Os nomes de alguns pacotes de controle do Assured Workloads mudaram. Para mais informações sobre a mudança de nome, consulte Aviso sobre a mudança de nome do pacote de controle.

Esta página foi traduzida pela API Cloud Translation.

Limite de dados da UE com justificativas de acesso

Esta página descreve as restrições, limitações e outras opções de configuração ao usar o limite de dados da UE com justificativas de acesso.

Visão geral

O limite de dados da UE com justificativas de acesso oferece recursos de residência e soberania de dados para serviços Google Cloud compatíveis. Para fornecer esses recursos, alguns deles são restritos ou limitados. A maioria dessas mudanças é aplicada durante o processo de integração ao criar uma nova pasta ou projeto em um ambiente de fronteira de dados da UE com justificativas de acesso. No entanto, algumas delas podem ser alteradas depois modificando as políticas da organização.

É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam a soberania de dados ou a residência de dados. Por exemplo, alguns recursos podem ser desativados automaticamente para verificar se a soberania e a residência de dados são mantidas. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.

Produtos e serviços compatíveis

Consulte a página Produtos compatíveis para conferir uma lista de produtos e serviços compatíveis com a fronteira de dados da UE com justificativas de acesso.

Políticas da organização

Nesta seção, descrevemos como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando o limite de dados da UE com justificativas de acesso. Outras restrições aplicáveis, mesmo que não sejam definidas por padrão, podem fornecer "defesa em profundidade" adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer Google Cloud serviço aplicável.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Defina como `in:eu-locations` como o item da lista `allowedValues`. Esse valor restringe a criação de novos recursos somente ao grupo de valores da UE. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da UE. Consulte Serviços compatíveis com locais de recursos para ver uma lista de recursos que podem ser restringidos pela restrição de política da organização de locais de recursos. Alguns recursos podem estar fora do escopo e não ser restritos. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade. Por exemplo, substituir o grupo de valores `in:eu-locations` pelo `in:europe-locations`, que inclui locais de estado não membros da UE.
`gcp.restrictNonCmekServices`	Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Alguns recursos podem ser afetados para cada um dos serviços listados acima. Consulte a seção "Recursos afetados" abaixo. Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços compatíveis da lista pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
`gcp.restrictCmekCryptoKeyProjects`	Os usuários podem definir esse valor para projetos ou pastas usados com o limite de dados da UE com justificativas de acesso. Por exemplo: `under:folders/my-folder-name` Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves KMS para criptografia de dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços compatíveis.
`gcp.restrictServiceUsage`	Definido para permitir todos os serviços compatíveis. Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
`compute.enableComplianceMemoryProtection`	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar sua residência ou soberania de dados.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`.
`compute.disableGlobalCloudArmorPolicy`	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança globais do Google Cloud Armor e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina esse valor para fornecer mais defesa em profundidade. Consulte a documentação sobre VMs confidenciais para mais informações.
`compute.trustedImageProjects`	(Opcional) O valor não está definido. Defina esse valor para fornecer mais defesa em profundidade. A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Restrições da política da organização do Cloud Storage

Restrição da política da organização Descrição

storage.uniformBucketLevelAccess Definido como Verdadeiro.

O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles.

Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.

Restrição da política da organização	Descrição
`storage.uniformBucketLevelAccess`	Definido como Verdadeiro. O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles. Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
`container.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É altamente recomendável manter o valor definido.

Restrições da política da organização do Cloud Key Management Service

Restrição da política da organização	Descrição
`cloudkms.allowedProtectionLevels`	Defina como `EXTERNAL`. Restringe os tipos de CryptoKey do Cloud Key Management Service que podem ser criados e é definido para permitir apenas tipos de chave externos.

Recursos afetados

Nesta seção, listamos como os recursos ou funcionalidades de cada serviço são afetados pelo limite de dados da UE com justificativas de acesso.

Recursos do BigQuery

Recurso	Descrição
Ativar o BigQuery em uma nova pasta	O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma pasta do Assured Workloads devido a um processo de configuração interna. Esse processo normalmente leva 10 minutos, mas pode demorar mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas: No console Google Cloud , acesse a página Assured Workloads. Acesse o Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis. No painel Serviços permitidos, revise os serviços que serão adicionados à política da organização Restrição de uso de recursos da pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los. Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care. Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta do Assured Workloads. O Gemini no BigQuery não é compatível com o Assured Workloads.
Recursos não suportados	Os seguintes recursos do BigQuery não são compatíveis e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usar esses dados no BigQuery para a fronteira de dados da UE com justificativas de acesso. Interação com fontes de dados remotas Modelos do BQML treinados externamente não são compatíveis. Modelos do BQML treinados internamente são aceitos. Consultas programadas e federadas Mascaramento de dados dinâmico Exportação do GDrive Funções remotas Consultas salvas Programação do fluxo de trabalho No BigQuery Studio, os notebooks não são compatíveis.
Integrações sem suporte	As seguintes integrações do BigQuery não são compatíveis: É sua responsabilidade não usar esses dados com o BigQuery para o limite de dados da UE com justificativas de acesso. Os métodos `CreateTag`, `SearchCatalog`, `Bulk tagging` e `Business Glossary` da API Data Catalog podem processar e armazenar dados técnicos de uma forma não compatível. É sua responsabilidade não usar esses métodos para o limite de dados da UE com justificativas de acesso.
APIs BigQuery compatíveis	As seguintes APIs do BigQuery são compatíveis: Conjuntos de dados Jobs Modelos Projetos Reservas Rotinas Políticas de acesso de linha Leitura de armazenamento Gravação de armazenamento Tabelas Dados da tabela A API Reservations não é ativada por padrão. É possível ativar a API seguindo as instruções nesta página.
Regiões	O BigQuery é compatível com todas as regiões da UE do BigQuery, exceto a multirregião da UE. Não é possível garantir a conformidade se um conjunto de dados for criado em uma multirregião da UE, uma região fora da UE ou uma multirregião fora da UE. É sua responsabilidade especificar uma região em conformidade ao criar conjuntos de dados do BigQuery. Se uma solicitação de lista de dados de tabela for enviada usando uma região da UE, mas o conjunto de dados tiver sido criado em outra região da UE, o BigQuery não poderá inferir qual região você pretendia usar, e a operação vai falhar com uma mensagem de erro "conjunto de dados não encontrado".
Console doGoogle Cloud	A interface do usuário do BigQuery no console do Google Cloud é compatível.
CLI do BigQuery	A CLI do BigQuery é compatível.
SDK do Google Cloud	Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados técnicos. Para verificar sua versão atual do SDK Google Cloud, execute `gcloud --version` e depois `gcloud components update` para atualizar para a versão mais recente.
Controles do administrador	O BigQuery desativa as APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta do Assured Workloads podem ativar uma API sem suporte. Se isso acontecer, você vai receber uma notificação de possível não conformidade no painel de monitoramento do Assured Workloads.
Carregando dados	Os conectores do serviço de transferência de dados do BigQuery para apps do Google software como serviço (SaaS), provedores externos de armazenamento em nuvem e data warehouses não são compatíveis. É sua responsabilidade não usar conectores do serviço de transferência de dados do BigQuery para workloads da fronteira de dados da UE com justificativas de acesso.
Transferências de terceiros	O BigQuery não verifica a compatibilidade com transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML não compatíveis	Modelos do BQML treinados externamente não são compatíveis.
Jobs de consulta	Os jobs de consulta só podem ser criados em pastas do limite de dados da UE com justificativas de acesso.
Consultas em conjuntos de dados de outros projetos	O BigQuery não impede que os conjuntos de dados do limite de dados da UE com justificativas de acesso sejam consultados em projetos que não sejam do limite de dados da UE com justificativas de acesso. Verifique se todas as consultas que têm uma leitura ou uma junção em dados do limite de dados da UE com justificativas de acesso estão em uma pasta do limite de dados da UE com justificativas de acesso. É possível especificar um nome de tabela totalmente qualificado para o resultado da consulta usando `projectname.dataset.table` na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative os buckets de registro do `_Default` ou restrinja os buckets do `_Default` às regiões da UE para manter a conformidade. Para saber como definir o local de novos buckets do `_Default` ou como desativar entradas de roteamento para novos buckets do `_Default`, consulte Definir configurações padrão para organizações e pastas.

Recursos do Bigtable

Recurso Descrição

Recursos não suportados

Recurso	Descrição
Recursos não suportados	Os seguintes recursos e métodos de API do Bigtable não são compatíveis. É sua responsabilidade não usá-los com o Bigtable para o limite de dados da UE com justificativas de acesso. O método `ListHotTablets` da API RPC Admin processa e armazena dados técnicos de uma forma não compatível. É sua responsabilidade não usar esse método para o limite de dados da UE com justificativas de acesso. O método `hotTablets.list` da API REST Admin processa e armazena dados técnicos de uma forma não compatível. É sua responsabilidade não usar esse método para o limite de dados da UE com justificativas de acesso.
Limites de divisão	O Bigtable usa um pequeno subconjunto de chaves de linha para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Bigtable indica o local em que intervalos contíguos de linhas em uma tabela são divididos em blocos. Esses limites divididos podem ser acessados por funcionários do Google para fins de suporte técnico e depuração e não estão sujeitos aos controles de dados de acesso administrativo no limite de dados da UE com justificativas de acesso.

Os seguintes recursos e métodos de API do Bigtable não são compatíveis. É sua responsabilidade não usá-los com o Bigtable para o limite de dados da UE com justificativas de acesso.

O método ListHotTablets da API RPC Admin processa e armazena dados técnicos de uma forma não compatível. É sua responsabilidade não usar esse método para o limite de dados da UE com justificativas de acesso.
O método hotTablets.list da API REST Admin processa e armazena dados técnicos de uma forma não compatível. É sua responsabilidade não usar esse método para o limite de dados da UE com justificativas de acesso.

Limites de divisão O Bigtable usa um pequeno subconjunto de chaves de linha para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Bigtable indica o local em que intervalos contíguos de linhas em uma tabela são divididos em blocos.

Esses limites divididos podem ser acessados por funcionários do Google para fins de suporte técnico e depuração e não estão sujeitos aos controles de dados de acesso administrativo no limite de dados da UE com justificativas de acesso.

Recursos do Google Cloud Armor

Recurso	Descrição
Políticas de segurança com escopo global	Esse recurso foi desativado pela restrição de política da organização `compute.disableGlobalCloudArmorPolicy`.

Recursos do Spanner

Recurso	Descrição
Limites de divisão	O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Spanner indica o local em que intervalos contíguos de linhas são divididos em partes menores. Esses limites divididos podem ser acessados por funcionários do Google para fins de suporte técnico e depuração e não estão sujeitos aos controles de dados de acesso administrativo no limite de dados da UE com justificativas de acesso.

Recurso

Descrição

Limites de divisão

O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Spanner indica o local em que intervalos contíguos de linhas são divididos em partes menores.

Esses limites divididos podem ser acessados por funcionários do Google para fins de suporte técnico e depuração e não estão sujeitos aos controles de dados de acesso administrativo no limite de dados da UE com justificativas de acesso.

Recursos do Dataplex Universal Catalog

Recurso	Descrição
Metadados de aspectos e glossários	Aspectos e glossários não são compatíveis. Não é possível pesquisar ou gerenciar aspectos e glossários nem importar metadados personalizados.
Attribute Store	Esse recurso está descontinuado e desativado.
Data Catalog	Esse recurso está descontinuado e desativado. Não é possível pesquisar nem gerenciar seus metadados no Data Catalog.
Verificação de qualidade e perfil de dados	A exportação dos resultados da verificação de qualidade de dados não é compatível.
Discovery	Este recurso está desativado. Não é possível executar as verificações de descoberta para extrair metadados dos seus dados.
Lakes e zonas	Este recurso está desativado. Não é possível gerenciar lakes, zonas e tarefas.

Recursos do Dataproc

Recurso	Descrição
Console doGoogle Cloud	No momento, o Dataproc não é compatível com o console Google Cloud jurisdicional. Para aplicar a residência de dados, use a Google Cloud CLI ou a API ao usar o Dataproc.

Recursos do GKE

Recurso	Descrição
Restrições de recursos do cluster	Verifique se a configuração do cluster não usa recursos para serviços que não são compatíveis com o limite de dados da UE com justificativas de acesso. Por exemplo, a configuração a seguir é inválida porque exige a ativação ou o uso de um serviço não compatível: set `binaryAuthorization.evaluationMode` to `enabled`

Recursos do Cloud Logging

Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK), é preciso concluir as etapas da página Ativar CMEK para uma organização na documentação do Cloud Logging.

Recurso	Descrição
Coletores de registros	Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo	Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.
Alertas com base em registros	Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud .
URLs encurtados para consultas do Buscador de registros	Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console Google Cloud .
Salvar consultas no Buscador de registros	Este recurso está desativado. Não é possível salvar consultas no console Google Cloud .
Registrar análises usando o BigQuery	Este recurso está desativado. Não é possível usar o recurso de análise de registros.
Políticas de alertas baseadas em SQL	Este recurso está desativado. Não é possível usar o recurso de políticas de alertas baseadas em SQL.

Recursos do Cloud Monitoring

Recurso	Descrição
Monitor sintético	Este recurso está desativado.
Verificação de tempo de atividade	Este recurso está desativado.
Widgets do painel de registros em Painéis	Esse recurso está desativado. Não é possível adicionar um painel de registros a um painel.
Widgets do painel de relatórios de erros em Painéis	Esse recurso está desativado. Não é possível adicionar um painel de relatório de erros a um painel.
Filtrar em `EventAnnotation` para Painéis	Esse recurso está desativado. O filtro de `EventAnnotation` não pode ser definido em um painel.
`SqlCondition` em `alertPolicies`	Esse recurso está desativado. Não é possível adicionar um `SqlCondition` a um `alertPolicy`.

Recursos do Cloud Run

Recurso	Descrição
Recursos não suportados	Os seguintes recursos do Cloud Run não são compatíveis: Integração do Cloud Trace Funções do Cloud Run Gatilhos do Eventarc

Recursos do Compute Engine

Seleção de	Descrição
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente. O armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEKs. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque atualmente não é possível fazer a criptografia deles usando CMEKs. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para ver informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser ter mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização `compute.trustedImageProjects`. Para mais informações, consulte a página Como criar uma imagem personalizada.
Políticas do SO no VM Manager	Os scripts inline e os arquivos de saída binários nos arquivos de política do SO não são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK). Por isso, não inclua informações sensíveis nesses arquivos. Como alternativa, armazene esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte Exemplos de políticas do SO. Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição de política da organização `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Para mais informações, consulte Restrições da Configuração do SO.
`instances.getSerialPortOutput()`	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções nesta página.
`instances.getScreenshot()`	Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API. Mude o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções nesta página.