欧盟数据边界与访问理由
本页介绍了使用“欧盟数据边界与访问理由”时的限制、局限和其他配置选项。
概览
欧盟数据边界与访问理由为受支持 Google Cloud 的服务提供数据驻留和数据主权功能。为了提供这些功能,其中一些服务的功能受到限制。当在“EU Data Boundary with Access Justifications”环境中创建新文件夹或项目时,大部分更改会在初始配置过程中应用,但其中一些更改稍后可通过修改组织政策来完成。
请务必了解这些限制如何修改给定 Google Cloud 服务的行为,或者如何影响数据主权或数据驻留。例如,系统会自动停用某些功能或能力,以验证是否保持了数据主权和数据驻留。此外,如果更改组织政策设置,则可能出现将数据从一个区域复制到另一个区域的意外后果。
支持的产品和服务
如需查看支持“欧盟数据边界与访问理由”的产品和服务列表,请参阅支持的产品页面。
组织政策
本部分介绍使用“欧盟数据边界与访问理由”创建文件夹或项目时,每项服务如何受到默认组织政策限制条件值影响。其他适用的限制条件(即使默认设置未设置)可以提供额外的“深度防御”,以进一步保护贵组织的 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 in:eu-locations 作为 allowedValues 列表项。此值将任何新资源的创建限制为仅欧盟值组。设置此标志后,您将无法在欧盟区域、多区域位置或其他位置创建任何资源。如需查看可受“资源位置”组织政策限制条件限制的资源列表,请参阅资源位置支持的服务,因为某些资源可能超出范围且无法限制。 如果更改此值,则允许更少的数据在合规的数据边界之外创建或存储,从而可能破坏数据驻留。例如,将 in:eu-locations 值组替换为 in:europe-locations 值组,其中包括非欧盟成员状态位置。
|
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥(而不是 Google 的默认加密机制)加密静态数据。 如果通过从列表中移除一个或多个受支持的服务来更改此值,则可能会破坏数据主权,因为系统会使用 Google 自己的密钥(而不是您自己的密钥)自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。 |
gcp.restrictCmekCryptoKeyProjects |
用户可以将此值设为要与“欧盟数据边界与访问理由”配合使用的项目或文件夹。例如:under:folders/my-folder-name限制已获批准的文件夹或项目的范围(这些文件夹或项目可提供 KMS 密钥 用于使用 CMEK 加密静态数据)。此限制条件可防止未获批准的文件夹或项目提供加密密钥,从而有助于保证受支持服务的静态数据的数据主权。 |
gcp.restrictServiceUsage |
设置为允许所有支持的服务。 通过限制运行时对服务的资源访问权限,确定哪些服务可以使用。如需了解详情,请参阅限制工作负载的资源使用量。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响数据驻留或数据主权。 |
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。 |
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建新的 Google Cloud Armor 安全政策,以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。 Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.trustedImageProjects |
(可选)不设置值。设置此值可提供额外的深度防御。 设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。 |
Cloud Storage 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
storage.uniformBucketLevelAccess |
设置为 True。 您可以使用 IAM 政策(而不是 Cloud Storage 访问控制列表 (ACL))管理对新存储桶的访问权限。此限制条件可为存储桶及其内容提供精细的权限。 如果在启用此限制条件时创建存储桶,则无法使用 ACL 管理对该存储桶的访问。换句话说,存储桶的访问权限控制方法已永久设置为使用 IAM 政策,而不是 Cloud Storage ACL。 |
Google Kubernetes Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载中的数据主权;我们强烈建议您保留此值。 |
Cloud Key Management Service 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
cloudkms.allowedProtectionLevels |
设置为 EXTERNAL。限制可能创建的 Cloud Key Management Service CryptoKey 类型,并将其设置为仅允许外部密钥类型。 |
受影响的功能
本部分列出每个服务的功能或能力如何受“欧盟数据边界与访问理由”影响。
BigQuery 功能
| 功能 | 说明 |
|---|---|
| 在新文件夹中启用 BigQuery | BigQuery 受支持,但由于内部配置流程,在您创建新的 Assured Workloads 文件夹时,系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery,请完成以下步骤:
启用流程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。 Assured Workloads 不支持 Gemini in BigQuery。 |
| 不受支持的功能 | 以下 BigQuery 功能不受支持,不应在 BigQuery CLI 中使用。您有责任不将这些功能用于需要访问理由的欧盟数据边界。
|
| 不受支持的集成 | 不支持以下 BigQuery 集成。您有责任不将这些角色与“欧盟数据边界(含访问正当理由)”BigQuery 使用。
|
| 支持的 BigQuery API | 支持以下 BigQuery API: |
| 区域 | 所有 BigQuery 欧盟区域(欧盟多区域除外)都支持 BigQuery。如果数据集是在欧盟多区域、非欧盟区域或非欧盟多区域中创建的,则无法保证合规性。您有责任在创建 BigQuery 数据集时指定合规的区域。 如果使用某个欧盟区域发送表数据列表请求,但数据集是在另一个欧盟区域中创建的,则 BigQuery 无法推断出您想要的区域,并且操作会失败,并显示“找不到数据集”错误消息。 |
| Google Cloud 控制台 | 支持 Google Cloud 控制台中的 BigQuery 界面。
|
| BigQuery CLI | 支持 BigQuery CLI。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。
|
| 管理员控制功能 | BigQuery 会停用不受支持的 API,但有足够权限创建 Assured Workloads 文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您会通过 Assured Workloads 监控信息中心收到有关潜在违规情况的通知。 |
| 正在加载数据 | 不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于“欧盟数据边界,仅限访问理由”工作负载。 |
| 第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移服务来转移 BigQuery Data Transfer Service 的数据时,您有责任验证是否支持该服务。 |
| 不合规的 BQML 模型 | 不支持 外部训练的 BQML 模型。 |
| 查询作业 | 查询作业只能在“欧盟数据边界与访问理由”文件夹中创建。 |
| 针对其他项目中的数据集执行查询 | BigQuery 不会阻止从非欧盟数据边界与访问理由项目查询欧盟数据边界与访问理由数据集。您应确保对“欧盟数据边界与访问理由”数据进行读取或联接的任何查询都放在“欧盟数据边界与访问理由”文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为查询结果指定完全限定的表名。 |
| Cloud Logging | BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 _Default 日志记录存储分区,或将 _Default 存储分区限制为仅限欧盟区域,以保持合规性。如需了解如何为新的 _Default 存储分区设置位置,或如何禁止将路由条目路由到新的 _Default 存储分区,请参阅为组织和文件夹配置默认设置。
|
Bigtable 功能
| 功能 | 说明 |
|---|---|
| 不受支持的功能 | 不支持以下 Bigtable 功能和 API 方法。您有责任不将它们与“欧盟数据边界与访问理由”Bigtable 使用。
|
| 分块边界 | Bigtable 使用一小部分行键来定义拆分边界,这些行键可能包含客户数据和元数据。Bigtable 中的分片边界表示表中的连续行范围被拆分为多个片的具体位置。 Google 人员可以出于技术支持和调试目的访问这些拆分边界,并且这些边界不受“欧盟数据边界(含访问权限正当理由)”中的管理访问权限数据控制的约束。 |
Google Cloud Armor 功能
| 功能 | 说明 |
|---|---|
| 全球范围的安全政策 | 此功能已因组织政策限制而被停用。
compute.disableGlobalCloudArmorPolicy |
Spanner 功能
| 功能 | 说明 |
|---|---|
| 分块边界 | Spanner 使用一小部分主键和已编入索引的列来定义分块边界,这些边界可能包含客户数据和元数据。Spanner 中的分块边界表示连续的行范围被拆分为更小块的位置。 Google 人员可以出于技术支持和调试目的访问这些拆分边界,并且这些边界不受“欧盟数据边界(含访问权限正当理由)”中的管理访问权限数据控制的约束。 |
Dataplex Universal Catalog 功能
| 功能 | 说明 |
|---|---|
| 方面和术语库元数据 | 不支持方面和术语表。您无法搜索或管理切面和术语库,也无法导入自定义元数据。 |
| Attribute Store | 此功能已弃用并已停用。 |
| Data Catalog | 此功能已弃用并已停用。您无法在 Data Catalog 中搜索或管理元数据。 |
| 数据质量和数据分析扫描 | 不支持导出数据质量扫描结果。 |
| 发现广告 | 此功能处于停用状态。您无法运行 Discovery 扫描来从数据中提取元数据。 |
| 湖泊和可用区 | 此功能处于停用状态。您无法管理数据湖、区域和任务。 |
Dataproc 功能
| 功能 | 说明 |
|---|---|
| Google Cloud 控制台 | Dataproc 目前不支持管辖区Google Cloud 控制台。如需强制执行数据驻留,请确保在使用 Dataproc 时使用 Google Cloud CLI 或 API。 |
GKE 功能
| 功能 | 说明 |
|---|---|
| 集群资源限制 | 确保您的集群配置不会使用在“欧盟数据边界(需提供访问理由)”中不受支持的服务的资源。例如,以下配置无效,因为它需要启用或使用不受支持的服务:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Cloud Logging 功能
如需将 Cloud Logging 与 Customer-Managed Encryption Keys (CMEK) 搭配使用,您必须完成 Cloud Logging 文档中为组织启用 CMEK 页面中的步骤。
| 功能 | 说明 |
|---|---|
| 日志接收器 | 过滤条件不应包含客户数据。 日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。 |
| Live Tailing 日志条目 | 过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。 |
| 基于日志的提醒 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建基于日志的提醒。 |
| 日志浏览器查询的缩短的网址 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建查询的缩短网址。 |
| 在日志浏览器中保存查询 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中保存任何查询。 |
| 使用 BigQuery 的日志分析 | 此功能处于禁用状态。 您无法使用日志分析功能。 |
| 基于 SQL 的提醒政策 | 此功能处于禁用状态。 您无法使用基于 SQL 的提醒政策功能。 |
Cloud Monitoring 功能
| 功能 | 说明 |
|---|---|
| 合成监控工具 | 此功能处于禁用状态。 |
| 拨测 | 此功能处于禁用状态。 |
| 信息中心中的日志面板 widget | 此功能已停用。 您无法向信息中心添加日志面板。 |
| 信息中心中的错误报告面板 widget | 此功能已停用。 您无法向信息中心添加错误报告面板。 |
EventAnnotation 中的过滤条件(适用于信息中心)
|
此功能已停用。 无法在信息中心内设置 EventAnnotation 的过滤条件。
|
SqlCondition
在 alertPolicies 中
|
此功能处于禁用状态。 您无法向 alertPolicy 添加 SqlCondition。
|
Cloud Run 功能
| 功能 | 说明 |
|---|---|
| 不受支持的功能 | 不支持以下 Cloud Run 功能: |
Compute Engine 功能
| 特征 | 说明 |
|---|---|
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。 |
| 本地 SSD | 此功能处于禁用状态。 无法创建具有本地 SSD 的实例,因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。 |
| 客机环境 |
客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您需要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。如需了解详情,请参阅 构建自定义映像页面。 |
| 虚拟机管理器中的操作系统政策 |
操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。因此,请勿在这些文件中包含任何敏感信息。
或者,考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情,请参阅操作系统政策示例。 如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源,请启用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 组织政策限制条件。如需了解详情,请参阅 OS Config 的限制。 |
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False,以启用此 API。您还可以按照
本页面中的说明启用和使用交互式串行端口。 |
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False,以启用此 API。您还可以按照
本页面中的说明启用和使用交互式串行端口。 |