Die Namen einiger Assured Workloads-Kontrollpakete haben sich geändert. Weitere Informationen zur Namensänderung finden Sie unter Hinweis zur Umbenennung von Kontrollpaketen.

Diese Seite wurde von der Cloud Translation API übersetzt.

Datengrenze für die EU mit Zugriffsbegründungen

Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie die Datengrenze für die EU mit Zugriffsbegründungen verwenden.

Übersicht

Die Datengrenze für die EU mit Zugriffsbegründungen bietet Funktionen für Datenstandort und Datenhoheit für unterstützte Google Cloud Dienste. Einige dieser Funktionen sind eingeschränkt oder limitiert, um diese Funktionen bereitstellen zu können. Die meisten dieser Änderungen werden während der Einrichtung angewendet, wenn ein neuer Ordner oder ein Projekt in einer EU Data Boundary mit Access Justifications-Umgebung erstellt wird. Einige davon können jedoch später durch Änderungen der Organisationsrichtlinien geändert werden.

Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud -Dienst ändern oder die Datenhoheit oder den Datenstandort beeinflussen. Einige Funktionen oder Features können beispielsweise automatisch deaktiviert werden, um die Datenhoheit und den Datenstandort beizubehalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.

Unterstützte Produkte und Dienste

Eine Liste der Produkte und Dienste, die von der EU Data Boundary mit Zugriffsbegründungen unterstützt werden, finden Sie auf der Seite Unterstützte Produkte.

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe der EU-Datengrenze mit Zugriffsbegründungen erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud -Ressourcen Ihrer Organisation weiter zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud -Dienste.

Organisationsrichtlinie-Beschränkung	Beschreibung
`gcp.resourceLocations`	Legen Sie `in:eu-locations` als Listenelement `allowedValues` fest. Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die EU-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der EU erstellt werden. Eine Liste der Ressourcen, die durch die Organisationsrichtlinieneinschränkung „Ressourcenstandorte“ eingeschränkt werden können, finden Sie unter Unterstützte Dienste für Ressourcenstandorte. Einige Ressourcen sind möglicherweise nicht betroffen und können nicht eingeschränkt werden. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen. Dies kann beispielsweise geschehen, wenn Sie die Wertgruppe `in:eu-locations` durch die Wertgruppe `in:europe-locations` ersetzen, die Standorte außerhalb des EU-Mitgliedsstatus enthält.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Weitere Informationen finden Sie unten im Abschnitt "Betroffene Funktionen". Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere unterstützte Dienste aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictCmekCryptoKeyProjects`	Nutzer können diesen Wert auf Projekte oder Ordner setzen, die für die Verwendung mit der Datengrenze für die EU mit Zugriffsbegründungen vorgesehen sind. Beispiel: `under:folders/my-folder-name` Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
`gcp.restrictServiceUsage`	Auf „Alle unterstützten Dienste zulassen“ festgelegt. Bestimmt, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung	Beschreibung
`compute.enableComplianceMemoryProtection`	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit auswirken.
`compute.disableInstanceDataAccessApis`	Auf True festlegen. Deaktiviert global die APIs `instances.getSerialPortOutput()` und `instances.getScreenshot()`.
`compute.disableGlobalCloudArmorPolicy`	Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheitsmaßnahmen zu ergreifen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.trustedImageProjects`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheitsmaßnahmen zu ergreifen. Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Einschränkungen für Cloud Storage-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung Beschreibung

storage.uniformBucketLevelAccess Auf True festlegen.

Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte.

Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.

Organisationsrichtlinie-Beschränkung	Beschreibung
`storage.uniformBucketLevelAccess`	Auf True festlegen. Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte. Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung	Beschreibung
`container.restrictNoncompliantDiagnosticDataAccess`	Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.

Einschränkungen der Organisationsrichtlinien für Cloud Key Management Service

Organisationsrichtlinie-Beschränkung	Beschreibung
`cloudkms.allowedProtectionLevels`	Legen Sie `EXTERNAL` fest. Schränkt die CryptoKey-Typen der Cloud Key Management Service ein, die erstellt werden können, und ist so eingestellt, dass nur externe Schlüsseltypen zulässig sind.

Betroffene Features

In diesem Abschnitt wird beschrieben, wie sich die Features oder Funktionen der einzelnen Dienste auf die Datengrenze für die EU mit Zugriffsbegründungen auswirken.

BigQuery-Funktionen

Funktion	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, ist aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Das liegt an einem internen Konfigurationsprozess. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber unter Umständen auch länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu Assured Workloads Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen. Sehen Sie sich im Bereich Zugelassene Dienste die Dienste an, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Allow Services (Dienste zulassen), um sie hinzuzufügen. Wenn BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgeführt werden, wenden Sie sich an den Cloud Customer Care. Nachdem der Aktivierungsprozess abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Funktionen werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in Ihrer Verantwortung, sie nicht in BigQuery für die EU-Datengrenze mit Zugriffsbegründungen zu verwenden. Interaktion mit Remote-Datenquellen Extern trainierte BQML-Modelle werden nicht unterstützt. Intern trainierte BQML-Modelle werden unterstützt. Geplante und föderierte Abfragen Dynamische Datenmaskierung GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Für BigQuery Studio werden Notebooks nicht unterstützt.
Nicht unterstützte Integrationen	Die folgenden BigQuery-Integrationen werden nicht unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit BigQuery für die EU Data Boundary mit Zugriffsbegründungen zu verwenden. Die API-Methoden `CreateTag`, `SearchCatalog`, `Bulk tagging` und `Business Glossary` der Data Catalog API können technische Daten auf eine Weise verarbeiten und speichern, die nicht unterstützt wird. Es liegt in Ihrer Verantwortung, diese Methoden nicht für die Datengrenze für die EU mit Zugriffsbegründungen zu verwenden.
Unterstützte BigQuery APIs	Die folgenden BigQuery APIs werden unterstützt: Datasets Jobs Modelle Projekte Reservierungen Abläufe Zeilenzugriffsrichtlinien Speicherlesevorgänge Schreiben im Speicher Tables Tabellendaten Die Reservations API ist standardmäßig nicht aktiviert. Sie können die API mithilfe der Anleitung auf dieser Seite aktivieren.
Regionen	BigQuery wird für alle BigQuery-EU-Regionen mit Ausnahme der multiregionalen EU-Region unterstützt. Die Einhaltung der Vorschriften kann nicht garantiert werden, wenn ein Dataset in einer multiregionalen EU-Region, einer nicht zur EU gehörenden Region oder einer multiregionalen Region außerhalb der EU erstellt wird. Sie sind dafür verantwortlich, beim Erstellen von BigQuery-Datasets eine konforme Region anzugeben. Wenn eine Anfrage für eine Tabellendatenliste über eine EU-Region gesendet wird, das Dataset aber in einer anderen EU-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region Sie beabsichtigt haben. Der Vorgang schlägt mit der Fehlermeldung „Dataset not found“ (Dataset nicht gefunden) fehl.
Google Cloud Console	Die BigQuery-Benutzeroberfläche in der Google Cloud -Konsole wird unterstützt.
BigQuery-Befehlszeile	Die BigQuery-Befehlszeile wird unterstützt.
Google Cloud SDK	Sie müssen Google Cloud SDK-Version 403.0.0 oder höher verwenden, um die Regionalisierungsgarantien für technische Daten aufrechtzuerhalten. Führen Sie `gcloud --version` aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann `gcloud components update`, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren	In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können jedoch eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Assured Workloads-Monitoring-Dashboard über potenzielle Verstöße benachrichtigt.
Daten laden	BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service (SaaS)), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, keine BigQuery Data Transfer Service-Connectors für die EU-Datengrenze mit Arbeitslasten für Zugriffsbegründungen zu verwenden.
Drittanbieter-Übertragungen	BigQuery überprüft nicht, ob Drittanbieterübertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, den Support zu prüfen, wenn Sie eine Drittanbieterübertragung für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle	Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs	Abfragejobs sollten nur in Ordnern mit der Datengrenze für die EU mit Zugriffsbegründungen erstellt werden.
Abfragen für Datasets in anderen Projekten	BigQuery verhindert nicht, dass Datasets der Datengrenze für die EU mit Zugriffsbegründungen aus Projekten abgefragt werden, die nicht zur Datengrenze für die EU mit Zugriffsbegründungen gehören. Alle Abfragen, die Daten aus der Datengrenze für die EU mit Zugriffsbegründungen lesen oder verknüpfen, müssen in einem Ordner für die Datengrenze für die EU mit Zugriffsbegründungen platziert werden. Sie können mit `projectname.dataset.table` in der BigQuery-Befehlszeile einen vollständig qualifizierten Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging	BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten Ihre `_Default`-Logging-Buckets deaktivieren oder auf EU-Regionen beschränken, um die Compliance aufrechtzuerhalten.`_Default` Informationen zum Festlegen des Standorts für neue `_Default`-Buckets oder zum Deaktivieren von Routingeinträgen für neue `_Default`-Buckets finden Sie unter Standardeinstellungen für Organisationen und Ordner konfigurieren.

Bigtable-Funktionen

Funktion Beschreibung

Nicht unterstützte Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Bigtable-Funktionen und API-Methoden werden nicht unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit Bigtable für die Datengrenze für die EU mit Zugriffsbegründungen zu verwenden. Die `ListHotTablets` API-Methode der RPC Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für die Datengrenze für die EU mit Zugriffsbegründungen zu verwenden. Die `hotTablets.list` API-Methode der Rest Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für die Datengrenze für die EU mit Zugriffsbegründungen zu verwenden.
Split-Grenzen	Bigtable verwendet eine kleine Teilmenge von Zeilenschlüsseln, um die Aufteilungsgrenzen zu definieren. Diese können Kundendaten und Metadaten enthalten. Eine Split-Grenze in Bigtable gibt an, an welcher Stelle zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden. Google-Mitarbeiter können auf diese geteilten Grenzen für technischen Support und Debugging-Zwecke zugreifen. Sie unterliegen nicht den administrativen Datenzugriffskontrollen in der EU Data Boundary mit Zugriffsbegründungen.

Die folgenden Bigtable-Funktionen und API-Methoden werden nicht unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit Bigtable für die Datengrenze für die EU mit Zugriffsbegründungen zu verwenden.

Die ListHotTablets API-Methode der RPC Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für die Datengrenze für die EU mit Zugriffsbegründungen zu verwenden.
Die hotTablets.list API-Methode der Rest Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für die Datengrenze für die EU mit Zugriffsbegründungen zu verwenden.

Split-Grenzen Bigtable verwendet eine kleine Teilmenge von Zeilenschlüsseln, um die Aufteilungsgrenzen zu definieren. Diese können Kundendaten und Metadaten enthalten. Eine Split-Grenze in Bigtable gibt an, an welcher Stelle zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden.

Google-Mitarbeiter können auf diese geteilten Grenzen für technischen Support und Debugging-Zwecke zugreifen. Sie unterliegen nicht den administrativen Datenzugriffskontrollen in der EU Data Boundary mit Zugriffsbegründungen.

Vorteile von Google Cloud Armor

Funktion	Beschreibung
Global gültige Sicherheitsrichtlinien	Diese Funktion wurde durch die Einschränkung der `compute.disableGlobalCloudArmorPolicy`-Organisationsrichtlinie deaktiviert.

Spanner-Funktionen

Funktion	Beschreibung
Split-Grenzen	Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Aufteilungsgrenzen zu definieren, die Kundendaten und ‑metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Bereiche von Zeilen in kleinere Teile aufgeteilt werden. Google-Mitarbeiter können auf diese geteilten Grenzen für technischen Support und Debugging-Zwecke zugreifen. Sie unterliegen nicht den administrativen Datenzugriffskontrollen in der EU Data Boundary mit Zugriffsbegründungen.

Funktion

Beschreibung

Split-Grenzen

Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Aufteilungsgrenzen zu definieren, die Kundendaten und ‑metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Bereiche von Zeilen in kleinere Teile aufgeteilt werden.

Google-Mitarbeiter können auf diese geteilten Grenzen für technischen Support und Debugging-Zwecke zugreifen. Sie unterliegen nicht den administrativen Datenzugriffskontrollen in der EU Data Boundary mit Zugriffsbegründungen.

Funktionen von Dataplex Universal Catalog

Funktion	Beschreibung
Metadaten für Aspekte und Glossare	Aspekte und Glossare werden nicht unterstützt. Sie können nicht nach Aspekten und Glossaren suchen oder diese verwalten und auch keine benutzerdefinierten Metadaten importieren.
Attributspeicher	Diese Funktion ist veraltet und deaktiviert.
Data Catalog	Diese Funktion ist veraltet und deaktiviert. Sie können Ihre Metadaten nicht in Data Catalog durchsuchen oder verwalten.
Datenqualität und Datenprofilscan	Der Export von Ergebnissen des Datenqualitätsscans wird nicht unterstützt.
Discovery	Die Funktion ist deaktiviert. Sie können die Discovery-Scans nicht ausführen, um Metadaten aus Ihren Daten zu extrahieren.
Lakes und Zonen	Die Funktion ist deaktiviert. Sie können keine Lakes, Zonen und Aufgaben verwalten.

Dataproc-Funktionen

Funktion	Beschreibung
Google Cloud Console	Dataproc unterstützt die JurisdictionalGoogle Cloud console derzeit nicht. Um den Datenstandort zu erzwingen, müssen Sie bei der Verwendung von Dataproc entweder die Google Cloud CLI oder die API verwenden.

GKE-Funktionen

Funktion	Beschreibung
Einschränkungen für Clusterressourcen	Achten Sie darauf, dass in Ihrer Clusterkonfiguration keine Ressourcen für Dienste verwendet werden, die in der EU Data Boundary mit Zugriffsbegründungen nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da sie die Aktivierung oder Verwendung eines nicht unterstützten Dienstes erfordert: set `binaryAuthorization.evaluationMode` to `enabled`

Features von Cloud Logging

Um Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) zu verwenden, müssen Sie die Schritte auf der Seite CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation ausführen.

Funktion	Beschreibung
Logsenken	Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge	Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.
Logbasierte Benachrichtigungen	Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern	Die Funktion ist deaktiviert. In der Google Cloud -Konsole können Sie keine Abfragen speichern.
Loganalysen mit BigQuery	Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden.
SQL-basierte Benachrichtigungsrichtlinien	Die Funktion ist deaktiviert. Sie können das Feature für SQL-basierte Benachrichtigungsrichtlinien nicht verwenden.

Cloud Monitoring-Funktionen

Funktion	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose	Die Funktion ist deaktiviert.
Widgets für das Log-Steuerfeld in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Logfeld hinzufügen.
Widgets für den Bereich „Error Reporting“ in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Feld für die Fehlerberichterstattung hinzufügen.
Filtern in `EventAnnotation` nach Dashboards	Diese Funktion ist deaktiviert. Der Filter von `EventAnnotation` kann nicht in einem Dashboard festgelegt werden.
`SqlCondition` in `alertPolicies`	Diese Funktion ist deaktiviert. Sie können einer `alertPolicy` keine `SqlCondition` hinzufügen.

Cloud Run-Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Cloud Run-Funktionen werden nicht unterstützt: Cloud Trace-Integration Cloud Run Functions Eventarc-Trigger

Compute Engine Features

Funktion	Beschreibung
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Kunden, die zusätzliche Kontrolle wünschen, können jedoch auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung `compute.trustedImageProjects` verwenden. Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
Betriebssystemrichtlinien in VM Manager	Inline-Skripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Daher sollten Sie in diesen Dateien keine vertraulichen Informationen angeben. Alternativ können Sie diese Skripts und Ausgabedateien in Cloud Storage-Buckets speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien. Wenn Sie das Erstellen oder Ändern von OS Policy-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`-Organisationsrichtlinienbeschränkung. Weitere Informationen finden Sie unter Einschränkungen für OS Config.
`instances.getSerialPortOutput()`	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden, indem Sie der Anleitung auf dieser Seite folgen.
`instances.getScreenshot()`	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden, indem Sie der Anleitung auf dieser Seite folgen.