Esta página se ha traducido con Cloud Translation API.

Restricciones y limitaciones en T-Systems Sovereign Cloud

En este tema se describen las restricciones, las limitaciones y otras opciones de configuración al usar T-Systems Sovereign Cloud.

Información general

T-Systems Sovereign Cloud (TSI Sovereign Cloud) ofrece funciones de residencia y soberanía de datos para los servicios incluidos en el ámbito Google Cloud . Para ofrecer estas funciones, algunas de las funciones de estos servicios están restringidas o limitadas. La mayoría de estos cambios se aplican durante el proceso de incorporación cuando tu organización pasa a estar gestionada por T-Systems International (TSI). Sin embargo, algunos de ellos se pueden cambiar más adelante modificando las políticas de la organización.

Es importante entender cómo modifican estas restricciones el comportamiento de un Google Cloud servicio concreto o cómo afectan a la soberanía o la residencia de los datos. Por ejemplo, algunas funciones o características pueden inhabilitarse automáticamente para asegurar que se mantengan la soberanía y la residencia de los datos. Además, si se cambia un ajuste de una política de la organización, podría copiarse información de una región a otra por error.

Servicios y APIs incluidos en el ámbito

Servicios

Compute Engine
- Políticas de organización
- Funciones afectadas
Persistent Disk
Cloud Storage
- Políticas de organización
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- Políticas de organización
Google Kubernetes Engine
- Políticas de organización
Cloud Logging
- Funciones afectadas

APIs

Los siguientes endpoints de API están disponibles en la nube soberana de TSI:

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

Políticas de organización

En esta sección se describe cómo afecta a cada servicio el valor predeterminado de la restricción de la política de la organización cuando se crean carpetas o proyectos con TSI Sovereign Cloud. Otras restricciones aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una "defensa en profundidad" adicional para proteger aún más los recursos de tu organización. Google Cloud

Restricciones de políticas de la organización en toda la nube

Las siguientes restricciones de políticas de la organización se aplican a cualquier Google Cloud servicio aplicable.

Restricción de política de organización	Descripción
`gcp.resourceLocations`	Se ha definido `in:tsi-sovereign` como el elemento `allowedValues` de la lista. Este valor restringe la creación de recursos nuevos al grupo de valores de TSI. Cuando se define, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación fuera de las definidas por TSI. Para obtener más información, consulta la documentación sobre los grupos de valores de la política de organizaciones.
`gcp.restrictNonCmekServices`	Se asigna a una lista de todos los nombres de servicios de API incluidos en el ámbito, entre los que se incluyen los siguientes: `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` Es posible que algunas funciones se vean afectadas en cada uno de los servicios indicados anteriormente. Consulta la sección Funciones afectadas que aparece más abajo. Cada servicio de la lista requiere claves de encriptado gestionadas por el cliente (CMEK). Las CMEK permiten que los datos en reposo se cifren con una clave que tú gestionas, no con los mecanismos de cifrado predeterminados de Google. Si cambias este valor quitando uno o varios servicios incluidos en el ámbito de la lista, puede que se vea afectada la soberanía de los datos, ya que los nuevos datos en reposo se encriptarán automáticamente con las claves de Google en lugar de con las tuyas. Los datos en reposo se seguirán cifrando con la clave que hayas proporcionado.
`gcp.restrictCmekCryptoKeyProjects`	Definir como `under:organizations/your-organization-name`, que es tu organización de Sovereign Cloud de TSI. Puede restringir aún más este valor especificando un proyecto o una carpeta. Limita el ámbito de las carpetas o proyectos aprobados que pueden proporcionar claves de KMS para cifrar datos en reposo mediante CMEK. Esta restricción impide que carpetas o proyectos no aprobados proporcionen claves de cifrado, lo que ayuda a garantizar la soberanía de los datos en reposo de los servicios incluidos en el ámbito.

Restricciones de las políticas de organización de Compute Engine

Restricción de política de organización	Descripción
`compute.enableComplianceMemoryProtection`	Su valor debe ser True. Inhabilita algunas funciones de diagnóstico internas para proporcionar una protección adicional del contenido de la memoria cuando se produce un fallo en la infraestructura. Si cambia este valor, puede afectar a la residencia o la soberanía de sus datos.
`compute.disableSerialPortLogging`	Su valor debe ser True. Inhabilita el registro del puerto serie en Stackdriver de las VMs de Compute Engine de la carpeta o el proyecto en los que se aplique la restricción. Si cambia este valor, puede afectar a la residencia o la soberanía de sus datos.
`compute.disableInstanceDataAccessApis`	Su valor debe ser True. Inhabilita globalmente las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la documentación sobre máquinas virtuales confidenciales.
`compute.trustedImageProjects`	(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Si se define este valor, el almacenamiento de imágenes y la creación de instancias de disco se limitarán a la lista de proyectos especificada. Este valor afecta a la soberanía de los datos, ya que impide el uso de imágenes o agentes no autorizados.

Restricciones de políticas de la organización de Cloud Storage

Restricción de política de organización Descripción

storage.uniformBucketLevelAccess Su valor debe ser True.

El acceso a los segmentos nuevos se gestiona mediante políticas de IAM en lugar de listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos detallados para los contenedores y su contenido.

Si se crea un contenedor mientras esta restricción está habilitada, nunca se podrá gestionar el acceso a él mediante ACLs. Es decir, el método de control de acceso de un segmento se define de forma permanente para usar políticas de gestión de identidades y accesos en lugar de LCAs de Cloud Storage.

Restricción de política de organización	Descripción
`storage.uniformBucketLevelAccess`	Su valor debe ser True. El acceso a los segmentos nuevos se gestiona mediante políticas de IAM en lugar de listas de control de acceso (LCA) de Cloud Storage. Esta restricción proporciona permisos detallados para los contenedores y su contenido. Si se crea un contenedor mientras esta restricción está habilitada, nunca se podrá gestionar el acceso a él mediante ACLs. Es decir, el método de control de acceso de un segmento se define de forma permanente para usar políticas de gestión de identidades y accesos en lugar de LCAs de Cloud Storage.
`storage.restrictAuthTypes`	Se define para evitar la autenticación mediante el código de autenticación de mensajes basado en hash (HMAC). En esta restricción se especifican los dos tipos de HMAC siguientes: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` De forma predeterminada, las claves HMAC no pueden autenticarse en recursos de Cloud Storage para cargas de trabajo en TSI Sovereign Cloud. Las claves HMAC afectan a la soberanía de los datos porque se pueden usar para acceder a los datos de los clientes sin que estos lo sepan. Consulta las claves HMAC en la documentación de Cloud Storage. Si cambia este valor, puede afectar a la soberanía de los datos de su carga de trabajo. Le recomendamos que mantenga el valor definido.

storage.restrictAuthTypes

Se define para evitar la autenticación mediante el código de autenticación de mensajes basado en hash (HMAC). En esta restricción se especifican los dos tipos de HMAC siguientes:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

De forma predeterminada, las claves HMAC no pueden autenticarse en recursos de Cloud Storage para cargas de trabajo en TSI Sovereign Cloud. Las claves HMAC afectan a la soberanía de los datos porque se pueden usar para acceder a los datos de los clientes sin que estos lo sepan. Consulta las claves HMAC en la documentación de Cloud Storage.

Si cambia este valor, puede afectar a la soberanía de los datos de su carga de trabajo. Le recomendamos que mantenga el valor definido.

Restricciones de políticas de organización de Google Kubernetes Engine

Restricción de política de organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Su valor debe ser True. Se usa para inhabilitar el análisis agregado de problemas del kernel, que es necesario para mantener el control soberano de una carga de trabajo. Si cambia este valor, puede afectar a la soberanía de los datos de su carga de trabajo. Le recomendamos que mantenga el valor definido.

Restricciones de políticas de la organización de Cloud Key Management Service

Restricción de política de organización	Descripción
`cloudkms.allowedProtectionLevels`	Su valor debe ser `EXTERNAL` y `EXTERNAL_VPC`. Restringe los tipos de CryptoKey de Cloud Key Management Service que se pueden crear y se define para permitir solo los tipos de clave `EXTERNAL` y `EXTERNAL_VPC`.

Funciones afectadas

En esta sección se indica cómo afectan las funciones o las características de cada servicio a TSI Sovereign Cloud.

Características de Compute Engine

Función	Descripción
Suspender y reanudar una instancia de máquina virtual	Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente, y el almacenamiento en disco persistente que se usa para almacenar el estado de la VM suspendida no se puede cifrar con CMEK. Consulte la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para conocer las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
SSDs locales	Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque actualmente no se pueden cifrar con CMEK. Consulte la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para conocer las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
Ver salidas de puertos serie	Esta función está inhabilitada, por lo que no podrás ver el resultado ni mediante programación ni a través de Cloud Logging. Cambia el valor de la restricción de la política de organización `compute.disableSerialPortLogging` a False para habilitar la salida del puerto serie.
Entorno de invitado	Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu VM, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta la sección Entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete. Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización `compute.trustedImageProjects`. Para obtener más información, consulta el artículo Crear una imagen personalizada.
`instances.getSerialPortOutput()`	Esta API está inhabilitada, por lo que no podrás obtener la salida del puerto serie de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de este tema.
`instances.getScreenshot()`	Esta API está inhabilitada, por lo que no podrás obtener una captura de pantalla de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de este tema.

Funciones de Cloud Logging

Configuración adicional de Cloud Logging obligatoria para CMEK

Para usar Cloud Logging con claves de encriptado gestionadas por el cliente (CMEK), debes completar los pasos que se indican en el tema Habilitar CMEK en una organización de la documentación de Cloud Logging.

Funciones de Cloud Logging afectadas

Función	Descripción
Sumideros de registros	Los filtros no deben contener datos de clientes. Los receptores de registro incluyen filtros que se almacenan como configuración. No cree filtros que contengan Datos de Clientes.
Seguimiento en tiempo real de entradas de registro	Los filtros no deben contener datos de clientes. Una sesión de seguimiento en directo incluye un filtro que se almacena como configuración. El seguimiento de registros no almacena ningún dato de entrada de registro, pero puede consultar y transmitir datos entre regiones. No cree filtros que contengan datos de clientes.
Alertas basadas en registros	Esta función está inhabilitada. No puedes crear alertas basadas en registros en la consola Google Cloud .
URLs acortadas para consultas del Explorador de registros	Esta función está inhabilitada. No puedes crear URLs acortadas de consultas en la Google Cloud consola.
Guardar consultas en el Explorador de registros	Esta función está inhabilitada. No puedes guardar ninguna consulta en la Google Cloud consola.
Analíticas de registros con BigQuery	Esta función está inhabilitada. No puedes usar la función Analíticas de registros.