Han cambiado los nombres de algunos paquetes de control de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta Controlar el aviso de cambio de nombre del paquete.

Esta página se ha traducido con Cloud Translation API.

Límite de datos de Arabia Saudí con justificaciones de acceso

En esta página se describen las restricciones, las limitaciones y otras opciones de configuración al usar el límite de datos de KSA con el paquete de control de justificaciones de acceso.

Información general

El paquete de control de la frontera de datos de Arabia Saudí con justificaciones de acceso habilita las funciones de control de acceso y residencia de datos para los productos admitidos Google Cloud . Google restringe o limita algunas de las funciones de estos servicios para que sean compatibles con la frontera de datos de Arabia Saudí con justificaciones de acceso. La mayoría de estas restricciones y limitaciones se aplican al crear una carpeta de Assured Workloads para el límite de datos de Arabia Saudí con justificaciones de acceso. Sin embargo, algunos de ellos se pueden cambiar más adelante modificando las políticas de la organización. Además, algunas restricciones y limitaciones requieren que los usuarios se responsabilicen de su cumplimiento.

Es importante saber cómo modifican estas restricciones el comportamiento de un servicio concreto o cómo afectan al acceso a los datos o a la residencia de los datos. Google Cloud Por ejemplo, algunas funciones o características pueden inhabilitarse automáticamente para asegurar que se mantengan las restricciones de acceso a los datos y la residencia de los datos. Además, si se cambia un ajuste de una política de la organización, podría copiarse información de una región a otra por error.

Servicios admitidos

A menos que se indique lo contrario, los usuarios pueden acceder a todos los servicios admitidos a través de la consola de Google Cloud .

Los siguientes servicios son compatibles con la frontera de datos de Arabia Saudí con justificaciones de acceso:

Producto admitido	Endpoints de API	Restricciones o limitaciones
Access Approval	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `accessapproval.googleapis.com`	Ninguno
Administrador de contextos de acceso	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `accesscontextmanager.googleapis.com`	Ninguno
Artifact Registry	Endpoints de API regionales: `artifactregistry.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `artifactregistry.googleapis.com`	Ninguno
BigQuery	Endpoints de API regionales: `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Ninguno
Bigtable	Endpoints de API regionales: `bigtable.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Ninguno
Servicio de Autoridades de Certificación	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `privateca.googleapis.com`	Ninguno
Cloud Build	Endpoints de API regionales: `cloudbuild.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `cloudbuild.googleapis.com`	Ninguno
Cloud DNS	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `dns.googleapis.com`	Ninguno
Cloud HSM	Endpoints de API regionales: `cloudkms.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `cloudkms.googleapis.com`	Ninguno
Cloud Interconnect	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Funciones afectadas
Cloud Key Management Service (Cloud KMS)	Endpoints de API regionales: `cloudkms.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `cloudkms.googleapis.com`	Ninguno
Cloud Load Balancing	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Ninguno
Cloud Logging	Endpoints de API regionales: `logging.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `logging.googleapis.com`	Ninguno
Cloud Monitoring	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `monitoring.googleapis.com`	Funciones afectadas
Cloud NAT	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Ninguno
Cloud Router	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Ninguno
Cloud Run	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `run.googleapis.com`	Funciones afectadas
Cloud SQL	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `sqladmin.googleapis.com`	Ninguno
Cloud Service Mesh	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com`	Ninguno
Cloud Storage	Endpoints de API regionales: `storage.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `storage.googleapis.com`	Funciones afectadas
Cloud VPN	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Funciones afectadas
Compute Engine	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Funciones afectadas y restricciones de política de organización
Connect	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Ninguno
Dataflow	Endpoints de API regionales: `dataflow.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `dataflow.googleapis.com` `datapipelines.googleapis.com`	Ninguno
Dataplex Universal Catalog	Endpoints de API regionales: `dataplex.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `dataplex.googleapis.com` `datalineage.googleapis.com`	Funciones afectadas
Dataproc	Endpoints de API regionales: `dataproc.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	Ninguno
Contactos esenciales	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `essentialcontacts.googleapis.com`	Ninguno
Filestore	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `file.googleapis.com`	Ninguno
Hub de GKE	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `gkehub.googleapis.com`	Ninguno
Servicio de identidad de GKE	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `anthosidentityservice.googleapis.com`	Ninguno
Google Cloud Armor	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Funciones afectadas
Google Cloud console	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `N/A`	Ninguno
Google Kubernetes Engine	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `container.googleapis.com` `containersecurity.googleapis.com`	Restricciones de las políticas de organización
Gestión de identidades y accesos (IAM)	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `iam.googleapis.com`	Ninguno
Identity‑Aware Proxy	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `iap.googleapis.com`	Ninguno
Memorystore para Redis	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `redis.googleapis.com`	Ninguno
Network Connectivity Center	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `networkconnectivity.googleapis.com`	Ninguno
Servicio de política de organización	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `orgpolicy.googleapis.com`	Ninguno
Persistent Disk	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Ninguno
Pub/Sub	Endpoints de API regionales: `pubsub.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `pubsub.googleapis.com`	Ninguno
Resource Manager	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `cloudresourcemanager.googleapis.com`	Ninguno
Configuración de recursos	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `resourcesettings.googleapis.com`	Ninguno
Secret Manager	Endpoints de API regionales: `secretmanager.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `secretmanager.googleapis.com`	Ninguno
Protección de Datos Sensibles	Endpoints de API regionales: `dlp.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `dlp.googleapis.com`	Ninguno
Directorio de servicios	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `servicedirectory.googleapis.com`	Ninguno
Spanner	Endpoints de API regionales: `spanner.me-central2.rep.googleapis.com` No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `spanner.googleapis.com`	Ninguno
Controles de Servicio de VPC	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `accesscontextmanager.googleapis.com`	Ninguno
Nube privada virtual (VPC)	No se admiten los endpoints de API regionales. No se admiten los endpoints de la API de ubicación. Endpoints de API globales: `compute.googleapis.com`	Ninguno

Políticas de organización

En esta sección se describe cómo afecta a cada servicio el valor predeterminado de la restricción de la política de la organización cuando se crean carpetas o proyectos con el límite de datos de KSA con justificaciones de acceso. Otras restricciones aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una "defensa en profundidad" adicional para proteger aún más los recursos de tu organización. Google Cloud

Restricciones de políticas de la organización en toda la nube

Las siguientes restricciones de políticas de la organización se aplican a cualquier Google Cloud servicio aplicable.

Restricción de política de organización Descripción

gcp.resourceLocations Se ha definido in:sa-locations como el elemento allowedValues de la lista.

Este valor restringe la creación de recursos nuevos al grupo de valores me-central2. Cuando se define, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación fuera de Arabia Saudí. Consulta la sección Servicios admitidos en ubicaciones de recursos para ver una lista de los recursos que se pueden restringir mediante la restricción de la política de organización de ubicaciones de recursos, ya que es posible que algunos recursos no estén incluidos y no se puedan restringir.

Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o almacenen datos fuera de un límite de datos conforme.

gcp.restrictServiceUsage Se permite el acceso a todos los servicios compatibles.

Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos para cargas de trabajo.

Restricción de política de organización	Descripción
`gcp.resourceLocations`	Se ha definido `in:sa-locations` como el elemento `allowedValues` de la lista. Este valor restringe la creación de recursos nuevos al grupo de valores `me-central2`. Cuando se define, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación fuera de Arabia Saudí. Consulta la sección Servicios admitidos en ubicaciones de recursos para ver una lista de los recursos que se pueden restringir mediante la restricción de la política de organización de ubicaciones de recursos, ya que es posible que algunos recursos no estén incluidos y no se puedan restringir. Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o almacenen datos fuera de un límite de datos conforme.
`gcp.restrictServiceUsage`	Se permite el acceso a todos los servicios compatibles. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos para cargas de trabajo.

Restricciones de las políticas de organización de Compute Engine

Restricción de política de organización	Descripción
`compute.disableGlobalCloudArmorPolicy`	Su valor debe ser True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales, así como la adición o modificación de reglas en políticas de seguridad de Google Cloud Armor globales. Esta restricción no limita la eliminación de reglas ni la capacidad de eliminar o cambiar la descripción y la lista de políticas de seguridad globales de Google Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Google Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de la entrada en vigor de esta restricción seguirán vigentes.
`compute.disableGlobalLoadBalancing`	Su valor debe ser True. Inhabilita la creación de balanceadores de carga globales. Si cambia este valor, puede afectar a la residencia de los datos de su carga de trabajo. Le recomendamos que mantenga el valor definido.
`compute.disableInstanceDataAccessApis`	Su valor debe ser True. Inhabilita globalmente las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`. Si habilitas esta política de la organización, no podrás generar credenciales en máquinas virtuales de Windows Server. Si necesitas gestionar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: Habilita SSH para máquinas virtuales Windows. Ejecuta el siguiente comando para cambiar la contraseña de la VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sustituye lo siguiente: `VM_NAME`: el nombre de la máquina virtual cuya contraseña quieres definir. `USERNAME`: el nombre de usuario del usuario cuya contraseña vas a definir. `PASSWORD`: la nueva contraseña.
`compute.enableComplianceMemoryProtection`	Su valor debe ser True. Inhabilita algunas funciones de diagnóstico internas para proporcionar una protección adicional del contenido de la memoria cuando se produce un fallo en la infraestructura. Si cambia este valor, puede afectar a la residencia de los datos de su carga de trabajo. Le recomendamos que mantenga el valor definido.

Restricciones de políticas de organización de Google Kubernetes Engine

Restricción de política de organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Su valor debe ser True. Se usa para inhabilitar el análisis agregado de problemas del kernel, que es necesario para mantener el control soberano de una carga de trabajo. Si cambia este valor, puede que se vea afectada la soberanía de los datos de su carga de trabajo. Le recomendamos que mantenga el valor definido.

Funciones afectadas

En esta sección se indica cómo afectan las funciones o las capacidades de cada servicio a la frontera de datos de Arabia Saudí con justificaciones de acceso, incluidos los requisitos de los usuarios al usar una función.

Funciones de Bigtable

Función	Descripción
Data Boost	Esta función está inhabilitada.

Características de Compute Engine

Función	Descripción
Google Cloud consola	Las siguientes funciones de Compute Engine no están disponibles en la consola Google Cloud . Usa la API o Google Cloud CLI cuando estén disponibles: Comprobaciones del estado Grupos de puntos finales de red SSH basado en navegador está inhabilitado
Añadir un grupo de instancias a un balanceador de carga global	No puedes añadir un grupo de instancias a un balanceador de carga global. Esta función está inhabilitada por la restricción de la política de la organización `compute.disableGlobalLoadBalancing`.
`instances.getSerialPortOutput()`	Esta API está inhabilitada, por lo que no podrás obtener la salida del puerto serie de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo.
`instances.getScreenshot()`	Esta API está inhabilitada, por lo que no podrás obtener una captura de pantalla de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo.

Características de Cloud Interconnect

Función	Descripción
VPN de alta disponibilidad	Debes habilitar la función de VPN de alta disponibilidad cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir los requisitos de cifrado y regionalización que se indican en esta sección.

Funciones de Cloud Monitoring

Función	Descripción
Monitor sintético	Esta función está inhabilitada.
Comprobación de disponibilidad del servicio	Esta función está inhabilitada.
Widgets del panel de registro en Paneles de control	Esta función está inhabilitada. No puedes añadir un panel de registro a un panel de control.
Widgets del panel de informes de errores en Paneles de control	Esta función está inhabilitada. No puedes añadir un panel de informes de errores a un panel de control.
Filtrar en `EventAnnotation` por Paneles	Esta función está inhabilitada. El filtro de `EventAnnotation` no se puede definir en un panel de control.
`SqlCondition` en `alertPolicies`	Esta función está inhabilitada. No puedes añadir un `SqlCondition` a un `alertPolicy`.

Características de Cloud Run

Función	Descripción
Funciones no compatibles	Las siguientes funciones de Cloud Run no se admiten: Integración de Cloud Trace Activadores de Eventarc

Características de Cloud Storage

Función	Descripción
Google Cloud consola	Es tu responsabilidad usar la consola Jurisdiccional Google Cloud para la frontera de datos de Arabia Saudí con justificaciones de acceso. La consola Jurisdictional impide subir y descargar objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la fila Endpoints de API conformes.
Endpoints de API conformes	Es tu responsabilidad usar uno de los endpoints de ubicación con Cloud Storage. Consulta más información sobre las ubicaciones de Cloud Storage.

Funciones de Google Cloud Armor

Función	Descripción
Políticas de seguridad de ámbito global	Esta función está inhabilitada por la restricción de la política de la organización `compute.disableGlobalCloudArmorPolicy`.

Características de Cloud VPN

Función	Descripción
Google Cloud consola	Las funciones de Cloud VPN no están disponibles en la consola. Google Cloud Usa la API o Google Cloud CLI.

Funciones de Dataplex Universal Catalog

Función	Descripción
Metadatos de aspectos y glosarios	No se admiten aspectos ni glosarios. No puedes buscar ni gestionar aspectos y glosarios, ni tampoco importar metadatos personalizados.
Attribute Store	Esta función está obsoleta y se ha inhabilitado.
Data Catalog	Esta función está obsoleta y se ha inhabilitado. No puedes buscar ni gestionar tus metadatos en Data Catalog.
Calidad de los datos y análisis de perfil de datos	No se admite la exportación de los resultados de los análisis de calidad de los datos.
Discovery	Esta función está inhabilitada. No puedes ejecutar análisis de detección para extraer metadatos de tus datos.
Lakes y Zones	Esta función está inhabilitada. No puedes gestionar lagos, zonas ni tareas.

Notas a pie de página

1. BigQuery es compatible, pero no se habilita automáticamente al crear una carpeta de Assured Workloads debido a un proceso de configuración interno. Este proceso suele completarse en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para comprobar si el proceso ha finalizado y habilitar BigQuery, sigue estos pasos:

En la Google Cloud consola, ve a la página Assured Workloads.
Ir a Assured Workloads
Selecciona la nueva carpeta de Assured Workloads de la lista.
En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Ver actualizaciones disponibles.
En el panel Servicios permitidos, revisa los servicios que se van a añadir a la política de organización Restricción de uso de recursos de la carpeta. Si aparecen servicios de BigQuery, haga clic en Permitir servicios para añadirlos.

Si los servicios de BigQuery no aparecen en la lista, espera a que se complete el proceso interno. Si los servicios no aparecen en un plazo de 12 horas desde que se creó la carpeta, ponte en contacto con Asistencia de Google Cloud.

Una vez que se haya completado el proceso de habilitación, podrá usar BigQuery en su carpeta de Assured Workloads.

Assured Workloads no admite Gemini en BigQuery.