Se usó la API de Cloud Translation para traducir esta página.

Restricciones y limitaciones de los controles soberanos para el Reino de Arabia Saudita (KSA)

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando se usa el paquete de controles de Controles de soberanía del Reino de Arabia Saudita (KSA).

Descripción general

El paquete de controles de soberanía para el KSA permite controlar el acceso a los datos de residencia para productos de Google Cloud compatibles. Google restringe o limita algunas de las funciones de estos servicios para que sean compatibles con los controles soberanos de Arabia Saudita. La mayoría de estas restricciones y se aplican limitaciones cuando se crea una nueva carpeta de Assured Workloads de controles soberanos para el Reino de Arabia Saudita. Sin embargo, algunos de ellos pueden modificarse más adelante modificando políticas de la organización. Además, algunas restricciones y limitaciones requieren responsabilidad del usuario para garantizar el cumplimiento.

Es importante comprender cómo modifican estas restricciones el comportamiento de una un servicio de Google Cloud o que afectan el acceso a los datos o residencia de datos. Por ejemplo, algunos funciones o capacidades puedan inhabilitarse automáticamente para garantizar que los datos se mantienen las restricciones de acceso y la residencia de los datos. Además, si un se cambia el parámetro de configuración de la política de la organización, podría tener una consecuencia no deseada de copiar datos de una región a otra.

Servicios compatibles

A menos que se indique lo contrario, los usuarios pueden acceder a todos los servicios admitidos a través de la consola de Google Cloud.

Los siguientes servicios son compatibles con los controles de soberanía del Reino de Arabia Saudita (KSA):

Producto admitido	extremos de API	Restricciones o limitaciones
Aprobación de acceso	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: accessapproval.googleapis.com	Ninguno
Artifact Registry	Extremos de API regionales: artifactregistry.me-central2.googleapis.com No se admiten los extremos de la API de Locational. Los extremos de API globales no son compatibles.	Ninguno
BigQuery	Extremos de la API regionales: bigquery.me-central2.googleapis.com bigqueryconnection.me-central2.googleapis.com bigqueryreservation.me-central2.googleapis.com bigquerystorage.me-central2.googleapis.com No se admiten los extremos de la API de Locational. Los extremos de API globales no son compatibles.	Ninguno
Bigtable	Extremos de API regionales: bigtable.me-central2.googleapis.com No se admiten los extremos de la API de Locational. Los extremos de la API globales no son compatibles.	Ninguno
Cloud Key Management Service (Cloud KMS)	Extremos de la API regionales: cloudkms.me-central2.rep.googleapis.com No se admiten los extremos de la API de Locational. Los extremos de API globales no son compatibles.	Ninguno
Cloud HSM	Extremos de API regionales: cloudkms.me-central2.rep.googleapis.com No se admiten los extremos de la API de Locational. Los extremos de API globales no son compatibles.	Ninguno
Resource Manager	No se admiten extremos de API regionales. No se admiten los extremos de la API de Locational. Extremos globales de la API: cloudresourcemanager.googleapis.com	Ninguno
Compute Engine	No se admiten los extremos de la API regional. No se admiten los extremos de API de ubicación. Extremos de API globales: compute.googleapis.com	Funciones afectadas y las restricciones de las políticas de la organización
Consola de Google Cloud	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: N/A	Ninguno
Google Kubernetes Engine	No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos globales de la API: container.googleapis.com containersecurity.googleapis.com	Restricciones de las políticas de la organización
Dataflow	Extremos de API regionales: dataflow.me-central2.googleapis.com No se admiten los extremos de la API de Locational. No se admiten los extremos de la API global.	Ninguno
Dataproc	Extremos de API regionales: dataproc.me-central2.googleapis.com No se admiten los extremos de API de ubicación. No se admiten los extremos de la API global.	Ninguno
Cloud DNS	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: dns.googleapis.com	Ninguno
Contactos esenciales	No se admiten los extremos de la API regional. No se admiten los extremos de API de ubicación. Extremos globales de la API: essentialcontacts.googleapis.com	Ninguno
GKE Hub	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: gkehub.googleapis.com	Ninguno
Administración de identidades y accesos (IAM)	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos de API globales: iam.googleapis.com	Ninguno
Identity-Aware Proxy (IAP)	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: iap.googleapis.com	Ninguno
Cloud Load Balancing	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos de API globales: compute.googleapis.com	Ninguno
Cloud Logging	Extremos de API regionales: logging.me-central2.googleapis.com No se admiten los extremos de API de ubicación. No se admiten los extremos de la API global.	Ninguno
Cloud Monitoring	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: monitoring.googleapis.com	Ninguno
Cloud NAT	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos de API globales: networkconnectivity.googleapis.com	Ninguno
Network Connectivity Center	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: networkconnectivity.googleapis.com	Ninguno
Cloud Interconnect	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: networkconnectivity.googleapis.com	Funciones afectadas
Servicio de políticas de la organización	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: orgpolicy.googleapis.com	Ninguno
Persistent Disk	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: compute.googleapis.com	Ninguno
Pub/Sub	Extremos de API regionales: pubsub.me-central2.googleapis.com No se admiten los extremos de la API de Locational. No se admiten los extremos de la API global.	Ninguno
Configuración de recursos	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: resourcesettings.googleapis.com	Ninguno
Cloud Router	No se admiten extremos de API regionales. No se admiten los extremos de API de ubicación. Extremos globales de la API: networkconnectivity.googleapis.com	Ninguno
Directorio de servicios	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: servicedirectory.googleapis.com	Ninguno
Spanner	Extremos de API regionales: spanner.me-central2.googleapis.com No se admiten los extremos de la API de Locational. No se admiten los extremos de la API global.	Ninguno
Cloud SQL	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos de API globales: sqladmin.googleapis.com	Ninguno
Cloud Storage	Extremos de API regionales: storage.me-central2.googleapis.com No se admiten los extremos de la API de Locational. No se admiten los extremos de la API global.	Funciones afectadas
Nube privada virtual (VPC)	No se admiten extremos de API regionales. No se admiten los extremos de la API de Locational. Extremos globales de la API: compute.googleapis.com	Ninguno
Controles del servicio de VPC	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: accesscontextmanager.googleapis.com	Ninguno
Cloud VPN	No se admiten los extremos de la API regional. No se admiten los extremos de la API de Locational. Extremos globales de la API: compute.googleapis.com	Funciones afectadas

Políticas de la organización

En esta sección, se describe la forma en que la organización predeterminada afecta cada servicio valores de restricción de política cuando se crean carpetas o proyectos Controles soberanos para el Reino de Arabia Saudita. Otras restricciones aplicables, incluso si no las establece de forma predeterminada, pueden proporcionar “defensa en profundidad” para proteger aún más tu en los recursos de Google Cloud de tu organización.

Restricciones de la política de la organización en toda la nube

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización Descripción

gcp.resourceLocations Se establece en in:us-locations como el elemento de lista allowedValues.

Este valor restringe la creación de recursos nuevos solo al grupo de valores me-central2. Cuando se establece, no se pueden creados en cualquier otra región, multirregión o ubicación fuera de el Reino de Arabia Saudita (KSA). Consulta la Grupos de valores de las políticas de la organización documentación para obtener más información.

Hacerlo menos restrictivo puede socavar el cambio de este valor la residencia de datos permitiendo que los datos se creen o almacenen fuera del KSA límite de datos.

gcp.restrictServiceUsage Configúralo para permitir todos los servicios compatibles.

Determina qué servicios se pueden habilitar y usar. Para obtener más información, ver Restringe el uso de recursos para cargas de trabajo.

Restricción de las políticas de la organización	Descripción
`gcp.resourceLocations`	Se establece en `in:us-locations` como el elemento de lista `allowedValues`. Este valor restringe la creación de recursos nuevos solo al grupo de valores `me-central2`. Cuando se establece, no se pueden creados en cualquier otra región, multirregión o ubicación fuera de el Reino de Arabia Saudita (KSA). Consulta la Grupos de valores de las políticas de la organización documentación para obtener más información. Hacerlo menos restrictivo puede socavar el cambio de este valor la residencia de datos permitiendo que los datos se creen o almacenen fuera del KSA límite de datos.
`gcp.restrictServiceUsage`	Configúralo para permitir todos los servicios compatibles. Determina qué servicios se pueden habilitar y usar. Para obtener más información, ver Restringe el uso de recursos para cargas de trabajo.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización Descripción

Restricción de las políticas de la organización	Descripción
`compute.disableInstanceDataAccessApis`	Configurado como True. Inhabilita de manera global las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`. Si habilitas esta política de la organización, no podrás realizar las siguientes acciones: genera credenciales en VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: lo siguiente: Habilita SSH para las VMs de Windows. Ejecuta el siguiente comando para cambiar la contraseña de la VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Reemplaza lo siguiente: `VM_NAME`: Es el nombre de la VM para la que configuras la contraseña. `USERNAME`: El nombre de usuario del usuario que estás configurando la contraseña. `PASSWORD`: Es la contraseña nueva.
`compute.enableComplianceMemoryProtection`	Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos de tu carga de trabajo. nosotros se recomienda mantener el valor establecido.

compute.disableInstanceDataAccessApis

Configurado como True.

Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot().

Si habilitas esta política de la organización, no podrás realizar las siguientes acciones: genera credenciales en VMs de Windows Server.

Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: lo siguiente:

Habilita SSH para las VMs de Windows.
Ejecuta el siguiente comando para cambiar la contraseña de la VM:
```
gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
```
Reemplaza lo siguiente:
- VM_NAME: Es el nombre de la VM para la que configuras la contraseña.
- USERNAME: El nombre de usuario del usuario que estás configurando la contraseña.
- PASSWORD: Es la contraseña nueva.

compute.enableComplianceMemoryProtection Configurado como True.

Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura.

Cambiar este valor puede afectar la residencia de los datos de tu carga de trabajo. nosotros se recomienda mantener el valor establecido.

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Configurado como True. Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la soberanía de los datos de tu carga de trabajo. nosotros se recomienda mantener el valor establecido.

Funciones afectadas

En esta sección, se indica cómo se ven afectadas las funciones o capacidades de cada servicio Controles soberanos para KSA, incluidos los requisitos del usuario cuando se usa una función

Características de Compute Engine

Atributo	Descripción
Consola de Google Cloud	Las siguientes funciones de Compute Engine no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI cuando estén disponibles: Verificaciones de estado Grupos de extremos de red La conexión SSH basada en el navegador está inhabilitada
`instances.getSerialPortOutput()`	Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes Habilita y usa el puerto en serie interactivo.
`instances.getScreenshot()`	Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes Habilita y usa el puerto en serie interactivo.

Características de Cloud Interconnect

Atributo	Descripción
VPN con alta disponibilidad (HA)	Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se enumeran esta sección.

Características de Cloud Storage

Atributo	Descripción
Consola de Google Cloud	Es tu responsabilidad usar la consola de Google Cloud jurisdiccional para los controles soberanos de Arabia Saudita. La Jurisdicción console evita que se suban y descarguen objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la siguiente fila de Extremos de API que cumplen con los requisitos.
Extremos de API compatibles	Es tu responsabilidad usar uno de los extremos de ubicación con Cloud Storage. Consulta Ubicaciones de Cloud Storage para más información.

Características de Cloud VPN

Atributo	Descripción
Consola de Google Cloud	Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Pies de página

1. BigQuery es compatible, pero no se habilita automáticamente cuando creas un nuevo Carpeta de Assured Workloads debido a un proceso de configuración interno. Este proceso normalmente finaliza en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para verificar si finalice y, para habilitar BigQuery, completa los siguientes pasos:

En la consola de Google Cloud, ve a la página Assured Workloads.
Ir a Assured Workloads
Selecciona tu nueva carpeta de Assured Workloads de la lista.
En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisar actualizaciones disponibles.
En el panel Servicios permitidos, revisa los servicios que deseas agregar al Restricción del uso de recursos política de la organización para la carpeta. Si aparecen los servicios de BigQuery, haz clic en Permite que los servicios los agreguen.

Si los servicios de BigQuery no aparecen en la lista, espera a que se complete el proceso interno. Si los servicios no aparecen en la lista en un plazo de 12 horas después de crear la carpeta, comunícate con Atención al cliente de Cloud.

Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta Assured Workloads.

Gemini en BigQuery no es compatible con Assured Workloads.