本页介绍了如何配置 AlloyDB for PostgreSQL 以强制执行数据驻留要求。
数据驻留概览
数据驻留是指数据的物理位置以及用于管理该数据存储、加密和访问方式的本地法规。随着各国家/地区对数据保护和隐私权法规的不断完善,了解如何遵循本地数据驻留要求并保护用户数据变得越来越重要。
在传统的本地环境中,您需要配置各种组件来处理数据驻留。例如,一家公司可以托管作为云访问安全代理 (CASB) 的令牌化网关,在应用数据传输到海外之前对其进行保护。
由于云计算服务会将您的数据存储在场外,因此云计算会引入自己的数据驻留问题。其中包括:
- 如果公司的云管理员不知道数据的物理位置,便无法得知相应的当地法规。如需研究每个位置的数据驻留政策,管理员需要知道数据中心的位置。
- 公司的云管理员和提供商可能会使用服务等级协议 (SLA) 来确定允许的位置,从而限制云服务可用于数据存储的区域范围。
- 用户必须确保自己的数据以及在其云项目中使用的所有服务和资源都遵循托管国家/地区的数据驻留法规。
AlloyDB 的数据驻留
数据驻留涉及以符合特定区域法律法规的方式将个人身份信息 (PII) 或其他敏感信息存储在特定区域。
存储数据时,您必须遵守一个国家/地区的法律和监管要求,例如数据存放区域法律。例如,某个国家/地区可能要求必须将与政府相关的所有数据存储在该国家/地区。或者,合同规定公司要将部分客户的数据存储在另一个国家/地区。因此,公司必须满足存储数据的国家/地区的数据驻留要求。
您可以使用 Cloud Asset Inventory (CAI) 服务查看和监控 CAI 支持的服务(包括 AlloyDB)中资源的位置。
AlloyDB 可让您指定数据的位置,并限制 AlloyDB 提供的位置,从而帮助您满足数据驻留要求。
位置选择
借助 Google Cloud,您可以选择数据的存储位置。这包括允许您选择存储数据的区域。当您在这些区域中配置 AlloyDB 资源时,Google 会根据服务专用条款将您的静态数据仅存储在这些区域中。您可以在创建集群时选择区域。针对集群创建的所有实例和备份都存储在与集群相同的区域中。
资源位置约束条件
您可以使用组织政策限制条件在组织、项目或文件夹级层强制执行数据驻留要求。通过这些限制条件,您可以定义允许用户为受支持的服务创建资源的 Google Cloud 位置。对于数据驻留,您可以使用资源位置限制条件来限制新的受支持 AlloyDB 资源的物理位置。您还可以微调限制条件的政策,将区域(例如 us-east1 或 europe-west1)指定为允许或拒绝的位置。您可以使用 Security Health Analytics 发现现有位置违规问题,然后进行补救。
后续步骤
如需详细了解 Google Cloud 数据位置承诺,请参阅Google Cloud 服务条款。
如需详细了解 Google Cloud中的数据驻留,请参阅了解Google Cloud中的数据驻留、运营透明度和隐私控制选项。
如需详细了解 Google Cloud 如何在客户数据的整个生命周期内保护客户数据,以及 Google Cloud 如何为客户提供透明度和数据控制权,请参阅将数据托付给Google Cloud。
了解实现数据驻留和主权要求的最佳实践。