主要概念

本主题介绍了 Assured Workloads 的组件。

借助 Assured Workloads,您可以将安全控制措施应用于 Google Cloud 以支持合规性要求,同时不影响云体验的质量。

Assured Workloads 环境

Assured Workloads 环境通过管理一个或多个 Google Cloud 文件夹来支持受监管数据的合规性,具体取决于您的监管要求。该环境可以包含您使用的 Google Cloud 服务的一个或多个资源文件夹,以及用于 CMEK 密钥(如果法规合规性制度要求的话)的客户管理的加密密钥 (CMEK) 项目。例如,如果您的合规性制度是影响级别 4 (IL4)(预览版)或 CJIS,则 Assured Workloads 会自动创建资源和 CMEK 项目。

在 Assured Workloads 设置过程中创建环境

为支持您选择的合规性制度的合规性要求,这些文件夹在创建时指定了受监管的数据类型、人员控制措施和数据位置,并将其打包到预配置的平台控制措施中。

Assured Workloads 环境文件夹

Assured Workloads 环境文件夹是一个文件夹,用于保存一个或多个包含受监管数据的 Assured Workloads 环境。向 Google Cloud 注册环境文件夹可启用支持合规性的安全控制措施。此文件夹提供组织内的监管边界以识别受监管的数据类型。每种数据类型都会在创建 Assured Workloads 环境时指定,并根据客户选择提供安全控制措施以支持合规性。

Assured Workloads 资源文件夹

当您创建 Assured Workloads 环境时,Assured Workloads 会自动创建一个包含子 Google Cloud 资源的资源文件夹。这些资源是支持您的合规性制度的范围内产品和服务。安全控制措施会映射到 Assured Workloads 环境,并且这些控制措施会被在资源文件夹中创建的任何其他资源继承。这些控制措施会限制资源,使得只有符合环境合规性要求的 Google Cloud 人员才能访问资源。这些控制措施还可以防止将资源部署到合规区域外部。

Assured Workloads 密钥管理项目

根据您选择的合规性制度,Assured Workloads 还可以创建密钥管理项目来存储 CMEK 加密密钥。如果将一个项目用于密钥,将另一个项目用于资源,就可以在安全管理员和开发者之间建立职责分离机制。

后续步骤