Assured Workloads 概览

本主题介绍了 Assured Workloads。

什么是 Assured Workloads？

借助 Assured Workloads，Google Cloud 客户能够将安全控制措施应用于 Google Cloud 以支持合规性要求，同时不影响云体验的质量。

何时使用 Assured Workloads

您可以使用 Assured Workloads 在 Google Cloud 上实现基于合规性的结果，并使用以下安全控制措施来支持您的要求：

• 数据驻留：确保 Google Cloud 客户数据存储在客户选定的 Google Cloud 区域中。如果客户的开发者尝试将静态数据存储在选择范围之外的区域，该操作将会被阻止。

  详细了解数据驻留。

• 数据主权：确保 Google Cloud 客户能够独立控制服务提供商对其数据的访问，仅对被客户视为适当和必要的特定提供商行为批准访问。

  Assured Workloads control Assured Workloads for EU Regions and Support with Sovereignty Controls 是数据主权的关键组成部分。如需详细了解此环境中的哪些控制有助于为主用户提供数据主权，请参阅 EU Regions and Support with Sovereignty Controls 的限制和局限。

• 基于特性的人员数据访问权限控制：确保只有能够满足特定物理位置和背景调查要求的 Google 员工，才能在履行支持义务时访问 Google Cloud 客户数据。例如，影响级别 4 (IL4) 要求访问数据的人员是已完成 ADP-1 单范围背景调查 (SSBI) 的美国人。

  详细了解基于特性的人员数据访问权限控制。

• 基于特性的人员支持案例所有权控制措施：确保只有满足特定要求的 Google 支持人员才能向 Assured Workloads 客户提供支持。

  详细了解基于特性的人员支持案例所有权控制措施。

• 加密：默认提供的 Google 管理的加密密钥符合 FIPS-140-2 标准，并支持 FedRAMP 中等风险级别合规性。客户管理的加密密钥 (CMEK) 表示多层控制和职责分离。例如，IL4 需要通过 FIPS 140-2 验证的模块。

  详细了解支持密钥管理的合规性。

何时不应使用 Assured Workloads

如何使用 Assured Workloads

在使用 Assured Workloads 之前，您需要先创建组织。

创建组织后，请使用 Google Cloud 控制台的合规性部分中的创建函数或 Assured Workloads API。

后续步骤

• 支持密钥管理的合规性
• 了解如何为 Assured Workloads 环境创建新文件夹

• 在 Assured Workloads 环境中创建一个支持您的合规性制度的项目，如下所示：

  • 在工作负载环境中创建新文件夹（IL4、CJIS）
  • 在工作负载环境中创建新文件夹（FedRAMP、美国区域和支持）

• 了解如何使用 CMEK 加密 Cloud Storage

• 了解如何使用 CMEK 加密 Persistent Disk

• 了解如何使用 CMEK 加密 Compute Engine 快照

• 了解如何使用 CMEK 加密 BigQuery