Restrizioni e limitazioni nelle regioni e nell'assistenza nell'UE con controlli di sovranità
Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando utilizzi le regioni e l'assistenza nell'UE con controlli di sovranità.
Panoramica
Le regioni e l'assistenza nell'UE con controlli di sovranità offrono funzionalità di residenza e sovranità dei dati per servizi Google Cloud supportati. Per offrire queste funzionalità, di questi servizi funzioni sono limitate o limitate. La maggior parte di queste modifiche viene applicata durante la procedura di onboarding quando viene creata una nuova cartella o un nuovo progetto in un ambiente Regioni e assistenza nell'UE con controlli di sovranità, ma alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione.
È importante capire in che modo queste restrizioni modificano il comportamento di un un determinato servizio Google Cloud o sovranità dei dati o residenza dei dati. Per alcune funzioni o funzionalità possono essere disattivate automaticamente per garantire che vengano mantenute la sovranità e la residenza dei dati. Inoltre, se dell'impostazione dei criteri dell'organizzazione potrebbe avere conseguenze indesiderate di copiare i dati da una regione all'altra.
Prodotti e servizi supportati
Consulta la pagina Prodotti supportati per un elenco dei prodotti e servizi supportati dalle regioni e dall'assistenza nell'UE con controlli di sovranità.
Criteri dell'organizzazione
Questa sezione descrive in che modo l'organizzazione predefinita influisce su ogni servizio dei vincoli dei criteri quando vengono creati cartelle o progetti Regioni e assistenza nell'UE con controlli di sovranità. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
Vincolo dei criteri dell'organizzazione | Descrizione |
---|---|
gcp.resourceLocations |
Impostato su in:eu-locations come allowedValues
voce dell'elenco.Questo valore limita la creazione di nuove risorse solo al gruppo di valori UE. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori dell'UE. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe minare sia la sovranità dei dati sia la loro residenza, consentendo la creazione o la memorizzazione dei dati al di fuori del confine dei dati dell'UE. Ad esempio, se sostituisci in:eu-locations gruppo di valori con il
in:europe-locations gruppo di valori,
che includono località di altri stati membri dell'UE.
|
gcp.restrictNonCmekServices |
Imposta su un elenco di tutte le opzioni nell'ambito
Nomi dei servizi API,
tra cui:
Ciascun servizio elencato richiede Chiavi di crittografia gestite dal cliente (CMEK). CMEK consente di criptare i dati at-rest con una chiave gestita da te, Meccanismi di crittografia predefiniti di Google. Modifica questo valore rimuovendo uno o più servizi supportati dal dell'elenco può minare sovranità dei dati, poiché i nuovi dati at-rest verranno criptati automaticamente utilizzando le proprietà anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave che hai fornito. |
gcp.restrictCmekCryptoKeyProjects |
Gli utenti possono impostare questo valore per i progetti o le cartelle destinati all'uso con Regioni e assistenza nell'UE con controlli di sovranità. Ad esempio:
under:folders/my-folder-name Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità sui dati per i dati a riposo dei servizi supportati. |
Vincoli dei criteri dell'organizzazione di Compute Engine
Vincolo dei criteri dell'organizzazione | Descrizione |
---|---|
compute.enableComplianceMemoryProtection |
Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire ulteriori della memoria in caso di errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati. |
compute.disableInstanceDataAccessApis
| Imposta su True. Disattiva a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot() . |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriori
una difesa in profondità. Consulta le
Documentazione di Confidential VM
per ulteriori informazioni. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità.
L'impostazione di questo valore vincola l'archiviazione delle immagini e l'istanza del disco all'istanza dell'elenco di progetti specificato. Questo valore influisce sulla sovranità dei dati impedendo l'uso di immagini o agenti non autorizzati. |
Vincoli dei criteri dell'organizzazione di Cloud Storage
Vincolo dei criteri dell'organizzazione | Descrizione |
---|---|
storage.uniformBucketLevelAccess |
Imposta su True. L'accesso ai nuovi bucket viene gestito tramite i criteri IAM anziché Elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se un bucket viene creato mentre questo vincolo è abilitato, l'accesso al bucket può non sarà mai gestita tramite ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato definitivamente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage. |
Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine
Vincolo dei criteri dell'organizzazione | Descrizione |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Viene utilizzato per disattivare l'analisi aggregata dei problemi del kernel, che è necessaria per mantenere il controllo sovrano di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo carico di lavoro. Ti consigliamo vivamente di mantenere il valore impostato. |
Vincoli dei criteri dell'organizzazione di Cloud Key Management Service
Vincolo dei criteri dell'organizzazione | Descrizione |
---|---|
cloudkms.allowedProtectionLevels |
Impostato su EXTERNAL .Limita i tipi di CryptoKey Cloud Key Management Service che possono essere creati e viene impostato per consentire solo elementi esterni tipi di chiavi. |
Funzionalità interessate
Questa sezione elenca l'impatto delle Regioni e dell'assistenza nell'UE con controlli di sovranità sulle funzionalità o sulle capacità di ciascun servizio.
Funzionalità di BigQuery
Funzionalità | Descrizione |
---|---|
Attivazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova
cartella Carichi di lavoro garantiti a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se
processo completato. Per abilitare BigQuery, segui questi passaggi:
Al termine della procedura di abilitazione, puoi utilizzare BigQuery nella cartella Carichi di lavoro garantiti. Gemini in BigQuery non è supportato da Assured Workloads. |
Funzionalità non supportate | Le seguenti funzionalità di BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non
utilizzarli in BigQuery per le regioni e l'assistenza nell'UE con controlli di sovranità.
|
Integrazioni non supportate | Le seguenti integrazioni di BigQuery non sono supportate. È
è tua responsabilità non utilizzarli con BigQuery
Regioni e assistenza nell'UE con controlli di sovranità.
|
API BigQuery supportate | Sono supportate le seguenti API BigQuery:
|
Regioni | BigQuery è supportato per tutte le versioni BigQuery EU
regioni ad eccezione della multiregione EU. La conformità non può essere garantita
se un set di dati viene creato in una regione con più regioni dell'UE, in una regione non appartenente all'UE o in una regione con più regioni non appartenente all'UE. È tua responsabilità specificare una regione conforme
durante la creazione di set di dati BigQuery. Se una richiesta di elenco di dati di tabella viene inviata utilizzando una regione dell'UE, ma il set di dati è stato creato in un'altra regione dell'UE, BigQuery non può dedurre quale regione intendevi utilizzare e l'operazione non andrà a buon fine con un messaggio di errore "set di dati non trovato". |
Console Google Cloud | L'interfaccia utente di BigQuery nella console Google Cloud è supportata.
|
interfaccia a riga di comando di BigQuery | La CLI BigQuery è supportata.
|
Google Cloud SDK | Per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici, devi utilizzare la versione 403.0.0 o successiva del Google Cloud SDK. Per eseguire la verifica
la versione attuale di Google Cloud SDK, esegui gcloud --version e
poi gcloud components update per eseguire l'aggiornamento alla versione più recente.
|
Controlli per gli amministratori | BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads può abilitare un'API non supportata. In questo caso, riceverai una notifica la potenziale non conformità Monitoraggio di Assured Workloads dashboard. |
Caricamento di dati | I connettori di BigQuery Data Transfer Service per le app Google Software as a Service (SaaS), i fornitori di servizi di archiviazione sul cloud esterni e i data warehouse non sono supportati. È la tua la responsabilità di non utilizzare i connettori BigQuery Data Transfer Service per Regioni e assistenza nell'UE con carichi di lavoro di controlli di sovranità. |
Trasferimenti di terze parti | BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare l'assistenza quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service. |
Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
Job di query | I job di query con devono essere creati solo all'interno delle regioni UE e delle cartelle Assistenza con controlli di sovranità. |
Query sui set di dati in altri progetti | BigQuery non impedisce di eseguire query sui set di dati delle regioni e dell'assistenza nell'UE con controlli di sovranità da progetti delle regioni e dell'assistenza al di fuori dell'UE con controlli di sovranità. Devi assicurarti che qualsiasi
query che includa una lettura o una unione sui dati di Regioni e assistenza nell'UE con controlli di sovranità sia inserita
in una cartella Regioni e assistenza nell'UE con controlli di sovranità. Puoi specificare un
completamente qualificato
nome della tabella per il risultato della query utilizzando projectname.dataset.table
nell'interfaccia a riga di comando di BigQuery. |
Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dei dati di log.
Devi disabilitare _default bucket di logging oppure
limita _default bucket alle regioni dell'UE a
mantieni la conformità usando questo comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulta questa pagina per ulteriori informazioni informazioni. |
Funzionalità di Bigtable
Funzionalità | Descrizione |
---|---|
Funzionalità non supportate | Le funzionalità e i metodi API Bigtable non sono
supportati. È responsabilità dell'utente non utilizzarli con
Bigtable per le regioni e l'assistenza nell'UE con controlli di sovranità.
|
Dividi confini | Bigtable usa un piccolo sottoinsieme di chiavi di riga per definire la suddivisione
che possono includere dati e metadati dei clienti. Un confine di divisione
in Bigtable indica la posizione in cui gli intervalli contigui di righe
in una tabella sono suddivisi in tablet. Questi confini di suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e di debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni dell'UE e nell'assistenza con controlli di sovranità. |
Funzionalità di Spanner
Funzionalità | Descrizione |
---|---|
Confini della suddivisione | Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire confini di suddivisione, che possono includere dati e metadati dei clienti. Una divisione
in Spanner la località in cui gli intervalli contigui
di righe sono suddivise in parti più piccole. Questi confini di suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e di debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni dell'UE e nell'assistenza con controlli di sovranità. |
Funzionalità Dataproc
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Dataproc al momento non supporta Giurisdizionale console Google Cloud. Per applicare la residenza dei dati, assicurati di utilizzare in Google Cloud CLI o l'API quando si utilizza Dataproc. |
Funzionalità di GKE
Funzionalità | Descrizione |
---|---|
Limitazioni delle risorse del cluster | Assicurati che la configurazione del cluster non utilizzi risorse per
servizi non supportati nelle regioni dell'UE e nell'assistenza con i controlli di sovranità. Ad esempio, la
seguente configurazione non è valida perché richiede l'attivazione o l'utilizzo
di un servizio non supportato:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Funzionalità di Cloud Logging
Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi descritti nella pagina Attivare CMEK per un'organizzazione della documentazione di Cloud Logging.
Funzionalità | Descrizione |
---|---|
Sink di log | I filtri non devono contenere dati dei clienti. I sink di log includono filtri memorizzati come configurazione. Non creare filtri che contengono dati dei clienti. |
Voci di log di monitoraggio in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro archiviato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query per la trasmissione dei dati tra regioni. Non creare filtri che contengono dati dei clienti. |
Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud. |
URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud. |
Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud. |
Analisi dei log con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics. |
Funzionalità di Compute Engine
Funzionalità | Descrizione |
---|---|
Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono spazio di archiviazione su disco permanente e attualmente lo spazio di archiviazione su disco permanente utilizzato per memorizzare lo stato della VM sospesa non può essere criptato utilizzando CMEK. Consulta le gcp.restrictNonCmekServices organizzazione
vincolo dei criteri nella sezione precedente per comprendere la sovranità dei dati
e la residenza dei dati che comporta
l'abilitazione di questa funzionalità.
|
SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché attualmente non possono essere criptati utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati derivanti dall'attivazione di questa funzionalità.
|
Ambiente guest |
È possibile che script, demoni e file binari inclusi nell'ambiente guest accedano ai dati at-rest e in uso non criptati.
A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere
installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche su
i contenuti, il codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a rispettare la sovranità dei dati attraverso controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini gli agenti e, facoltativamente, usare l' compute.trustedImageProjects
un vincolo del criterio dell'organizzazione.
Consulta Creazione di un'immagine personalizzata per ulteriori informazioni. |
instances.getSerialPortOutput() |
Questa API è disabilitata. non potrai ottenere un output della porta seriale
dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche
attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate su
su questa pagina.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in
questa pagina.
|