Os nomes de alguns pacotes de controle do Assured Workloads mudaram. Para mais informações sobre a mudança de nome, consulte Aviso sobre a mudança de nome do pacote de controle.

Esta página foi traduzida pela API Cloud Translation.

Limite de dados do Reino Unido

Nesta página, descrevemos o conjunto de controles aplicados às workloads da fronteira de dados do Reino Unido no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos do Google Cloud compatíveis e os endpoints de API deles, além de restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais se aplicam à fronteira de dados do Reino Unido:

Residência de dados: o pacote de controle de fronteira de dados do Reino Unido define controles de localização de dados para oferecer suporte a regiões exclusivas do Reino Unido. Consulte a seção Restrições da política da organização em toda aGoogle Cloud para mais informações.
Suporte: os serviços de suporte técnico para cargas de trabalho da fronteira de dados do Reino Unido estão disponíveis com as assinaturas do Cloud Customer Care Standard, Enhanced ou Premium. Os casos de suporte para cargas de trabalho da fronteira de dados do Reino Unido são encaminhados para funcionários de suporte global.
Preços: o pacote de controle de fronteira de dados do Reino Unido está incluído no nível gratuito do Assured Workloads, que não gera custos adicionais. Consulte Preços do Assured Workloads para mais informações.

Produtos e endpoints de API compatíveis

Salvo indicação em contrário, os usuários podem acessar todos os produtos compatíveis pelo console Google Cloud . As restrições ou limitações que afetam os recursos de um produto compatível, incluindo aquelas que são aplicadas pelas configurações de restrição da política da organização, estão listadas na tabela a seguir.

Se um produto não estiver listado, ele não terá suporte e não atenderá aos requisitos de controle da fronteira de dados do Reino Unido. Não é recomendável usar produtos sem suporte sem diligência prévia e uma compreensão completa das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você conhece e aceita os riscos associados, como impactos negativos na residência ou soberania de dados.

Produto compatível	Endpoints de API	Restrições ou limitações
Aprovação de acesso	`accessapproval.googleapis.com`	Nenhum
Access Context Manager	`accesscontextmanager.googleapis.com`	Nenhum
Transparência no acesso	`accessapproval.googleapis.com`	Nenhum
AlloyDB para PostgreSQL	`alloydb.googleapis.com`	Nenhum
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	Nenhum
Artifact Registry	`artifactregistry.googleapis.com`	Nenhum
Backup para GKE	`gkebackup.googleapis.com`	Nenhum
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Recursos afetados
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Nenhum
Certificate Authority Service	`privateca.googleapis.com`	Nenhum
Cloud Build	`cloudbuild.googleapis.com`	Nenhum
Cloud Composer	`composer.googleapis.com`	Nenhum
Cloud DNS	`dns.googleapis.com`	Nenhum
Cloud Data Fusion	`datafusion.googleapis.com`	Nenhum
Gerenciador de chaves externas do Cloud (Cloud EKM)	`cloudkms.googleapis.com`	Nenhum
Funções do Cloud Run	`run.googleapis.com`	Nenhum
Cloud HSM	`cloudkms.googleapis.com`	Nenhum
Cloud Interconnect	`compute.googleapis.com`	Nenhum
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Nenhum
Cloud Load Balancing	`compute.googleapis.com`	Nenhum
Cloud Logging	`logging.googleapis.com`	Recursos afetados
Cloud Monitoring	`monitoring.googleapis.com`	Nenhum
Cloud NAT	`compute.googleapis.com`	Nenhum
API Cloud OS Login	`oslogin.googleapis.com`	Nenhum
Cloud Router	`compute.googleapis.com`	Nenhum
Cloud Run	`run.googleapis.com`	Recursos afetados
Cloud SQL	`sqladmin.googleapis.com`	Nenhum
Cloud SQL para PostgreSQL	`sqladmin.googleapis.com`	Nenhum
Cloud Storage	`storage.googleapis.com`	Nenhum
Cloud Tasks	`cloudtasks.googleapis.com`	Nenhum
Cloud VPN	`compute.googleapis.com`	Nenhum
API Cloud Vision	`vision.googleapis.com`	Nenhum
Cloud Workstations	`workstations.googleapis.com`	Nenhum
Compute Engine	`compute.googleapis.com`	Recursos afetados e restrições da política da organização
Config Sync	`anthosconfigmanagement.googleapis.com`	Nenhum
Connect	`gkeconnect.googleapis.com`	Nenhum
Proteção de Dados Sensíveis	`dlp.googleapis.com`	Nenhum
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Nenhum
Dataform	`dataform.googleapis.com`	Nenhum
Dataplex Universal Catalog	`dataplex.googleapis.com` `datalineage.googleapis.com`	Nenhum
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nenhum
Document AI	`documentai.googleapis.com`	Nenhum
Contatos essenciais	`essentialcontacts.googleapis.com`	Nenhum
Eventarc	`eventarc.googleapis.com`	Nenhum
Filestore	`file.googleapis.com`	Nenhum
Regras de segurança do Firebase	`firebaserules.googleapis.com`	Nenhum
Firestore	`firestore.googleapis.com`	Nenhum
Hub GKE	`gkehub.googleapis.com`	Nenhum
Serviço de identidade do GKE	`anthosidentityservice.googleapis.com`	Nenhum
IA generativa na Vertex AI	`aiplatform.googleapis.com`	Nenhum
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	Recursos afetados
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Nenhum
Google Security Operations SIEM	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	Nenhum
Google Security Operations SOAR	`Not applicable`	Nenhum
Gerenciamento de identidade e acesso (IAM)	`iam.googleapis.com`	Nenhum
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Nenhum
Infrastructure Manager	`config.googleapis.com`	Nenhum
Looker (Google Cloud Core)	`looker.googleapis.com`	Nenhum
Memorystore para Redis	`redis.googleapis.com`	Nenhum
Network Connectivity Center	`networkconnectivity.googleapis.com`	Nenhum
Organization Policy Service	`orgpolicy.googleapis.com`	Nenhum
Persistent Disk	`compute.googleapis.com`	Nenhum
Personalized Service Health	`servicehealth.googleapis.com`	Nenhum
Pub/Sub	`pubsub.googleapis.com`	Nenhum
Resource Manager	`cloudresourcemanager.googleapis.com`	Nenhum
Secure Source Manager	`securesourcemanager.googleapis.com`	Nenhum
Acesso VPC sem servidor	`vpcaccess.googleapis.com`	Nenhum
Speech-to-Text	`speech.googleapis.com`	Nenhum
Serviço de transferência do Cloud Storage	`storagetransfer.googleapis.com`	Nenhum
Cloud Service Mesh	`trafficdirector.googleapis.com`	Nenhum
VPC Service Controls	`accesscontextmanager.googleapis.com`	Nenhum
Vertex AI para Pesquisa	`discoveryengine.googleapis.com`	Nenhum
Nuvem privada virtual (VPC)	`compute.googleapis.com`	Nenhum

Restrições e limitações

As seções a seguir descrevem restrições ou limitações em todo o Google Cloudou específicas do produto para recursos, incluindo restrições da política da organização definidas por padrão nas pastas do limite de dados do Reino Unido. Outras restrições aplicáveis da política da organização, mesmo que não sejam definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Google Cloudde largura

Restrições da política da organização em toda aGoogle Cloud

As restrições da política da organização a seguir se aplicam a Google Cloud.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Defina os seguintes locais na lista `allowedValues`: `europe-west2` Esse valor restringe a criação de novos recursos aos valores selecionados. Quando definido, nenhum recurso pode ser criado em outras regiões, multirregiões ou locais fora da seleção. Consulte Serviços compatíveis com locais de recursos para ver uma lista de recursos que podem ser restringidos pela restrição da política da organização de locais de recursos, já que alguns recursos podem estar fora do escopo e não ser restritos. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade.
`gcp.restrictServiceUsage`	Definido para permitir todos os produtos e endpoints de API compatíveis. Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Como restringir o uso de recursos.
`gcp.restrictTLSVersion`	Definido para negar as seguintes versões do TLS: `TLS_1_0` `TLS_1_1` Consulte a página Restringir versões do TLS para mais informações.

BigQuery

Recursos afetados do BigQuery

Recurso	Descrição
Ativar o BigQuery em uma nova pasta	O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma pasta do Assured Workloads devido a um processo de configuração interna. Esse processo normalmente leva 10 minutos, mas pode demorar mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas: No console Google Cloud , acesse a página Assured Workloads. Acesse o Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis. No painel Serviços permitidos, revise os serviços que serão adicionados à política da organização Restrição de uso de recursos da pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los. Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care. Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta do Assured Workloads. O Gemini no BigQuery não é compatível com o Assured Workloads.
Recursos não suportados	Os seguintes recursos do BigQuery não são compatíveis e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para o Assured Workloads. Interação com fontes de dados remotas Modelos do BQML treinados externamente não são compatíveis. Modelos do BQML treinados internamente são aceitos. Mascaramento de dados dinâmico Exportação do GDrive Funções remotas Consultas salvas Programação do fluxo de trabalho No BigQuery Studio, os notebooks não são compatíveis. O Gemini no BigQuery não é compatível.
CLI do BigQuery	A CLI do BigQuery é compatível.
SDK do Google Cloud	Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados técnicos. Para verificar sua versão atual do SDK Google Cloud, execute `gcloud --version` e depois `gcloud components update` para atualizar para a versão mais recente.
Controles do administrador	O BigQuery desativa as APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta do Assured Workloads podem ativar uma API sem suporte. Se isso acontecer, você vai receber uma notificação de possível não conformidade no painel de monitoramento do Assured Workloads.
Carregando dados	Conectores do serviço de transferência de dados do BigQuery para apps do Google software como serviço (SaaS), provedores externos de armazenamento em nuvem e data warehouses não são compatíveis. É sua responsabilidade não usar conectores do serviço de transferência de dados do BigQuery para cargas de trabalho da fronteira de dados do Reino Unido.
Transferências de terceiros	O BigQuery não verifica a compatibilidade com transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML não compatíveis	Modelos do BQML treinados externamente não são compatíveis.
Jobs de consulta	Os jobs de consulta só podem ser criados em pastas do Assured Workloads.
Consultas em conjuntos de dados em outros projetos	O BigQuery não impede que os conjuntos de dados do Assured Workloads sejam consultados em projetos que não são do Assured Workloads. Verifique se qualquer consulta que tenha uma leitura ou uma junção de dados do Assured Workloads está em uma pasta do Assured Workloads. É possível especificar um nome de tabela totalmente qualificado para o resultado da consulta usando `projectname.dataset.table` na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative os buckets de registro do `_default` ou restrinja-os a regiões no escopo para manter a conformidade usando o seguinte comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` . Consulte Regionalizar seus registros para mais informações.`_default`

Compute Engine

Recursos afetados do Compute Engine

Recurso Descrição

Ambiente para convidado Os scripts, daemons e binários incluídos no ambiente de convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais.

Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser ter mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização compute.trustedImageProjects.

Para mais informações, consulte a página Como criar uma imagem personalizada.

Políticas do SO no VM Manager Os scripts inline e os arquivos de saída binários nos arquivos de política do SO não são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK). Por isso, não inclua informações sensíveis nesses arquivos. Como alternativa, armazene esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte Exemplos de políticas do SO.

Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição de política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Para mais informações, consulte Restrições da Configuração do SO.

Recurso	Descrição
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente de convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser ter mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização `compute.trustedImageProjects`. Para mais informações, consulte a página Como criar uma imagem personalizada.
Políticas do SO no VM Manager	Os scripts inline e os arquivos de saída binários nos arquivos de política do SO não são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK). Por isso, não inclua informações sensíveis nesses arquivos. Como alternativa, armazene esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte Exemplos de políticas do SO. Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição de política da organização `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para mais informações, consulte Restrições da Configuração do SO.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
`compute.disableGlobalCloudArmorPolicy`	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Consulte a documentação sobre VMs confidenciais para mais informações.
`compute.trustedImageProjects`	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Cloud Logging

Recursos afetados do Cloud Logging

Recurso	Descrição
Coletores de registros	Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo	Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados entrada de registro, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.

A seguir

Saiba como criar uma pasta do Assured Workloads
Entenda os preços do Assured Workloads