Limite de dados do Reino da Arábia Saudita (KSA) com justificativas de acesso

Nesta página, descrevemos as restrições, limitações e outras opções de configuração ao usar o pacote de controle de fronteira de dados da Arábia Saudita com justificativas de acesso.

Visão geral

O pacote de controle do perímetro de dados do Reino da Arábia Saudita com justificativas de acesso ativa o controle de acesso e os recursos de residência de dados para produtos Google Cloud compatíveis. Alguns recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com o limite de dados da KSA com justificativas de acesso. A maioria dessas restrições e limitações é aplicada ao criar uma pasta do Assured Workloads para o limite de dados da Arábia Saudita com justificativas de acesso. No entanto, algumas delas podem ser alteradas depois modificando as políticas da organização. Além disso, algumas restrições e limitações exigem que o usuário seja responsável pelo cumprimento.

É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam o acesso ou a residência de dados. Por exemplo, alguns recursos ou funcionalidades podem ser desativados automaticamente para garantir que as restrições de acesso e a residência de dados sejam mantidas. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.

Serviços compatíveis

A menos que indicado de outra forma, os usuários podem acessar todos os serviços compatíveis pelo console Google Cloud .

Os seguintes serviços são compatíveis com o limite de dados da Arábia Saudita com justificativas de acesso:

Produto compatível Endpoints de API Restrições ou limitações
Aprovação de acesso Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • accessapproval.googleapis.com
 Nenhum
Access Context Manager Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • accesscontextmanager.googleapis.com
 Nenhum
Artifact Registry Endpoints regionais da API:
  • artifactregistry.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • artifactregistry.googleapis.com
 Nenhum
BigQuery Endpoints regionais da API:
  • bigquery.me-central2.rep.googleapis.com
  • bigqueryconnection.me-central2.rep.googleapis.com
  • bigqueryreservation.me-central2.rep.googleapis.com
  • bigquerystorage.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • bigquery.googleapis.com
  • bigqueryconnection.googleapis.com
  • bigquerydatapolicy.googleapis.com
  • bigqueryreservation.googleapis.com
  • bigquerystorage.googleapis.com
 Nenhum
Bigtable Endpoints regionais da API:
  • bigtable.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • bigtable.googleapis.com
  • bigtableadmin.googleapis.com
 Nenhum
Certificate Authority Service Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • privateca.googleapis.com
 Nenhum
Cloud Build Endpoints regionais da API:
  • cloudbuild.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • cloudbuild.googleapis.com
 Nenhum
Cloud DNS Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • dns.googleapis.com
 Nenhum
Cloud HSM Endpoints regionais da API:
  • cloudkms.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • cloudkms.googleapis.com
 Nenhum
Cloud Interconnect Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Recursos afetados
Cloud Key Management Service (Cloud KMS) Endpoints regionais da API:
  • cloudkms.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • cloudkms.googleapis.com
 Nenhum
Cloud Load Balancing Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum
Cloud Logging Endpoints regionais da API:
  • logging.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • logging.googleapis.com
 Nenhum
Cloud Monitoring Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • monitoring.googleapis.com
 Recursos afetados
Cloud NAT Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum
Cloud Router Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum
Cloud Run Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • run.googleapis.com
 Recursos afetados
Cloud SQL Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • sqladmin.googleapis.com
 Nenhum
Cloud Service Mesh Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • mesh.googleapis.com
  • meshconfig.googleapis.com
  • trafficdirector.googleapis.com
  • networkservices.google.com
 Nenhum
Cloud Storage Endpoints regionais da API:
  • storage.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • storage.googleapis.com
 Recursos afetados
Cloud VPN Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Recursos afetados
Compute Engine Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Recursos afetados e restrições da política da organização
Connect Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • gkeconnect.googleapis.com
  • connectgateway.googleapis.com
 Nenhum
Dataflow Endpoints regionais da API:
  • dataflow.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
 Nenhum
Dataproc Endpoints regionais da API:
  • dataproc.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
 Nenhum
Contatos essenciais Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • essentialcontacts.googleapis.com
 Nenhum
Filestore Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • file.googleapis.com
 Nenhum
Hub GKE Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • gkehub.googleapis.com
 Nenhum
Serviço de identidade do GKE Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • anthosidentityservice.googleapis.com
 Nenhum
Google Cloud Armor Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Recursos afetados
Google Cloud console Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • N/A
 Nenhum
Google Kubernetes Engine Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Restrições da política da organização
Gerenciamento de identidade e acesso (IAM) Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • iam.googleapis.com
 Nenhum
Identity-Aware Proxy (IAP) Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • iap.googleapis.com
 Nenhum
Memorystore para Redis Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • redis.googleapis.com
 Nenhum
Network Connectivity Center Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • networkconnectivity.googleapis.com
 Nenhum
Organization Policy Service Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • orgpolicy.googleapis.com
 Nenhum
Persistent Disk Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum
Pub/Sub Endpoints regionais da API:
  • pubsub.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • pubsub.googleapis.com
 Nenhum
Resource Manager Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • cloudresourcemanager.googleapis.com
 Nenhum
Configurações de recursos Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • resourcesettings.googleapis.com
 Nenhum
Secret Manager Endpoints regionais da API:
  • secretmanager.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • secretmanager.googleapis.com
 Nenhum
Proteção de Dados Sensíveis Endpoints regionais da API:
  • dlp.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • dlp.googleapis.com
 Nenhum
Diretório de serviços Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • servicedirectory.googleapis.com
 Nenhum
Spanner Endpoints regionais da API:
  • spanner.me-central2.rep.googleapis.com

Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • spanner.googleapis.com
 Nenhum
VPC Service Controls Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • accesscontextmanager.googleapis.com
 Nenhum
Nuvem privada virtual (VPC) Não há suporte para endpoints regionais da API.
Os endpoints de API locais não são compatíveis.

Endpoints globais da API:
  • compute.googleapis.com
 Nenhum

Políticas da organização

Nesta seção, descrevemos como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando o limite de dados da KSA com justificativas de acesso. Outras restrições aplicáveis, mesmo que não sejam definidas por padrão, podem fornecer "defesa em profundidade" adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer Google Cloud serviço aplicável.

Restrição da política da organização Descrição
gcp.resourceLocations Defina como in:sa-locations como o item da lista allowedValues.

Esse valor restringe a criação de novos recursos somente ao grupo de valores me-central2. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da Arábia Saudita. Consulte Serviços compatíveis com locais de recursos para ver uma lista de recursos que podem ser restringidos pela restrição de política da organização "Locais de recursos", já que alguns recursos podem estar fora do escopo e não ser restritos.

Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade.
gcp.restrictServiceUsage Definido para permitir todos os serviços compatíveis.

Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.

Restrições da política da organização do Compute Engine

Restrição da política da organização Descrição
compute.disableGlobalCloudArmorPolicy Definido como Verdadeiro.

Desativa a criação de novas políticas de segurança globais do Google Cloud Armor e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
compute.disableGlobalLoadBalancing Definido como Verdadeiro.

Desativa a criação de balanceadores de carga globais.

Alterar esse valor pode afetar a residência de dados na carga de trabalho. Recomendamos manter o valor definido.
compute.disableInstanceDataAccessApis Definido como Verdadeiro.

Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot().

Ativar essa política da organização impede que você gere credenciais em VMs do Windows Server.

Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte:
  1. Ative o SSH para VMs do Windows.
  2. Execute o comando a seguir para mudar a senha da VM: 
    gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
     Substitua:
    • VM_NAME: o nome da VM para a qual você está definindo a senha.
    • USERNAME: o nome de usuário da pessoa para quem você está definindo a senha.
    • PASSWORD: a nova senha.
compute.enableComplianceMemoryProtection Definido como Verdadeiro.

Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura.

Alterar esse valor pode afetar a residência de dados na carga de trabalho. Recomendamos manter o valor definido.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização Descrição
container.restrictNoncompliantDiagnosticDataAccess Definido como Verdadeiro.

Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho.

Alterar esse valor pode afetar a soberania de dados na carga de trabalho. Recomendamos manter o valor definido.

Recursos afetados

Nesta seção, listamos como os recursos ou funcionalidades de cada serviço são afetados pelo limite de dados da Arábia Saudita com justificativas de acesso, incluindo requisitos do usuário ao usar um recurso.

Recursos do Bigtable

Recurso Descrição
Data Boost Este recurso está desativado.

Recursos do Compute Engine

Seleção de Descrição
Google Cloud console Os seguintes recursos do Compute Engine não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI, quando disponível:

  1. Verificações de integridade
  2. Grupos de endpoints de rede
  3. O SSH baseado no navegador está desativado
Como adicionar um grupo de instâncias a um balanceador de carga global Não é possível adicionar um grupo de instâncias a um balanceador de carga global.

Esse recurso foi desativado pela restrição da política da organização compute.disableGlobalLoadBalancing.
instances.getSerialPortOutput() Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API.

Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False e ative a API. Também é possível ativar e usar a porta serial interativa.
instances.getScreenshot() Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API.

Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False e ative a API. Também é possível ativar e usar a porta serial interativa.

Recursos do Cloud Interconnect

Recurso Descrição
VPN de alta disponibilidade (HA) É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, você precisa obedecer aos requisitos de criptografia e regionalização listados nesta seção.

Recursos do Cloud Monitoring

Recurso Descrição
Monitor sintético Este recurso está desativado.
Verificação de tempo de atividade Este recurso está desativado.
Widgets do painel de registros em Painéis Esse recurso está desativado.

Não é possível adicionar um painel de registros a um painel.
Widgets do painel de relatórios de erros em Painéis Esse recurso está desativado.

Não é possível adicionar um painel de relatório de erros a um painel.
Filtrar em EventAnnotation para Painéis Esse recurso está desativado.

O filtro de EventAnnotation não pode ser definido em um painel.
SqlCondition em alertPolicies Esse recurso está desativado.

Não é possível adicionar um SqlCondition a um alertPolicy.

Recursos do Cloud Run

Recurso Descrição
Recursos não suportados Os seguintes recursos do Cloud Run não são compatíveis:

Recursos do Cloud Storage

Recurso Descrição
Google Cloud console É sua responsabilidade usar o console Google Cloud jurisdicional para o limite de dados do Reino da Arábia Saudita com justificativas de acesso. O console Jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints de API em conformidade.
Endpoints de API em conformidade É sua responsabilidade usar um dos endpoints regionais com o Cloud Storage. Consulte Locais do Cloud Storage para mais informações.

Recursos do Google Cloud Armor

Recurso Descrição
Políticas de segurança com escopo global Esse recurso foi desativado pela restrição de política da organização compute.disableGlobalCloudArmorPolicy.

Recursos do Cloud VPN

Recurso Descrição
Google Cloud console Os recursos da Cloud VPN não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.

Notas de rodapé

1. O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma pasta do Assured Workloads devido a um processo de configuração interna. Esse processo normalmente leva 10 minutos, mas pode demorar mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:

  1. No console Google Cloud , acesse a página Assured Workloads.

    Acesse o Assured Workloads

  2. Selecione a nova pasta do Assured Workloads na lista.
  3. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis.
  4. No painel Serviços permitidos, revise os serviços que serão adicionados à política da organização Restrição de uso de recursos da pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los.

    Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care.

Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta do Assured Workloads.

O Gemini no BigQuery não é compatível com o Assured Workloads.