含存取依據的歐盟資料邊界
本頁面說明使用含存取依據的歐盟資料邊界時的限制、限制和其他設定選項。
總覽
含存取依據的歐盟資料邊界可為支援的 Google Cloud 服務提供資料落地和資料主權功能。為提供這些功能,部分服務的功能會受到限制。在「僅限存取理由」環境中,於歐盟資料邊界建立新資料夾或專案時,系統會在導入程序中套用大部分的變更,但部分變更可透過修改機構政策來變更。
請務必瞭解這些限制如何修改特定 Google Cloud 服務的行為,或影響資料主權或資料存放位置。舉例來說,系統可能會自動停用部分功能或服務,以確保資料主權和資料落地設定維持不變。此外,如果變更機構政策設定,可能會導致資料從一個地區複製到另一個地區,造成非預期的後果。
支援的產品和服務
如要查看歐盟資料邊界支援的產品和服務清單,請參閱「支援的產品」頁面。
機構政策
本節說明使用「歐盟資料邊界與存取理由」建立資料夾或專案時,各項服務如何受到預設機構政策限制值影響。其他適用的限制 (即使不是預設設定) 可提供額外的「縱深防禦」措施,進一步保護貴機構的資源。 Google Cloud
全雲端適用的機構政策限制
下列機構政策限制適用於任何適用的 Google Cloud 服務。
| 機構政策限制 | 說明 |
|---|---|
gcp.resourceLocations |
設為 in:eu-locations 做為 allowedValues 清單項目。這個值會限制只能在歐盟值群組中建立任何新資源。設定後,您就無法在歐盟以外的任何其他區域、多區域或位置建立資源。如要查看可透過「資源位置」機構政策限制的資源清單,請參閱「資源位置支援的服務」,因為部分資源可能超出範圍,無法限制。 如果變更這個值,放寬限制,可能會允許在符合規範的資料邊界外建立或儲存資料,進而破壞資料落地性,例如將 in:eu-locations 值群組替換為 in:europe-locations 值群組 (包含非歐盟成員國位置)。
|
gcp.restrictNonCmekServices |
設為所有適用範圍內API 服務名稱的清單,包括:
清單中的每項服務都必須使用客戶自行管理的加密金鑰 (CMEK)。 CMEK 可讓您使用自己管理的金鑰,而非 Google 的預設加密機制,加密靜態資料。 從清單中移除一或多項支援的服務來變更這個值,可能會損害資料主權,因為系統會使用 Google 自己的金鑰,而非您的金鑰,自動加密新的靜態資料。現有的靜態資料仍會以您提供的金鑰加密。 |
gcp.restrictCmekCryptoKeyProjects |
使用者可將這個值設為專案或資料夾,以便搭配含存取依據的歐盟資料邊界使用。舉例來說:
under:folders/my-folder-name限制可提供 KMS 金鑰的核准資料夾或專案範圍,以便使用 CMEK 加密靜態資料。這項限制可防止未獲核准的資料夾或專案提供加密金鑰,因此有助於確保支援服務的待用資料主權。 |
gcp.restrictServiceUsage |
設為允許所有支援的服務。 限制對資源的執行階段存取權,決定可使用的服務。詳情請參閱「限制工作負載的資源用量」。 |
Compute Engine 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
compute.enableComplianceMemoryProtection |
設為 True。 停用部分內部診斷功能,在發生基礎架構故障時,提供額外的記憶體內容保護措施。 變更這個值可能會影響資料存放位置或資料主權。 |
compute.disableInstanceDataAccessApis |
設為 True。 全域停用 instances.getSerialPortOutput() 和
instances.getScreenshot() API。 |
compute.disableGlobalCloudArmorPolicy |
設為 True。 禁止建立新的全域 Google Cloud Armor 安全性政策,以及在現有全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制不會禁止移除規則,也不會禁止移除或變更全域 Google Cloud Armor 安全性政策的說明和清單。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。 |
compute.restrictNonConfidentialComputing |
(選用) 未設定值。請設定這個值,提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件。 |
compute.trustedImageProjects |
(選用) 未設定值。設定這個值,提供額外的縱深防禦措施。 設定這個值後,映像檔儲存空間和磁碟執行個體化作業就會受到限制,只能使用指定專案清單中的專案。這個值會禁止使用任何未經授權的圖片或代理程式,進而影響資料主權。 |
Cloud Storage 組織政策限制
| 機構政策限制 | 說明 |
|---|---|
storage.uniformBucketLevelAccess |
設為 True。 新值區的存取權是透過 IAM 政策管理,而非 Cloud Storage 存取控制清單 (ACL)。這項限制可為值區及其內容提供精細的權限。 如果是在啟用這項限制時建立值區,就無法使用 ACL 管理值區存取權。換句話說,值區的存取權控管方法會永久設定為使用 IAM 政策,而非 Cloud Storage ACL。 |
Google Kubernetes Engine 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
設為 True。 用於停用核心問題的匯總分析,這是維持工作負載主權控制權的必要條件。 變更這個值可能會影響工作負載中的資料主權,因此強烈建議保留設定值。 |
Cloud Key Management Service 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
cloudkms.allowedProtectionLevels |
設為 EXTERNAL。限制可建立的 Cloud Key Management Service CryptoKey 類型,並設為只允許外部金鑰類型。 |
受影響的功能
本節列出各項服務的功能或能力,在含存取依據的歐盟資料邊界中受到的影響。
BigQuery 功能
| 功能 | 說明 |
|---|---|
| 在新資料夾中啟用 BigQuery | 系統支援 BigQuery,但由於內部設定程序,建立新的 Assured Workloads 資料夾時不會自動啟用。這項程序通常會在十分鐘內完成,但在某些情況下可能需要更多時間。如要檢查程序是否完成並啟用 BigQuery,請完成下列步驟:
啟用程序完成後,您就可以在 Assured Workloads 資料夾中使用 BigQuery。 Assured Workloads 不支援 Gemini in BigQuery。 |
| 不支援的功能 | BigQuery CLI 不支援下列 BigQuery 功能,請勿使用。您有責任不在 BigQuery 中使用這些項目,以符合歐盟資料邊界規定並提供存取理由。
|
| 不支援的整合項目 | 系統不支援下列 BigQuery 整合功能。您有責任不將這些函式與 BigQuery 搭配使用,以符合歐盟資料邊界和存取理由規定。
|
| 支援的 BigQuery API | 系統支援下列 BigQuery API: |
| 區域 | BigQuery 支援所有 BigQuery 歐盟區域,但歐盟多區域除外。如果資料集是在歐盟多地區、非歐盟地區或非歐盟多地區建立,則無法保證符合法規。建立 BigQuery 資料集時,您有責任指定符合規定的區域。 如果使用某個歐盟地區傳送資料表資料清單要求,但資料集是在另一個歐盟地區建立,BigQuery 無法推斷您要使用哪個地區,作業會失敗並顯示「找不到資料集」錯誤訊息。 |
| Google Cloud 控制台 | 支援 Google Cloud 控制台中的 BigQuery 使用者介面。 |
| BigQuery CLI | 支援 BigQuery CLI。
|
| Google Cloud SDK | 您必須使用 Google Cloud SDK 403.0.0 以上版本,才能確保技術資料的資料區域化。如要確認目前的 Google Cloud SDK 版本,請執行 gcloud --version,然後執行 gcloud components update 更新至最新版本。 |
| 管理員控制項 | BigQuery 會停用不支援的 API,但有足夠權限建立 Assured Workloads 資料夾的管理員可以啟用不支援的 API。如果發生這種情況,您會透過 Assured Workloads 監控資訊主頁,收到潛在不符規定的通知。 |
| 正在載入資料 | 不支援 Google 軟體即服務 (SaaS) 應用程式、外部雲端儲存空間供應商和資料倉儲的 BigQuery 資料移轉服務連接器。您有責任確保不將 BigQuery 資料移轉服務連接器用於歐盟資料邊界,且工作負載須附上存取理由。 |
| 第三方轉移 | BigQuery 不會驗證 BigQuery 資料移轉服務是否支援第三方轉移。使用 BigQuery 資料移轉服務的任何第三方轉移功能時,您有責任確認支援情況。 |
| 不符規定的 BQML 模型 | 不支援 外部訓練的 BQML 模型。 |
| 查詢工作 | 查詢工作只能在含存取依據的歐盟資料邊界資料夾中建立。 |
| 查詢其他專案中的資料集 | BigQuery 不會禁止從非「含存取依據的歐盟資料邊界」專案查詢「含存取依據的歐盟資料邊界」資料集。請務必將任何對含存取依據的歐盟資料邊界資料進行讀取或聯結的查詢,放在含存取依據的歐盟資料邊界資料夾中。您可以在 BigQuery CLI 中使用 projectname.dataset.table,為查詢結果指定完整格式的資料表名稱。 |
| Cloud Logging | BigQuery 會使用 Cloud Logging 處理部分記錄檔資料。您應停用 _Default 記錄檔儲存空間,或將 _Default 儲存空間限制在歐盟地區,以確保符合規定。如要瞭解如何為新 _Default值區設定位置,或如何停用新_Default值區的路由項目,請參閱「調整機構和資料夾的預設設定」。
|
Bigtable 功能
| 功能 | 說明 |
|---|---|
| 不支援的功能 | 系統不支援下列 Bigtable 功能和 API 方法。您有責任確保不將這些功能與含存取依據的歐盟資料邊界 Bigtable 搭配使用。
|
| 分割邊界 | Bigtable 會使用一小部分列鍵定義分割界線,其中可能包含客戶資料和中繼資料。Bigtable 中的分割邊界表示資料表內連續資料列範圍分割成子表的位置。 Google 人員可存取這些分割界線,以提供技術支援和進行偵錯,且不受「歐盟資料邊界」中「存取理由」的系統管理存取資料控管機制限制。 |
Google Cloud Armor 功能
| 功能 | 說明 |
|---|---|
| 全域範圍的安全性政策 | 這項功能已遭compute.disableGlobalCloudArmorPolicy機構政策限制停用。 |
Spanner 功能
| 功能 | 說明 |
|---|---|
| 分割邊界 | Spanner 會使用一小部分主鍵和已建立索引的資料欄來定義分割界線,其中可能包含客戶資料和中繼資料。Spanner 中的分割界線表示連續資料列範圍分割成較小片段的位置。 Google 人員可存取這些分割界線,以提供技術支援和進行偵錯,且不受「歐盟資料邊界」中「存取理由」的系統管理存取資料控管機制限制。 |
Dataplex Universal Catalog 功能
| 功能 | 說明 |
|---|---|
| 切面和詞彙表的中繼資料 | 系統不支援「方面」和「詞彙」。您無法搜尋或管理切面和詞彙表,也無法匯入自訂中繼資料。 |
| 屬性存放區 | 這項功能已淘汰並停用。 |
| Data Catalog | 這項功能已淘汰並停用。您無法在 Data Catalog 中搜尋或管理中繼資料。 |
| 資料品質和資料剖析掃描 | 不支援匯出資料品質掃描結果。 |
| 探索 | 這項功能已停用。您無法執行探索掃描,從資料中擷取中繼資料。 |
| 資料湖泊與可用區 | 這項功能已停用。您無法管理湖泊、區域和工作。 |
Dataproc 功能
| 功能 | 說明 |
|---|---|
| Google Cloud 控制台 | Dataproc 目前不支援管轄區Google Cloud 控制台。如要強制執行資料落地,請務必在使用 Dataproc 時使用 Google Cloud CLI 或 API。 |
GKE 功能
| 功能 | 說明 |
|---|---|
| 叢集資源限制 | 請確認叢集設定未將資源用於歐盟資料邊界中不支援的服務 (須提供存取理由)。舉例來說,下列設定無效,因為必須啟用或使用不支援的服務:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Cloud Logging 功能
如要搭配使用 Cloud Logging 與客戶自行管理的加密金鑰 (CMEK),請務必完成 Cloud Logging 文件中「為機構啟用 CMEK」頁面的步驟。
| 功能 | 說明 |
|---|---|
| 記錄接收器 | 篩選器不得包含客戶資料。 記錄接收器包含篩選器,篩選器會儲存為設定。 請勿建立含有顧客資料的篩選器。 |
| 即時追蹤記錄項目 | 篩選器不得包含客戶資料。 即時追蹤工作階段包含篩選器,並儲存為設定。 記錄檔尾部追蹤功能本身不會儲存任何記錄檔項目資料,但可以查詢及傳輸跨區域的資料。請勿建立含有客戶資料的篩選器。 |
| 以記錄為基礎的快訊 | 這項功能已停用。 您無法在 Google Cloud 控制台中建立記錄式快訊。 |
| 記錄檔探索工具查詢的縮短網址 | 這項功能已停用。 您無法在 Google Cloud 控制台中建立查詢的縮短網址。 |
| 在記錄檔探索工具中儲存查詢 | 這項功能已停用。 您無法在 Google Cloud 控制台中儲存任何查詢。 |
| 使用 BigQuery 分析記錄檔 | 這項功能已停用。 您無法使用記錄檔分析功能。 |
| 以 SQL 為基礎的快訊政策 | 這項功能已停用。 您無法使用以 SQL 為基礎的快訊政策功能。 |
Cloud Monitoring 功能
| 功能 | 說明 |
|---|---|
| 綜合監控項目 | 這項功能已停用。 |
| 運作時間檢查 | 這項功能已停用。 |
| 記錄面板小工具 位於「資訊主頁」 | 這項功能已停用。 您無法在資訊主頁中新增記錄面板。 |
| 錯誤報告面板小工具 位於資訊主頁 | 這項功能已停用。 您無法在資訊主頁中新增錯誤回報面板。 |
在「EventAnnotation」中篩選「資訊主頁」 |
這項功能已停用。 無法在資訊主頁中設定篩選器。 EventAnnotation |
SqlCondition
in alertPolicies
|
這項功能已停用。 你無法在 alertPolicy中新增SqlCondition。
|
Cloud Run 功能
| 功能 | 說明 |
|---|---|
| 不支援的功能 | 系統不支援下列 Cloud Run 功能: |
Compute Engine 的功能與特色
| 功能 | 說明 |
|---|---|
| 暫停及重新啟用 VM 執行個體 | 這項功能已停用。 暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間,且目前無法使用 CMEK 加密用於儲存暫停 VM 狀態的永久磁碟儲存空間。請參閱上方章節中的「 gcp.restrictNonCmekServices org」政策限制,瞭解啟用這項功能對資料主權和資料駐留的影響。 |
| 本機 SSD | 這項功能已停用。 您將無法建立具有本機 SSD 的執行個體,因為目前無法使用 CMEK 加密本機 SSD。請參閱上方章節中的「 gcp.restrictNonCmekServices org」政策限制,瞭解啟用這項功能對資料主權和資料駐留的影響。 |
| 訪客環境 |
訪客環境隨附的指令碼、常駐程式和二進位檔,可能會存取未加密的靜態和使用中資料。視 VM 設定而定,系統可能會預設安裝這類軟體的更新。如要瞭解各套件的內容、原始碼等具體資訊,請參閱「
訪客環境」。 這些元件可透過內部安全控管和程序,協助您符合資料主權規定。不過,如要進一步控管,您也可以自行管理圖片或代理程式,並視需要使用 compute.trustedImageProjects 機構政策限制。詳情請參閱「 建立自訂映像檔」頁面。 |
| VM 管理員中的 OS 政策 |
作業系統政策檔案中的內嵌指令碼和二進位輸出檔案,不會使用客戶自行管理的加密金鑰 (CMEK) 加密。因此,請勿在這些檔案中加入任何私密資訊。
或者,您也可以考慮將這些指令碼和輸出檔案儲存在 Cloud Storage 值區中。詳情請參閱作業系統政策範例。 如要限制建立或修改使用內嵌指令碼或二進位輸出檔案的 OS 政策資源,請啟用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage
機構政策限制。詳情請參閱「 OS Config 的限制」。 |
instances.getSerialPortOutput() |
這個 API 已停用,您無法使用這個 API 從指定執行個體取得序列埠輸出內容。 將 compute.disableInstanceDataAccessApis機構政策限制值變更為 False,即可啟用這項 API。您也可以按照
這個頁面的操作說明,啟用及使用互動式序列埠。 |
instances.getScreenshot() |
這個 API 已停用,您無法使用這個 API 從指定執行個體擷取螢幕截圖。 將 compute.disableInstanceDataAccessApis機構政策限制值變更為 False,即可啟用這項 API。您也可以按照
這個頁面的操作說明,啟用及使用互動式序列埠。 |