Confine per i dati nel Regno dell'Arabia Saudita (KSA) con giustificazioni di accesso

Questa pagina descrive le restrizioni, le limitazioni e le altre opzioni di configurazione quando si utilizza il pacchetto di controlli del perimetro dei dati dell'Arabia Saudita con Key Access Justifications.

Panoramica

Il pacchetto di controlli del confine dei dati dell'Arabia Saudita con le giustificazioni dell'accesso consente il controllo dell'accesso ai dati e le funzionalità di residenza dei dati per i prodotti Google Cloud supportati. Alcune funzionalità di questi servizi sono limitate da Google per essere compatibili con il confine dei dati dell'Arabia Saudita con giustificazioni dell'accesso. La maggior parte di queste restrizioni e limitazioni viene applicata durante la creazione di una nuova cartella Assured Workloads per il limite dei dati del Regno dell'Arabia Saudita con le giustificazioni dell'accesso. Tuttavia, alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione. Inoltre, alcune restrizioni e limitazioni richiedono la responsabilità dell'utente per il rispetto.

È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio o influiscono sull'accesso ai dati o sulla residenza dei dati. Google Cloud Ad esempio, alcune funzionalità o capacità potrebbero essere disattivate automaticamente per garantire il mantenimento delle limitazioni di accesso ai dati e della residenza dei dati. Inoltre, se viene modificata un'impostazione dei criteri dell'organizzazione, potrebbe verificarsi la conseguenza indesiderata di copiare i dati da una regione all'altra.

Servizi supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i servizi supportati tramite la console Google Cloud .

I seguenti servizi sono compatibili con il confine per i dati nel Regno dell'Arabia Saudita con giustificazioni di accesso:

Prodotto supportato	Endpoint API	Restrizioni o limitazioni
Approvazione accesso	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `accessapproval.googleapis.com`	Nessuno
Gestore contesto accesso	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `accesscontextmanager.googleapis.com`	Nessuno
Artifact Registry	Endpoint API regionali: `artifactregistry.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `artifactregistry.googleapis.com`	Nessuno
BigQuery	Endpoint API regionali: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Nessuno
Bigtable	Endpoint API regionali: `bigtable.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Nessuno
Certificate Authority Service	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `privateca.googleapis.com`	Nessuno
Cloud Build	Endpoint API regionali: `cloudbuild.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `cloudbuild.googleapis.com`	Nessuno
Cloud DNS	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `dns.googleapis.com`	Nessuno
Cloud HSM	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `cloudkms.googleapis.com`	Nessuno
Cloud Interconnect	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Cloud Key Management Service (Cloud KMS)	Endpoint API regionali: `cloudkms.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `cloudkms.googleapis.com`	Nessuno
Cloud Load Balancing	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Logging	Endpoint API regionali: `logging.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `logging.googleapis.com`	Nessuno
Cloud Monitoring	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `monitoring.googleapis.com`	Funzionalità interessate
Cloud NAT	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Router	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Cloud Run	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `run.googleapis.com`	Funzionalità interessate
Cloud SQL	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `sqladmin.googleapis.com`	Nessuno
Cloud Service Mesh	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com`	Nessuno
Cloud Storage	Endpoint API regionali: `storage.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `storage.googleapis.com`	Funzionalità interessate
Cloud VPN	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Compute Engine	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Connect	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Nessuno
Dataflow	Endpoint API regionali: `dataflow.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Nessuno
Dataproc	Endpoint API regionali: `dataproc.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nessuno
Contatti fondamentali	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `essentialcontacts.googleapis.com`	Nessuno
Filestore	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `file.googleapis.com`	Nessuno
GKE Hub	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `gkehub.googleapis.com`	Nessuno
Servizio di identità GKE	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `anthosidentityservice.googleapis.com`	Nessuno
Google Cloud Armor	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Funzionalità interessate
Google Cloud console	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `N/A`	Nessuno
Google Kubernetes Engine	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `container.googleapis.com` `containersecurity.googleapis.com`	Vincoli dei criteri dell'organizzazione
Identity and Access Management (IAM)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `iam.googleapis.com`	Nessuno
Identity-Aware Proxy (IAP)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `iap.googleapis.com`	Nessuno
Memorystore for Redis	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `redis.googleapis.com`	Nessuno
Network Connectivity Center	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `networkconnectivity.googleapis.com`	Nessuno
Servizio Criteri dell'organizzazione	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `orgpolicy.googleapis.com`	Nessuno
Persistent Disk	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno
Pub/Sub	Endpoint API regionali: `pubsub.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `pubsub.googleapis.com`	Nessuno
Resource Manager	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `cloudresourcemanager.googleapis.com`	Nessuno
Impostazioni delle risorse	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `resourcesettings.googleapis.com`	Nessuno
Secret Manager	Endpoint API regionali: `secretmanager.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `secretmanager.googleapis.com`	Nessuno
Sensitive Data Protection	Endpoint API regionali: `dlp.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `dlp.googleapis.com`	Nessuno
Service Directory	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `servicedirectory.googleapis.com`	Nessuno
Spanner	Endpoint API regionali: `spanner.me-central2.rep.googleapis.com` Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `spanner.googleapis.com`	Nessuno
Controlli di servizio VPC	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `accesscontextmanager.googleapis.com`	Nessuno
Virtual Private Cloud (VPC)	Gli endpoint API regionali non sono supportati. Gli endpoint API basati sulla posizione non sono supportati. Endpoint API globali: `compute.googleapis.com`	Nessuno

Criteri dell'organizzazione

Questa sezione descrive l'impatto di ciascun servizio sui valori predefiniti del vincolo dei criteri dell'organizzazione quando vengono create cartelle o progetti utilizzando il perimetro dei dati del KSA con giustificazioni dell'accesso. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire un'ulteriore"difesa in profondità" per proteggere ulteriormente le risorse della tua organizzazione. Google Cloud

Vincoli dei criteri dell'organizzazione a livello di cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo delle policy dell'organizzazione Descrizione

gcp.resourceLocations Imposta in:sa-locations come elemento dell'elenco allowedValues.

Questo valore limita la creazione di nuove risorse solo al gruppo di valori me-central2. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori dell'Arabia Saudita. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non essere limitabili.

La modifica di questo valore rendendolo meno restrittivo potrebbe compromettere la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un confine dei dati conforme.

gcp.restrictServiceUsage Impostalo in modo da consentire tutti i servizi supportati.

Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.

Vincolo delle policy dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta `in:sa-locations` come elemento dell'elenco `allowedValues`. Questo valore limita la creazione di nuove risorse solo al gruppo di valori `me-central2`. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori dell'Arabia Saudita. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non essere limitabili. La modifica di questo valore rendendolo meno restrittivo potrebbe compromettere la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un confine dei dati conforme.
`gcp.restrictServiceUsage`	Impostalo in modo da consentire tutti i servizi supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
`compute.disableGlobalCloudArmorPolicy`	Imposta su True. Disabilita la creazione di nuove policy di sicurezza di Google Cloud Armor globali e l'aggiunta o la modifica di regole alle policy di sicurezza di Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sui criteri di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
`compute.disableGlobalLoadBalancing`	Imposta su True. Disabilita la creazione di bilanciatori del carico globali. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo workload. Ti consigliamo di mantenere il valore impostato.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disabilita a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`. L'abilitazione di questo criterio dell'organizzazione impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo: Attiva SSH per le VM Windows. Esegui questo comando per modificare la password della VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sostituisci quanto segue: `VM_NAME`: il nome della VM per cui stai impostando la password. `USERNAME`: il nome utente dell'utente per cui stai impostando la password. `PASSWORD`: la nuova password.
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interne per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo workload. Ti consigliamo di mantenere il valore impostato.

Vincoli dei criteri dell'organizzazione Google Kubernetes Engine

Vincolo delle policy dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Utilizzato per disattivare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un workload. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo di mantenere il valore impostato.

Funzionalità interessate

Questa sezione elenca in che modo le funzionalità o le capacità di ciascun servizio sono interessate dal confine dei dati dell'Arabia Saudita con le giustificazioni di accesso, inclusi i requisiti degli utenti quando utilizzano una funzionalità.

Funzionalità di Bigtable

Funzionalità	Descrizione
Data Boost	Questa funzionalità è disattivata.

Funzionalità di Compute Engine

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI, se disponibili: Controlli di integrità Gruppi di endpoint di rete SSH basato su browser è disattivato
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalLoadBalancing`.
`instances.getSerialPortOutput()`	Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo di policy dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo di policy dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva.

Funzionalità di Cloud Interconnect

Funzionalità	Descrizione
VPN ad alta disponibilità	Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati in questa sezione.

Funzionalità di Cloud Monitoring

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controllo di uptime	Questa funzionalità è disattivata.
Widget del pannello dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello dei log a una dashboard.
Widget del riquadro di segnalazione degli errori in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello di segnalazione errori a una dashboard.
Filtra in `EventAnnotation` per Dashboard	Questa funzionalità è disattivata. Il filtro di `EventAnnotation` non può essere impostato in una dashboard.
`SqlCondition` in `alertPolicies`	Questa funzionalità è disattivata. Non puoi aggiungere un `SqlCondition` a un `alertPolicy`.

Funzionalità di Cloud Run

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Trigger Eventarc

Funzionalità di Cloud Storage

Funzionalità	Descrizione
ConsoleGoogle Cloud	È tua responsabilità utilizzare la console Google Cloud per le giurisdizioni per il confine dei dati dell'Arabia Saudita con le giustificazioni dell'accesso. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi	È tua responsabilità utilizzare uno degli endpoint regionali con Cloud Storage. Per saperne di più, consulta Località di Cloud Storage.

Funzionalità di Google Cloud Armor

Funzionalità	Descrizione
Criteri di sicurezza con ambito globale	Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalCloudArmorPolicy`.

Funzionalità di Cloud VPN

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.

Note a piè di pagina

1. BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è terminato e per abilitare BigQuery, completa i seguenti passaggi:

Nella console Google Cloud , vai alla pagina Assured Workloads.
Vai ad Assured Workloads
Seleziona la nuova cartella Assured Workloads dall'elenco.
Nella pagina Dettagli cartella, nella sezione Servizi consentiti, fai clic su Esamina aggiornamenti disponibili.
Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli.

Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud.

Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads.

Gemini in BigQuery non è supportato da Assured Workloads.