沙特阿拉伯王国 (KSA) 主权控制的限制和限制
本页将介绍相关限制、局限性 选项。
概览
KSA 主权控制软件包支持数据访问权限控制和数据 受支持的 Google Cloud 产品的驻留功能。 为了使这些服务与沙特阿拉伯主权控制功能兼容,Google 限制了其中一些服务的功能。在为 KSA 的主权控制功能创建新的 Assured Workloads 文件夹时,系统会应用大多数这些限制。不过,您可以稍后通过 修改 组织政策。 此外,某些限制和限制要求用户负责遵守。
您有必要了解这些限制是如何改变 或影响数据访问或 数据驻留。例如,一些 功能。 访问限制和数据驻留。此外,如果 组织政策设置发生更改,可能会导致意外后果 即将数据从一个区域复制到另一个区域
支持的服务
除非另有说明,否则用户可以通过 Google Cloud 控制台
以下服务与沙特阿拉伯王国 (KSA) 主权控制功能兼容:
| 支持的产品 | API 端点 | 限制 |
|---|---|---|
| Access Approval |
不支持区域性 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
无 |
| Artifact Registry |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 |
无 |
| BigQuery |
区域性 API 端点:
不支持位置 API 端点。 不支持全球 API 端点。 |
无 |
| Bigtable |
区域性 API 端点:
不支持位置 API 端点。 不支持全局 API 端点。 |
无 |
| Cloud Key Management Service (Cloud KMS) |
区域性 API 端点:
不支持 Locational API 端点。 不支持全局 API 端点。 |
无 |
| Cloud HSM |
区域性 API 端点:
不支持 Locational API 端点。 不支持全局 API 端点。 |
无 |
| Resource Manager |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Compute Engine |
不支持区域性 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
受影响的功能以及组织政策限制 |
| Google Cloud 控制台 |
不支持区域性 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| Google Kubernetes Engine |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
组织政策限制条件 |
| Dataflow |
区域性 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 |
无 |
| Dataproc |
区域性 API 端点:
不支持位置 API 端点。 不支持全局 API 端点。 |
无 |
| Cloud DNS |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
无 |
| 重要联系人 |
不支持区域性 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| GKE Hub |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
无 |
| Identity and Access Management (IAM) |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
无 |
| Identity-Aware Proxy (IAP) |
不支持区域级 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Load Balancing |
不支持区域性 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
无 |
| Cloud Logging |
区域性 API 端点:
不支持 Locational API 端点。 不支持全局 API 端点。 |
无 |
| Cloud Monitoring |
不支持区域级 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
无 |
| Cloud NAT |
不支持区域性 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| Network Connectivity Center |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
无 |
| Cloud Interconnect |
不支持区域级 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
受影响的功能 |
| 组织政策服务 |
不支持区域性 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
无 |
| Persistent Disk |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Pub/Sub |
区域级 API 端点:
不支持 Locational API 端点。 不支持全局 API 端点。 |
无 |
| Resource Settings |
不支持区域级 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
无 |
| Cloud Router |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
无 |
| Service Directory |
不支持区域性 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| Spanner |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 |
无 |
| Cloud SQL |
不支持区域级 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| Cloud Storage |
区域性 API 端点:
不支持位置 API 端点。 不支持全球 API 端点。 |
受影响的功能 |
| 虚拟私有云 (VPC) |
不支持区域级 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| VPC Service Controls |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud VPN |
不支持区域级 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
受影响的功能 |
组织政策
本部分介绍默认组织对各项服务的影响 使用“ ”创建文件夹或项目时的政策限制条件值 KSA 的主权控制。其他适用的限制条件 - 即使不是由 默认—可提供额外的“深度防御”以进一步保护您的 组织的 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 in:us-locations 作为 allowedValues 列表项。如果使用以下值,则任何新资源的创建 仅限“ me-central2”值组。设置此标志后,您将无法在沙特阿拉伯区域、多区域位置或其他位置创建任何资源。如需了解详情,请参阅组织政策值组文档。如果更改此值,则允许更少的数据在沙特阿拉伯数据边界之外创建或存储,从而可能破坏数据驻留。 |
gcp.restrictServiceUsage |
设置为允许使用所有支持的服务。 决定可以启用和使用哪些服务。如需更多信息 请参阅 限制工作负载的资源用量。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策会阻止您 在 Windows Server 虚拟机上生成凭据。 如果您需要管理 Windows 虚拟机上的用户名和密码,请执行以下操作:
|
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
Google Kubernetes Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载中的数据主权;我们建议您保留此值。 |
受影响的功能
本部分列出每项服务的功能或能力如何受沙特阿拉伯主权控制影响,包括使用某项功能时用户须遵循的要求。
Compute Engine 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不提供以下 Compute Engine 功能。使用 API 或 Google Cloud CLI(如果可用):
|
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以启用和使用交互式串行端口。 |
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以
启用并使用交互式串行端口。
|
Cloud Interconnect 特性
| 特征 | 说明 |
|---|---|
| 高可用性 (HA) VPN | 使用高可用性 VPN 网关时, Cloud Interconnect 与 Cloud VPN。此外,您还必须遵守 列出的加密和区域化要求 此部分。 |
Cloud Storage 的功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | 您有责任使用管辖区级 Google Cloud 控制台来管理沙特阿拉伯主权控制功能。管辖区控制台会阻止上传和下载 Cloud Storage 对象。接收者 上传和下载 Cloud Storage 对象,请参阅以下内容 合规 API 端点行。 |
| 合规的 API 端点 | 您应负责将其中一个位置端点用于 Cloud Storage如需了解详情,请参阅 Cloud Storage 位置。 |
Cloud VPN 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud VPN 功能。使用 API 或 Google Cloud CLI。 |
脚注
1. 系统支持 BigQuery,但由于内部配置流程,当您创建新的“受保工作负载”文件夹时,系统不会自动启用 BigQuery。此过程通常需要 10 分钟才能完成,但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery,请完成以下步骤:
- 在 Google Cloud 控制台中,前往 Assured Workloads 页面。
- 从列表中选择新的 Assured Workloads 文件夹。
- 在文件夹详细信息页面的允许的服务部分,点击 查看可用更新。
- 在允许的服务窗格中,查看要添加到
资源使用限制
文件夹的组织政策。如果系统列出了 BigQuery 服务,请点击
选择允许服务即可添加这些服务。
如果未列出 BigQuery 服务,请等待内部流程完成。如果在创建文件夹后的 12 小时内未列出服务,请与 Cloud Customer Care 联系。
启用流程完成后,您可以在自己的 Assured Workloads 文件夹。
可靠工作负载不支持 BigQuery 中的 Gemini。