沙特阿拉伯王国 (KSA) 主权控制的限制
本页介绍使用沙特阿拉伯王国 (KSA) 主权控制功能包时的限制、局限和其他配置选项。
概览
“适用于沙特阿拉伯的主权控制”控制措施套餐可为受支持 Google Cloud 产品启用数据访问控制和数据驻留功能。为了使这些服务与沙特阿拉伯主权控制功能兼容,Google 限制了其中一些服务的功能。在为 KSA 的主权控制功能创建新的 Assured Workloads 文件夹时,系统会应用大多数这些限制。不过,您稍后可以通过修改组织政策来更改其中一些设置。此外,某些限制和限制要求用户负责遵守。
请务必了解这些限制如何修改给定 Google Cloud 服务的行为,或者如何影响数据访问或数据驻留。例如,系统会自动停用某些功能或能力,以确保保持数据访问限制和数据驻留。此外,如果更改组织政策设置,则可能出现将数据从一个区域复制到另一个区域的意外后果。
支持的服务
除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的服务。
以下服务与沙特阿拉伯王国 (KSA) 的主权控制功能兼容:
| 支持的产品 | API 端点 | 限制 |
|---|---|---|
| Access Approval |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Access Context Manager |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Artifact Registry |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| BigQuery |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| Bigtable |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| Certificate Authority Service |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud DNS |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud HSM |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Interconnect |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
受影响的功能 |
| Cloud Key Management Service (Cloud KMS) |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Load Balancing |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Logging |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Monitoring |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
受影响的功能 |
| Cloud NAT |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Router |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Run |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
受影响的功能 |
| Cloud SQL |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Service Mesh |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Storage |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
受影响的功能 |
| Cloud VPN |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
受影响的功能 |
| Compute Engine |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
受影响的功能以及组织政策限制 |
| 连接 |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Dataflow |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| Dataproc |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| 重要联系人 |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Filestore |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| GKE Hub |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| GKE Identity Service |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Google Cloud Armor |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
受影响的功能 |
| Google Cloud 控制台 |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Google Kubernetes Engine |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
组织政策限制条件 |
| Identity and Access Management (IAM) |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Identity-Aware Proxy (IAP) |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Network Connectivity Center |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| 组织政策服务 |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Persistent Disk |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Pub/Sub |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| Resource Manager |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Resource Settings |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Secret Manager |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| 敏感数据保护 |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| Service Directory |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Spanner |
区域性 API 端点:
不支持位置 API 端点。 全局 API 端点:
|
无 |
| VPC Service Controls |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Virtual Private Cloud (VPC) |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
组织政策
本部分介绍使用适用于沙特阿拉伯的 Sovereign Controls 创建文件夹或项目时,每项服务如何受到默认组织政策限制条件值影响。其他适用的限制条件(即使默认设置未设置)可以提供额外的“深度防御”,以进一步保护贵组织的 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 in:sa-locations 作为 allowedValues 列表项。此值将任何新资源的创建限制为仅 me-central2 值组。设置此标志后,您将无法在沙特阿拉伯区域、多区域位置或其他位置创建任何资源。如需查看可受“资源位置”组织政策限制条件约束的资源列表,请参阅资源位置支持的服务,因为某些资源可能不在限制范围内,无法受到限制。如果更改此值,则允许更少的数据在合规的数据边界之外创建或存储,从而可能破坏数据驻留。 |
gcp.restrictServiceUsage |
设置为允许所有受支持的服务。 通过限制运行时对其资源的访问权限,确定可以使用哪些服务。如需了解详情,请参阅限制工作负载的资源使用量。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建新的全局 Google Cloud Armor 安全政策,以及向现有全局 Google Cloud Armor 安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。 区域性 Google Cloud Armor 安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。 |
compute.disableGlobalLoadBalancing |
设置为 True。 禁止创建全球负载平衡器。 更改此值可能会影响工作负载中的数据驻留;我们建议您保留此值。 |
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策会阻止您在 Windows Server 虚拟机上生成凭据。 如果您需要管理 Windows 虚拟机上的用户名和密码,请执行以下操作:
|
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留;我们建议您保留此值。 |
Google Kubernetes Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载中的数据主权;我们建议您保留此值。 |
受影响的功能
本部分列出每项服务的功能或能力如何受沙特阿拉伯主权控制影响,包括使用某项功能时用户须遵循的要求。
Bigtable 功能
| 功能 | 说明 |
|---|---|
| Data Boost | 此功能处于禁用状态。 |
Compute Engine 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不提供以下 Compute Engine 功能。使用 API 或 Google Cloud CLI(如果可用):
|
| 将实例组添加到全球负载平衡器 | 您无法将实例组添加到全局负载平衡器。 此功能因 compute.disableGlobalLoadBalancing 组织政策限制而处于停用状态。
|
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以启用和使用交互式串行端口。 |
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以启用和使用交互式串行端口。 |
Cloud Interconnect 功能
| 功能 | 说明 |
|---|---|
| 高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵守本部分列出的加密和区域化要求。 |
Cloud Monitoring 功能
| 功能 | 说明 |
|---|---|
| 合成监控工具 | 此功能处于禁用状态。 |
| 正常运行时间检查 | 此功能处于禁用状态。 |
| 信息中心中的日志面板 widget | 此功能已停用。 您无法将日志面板添加到信息中心。 |
| 信息中心中的 Error Reporting 面板小部件 | 此功能已停用。 您无法向信息中心添加错误报告面板。 |
在 EventAnnotation 中过滤信息中心
|
此功能已停用。 无法在信息中心中设置 EventAnnotation 过滤条件。
|
alertPolicies 中的 SqlCondition
|
此功能已停用。 您无法向 alertPolicy 添加 SqlCondition。
|
Cloud Run 功能
| 功能 | 说明 |
|---|---|
| 不受支持的功能 | 不支持以下 Cloud Run 功能: |
Cloud Storage 的功能
| 功能 | 说明 |
|---|---|
| Google Cloud 控制台 | 您有责任使用管辖区 Google Cloud 控制台来管理 KSA 的主权控制。管辖区控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象,请参阅以下合规 API 端点行。 |
| 合规的 API 端点 | 您有责任将某个位置端点与 Cloud Storage 搭配使用。如需了解详情,请参阅 Cloud Storage 位置。 |
Google Cloud Armor 功能
| 功能 | 说明 |
|---|---|
| 全球范围的安全政策 | 此功能已因 compute.disableGlobalCloudArmorPolicy 组织政策限制而被停用。
|
Cloud VPN 功能
| 功能 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不提供 Cloud VPN 功能。请改用 API 或 Google Cloud CLI。 |
脚注
1. 系统支持 BigQuery,但由于内部配置流程,当您创建新的“受保工作负载”文件夹时,系统不会自动启用 BigQuery。此过程通常需要 10 分钟才能完成,但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery,请完成以下步骤:
- 在 Google Cloud 控制台中,前往 Assured Workloads 页面。
- 从列表中选择新的 Assured Workloads 文件夹。
- 在文件夹详情页面的允许的服务部分,点击查看可用更新。
- 在允许的服务窗格中,查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务,请点击允许服务将其添加。
如果未列出 BigQuery 服务,请等待内部流程完成。如果在创建文件夹后的 12 小时内未列出服务,请与 Cloud Customer Care 联系。
启用流程完成后,您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。
可靠工作负载不支持 Gemini in BigQuery。