沙特阿拉伯王国 (KSA) 数据边界与访问理由

本页面介绍了将 KSA Data Boundary 与 Access Justifications 控制软件包搭配使用时的限制、局限和其他配置选项。

概览

“KSA 数据边界与访问权限正当理由”控制软件包可为受支持 Google Cloud 的产品启用数据访问权限控制和数据驻留功能。为了与“仅限访问正当理由的 KSA 数据边界”保持兼容，Google 对其中一些服务的功能进行了限制。在创建新的 Assured Workloads 文件夹（用于 KSA 数据边界，并提供访问权限正当理由）时，系统会应用这些限制和局限中的大多数。不过，您可以通过修改组织政策，稍后更改其中一些设置。此外，某些限制要求用户自行负责遵守。

请务必了解这些限制如何修改给定 Google Cloud 服务的行为，或者如何影响数据访问或数据驻留。例如，系统会自动停用某些功能或能力，以确保保持数据访问限制和数据驻留。此外，如果更改组织政策设置，则可能出现将数据从一个区域复制到另一个区域的意外后果。

支持的服务

除非另有说明，否则用户可以通过 Google Cloud 控制台访问所有受支持的服务。

以下服务与沙特阿拉伯数据边界与访问理由兼容：

支持的产品	API 端点	限制或局限
访问权限审批	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `accessapproval.googleapis.com`	无
Access Context Manager	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `accesscontextmanager.googleapis.com`	无
Artifact Registry	区域 API 端点： `artifactregistry.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `artifactregistry.googleapis.com`	无
BigQuery	区域 API 端点： `bigquery.me-central2.rep.googleapis.com` `bigqueryconnection.me-central2.rep.googleapis.com` `bigqueryreservation.me-central2.rep.googleapis.com` `bigquerystorage.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	无
Bigtable	区域 API 端点： `bigtable.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	无
Certificate Authority Service	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `privateca.googleapis.com`	无
Cloud Build	区域 API 端点： `cloudbuild.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `cloudbuild.googleapis.com`	无
Cloud DNS	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `dns.googleapis.com`	无
Cloud HSM	区域 API 端点： `cloudkms.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `cloudkms.googleapis.com`	无
Cloud Interconnect	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能
Cloud Key Management Service (Cloud KMS)	区域 API 端点： `cloudkms.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `cloudkms.googleapis.com`	无
Cloud Load Balancing	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无
Cloud Logging	区域 API 端点： `logging.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `logging.googleapis.com`	无
Cloud Monitoring	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `monitoring.googleapis.com`	受影响的功能
Cloud NAT	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无
Cloud Router	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无
Cloud Run	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `run.googleapis.com`	受影响的功能
Cloud SQL	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `sqladmin.googleapis.com`	无
Cloud Service Mesh	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com`	无
Cloud Storage	区域 API 端点： `storage.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `storage.googleapis.com`	受影响的功能
Cloud VPN	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能
Compute Engine	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能和组织政策限制条件
Connect	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `gkeconnect.googleapis.com` `connectgateway.googleapis.com`	无
Dataflow	区域 API 端点： `dataflow.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `dataflow.googleapis.com` `datapipelines.googleapis.com`	无
Dataproc	区域 API 端点： `dataproc.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `dataproc-control.googleapis.com` `dataproc.googleapis.com`	无
重要联系人	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `essentialcontacts.googleapis.com`	无
Filestore	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `file.googleapis.com`	无
GKE Hub	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `gkehub.googleapis.com`	无
GKE Identity Service	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `anthosidentityservice.googleapis.com`	无
Google Cloud Armor	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	受影响的功能
Google Cloud 控制台	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `N/A`	无
Google Kubernetes Engine	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `container.googleapis.com` `containersecurity.googleapis.com`	组织政策限制条件
身份和访问权限管理 (IAM)	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `iam.googleapis.com`	无
Identity-Aware Proxy (IAP)	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `iap.googleapis.com`	无
Memorystore for Redis	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `redis.googleapis.com`	无
Network Connectivity Center	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `networkconnectivity.googleapis.com`	无
组织政策服务	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `orgpolicy.googleapis.com`	无
Persistent Disk	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无
Pub/Sub	区域 API 端点： `pubsub.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `pubsub.googleapis.com`	无
Resource Manager	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `cloudresourcemanager.googleapis.com`	无
资源设置	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `resourcesettings.googleapis.com`	无
Secret Manager	区域 API 端点： `secretmanager.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `secretmanager.googleapis.com`	无
敏感数据保护	区域 API 端点： `dlp.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `dlp.googleapis.com`	无
Service Directory	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `servicedirectory.googleapis.com`	无
Spanner	区域 API 端点： `spanner.me-central2.rep.googleapis.com` 不支持位置 API 端点。全局 API 端点： `spanner.googleapis.com`	无
VPC Service Controls	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `accesscontextmanager.googleapis.com`	无
Virtual Private Cloud (VPC)	不支持区域 API 端点。不支持位置 API 端点。全局 API 端点： `compute.googleapis.com`	无

组织政策

本部分介绍使用“KSA 数据边界与访问正当理由”创建文件夹或项目时，每项服务如何受到默认组织政策限制条件值影响。其他适用的限制条件（即使默认设置未设置）可以提供额外的“深度防御”，以进一步保护贵组织的 Google Cloud 资源。

云范围的组织政策限制条件

以下组织政策限制条件适用于任何适用的 Google Cloud 服务。

组织政策限制条件说明

gcp.resourceLocations 设置为 in:sa-locations 作为 allowedValues 列表项。

此值将任何新资源的创建限制为仅 me-central2 值组。设置此标志后，您将无法在沙特阿拉伯王国 (KSA) 区域、多区域位置或其他位置创建任何资源。如需查看可受“资源位置”组织政策限制条件限制的资源列表，请参阅资源位置支持的服务，因为某些资源可能超出范围且无法限制。

如果更改此值，则允许更少的数据在合规的数据边界之外创建或存储，从而可能破坏数据驻留。

gcp.restrictServiceUsage 设置为允许所有支持的服务。

通过限制对运行时资源的访问来确定哪些服务可以使用。如需了解详情，请参阅限制工作负载的资源使用量。

组织政策限制条件	说明
`gcp.resourceLocations`	设置为 `in:sa-locations` 作为 `allowedValues` 列表项。此值将任何新资源的创建限制为仅 `me-central2` 值组。设置此标志后，您将无法在沙特阿拉伯王国 (KSA) 区域、多区域位置或其他位置创建任何资源。如需查看可受“资源位置”组织政策限制条件限制的资源列表，请参阅资源位置支持的服务，因为某些资源可能超出范围且无法限制。如果更改此值，则允许更少的数据在合规的数据边界之外创建或存储，从而可能破坏数据驻留。
`gcp.restrictServiceUsage`	设置为允许所有支持的服务。通过限制对运行时资源的访问来确定哪些服务可以使用。如需了解详情，请参阅限制工作负载的资源使用量。

Compute Engine 组织政策限制条件

组织政策限制条件	说明
`compute.disableGlobalCloudArmorPolicy`	设置为 True。禁止创建新的 Google Cloud Armor 安全政策，以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则，也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。 Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。
`compute.disableGlobalLoadBalancing`	设置为 True。禁止创建全球负载平衡器。更改此值可能会影响工作负载中的数据驻留；我们建议您保留此值。
`compute.disableInstanceDataAccessApis`	设置为 True。全局停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。启用此组织政策后，您将无法在 Windows Server 虚拟机上生成凭据。如果您需要在 Windows 虚拟机上管理用户名和密码，请执行以下操作：为 Windows 虚拟机启用 SSH。运行以下命令可更改虚拟机的密码： gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" 替换以下内容： `VM_NAME`：您要设置密码的虚拟机的名称。 `USERNAME`：您要为其设置密码的用户的用户名。 `PASSWORD`：新密码。
`compute.enableComplianceMemoryProtection`	设置为 True。停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。更改此值可能会影响工作负载中的数据驻留；我们建议您保留此值。

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件	说明
`container.restrictNoncompliantDiagnosticDataAccess`	设置为 True。用于停用内核问题的汇总分析，这是维护工作负载的主权所必需的。更改此值可能会影响工作负载中的数据主权；我们建议您保留此值。

受影响的功能

本部分列出了每个服务的功能或能力如何受 KSA Data Boundary with Access Justifications 影响，包括使用某项功能时的用户要求。

Bigtable 功能

功能	说明
Data Boost	此功能处于禁用状态。

Compute Engine 功能

特征	说明
Google Cloud 控制台	以下 Compute Engine 功能在 Google Cloud 控制台中不可用。使用 API 或 Google Cloud CLI（如有）：健康检查网络端点组基于浏览器的 SSH 已停用
将实例组添加到全球负载均衡器	您无法将实例组添加到全局负载均衡器。此功能受 `compute.disableGlobalLoadBalancing` 组织政策限制条件约束，已被停用。
`instances.getSerialPortOutput()`	此 API 已停用；您将无法使用此 API 从指定实例获取串行端口输出。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False，以启用此 API。您还可以启用和使用交互式串行端口。
`instances.getScreenshot()`	此 API 已停用；您将无法使用此 API 从指定实例获取屏幕截图。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False，以启用此 API。您还可以启用和使用交互式串行端口。

Cloud Interconnect 功能

功能	说明
高可用性 (HA) VPN	将 Cloud Interconnect 与 Cloud VPN 搭配使用时，您必须启用高可用性 (HA) VPN 功能。此外，您还必须遵守本部分中列出的加密和区域化要求。

Cloud Monitoring 功能

功能	说明
合成监控工具	此功能处于禁用状态。
拨测	此功能处于禁用状态。
信息中心中的日志面板 widget	此功能已停用。您无法向信息中心添加日志面板。
信息中心中的错误报告面板 widget	此功能已停用。您无法向信息中心添加错误报告面板。
`EventAnnotation` 中的过滤条件信息中心	此功能已停用。无法在信息中心内设置 `EventAnnotation` 的过滤条件。
`SqlCondition` 在 `alertPolicies` 中	此功能处于停用状态。您无法向 `alertPolicy` 添加 `SqlCondition`。

Cloud Run 功能

功能	说明
不受支持的功能	不支持以下 Cloud Run 功能： Cloud Trace 集成 Eventarc 触发器

Cloud Storage 的功能

功能	说明
Google Cloud 控制台	您有责任使用管辖区级 Google Cloud 控制台来管理具有访问权限正当理由的 KSA 数据边界。管辖权控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象，请参阅下表中合规的 API 端点行。
符合要求的 API 端点	您有责任将某个位置端点与 Cloud Storage 搭配使用。如需了解详情，请参阅 Cloud Storage 位置。

Google Cloud Armor 功能

功能	说明
全球范围的安全政策	此功能已因组织政策限制而被停用。 `compute.disableGlobalCloudArmorPolicy`

Cloud VPN 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台不支持 Cloud VPN 功能。请改用 API 或 Google Cloud CLI。

脚注

1. BigQuery 受支持，但由于内部配置流程，在您创建新的 Assured Workloads 文件夹时，系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成，但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery，请完成以下步骤：

在 Google Cloud 控制台中，前往 Assured Workloads 页面。
前往 Assured Workloads
从列表中选择新的 Assured Workloads 文件夹。
在文件夹详情页面的允许的服务部分，点击查看可用更新。
在允许的服务窗格中，查看要添加到相应文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务，请点击允许服务以添加这些服务。

如果未列出 BigQuery 服务，请等待内部进程完成。如果在创建文件夹后的 12 小时内未列出这些服务，请与 Cloud Customer Care 联系。

启用流程完成后，您可以在 Assured Workloads 文件夹中使用 BigQuery。

Assured Workloads 不支持 Gemini in BigQuery。