I nomi di alcuni pacchetti di controlli di Assured Workloads sono cambiati. Per informazioni sul cambio di nome, vedi Controllare l'avviso di ridenominazione del pacchetto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Confine per i dati nell'UE con giustificazioni di accesso

Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando utilizzi il confine per i dati nell'UE con giustificazioni di accesso.

Panoramica

Il confine per i dati nell'UE con giustificazioni di accesso fornisce funzionalità di residenza e sovranità dei dati per i servizi Google Cloud supportati. Per fornire queste funzionalità, alcune funzionalità di questi servizi sono limitate. La maggior parte di queste modifiche viene applicata durante la procedura di onboarding quando crei una nuova cartella o un nuovo progetto in un ambiente EU Data Boundary con giustificazioni dell'accesso, ma alcune possono essere modificate in un secondo momento modificando le policy dell'organizzazione.

È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio o influiscono sulla sovranità dei dati o sulla residenza dei dati. Google Cloud Ad esempio, alcune funzionalità o capacità potrebbero essere disattivate automaticamente per verificare che la sovranità e la residenza dei dati vengano mantenute. Inoltre, se viene modificata un'impostazione dei criteri dell'organizzazione, potrebbe verificarsi la conseguenza indesiderata di copiare i dati da una regione all'altra.

Prodotti e servizi supportati

Consulta la pagina Prodotti supportati per un elenco di prodotti e servizi supportati dal confine dei dati dell'UE con le giustificazioni di accesso.

Criteri dell'organizzazione

Questa sezione descrive l'impatto di ciascun servizio sui valori predefiniti del vincolo dei criteri dell'organizzazione quando vengono create cartelle o progetti utilizzando il confine dei dati dell'UE con le giustificazioni dell'accesso. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse della tua Google Cloud organizzazione.

Vincoli dei criteri dell'organizzazione a livello di cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo dei criteri dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta `in:eu-locations` come elemento dell'elenco `allowedValues`. Questo valore limita la creazione di nuove risorse al solo gruppo di valori UE. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori dell'UE. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo di policy dell'organizzazione Località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non essere limitabili. La modifica di questo valore per renderlo meno restrittivo potrebbe compromettere la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un confine dei dati conforme, ad esempio sostituendo il gruppo di valori `in:eu-locations` con il gruppo di valori `in:europe-locations`, che include località di stati membri non UE.
`gcp.restrictNonCmekServices`	Impostato su un elenco di tutti i nomi dei servizi API inclusi nell'ambito, tra cui: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Consulta la sezione Funzionalità interessate di seguito. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK consente di criptare i dati at-rest con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi supportati dall'elenco potrebbe compromettere la sovranità dei dati, in quanto i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito.
`gcp.restrictCmekCryptoKeyProjects`	Gli utenti possono impostare questo valore per i progetti o le cartelle destinati all'utilizzo con il confine per i dati nell'UE con giustificazioni di accesso. Ad esempio: `under:folders/my-folder-name` Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce a cartelle o progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i dati inattivi dei servizi supportati.
`gcp.restrictServiceUsage`	Imposta l'opzione per consentire tutti i servizi supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per ulteriori informazioni, vedi Limitare l'utilizzo delle risorse per i workload.

Vincoli dei criteri dell'organizzazione Compute Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interne per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disabilita a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`.
`compute.disableGlobalCloudArmorPolicy`	Imposta su True. Disabilita la creazione di nuove policy di sicurezza di Google Cloud Armor globali e l'aggiunta o la modifica di regole alle policy di sicurezza di Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sui criteri di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per saperne di più, consulta la documentazione di Confidential VM.
`compute.trustedImageProjects`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Vincoli dei criteri dell'organizzazione Cloud Storage

Vincolo dei criteri dell'organizzazione Descrizione

storage.uniformBucketLevelAccess Imposta su True.

L'accesso ai nuovi bucket viene gestito utilizzando le policy IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti.

Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando le ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

Vincolo dei criteri dell'organizzazione	Descrizione
`storage.uniformBucketLevelAccess`	Imposta su True. L'accesso ai nuovi bucket viene gestito utilizzando le policy IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando le ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Utilizzato per disattivare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un workload. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato.

Vincoli dei criteri dell'organizzazione di Cloud Key Management Service

Vincolo dei criteri dell'organizzazione	Descrizione
`cloudkms.allowedProtectionLevels`	Imposta su `EXTERNAL`. Limita i tipi di CryptoKey Cloud Key Management Service che possono essere creati ed è impostata per consentire solo i tipi di chiavi esterne.

Funzionalità interessate

Questa sezione elenca l'impatto del confine per i dati nell'UE con giustificazioni di accesso sulle funzionalità o sulle capacità di ciascun servizio.

Funzionalità di BigQuery

Funzionalità	Descrizione
Abilitazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è terminato e per abilitare BigQuery, completa i seguenti passaggi: Nella console Google Cloud , vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella, nella sezione Servizi consentiti, fai clic su Esamina aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per il confine dei dati dell'UE con le giustificazioni dell'accesso. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono supportati. Sono supportati i modelli BQML addestrati internamente. Query pianificate e federate Mascheramento dinamico dei dati Esportazione di GDrive Funzioni remote Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, i notebook non sono supportati.
Integrazioni non supportate	Le seguenti integrazioni BigQuery non sono supportate. È tua responsabilità non utilizzarli con BigQuery per il confine dei dati dell'UE con le giustificazioni dell'accesso. I metodi API `CreateTag`, `SearchCatalog`, `Bulk tagging` e `Business Glossary` dell'API Data Catalog possono elaborare e archiviare dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questi metodi per il confine per i dati nell'UE con giustificazioni di accesso.
API BigQuery supportate	Sono supportate le seguenti API BigQuery: Set di dati Job Modelli Progetti Prenotazioni Routine Policy di accesso alle righe Storage Read Storage Write Tabelle Dati della tabella L'API Reservations non è abilitata per impostazione predefinita. Puoi abilitare l'API seguendo le istruzioni riportate in questa pagina.
Regioni	BigQuery è supportato per tutte le regioni BigQuery EU, ad eccezione della regione multiregionale dell'UE. La conformità non può essere garantita se un set di dati viene creato in una multiregione UE, in una regione non UE o in una multiregione non UE. È tua responsabilità specificare una regione conforme quando crei set di dati BigQuery. Se viene inviata una richiesta di elenco dei dati di una tabella utilizzando una regione UE, ma il set di dati è stato creato in un'altra regione UE, BigQuery non può dedurre la regione che intendevi e l'operazione non andrà a buon fine con un messaggio di errore "set di dati non trovato".
ConsoleGoogle Cloud	L'interfaccia utente di BigQuery nella console Google Cloud è supportata.
CLI BigQuery	L'interfaccia a riga di comando BigQuery è supportata.
Google Cloud SDK	Per mantenere le garanzie di regionalizzazione dei dati tecnici, devi utilizzare Google Cloud SDK versione 403.0.0 o successive. Per verificare la versione attuale di Google Cloud SDK, esegui `gcloud --version` e poi `gcloud components update` per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads.
Caricamento di dati	I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per i carichi di lavoro del perimetro dei dati dell'UE con le giustificazioni dell'accesso.
Trasferimenti di terze parti	BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono supportati.
Job di query	I job di query devono essere creati solo all'interno delle cartelle Confine per i dati nell'UE con giustificazioni di accesso.
Query sui set di dati in altri progetti	BigQuery non impedisce l'esecuzione di query sui set di dati del confine per i dati nell'UE con giustificazioni di accesso da progetti non appartenenti al confine per i dati nell'UE con giustificazioni di accesso. Assicurati che qualsiasi query che abbia una lettura o un join sui dati del confine per i dati nell'UE con giustificazioni di accesso venga inserita in una cartella del confine per i dati nell'UE con giustificazioni di accesso. Puoi specificare un nome di tabella completo per il risultato della query utilizzando `projectname.dataset.table` nell'interfaccia a riga di comando BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare i bucket di logging di `_Default` o limitare i bucket di `_Default` alle regioni dell'UE. Per scoprire come impostare la posizione per i nuovi bucket `_Default` o come disattivare le voci di routing per i nuovi bucket `_Default`, consulta Configura le impostazioni predefinite per organizzazioni e cartelle.

Funzionalità di Bigtable

Funzionalità Descrizione

Funzionalità non supportate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità e metodi API di Bigtable non sono supportati. È tua responsabilità non utilizzarli con Bigtable per il confine per i dati nell'UE con giustificazioni di accesso. Il metodo API `ListHotTablets` del processo RPC Admin API elabora e archivia i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per il confine per i dati nell'UE con giustificazioni di accesso. Il metodo API `hotTablets.list` dell'API Rest Admin elabora e archivia i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per il confine per i dati nell'UE con giustificazioni di accesso.
Confini della suddivisione	Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire i limiti di suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet. Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli di accesso amministrativo ai dati nel confine dei dati dell'UE con giustificazioni dell'accesso.

Le seguenti funzionalità e metodi API di Bigtable non sono supportati. È tua responsabilità non utilizzarli con Bigtable per il confine per i dati nell'UE con giustificazioni di accesso.

Il metodo API ListHotTablets del processo RPC Admin API elabora e archivia i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per il confine per i dati nell'UE con giustificazioni di accesso.
Il metodo API hotTablets.list dell'API Rest Admin elabora e archivia i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per il confine per i dati nell'UE con giustificazioni di accesso.

Confini della suddivisione Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire i limiti di suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet.

Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli di accesso amministrativo ai dati nel confine dei dati dell'UE con giustificazioni dell'accesso.

Funzionalità di Google Cloud Armor

Funzionalità	Descrizione
Criteri di sicurezza con ambito globale	Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione `compute.disableGlobalCloudArmorPolicy`.

Funzionalità di Spanner

Funzionalità	Descrizione
Confini della suddivisione	Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i limiti delle suddivisioni, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli di accesso amministrativo ai dati nel confine dei dati dell'UE con giustificazioni dell'accesso.

Funzionalità

Descrizione

Confini della suddivisione

Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i limiti delle suddivisioni, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole.

Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli di accesso amministrativo ai dati nel confine dei dati dell'UE con giustificazioni dell'accesso.

Funzionalità del Catalogo universale Dataplex

Funzionalità	Descrizione
Metadati di aspetti e glossari	Aspetti e glossari non sono supportati. Non puoi cercare o gestire aspetti e glossari, né importare metadati personalizzati.
Attribute Store	Questa funzionalità è deprecata e disattivata.
Data Catalog	Questa funzionalità è deprecata e disattivata. Non puoi cercare né gestire i tuoi metadati in Data Catalog.
Scansione della qualità dei dati e del profilo di dati	L'esportazione dei risultati della scansione della qualità dei dati non è supportata.
Discovery	Questa funzionalità è disattivata. Non puoi eseguire le scansioni di rilevamento per estrarre i metadati dai tuoi dati.
Lakes e zone	Questa funzionalità è disattivata. Non puoi gestire i lake, le zone e le attività.

Funzionalità di Dataproc

Funzionalità	Descrizione
ConsoleGoogle Cloud	Al momento Dataproc non supporta la console Google Cloud giurisdizionale. Per applicare la residenza dei dati, assicurati di utilizzare Google Cloud CLI o l'API quando utilizzi Dataproc.

Funzionalità di GKE

Funzionalità	Descrizione
Limitazioni delle risorse cluster	Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nel confine dei dati dell'UE con le giustificazioni dell'accesso. Ad esempio, la seguente configurazione non è valida perché richiede l'attivazione o l'utilizzo di un servizio non supportato: set `binaryAuthorization.evaluationMode` to `enabled`

Funzionalità di Cloud Logging

Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi descritti nella pagina Attivare CMEK per un'organizzazione della documentazione di Cloud Logging.

Funzionalità	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti.
Voci di log di monitoraggio in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. Il monitoraggio dei log non memorizza i dati voce di log, ma può eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti.
Avvisi basati sui log	Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud .
URL abbreviati per le query di Esplora log	Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud .
Salvataggio delle query in Esplora log	Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud .
Analisi dei log tramite BigQuery	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics.
Policy di avviso basate su SQL	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL.

Funzionalità di Cloud Monitoring

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controllo di uptime	Questa funzionalità è disattivata.
Widget del pannello dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello dei log a una dashboard.
Widget del riquadro di Error Reporting in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello di segnalazione errori a una dashboard.
Filtra in `EventAnnotation` per Dashboard	Questa funzionalità è disattivata. Il filtro di `EventAnnotation` non può essere impostato in una dashboard.
`SqlCondition` in `alertPolicies`	Questa funzionalità è disattivata. Non puoi aggiungere un `SqlCondition` a un `alertPolicy`.

Funzionalità di Cloud Run

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Funzionalità di Compute Engine

Funzionalità	Descrizione
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo dei criteri dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptati utilizzando CMEK. Consulta il vincolo dei criteri dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
Ambiente guest	È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo della policy dell'organizzazione `compute.trustedImageProjects`. Per saperne di più, consulta la pagina Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager	Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando le chiavi di crittografia gestite dal cliente (CMEK). Pertanto, non includere informazioni sensibili in questi file. In alternativa, valuta la possibilità di archiviare questi script e file di output nei bucket Cloud Storage. Per ulteriori informazioni, consulta Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse di policy del sistema operativo che utilizzano script in linea o file di output binari, attiva il vincolo di policy dell'organizzazione `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Per saperne di più, consulta Vincoli per OS Config.
`instances.getSerialPortOutput()`	Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo di policy dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in questa pagina.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo di policy dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in questa pagina.