales: `artifactregistry.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `artifactregistry.googleapis.com`	Ninguno
BigQuery	Extremos de la API regionales: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Ninguno
Bigtable	Extremos de la API regionales: `bigtable.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Ninguno
Certificate Authority Service	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `privateca.googleapis.com`	Ninguno
Cloud Build	Extremos de la API regionales: `cloudbuild.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `cloudbuild.googleapis.com`	Ninguno
Cloud DNS	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `dns.googleapis.com`	Ninguno
Cloud HSM	Extremos de la API regionales: `cloudkms.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `cloudkms.googleapis.com`	Ninguno
Cloud Interconnect	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Funciones afectadas
Cloud Key Management Service (Cloud KMS)	Extremos de la API regionales: `cloudkms.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `cloudkms.googleapis.com`	Ninguno
Cloud Load Balancing	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno
Cloud Logging	Extremos de la API regionales: `logging.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `logging.googleapis.com`	Ninguno
Cloud Monitoring	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `monitoring.googleapis.com`	Funciones afectadas
Cloud NAT	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno
Cloud Router	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno
Cloud Run	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `run.googleapis.com`	Funciones afectadas
Cloud SQL	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `sqladmin.googleapis.com`	Ninguno
Cloud Service Mesh	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com`	Ninguno
Cloud Storage	Extremos de la API regionales: `storage.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `storage.googleapis.com`	Funciones afectadas
Cloud VPN	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Funciones afectadas
Compute Engine	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Funciones afectadas y restricciones de las políticas de la organización
Connect	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Ninguno
Dataflow	Extremos de la API regionales: `dataflow.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Ninguno
Dataproc	Extremos de la API regionales: `dataproc.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Ninguno
Contactos esenciales	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `essentialcontacts.googleapis.com`	Ninguno
Filestore	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `file.googleapis.com`	Ninguno
GKE Hub	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `gkehub.googleapis.com`	Ninguno
GKE Identity Service	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `anthosidentityservice.googleapis.com`	Ninguno
Google Cloud Armor	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Funciones afectadas
Google Cloud console	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `N/A`	Ninguno
Google Kubernetes Engine	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `container.googleapis.com` `containersecurity.googleapis.com`	Restricciones de las políticas de la organización
Administración de identidades y accesos (IAM)	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `iam.googleapis.com`	Ninguno
Identity-Aware Proxy (IAP)	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `iap.googleapis.com`	Ninguno
Memorystore para Redis	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `redis.googleapis.com`	Ninguno
Network Connectivity Center	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `networkconnectivity.googleapis.com`	Ninguno
Servicio de políticas de la organización	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `orgpolicy.googleapis.com`	Ninguno
Persistent Disk	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno
Pub/Sub	Extremos de la API regionales: `pubsub.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `pubsub.googleapis.com`	Ninguno
Resource Manager	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `cloudresourcemanager.googleapis.com`	Ninguno
Configuración de recursos	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `resourcesettings.googleapis.com`	Ninguno
Secret Manager	Extremos de la API regionales: `secretmanager.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `secretmanager.googleapis.com`	Ninguno
Sensitive Data Protection	Extremos de la API regionales: `dlp.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `dlp.googleapis.com`	Ninguno
Directorio de servicios	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `servicedirectory.googleapis.com`	Ninguno
Spanner	Extremos de la API regionales: `spanner.me-central2.rep.googleapis.com` No se admiten los extremos de API locales. Extremos de API globales: `spanner.googleapis.com`	Ninguno
Controles del servicio de VPC	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `accesscontextmanager.googleapis.com`	Ninguno
Nube privada virtual (VPC)	No se admiten los extremos de API regionales. No se admiten los extremos de API locales. Extremos de API globales: `compute.googleapis.com`	Ninguno

Políticas de la organización

En esta sección, se describe cómo los servicios se ven afectados por los valores de restricciones de la política predeterminada de la organización cuando se crean carpetas o proyectos con el límite de datos de KSA con justificaciones de acceso. Otras restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una “defensa en profundidad” adicional para proteger aún más los recursos de tu organización Google Cloud .

Restricciones de la política de la organización en toda la nube

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización Descripción

gcp.resourceLocations Se establece en in:sa-locations como el elemento de lista allowedValues.

Este valor restringe la creación de recursos nuevos solo al grupo de valores me-central2. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación fuera de Arabia Saudita. Consulta Servicios compatibles con las ubicaciones de recursos para obtener una lista de los recursos que se pueden restringir con la restricción de política de la organización Ubicaciones de recursos, ya que algunos recursos pueden estar fuera del alcance y no se pueden restringir.

Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con los requisitos.

gcp.restrictServiceUsage Se configura para permitir todos los servicios compatibles.

Determina qué servicios se pueden usar restringiendo el acceso en el tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringe el uso de recursos para las cargas de trabajo.

Restricción de las políticas de la organización	Descripción
`gcp.resourceLocations`	Se establece en `in:sa-locations` como el elemento de lista `allowedValues`. Este valor restringe la creación de recursos nuevos solo al grupo de valores `me-central2`. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación fuera de Arabia Saudita. Consulta Servicios compatibles con las ubicaciones de recursos para obtener una lista de los recursos que se pueden restringir con la restricción de política de la organización Ubicaciones de recursos, ya que algunos recursos pueden estar fuera del alcance y no se pueden restringir. Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con los requisitos.
`gcp.restrictServiceUsage`	Se configura para permitir todos los servicios compatibles. Determina qué servicios se pueden usar restringiendo el acceso en el tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringe el uso de recursos para las cargas de trabajo.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización	Descripción
`compute.disableGlobalCloudArmorPolicy`	Configurado como True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad de Google Cloud Armor globales existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes.
`compute.disableGlobalLoadBalancing`	Configurado como True. Inhabilita la creación de balanceadores de cargas globales. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.
`compute.disableInstanceDataAccessApis`	Configurado como True. Inhabilita de manera global las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`. Si habilitas esta política de la organización, no podrás generar credenciales en las VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: Habilita SSH para VM de Windows. Ejecuta el siguiente comando para cambiar la contraseña de la VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Reemplaza lo siguiente: `VM_NAME`: Es el nombre de la VM para la que configuras la contraseña. `USERNAME`: Es el nombre de usuario para el que estableces la contraseña. `PASSWORD`: Es la contraseña nueva.
`compute.enableComplianceMemoryProtection`	Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Configurado como True. Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Funciones afectadas

En esta sección, se indica cómo las funciones o capacidades de cada servicio se ven afectadas por el límite de datos de KSA con justificaciones de acceso, incluidos los requisitos del usuario cuando se usa una función.

Funciones de Bigtable

Función	Descripción
Data Boost	Se inhabilitó esta función.

Características de Compute Engine

Atributo	Descripción
Google Cloud console	Las siguientes funciones de Compute Engine no están disponibles en la consola de Google Cloud . Usa la API o Google Cloud CLI cuando estén disponibles: Verificaciones de estado Grupos de extremos de red SSH basado en el navegador está inhabilitado
Cómo agregar un grupo de instancias a un balanceador de cargas global	No puedes agregar un grupo de instancias a un balanceador de cargas global. Esta función está inhabilitada por la restricción de la política de la organización `compute.disableGlobalLoadBalancing`.
`instances.getSerialPortOutput()`	Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.
`instances.getScreenshot()`	Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.

Características de Cloud Interconnect

Función	Descripción
VPN con alta disponibilidad (HA)	Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en esta sección.

Funciones de Cloud Monitoring

Función	Descripción
Monitor sintético	Se inhabilitó esta función.
Verificación de tiempo de actividad	Se inhabilitó esta función.
Widgets del panel de registros en Paneles de control	Esta función está inhabilitada. No puedes agregar un panel de registros a un panel.
Widgets del panel de Error Reporting en Paneles	Esta función está inhabilitada. No puedes agregar un panel de informes de errores a un panel.
Filtro en `EventAnnotation` para Paneles	Esta función está inhabilitada. No se puede establecer el filtro de `EventAnnotation` en un panel.
`SqlCondition` en `alertPolicies`	Se inhabilitó esta función. No puedes agregar un `SqlCondition` a un `alertPolicy`.

Funciones de Cloud Run

Función	Descripción
Características no compatibles	Las siguientes funciones de Cloud Run no son compatibles: Integración de Cloud Trace Activadores de Eventarc

Características de Cloud Storage

Función	Descripción
Google Cloud console	Es tu responsabilidad usar la consola de Google Cloud Jurisdictional para el límite de datos de Arabia Saudita con justificaciones de acceso. La consola Jurisdictional impide la carga y descarga de objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la siguiente fila de extremos de API que cumplen con los requisitos.
Extremos de API que cumplen con los requisitos	Es tu responsabilidad usar uno de los extremos de ubicación con Cloud Storage. Consulta las ubicaciones de Cloud Storage para obtener más información.

Características de Google Cloud Armor

Función	Descripción
Políticas de seguridad con alcance global	Esta función está inhabilitada por la restricción de la política de la organización `compute.disableGlobalCloudArmorPolicy`.

Funciones de Cloud VPN

Función	Descripción
Google Cloud console	Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud . En su lugar, usa la API o Google Cloud CLI.

Pies de página

1. BigQuery es compatible, pero no se habilita automáticamente cuando creas una carpeta nueva de Assured Workloads debido a un proceso de configuración interno. Este proceso suele finalizar en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:

En la consola de Google Cloud , ve a la página Assured Workloads.
Ir a Assured Workloads
Selecciona tu nueva carpeta de Assured Workloads en la lista.
En la página Folder Details, en la sección Allowed services, haz clic en Review Available Updates.
En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización Restricción del uso de recursos de la carpeta. Si se enumeran los servicios de BigQuery, haz clic en Allow Services para agregarlos.

Si no se muestran los servicios de BigQuery, espera a que se complete el proceso interno. Si los servicios no aparecen en un plazo de 12 horas después de la creación de la carpeta, comunícate con Atención al cliente de Cloud.

Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta de Assured Workloads.

Assured Workloads no admite Gemini en BigQuery.