Les noms de certains packages de contrôles Assured Workloads ont été modifiés. Pour en savoir plus sur ce changement de nom, consultez l'avis concernant le changement de nom du package Control.

Cette page a été traduite par l'API Cloud Translation.

Périmètre de données au Royaume d'Arabie saoudite (KSA) avec justifications d'accès

Cette page décrit les restrictions, les limites et les autres options de configuration lorsque vous utilisez le package de contrôles "Périmètre de données KSA avec justifications d'accès".

Présentation

Le package de contrôles "Périmètre de données pour le Royaume d'Arabie saoudite avec justifications d'accès" permet de contrôle des accès aux données et d'utiliser les fonctionnalités de résidence des données pour les produits Google Cloud compatibles. Certaines fonctionnalités de ces services sont restreintes ou limitées par Google pour être compatibles avec la limite de données de l'Arabie saoudite avec justifications d'accès. La plupart de ces restrictions et limites s'appliquent lorsque vous créez un dossier Assured Workloads pour le périmètre de données KSA avec des justifications d'accès. Toutefois, vous pourrez modifier certains d'entre eux ultérieurement en modifiant les règles de l'organisation. De plus, certaines restrictions et limitations nécessitent que l'utilisateur soit responsable de leur respect.

Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné, ou affectent l'accès aux données ou la résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir le respect des restrictions d'accès aux données et de la résidence des données. En outre, si un paramètre de règle d'administration est modifié, il peut en résulter la conséquence imprévue de copie de données d'une région à une autre.

Services compatibles

Sauf indication contraire, les utilisateurs peuvent accéder à tous les services compatibles via la console Google Cloud .

Les services suivants sont compatibles avec le périmètre de données en Arabie saoudite avec justifications d'accès :

Produit concerné	points de terminaison de l'API	Restrictions ou limites
Access Approval	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `accessapproval.googleapis.com`	Aucun
Access Context Manager	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `accesscontextmanager.googleapis.com`	Aucun
Artifact Registry	Points de terminaison régionaux de l'API : `artifactregistry.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `artifactregistry.googleapis.com`	Aucun
BigQuery	Points de terminaison régionaux de l'API : `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Aucun
Bigtable	Points de terminaison régionaux de l'API : `bigtable.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Aucun
Certificate Authority Service	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `privateca.googleapis.com`	Aucun
Cloud Build	Points de terminaison régionaux de l'API : `cloudbuild.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `cloudbuild.googleapis.com`	Aucun
Cloud DNS	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `dns.googleapis.com`	Aucun
Cloud HSM	Points de terminaison régionaux de l'API : `cloudkms.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `cloudkms.googleapis.com`	Aucun
Cloud Interconnect	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Fonctionnalités concernées
Cloud Key Management Service (Cloud KMS)	Points de terminaison régionaux de l'API : `cloudkms.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `cloudkms.googleapis.com`	Aucun
Cloud Load Balancing	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Aucun
Cloud Logging	Points de terminaison régionaux de l'API : `logging.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `logging.googleapis.com`	Aucun
Cloud Monitoring	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `monitoring.googleapis.com`	Fonctionnalités concernées
Cloud NAT	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Aucun
Cloud Router	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Aucun
Cloud Run	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `run.googleapis.com`	Fonctionnalités concernées
Cloud SQL	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `sqladmin.googleapis.com`	Aucun
Cloud Service Mesh	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com`	Aucun
Cloud Storage	Points de terminaison régionaux de l'API : `storage.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `storage.googleapis.com`	Fonctionnalités concernées
Cloud VPN	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Fonctionnalités concernées
Compute Engine	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Fonctionnalités concernées et contraintes liées aux règles d'administration
Connect	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Aucun
Dataflow	Points de terminaison régionaux de l'API : `dataflow.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `dataflow.googleapis.com` `datapipelines.googleapis.com`	Aucun
Dataproc	Points de terminaison régionaux de l'API : `dataproc.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Aucun
Contacts essentiels	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `essentialcontacts.googleapis.com`	Aucun
Filestore	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `file.googleapis.com`	Aucun
GKE Hub	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `gkehub.googleapis.com`	Aucun
Service d'identité GKE	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `anthosidentityservice.googleapis.com`	Aucun
Google Cloud Armor	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Fonctionnalités concernées
Google Cloud console	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `N/A`	Aucun
Google Kubernetes Engine	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `container.googleapis.com` `containersecurity.googleapis.com`	Contraintes liées aux règles d'administration
Identity and Access Management (IAM)	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `iam.googleapis.com`	Aucun
Identity-Aware Proxy (IAP)	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `iap.googleapis.com`	Aucun
Memorystore pour Redis	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `redis.googleapis.com`	Aucun
Network Connectivity Center	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `networkconnectivity.googleapis.com`	Aucun
Service de règles d'organisation	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `orgpolicy.googleapis.com`	Aucun
Persistent Disk	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Aucun
Pub/Sub	Points de terminaison régionaux de l'API : `pubsub.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `pubsub.googleapis.com`	Aucun
Resource Manager	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `cloudresourcemanager.googleapis.com`	Aucun
Paramètres de ressources	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `resourcesettings.googleapis.com`	Aucun
Secret Manager	Points de terminaison régionaux de l'API : `secretmanager.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `secretmanager.googleapis.com`	Aucun
Sensitive Data Protection	Points de terminaison régionaux de l'API : `dlp.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `dlp.googleapis.com`	Aucun
Annuaire des services	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `servicedirectory.googleapis.com`	Aucun
Spanner	Points de terminaison régionaux de l'API : `spanner.me-central2.rep.googleapis.com` Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `spanner.googleapis.com`	Aucun
VPC Service Controls	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `accesscontextmanager.googleapis.com`	Aucun
Cloud privé virtuel (VPC)	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API de localisation ne sont pas acceptés. Points de terminaison de l'API globale : `compute.googleapis.com`	Aucun

Règles d'administration

Cette section décrit l'impact des valeurs par défaut des contraintes de règles d'administration sur chaque service lorsque des dossiers ou des projets sont créés à l'aide de la limite de données KSA avec justifications d'accès. D'autres contraintes applicables, même si elles ne sont pas définies par défaut, peuvent fournir une"défense en profondeur" supplémentaire pour mieux protéger les ressources de votre organisation. Google Cloud

Contraintes liées aux règles d'administration à l'échelle du cloud

Les contraintes liées aux règles d'administration suivantes s'appliquent à tous les services Google Cloud concernés.

Contrainte liée aux règles d'administration Description

gcp.resourceLocations Définissez sur in:sa-locations comme élément de liste allowedValues.

Cette valeur limite la création de ressources au groupe de valeurs me-central2 uniquement. Lorsqu'elle est définie, aucune ressource ne peut être créée dans d'autres régions, emplacements multirégionaux ou emplacements en dehors de l'Arabie saoudite. Consultez la page Services compatibles avec les emplacements de ressources pour obtenir la liste des ressources qui peuvent être limitées par la contrainte de règle d'administration "Emplacements des ressources", car certaines ressources peuvent être hors champ et ne pas pouvoir être limitées.

Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme.

gcp.restrictServiceUsage Définissez cette option pour autoriser tous les services compatibles.

Détermine les services pouvant être utilisés en limitant l'accès à l'exécution à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources pour les charges de travail.

Contrainte liée aux règles d'administration	Description
`gcp.resourceLocations`	Définissez sur `in:sa-locations` comme élément de liste `allowedValues`. Cette valeur limite la création de ressources au groupe de valeurs `me-central2` uniquement. Lorsqu'elle est définie, aucune ressource ne peut être créée dans d'autres régions, emplacements multirégionaux ou emplacements en dehors de l'Arabie saoudite. Consultez la page Services compatibles avec les emplacements de ressources pour obtenir la liste des ressources qui peuvent être limitées par la contrainte de règle d'administration "Emplacements des ressources", car certaines ressources peuvent être hors champ et ne pas pouvoir être limitées. Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme.
`gcp.restrictServiceUsage`	Définissez cette option pour autoriser tous les services compatibles. Détermine les services pouvant être utilisés en limitant l'accès à l'exécution à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources pour les charges de travail.

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration	Description
`compute.disableGlobalCloudArmorPolicy`	Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles dans les stratégies de sécurité Google Cloud Armor globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la suppression ou la modification de la description et de la liste des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les règles de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur.
`compute.disableGlobalLoadBalancing`	Défini sur True. Désactive la création d'équilibreurs de charge mondiaux. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.
`compute.disableInstanceDataAccessApis`	Défini sur True. Désactive globalement les API `instances.getSerialPortOutput()` et `instances.getScreenshot()`. L'activation de cette règle d'administration vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit : Activez SSH pour les VM Windows. Exécutez la commande suivante pour modifier le mot de passe de la VM : gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Remplacez les éléments suivants : `VM_NAME` : nom de la VM pour laquelle vous définissez le mot de passe. `USERNAME` : nom d'utilisateur pour lequel vous définissez le mot de passe. `PASSWORD` : nouveau mot de passe.
`compute.enableComplianceMemoryProtection`	Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour fournir une protection supplémentaire du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.

Contraintes liées aux règles d'administration Google Kubernetes Engine

Contrainte liée aux règles d'administration	Description
`container.restrictNoncompliantDiagnosticDataAccess`	Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.

Fonctionnalités concernées

Cette section indique comment les fonctionnalités ou les capacités de chaque service sont affectées par la limite de données de l'Arabie saoudite avec les justifications d'accès, y compris les exigences des utilisateurs lorsqu'ils utilisent une fonctionnalité.

Fonctionnalités Bigtable

Fonctionnalité	Description
Data Boost	Cette fonctionnalité est désactivée.

Fonctionnalités de Compute Engine

Extraction	Description
ConsoleGoogle Cloud	Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud . Utilisez l'API ou Google Cloud CLI, le cas échéant : Vérifications d'état Groupes de points de terminaison du réseau SSH basé sur le navigateur est désactivé
Ajouter un groupe d'instances à un équilibreur de charge global	Vous ne pouvez pas ajouter de groupe d'instances à un équilibreur de charge global. Cette fonctionnalité est désactivée par la contrainte de règle d'administration `compute.disableGlobalLoadBalancing`.
`instances.getSerialPortOutput()`	Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration `compute.disableInstanceDataAccessApis` sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.
`instances.getScreenshot()`	Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration `compute.disableInstanceDataAccessApis` sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.

Fonctionnalités de Cloud Interconnect

Fonctionnalité	Description
VPN haute disponibilité	Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation listées dans cette section.

Fonctionnalités de Cloud Monitoring

Fonctionnalité	Description
Surveillance synthétique	Cette fonctionnalité est désactivée.
Test de disponibilité	Cette fonctionnalité est désactivée.
Widgets du panneau des journaux dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journaux à un tableau de bord.
Widgets du panneau "Rapports d'erreur" dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement d'erreurs à un tableau de bord.
Filtrer dans `EventAnnotation` pour les tableaux de bord	Cette fonctionnalité est désactivée. Le filtre de `EventAnnotation` ne peut pas être défini dans un tableau de bord.
`SqlCondition` dans `alertPolicies`	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de `SqlCondition` à un `alertPolicy`.

Fonctionnalités de Cloud Run

Fonctionnalité	Description
Fonctionnalités non compatibles	Les fonctionnalités Cloud Run suivantes ne sont pas acceptées : Intégration à Cloud Trace Déclencheurs Eventarc

Fonctionnalités de Cloud Storage

Fonctionnalité	Description
ConsoleGoogle Cloud	Il vous incombe d'utiliser la console Google Cloud pour la limite de données du Royaume d'Arabie saoudite avec les justifications d'accès. La console juridictionnelle empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison d'API conformes.
Points de terminaison d'API conformes	Il vous incombe d'utiliser l'un des points de terminaison localisés avec Cloud Storage. Pour en savoir plus, consultez Emplacements Cloud Storage.

Fonctionnalités de Google Cloud Armor

Fonctionnalité	Description
Règles de sécurité à portée globale	Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration `compute.disableGlobalCloudArmorPolicy`.

Fonctionnalités de Cloud VPN

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.

Notes de bas de page

1. BigQuery est compatible, mais n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Cette opération prend normalement dix minutes, mais peut durer beaucoup plus longtemps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit :

Dans la console Google Cloud , accédez à la page Assured Workloads.
Accéder à Assured Workloads
Sélectionnez votre nouveau dossier Assured Workloads dans la liste.
Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles.
Dans le volet Services autorisés, vérifiez les services à ajouter à la règle d'administration Restriction d'utilisation des ressources pour le dossier. Si des services BigQuery sont listés, cliquez sur Autoriser les services pour les ajouter.

Si les services BigQuery ne sont pas listés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud.

Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads.

Gemini dans BigQuery n'est pas compatible avec Assured Workloads.