Questa pagina è stata tradotta dall'API Cloud Translation.

Restrizioni e limitazioni nelle regioni e nell'assistenza nell'UE con controlli di sovranità

Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando utilizzi le regioni e l'assistenza nell'UE con controlli di sovranità.

Panoramica

Le regioni e l'assistenza nell'UE con controlli di sovranità offrono funzionalità di residenza e sovranità dei dati per servizi Google Cloud supportati. Per offrire queste funzionalità, di questi servizi funzioni sono limitate o limitate. La maggior parte di queste modifiche viene applicata durante la procedura di onboarding quando viene creata una nuova cartella o un nuovo progetto in un ambiente Regioni e assistenza nell'UE con controlli di sovranità, ma alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione.

È importante capire in che modo queste restrizioni modificano il comportamento di un un determinato servizio Google Cloud o sovranità dei dati o residenza dei dati. Per alcune funzioni o funzionalità possono essere disattivate automaticamente per garantire che vengano mantenute la sovranità e la residenza dei dati. Inoltre, se dell'impostazione dei criteri dell'organizzazione potrebbe avere conseguenze indesiderate di copiare i dati da una regione all'altra.

Prodotti e servizi supportati

Consulta la pagina Prodotti supportati per un elenco dei prodotti e servizi supportati dalle regioni e dall'assistenza nell'UE con controlli di sovranità.

Criteri dell'organizzazione

Questa sezione descrive in che modo l'organizzazione predefinita influisce su ogni servizio dei vincoli dei criteri quando vengono creati cartelle o progetti Regioni e assistenza nell'UE con controlli di sovranità. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.

Vincoli dei criteri dell'organizzazione a livello di cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo dei criteri dell'organizzazione	Descrizione
`gcp.resourceLocations`	Impostato su `in:eu-locations` come `allowedValues` voce dell'elenco. Questo valore limita la creazione di nuove risorse solo al gruppo di valori UE. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori dell'UE. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe minare sia la sovranità dei dati sia la loro residenza, consentendo la creazione o la memorizzazione dei dati al di fuori del confine dei dati dell'UE. Ad esempio, se sostituisci `in:eu-locations` gruppo di valori con il `in:europe-locations` gruppo di valori, che includono località di altri stati membri dell'UE.
`gcp.restrictNonCmekServices`	Imposta su un elenco di tutte le opzioni nell'ambito Nomi dei servizi API, tra cui: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Alcune funzionalità potrebbero essere interessate da ogni servizio elencato sopra. Consulta consulta la sezione Funzionalità interessate di seguito. Ciascun servizio elencato richiede Chiavi di crittografia gestite dal cliente (CMEK). CMEK consente di criptare i dati at-rest con una chiave gestita da te, Meccanismi di crittografia predefiniti di Google. Modifica questo valore rimuovendo uno o più servizi supportati dal dell'elenco può minare sovranità dei dati, poiché i nuovi dati at-rest verranno criptati automaticamente utilizzando le proprietà anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave che hai fornito.
`gcp.restrictCmekCryptoKeyProjects`	Gli utenti possono impostare questo valore per i progetti o le cartelle destinati all'uso con Regioni e assistenza nell'UE con controlli di sovranità. Ad esempio: `under:folders/my-folder-name` Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità sui dati per i dati a riposo dei servizi supportati.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire ulteriori della memoria in caso di errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disattiva a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriori una difesa in profondità. Consulta le Documentazione di Confidential VM per ulteriori informazioni.
`compute.trustedImageProjects`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità. L'impostazione di questo valore vincola l'archiviazione delle immagini e l'istanza del disco all'istanza dell'elenco di progetti specificato. Questo valore influisce sulla sovranità dei dati impedendo l'uso di immagini o agenti non autorizzati.

Vincoli dei criteri dell'organizzazione di Cloud Storage

Vincolo dei criteri dell'organizzazione Descrizione

storage.uniformBucketLevelAccess Imposta su True.

L'accesso ai nuovi bucket viene gestito tramite i criteri IAM anziché Elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti.

Se un bucket viene creato mentre questo vincolo è abilitato, l'accesso al bucket può non sarà mai gestita tramite ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato definitivamente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

Vincolo dei criteri dell'organizzazione	Descrizione
`storage.uniformBucketLevelAccess`	Imposta su True. L'accesso ai nuovi bucket viene gestito tramite i criteri IAM anziché Elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se un bucket viene creato mentre questo vincolo è abilitato, l'accesso al bucket può non sarà mai gestita tramite ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato definitivamente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Viene utilizzato per disattivare l'analisi aggregata dei problemi del kernel, che è necessaria per mantenere il controllo sovrano di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo carico di lavoro. Ti consigliamo vivamente di mantenere il valore impostato.

Vincoli dei criteri dell'organizzazione di Cloud Key Management Service

Vincolo dei criteri dell'organizzazione	Descrizione
`cloudkms.allowedProtectionLevels`	Impostato su `EXTERNAL`. Limita i tipi di CryptoKey Cloud Key Management Service che possono essere creati e viene impostato per consentire solo elementi esterni tipi di chiavi.

Funzionalità interessate

Questa sezione elenca l'impatto delle Regioni e dell'assistenza nell'UE con controlli di sovranità sulle funzionalità o sulle capacità di ciascun servizio.

Funzionalità di BigQuery

Funzionalità	Descrizione
Attivazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova cartella Carichi di lavoro garantiti a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se processo completato. Per abilitare BigQuery, segui questi passaggi: Nella console Google Cloud, vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella della sezione Servizi consentiti, fai clic su Rivedi gli aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se i servizi BigQuery sono elencati, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento del processo interno. Se servizi non vengono elencati entro 12 ore dalla creazione della cartella, contatta Assistenza clienti Google Cloud. Al termine della procedura di abilitazione, puoi utilizzare BigQuery nella cartella Carichi di lavoro garantiti. Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità di BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per le regioni e l'assistenza nell'UE con controlli di sovranità. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono supportati. Sono supportati i modelli BQML addestrati internamente. Query pianificate e federate Mascheramento dinamico dei dati Esportazione di GDrive Funzioni da remoto Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, notebook sono non supportato.
Integrazioni non supportate	Le seguenti integrazioni di BigQuery non sono supportate. È è tua responsabilità non utilizzarli con BigQuery Regioni e assistenza nell'UE con controlli di sovranità. `CreateTag`, `SearchCatalog`, API `Bulk tagging` e `Business Glossary` i metodi di L'API Data Catalog può elaborare e archiviare i dati tecnici in un modo non supportato. È la responsabilità dell'utente di non utilizzare questi metodi per le regioni e l'assistenza nell'UE con controlli di sovranità.
API BigQuery supportate	Sono supportate le seguenti API BigQuery: Set di dati Job Modelli Progetti Prenotazioni Routine Criteri di accesso alle righe Lettura spazio di archiviazione Archiviazione in scrittura Tabelle Dati tabella L'API Reservations non è abilitata per impostazione predefinita. Tu puoi abilitare l'API seguendo le istruzioni questa pagina.
Regioni	BigQuery è supportato per tutte le versioni BigQuery EU regioni ad eccezione della multiregione EU. La conformità non può essere garantita se un set di dati viene creato in una regione con più regioni dell'UE, in una regione non appartenente all'UE o in una regione con più regioni non appartenente all'UE. È tua responsabilità specificare una regione conforme durante la creazione di set di dati BigQuery. Se una richiesta di elenco di dati di tabella viene inviata utilizzando una regione dell'UE, ma il set di dati è stato creato in un'altra regione dell'UE, BigQuery non può dedurre quale regione intendevi utilizzare e l'operazione non andrà a buon fine con un messaggio di errore "set di dati non trovato".
Console Google Cloud	L'interfaccia utente di BigQuery nella console Google Cloud è supportata.
interfaccia a riga di comando di BigQuery	La CLI BigQuery è supportata.
Google Cloud SDK	Per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici, devi utilizzare la versione 403.0.0 o successiva del Google Cloud SDK. Per eseguire la verifica la versione attuale di Google Cloud SDK, esegui `gcloud --version` e poi `gcloud components update` per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads può abilitare un'API non supportata. In questo caso, riceverai una notifica la potenziale non conformità Monitoraggio di Assured Workloads dashboard.
Caricamento di dati	I connettori di BigQuery Data Transfer Service per le app Google Software as a Service (SaaS), i fornitori di servizi di archiviazione sul cloud esterni e i data warehouse non sono supportati. È la tua la responsabilità di non utilizzare i connettori BigQuery Data Transfer Service per Regioni e assistenza nell'UE con carichi di lavoro di controlli di sovranità.
Trasferimenti di terze parti	BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare l'assistenza quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono supportati.
Job di query	I job di query con devono essere creati solo all'interno delle regioni UE e delle cartelle Assistenza con controlli di sovranità.
Query sui set di dati in altri progetti	BigQuery non impedisce di eseguire query sui set di dati delle regioni e dell'assistenza nell'UE con controlli di sovranità da progetti delle regioni e dell'assistenza al di fuori dell'UE con controlli di sovranità. Devi assicurarti che qualsiasi query che includa una lettura o una unione sui dati di Regioni e assistenza nell'UE con controlli di sovranità sia inserita in una cartella Regioni e assistenza nell'UE con controlli di sovranità. Puoi specificare un completamente qualificato nome della tabella per il risultato della query utilizzando `projectname.dataset.table` nell'interfaccia a riga di comando di BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dei dati di log. Devi disabilitare `_default` bucket di logging oppure limita `_default` bucket alle regioni dell'UE a mantieni la conformità usando questo comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Consulta questa pagina per ulteriori informazioni informazioni.

Funzionalità di Bigtable

Funzionalità Descrizione

Funzionalità non supportate

Funzionalità	Descrizione
Funzionalità non supportate	Le funzionalità e i metodi API Bigtable non sono supportati. È responsabilità dell'utente non utilizzarli con Bigtable per le regioni e l'assistenza nell'UE con controlli di sovranità. Il metodo API `ListHotTablets` del Processo dell'API RPC Admin e archiviare i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per le regioni e l'assistenza nell'UE con controlli di sovranità. Il metodo API `hotTablets.list` del Procedura dell'API Rest Admin e archiviare i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per le regioni e l'assistenza nell'UE con controlli di sovranità.
Dividi confini	Bigtable usa un piccolo sottoinsieme di chiavi di riga per definire la suddivisione che possono includere dati e metadati dei clienti. Un confine di divisione in Bigtable indica la posizione in cui gli intervalli contigui di righe in una tabella sono suddivisi in tablet. Questi confini di suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e di debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni dell'UE e nell'assistenza con controlli di sovranità.

Le funzionalità e i metodi API Bigtable non sono supportati. È responsabilità dell'utente non utilizzarli con Bigtable per le regioni e l'assistenza nell'UE con controlli di sovranità.

Il metodo API ListHotTablets del Processo dell'API RPC Admin e archiviare i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per le regioni e l'assistenza nell'UE con controlli di sovranità.
Il metodo API hotTablets.list del Procedura dell'API Rest Admin e archiviare i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per le regioni e l'assistenza nell'UE con controlli di sovranità.

Dividi confini Bigtable usa un piccolo sottoinsieme di chiavi di riga per definire la suddivisione che possono includere dati e metadati dei clienti. Un confine di divisione in Bigtable indica la posizione in cui gli intervalli contigui di righe in una tabella sono suddivisi in tablet.

Questi confini di suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e di debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni dell'UE e nell'assistenza con controlli di sovranità.

Funzionalità di Spanner

Funzionalità	Descrizione
Confini della suddivisione	Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire confini di suddivisione, che possono includere dati e metadati dei clienti. Una divisione in Spanner la località in cui gli intervalli contigui di righe sono suddivise in parti più piccole. Questi confini di suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e di debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni dell'UE e nell'assistenza con controlli di sovranità.

Funzionalità

Descrizione

Confini della suddivisione

Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire confini di suddivisione, che possono includere dati e metadati dei clienti. Una divisione in Spanner la località in cui gli intervalli contigui di righe sono suddivise in parti più piccole.

Questi confini di suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e di debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni dell'UE e nell'assistenza con controlli di sovranità.

Funzionalità Dataproc

Funzionalità	Descrizione
Console Google Cloud	Dataproc al momento non supporta Giurisdizionale console Google Cloud. Per applicare la residenza dei dati, assicurati di utilizzare in Google Cloud CLI o l'API quando si utilizza Dataproc.

Funzionalità di GKE

Funzionalità	Descrizione
Limitazioni delle risorse del cluster	Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nelle regioni dell'UE e nell'assistenza con i controlli di sovranità. Ad esempio, la seguente configurazione non è valida perché richiede l'attivazione o l'utilizzo di un servizio non supportato: set `binaryAuthorization.evaluationMode` to `enabled`

Funzionalità di Cloud Logging

Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi descritti nella pagina Attivare CMEK per un'organizzazione della documentazione di Cloud Logging.

Funzionalità	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono filtri memorizzati come configurazione. Non creare filtri che contengono dati dei clienti.
Voci di log di monitoraggio in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro archiviato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query per la trasmissione dei dati tra regioni. Non creare filtri che contengono dati dei clienti.
Avvisi basati su log	Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud.
URL abbreviati per le query di Esplora log	Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud.
Salvataggio delle query in Esplora log	Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud.
Analisi dei log con BigQuery	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics.

Funzionalità di Compute Engine

Funzionalità	Descrizione
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono spazio di archiviazione su disco permanente e attualmente lo spazio di archiviazione su disco permanente utilizzato per memorizzare lo stato della VM sospesa non può essere criptato utilizzando CMEK. Consulta le `gcp.restrictNonCmekServices` organizzazione vincolo dei criteri nella sezione precedente per comprendere la sovranità dei dati e la residenza dei dati che comporta l'abilitazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché attualmente non possono essere criptati utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati derivanti dall'attivazione di questa funzionalità.
Ambiente guest	È possibile che script, demoni e file binari inclusi nell'ambiente guest accedano ai dati at-rest e in uso non criptati. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su i contenuti, il codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a rispettare la sovranità dei dati attraverso controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini gli agenti e, facoltativamente, usare l'`compute.trustedImageProjects` un vincolo del criterio dell'organizzazione. Consulta Creazione di un'immagine personalizzata per ulteriori informazioni.
`instances.getSerialPortOutput()`	Questa API è disabilitata. non potrai ottenere un output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate su su questa pagina.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in questa pagina.