Batas Data Uni Eropa dengan Justifikasi Akses
Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan Batas Data Uni Eropa dengan Justifikasi Akses.
Ringkasan
Batas Data Uni Eropa dengan Alasan Akses menyediakan fitur residensi data dan kedaulatan data untuk layanan yang didukung Google Cloud . Untuk menyediakan fitur ini, beberapa fitur layanan ini dibatasi atau dibatasi. Sebagian besar perubahan ini diterapkan selama proses aktivasi saat membuat folder atau project baru di lingkungan Batas Data Uni Eropa dengan Pembenaran Akses, tetapi beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi.
Penting untuk memahami bagaimana batasan ini mengubah perilaku untuk layanan tertentu atau memengaruhi kedaulatan data atau lokasi data. Google Cloud Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memverifikasi bahwa kedaulatan data dan residensi data tetap dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, hal ini dapat menyebabkan konsekuensi yang tidak diinginkan, yaitu menyalin data dari satu region ke region lain.
Produk dan layanan yang didukung
Lihat halaman Produk yang didukung untuk mengetahui daftar produk dan layanan yang didukung oleh Batas Data Uni Eropa dengan Justifikasi Akses.
Kebijakan organisasi
Bagian ini menjelaskan pengaruh nilai batasan kebijakan organisasi default terhadap setiap layanan saat folder atau project dibuat menggunakan Batas Data Uni Eropa dengan Alasan Akses. Batasan lain yang berlaku — meskipun tidak ditetapkan secara default — dapat memberikan "pertahanan mendalam" tambahan untuk lebih melindungi sumber daya Google Cloud organisasi Anda.
Batasan kebijakan organisasi di seluruh cloud
Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang relevan.
Batasan Kebijakan Organisasi | Deskripsi |
---|---|
gcp.resourceLocations |
Ditetapkan ke in:eu-locations sebagai item daftar allowedValues .Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai Uni Eropa. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar Uni Eropa. Lihat Layanan yang didukung lokasi resource untuk mengetahui daftar resource yang dapat dibatasi oleh batasan kebijakan organisasi Lokasi Resource, karena beberapa resource mungkin di luar cakupan dan tidak dapat dibatasi. Mengubah nilai ini dengan membuatnya kurang ketat berpotensi merusak lokalitas data dengan mengizinkan data dibuat atau disimpan di luar batas data yang sesuai, seperti mengganti grup nilai in:eu-locations dengan
grup nilai in:europe-locations , yang mencakup lokasi negara anggota non-Uni Eropa.
|
gcp.restrictNonCmekServices |
Disetel ke daftar semua
nama layanan API dalam cakupan,
termasuk:
Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan data saat istirahat dienkripsi dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan yang didukung dari daftar dapat mengurangi kedaulatan data, karena data saat istirahat yang baru akan dienkripsi secara otomatis menggunakan kunci Google sendiri, bukan kunci Anda. Data istirahat yang ada akan tetap dienkripsi oleh kunci yang Anda berikan. |
gcp.restrictCmekCryptoKeyProjects |
Pengguna dapat menetapkan nilai ini ke project atau folder yang ditujukan untuk
digunakan dengan Batas Data Uni Eropa dengan Alasan Akses. Misalnya:
under:folders/my-folder-name Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci KMS untuk mengenkripsi data saat tidak digunakan menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data dalam penyimpanan layanan yang didukung. |
gcp.restrictServiceUsage |
Disetel untuk mengizinkan semua layanan yang didukung. Menentukan layanan mana yang dapat digunakan dengan membatasi akses runtime ke resource-nya. Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload. |
Batasan kebijakan organisasi Compute Engine
Batasan Kebijakan Organisasi | Deskripsi |
---|---|
compute.enableComplianceMemoryProtection |
Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kesalahan infrastruktur. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data Anda. |
compute.disableInstanceDataAccessApis |
Tetapkan ke True. Menonaktifkan instances.getSerialPortOutput() dan
instances.getScreenshot() API secara global. |
compute.disableGlobalCloudArmorPolicy |
Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru, dan penambahan atau modifikasi aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan listingan kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum pemberlakuan batasan ini tetap berlaku. |
compute.restrictNonConfidentialComputing |
(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan
pertahanan mendalam tambahan. Lihat
dokumentasi Confidential VM
untuk mengetahui informasi selengkapnya. |
compute.trustedImageProjects |
(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan
pertahanan mendalam tambahan.
Menyetel nilai ini akan membatasi penyimpanan image dan instansiasi disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah. |
Batasan kebijakan organisasi Cloud Storage
Batasan Kebijakan Organisasi | Deskripsi |
---|---|
storage.uniformBucketLevelAccess |
Tetapkan ke True. Akses ke bucket baru dikelola menggunakan kebijakan IAM bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin mendetail untuk bucket dan isinya. Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen untuk menggunakan kebijakan IAM alih-alih ACL Cloud Storage. |
Batasan kebijakan organisasi Google Kubernetes Engine
Batasan Kebijakan Organisasi | Deskripsi |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Tetapkan ke True. Digunakan untuk menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol berdaulat atas workload. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan. |
Batasan kebijakan organisasi Cloud Key Management Service
Batasan Kebijakan Organisasi | Deskripsi |
---|---|
cloudkms.allowedProtectionLevels |
Tetapkan ke EXTERNAL .Membatasi jenis CryptoKey Cloud Key Management Service yang dapat dibuat, dan ditetapkan agar hanya mengizinkan jenis kunci eksternal. |
Fitur yang terpengaruh
Bagian ini mencantumkan dampak Batas Data Uni Eropa dengan Justifikasi Akses terhadap fitur atau kemampuan setiap layanan.
Fitur BigQuery
Fitur | Deskripsi |
---|---|
Mengaktifkan BigQuery di folder baru | BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Assured Workloads baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dapat memakan waktu lebih lama dalam beberapa keadaan. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut:
Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Assured Workloads Anda. Gemini di BigQuery tidak didukung oleh Assured Workloads. |
Fitur yang tidak didukung | Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di CLI BigQuery. Anda bertanggung jawab untuk tidak
menggunakannya di BigQuery untuk Batas Data Uni Eropa dengan Justifikasi Akses.
|
Integrasi yang tidak didukung | Integrasi BigQuery berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan BigQuery untuk Batas Data Uni Eropa dengan Justifikasi Akses.
|
BigQuery API yang didukung | BigQuery API berikut didukung:
|
Region | BigQuery didukung untuk semua region BigQuery Uni Eropa, kecuali multi-region Uni Eropa. Kepatuhan tidak dapat dijamin
jika set data dibuat di multi-region Uni Eropa, region non-Uni Eropa, atau multi-region
non-Uni Eropa. Anda bertanggung jawab untuk menentukan region yang mematuhi kepatuhan saat membuat set data BigQuery. Jika permintaan daftar data tabel dikirim menggunakan satu region Uni Eropa, tetapi set data dibuat di region Uni Eropa lain, BigQuery tidak dapat menyimpulkan region yang Anda maksud dan operasi akan gagal dengan pesan error "set data tidak ditemukan". |
Google Cloud console | Antarmuka pengguna BigQuery di konsol Google Cloud didukung.
|
CLI BigQuery | BigQuery CLI didukung.
|
Google Cloud SDK | Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data untuk data teknis. Untuk memverifikasi
versi Google Cloud SDK Anda saat ini, jalankan gcloud --version , lalu
jalankan gcloud components update untuk mengupdate ke versi terbaru.
|
Kontrol administrator | BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Assured Workloads dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads. |
Memuat data | Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk beban kerja Batas Data Uni Eropa dengan Justifikasi Akses. |
Transfer pihak ketiga | BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service. |
Model BQML yang tidak sesuai | Model BQML yang dilatih secara eksternal tidak didukung. |
Tugas kueri | Pekerjaan kueri hanya boleh dibuat dalam folder Batas Data Uni Eropa dengan Justifikasi Akses. |
Kueri pada set data di project lain | BigQuery tidak mencegah set data Batas Data Uni Eropa dengan Pembenaran Akses dikueri dari project Batas Data non-Uni Eropa dengan Pembenaran Akses. Anda harus memastikan bahwa setiap
kueri yang memiliki operasi baca atau gabung pada data Batas Data Uni Eropa dengan Pembenaran Akses ditempatkan di
folder Batas Data Uni Eropa dengan Pembenaran Akses. Anda dapat menentukan
nama tabel
yang sepenuhnya memenuhi syarat untuk hasil kuerinya menggunakan projectname.dataset.table
di BigQuery CLI. |
Cloud Logging | BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging _Default atau membatasi bucket _Default ke wilayah Uni Eropa untuk menjaga kepatuhan.Untuk mempelajari cara menetapkan lokasi untuk bucket _Default
baru atau cara menonaktifkan entri perutean ke bucket
_Default baru, lihat
Mengonfigurasi setelan default untuk
organisasi dan folder.
|
Fitur Bigtable
Fitur | Deskripsi |
---|---|
Fitur yang tidak didukung | Fitur dan metode API Bigtable berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan
Bigtable untuk Batas Data Uni Eropa dengan Justifikasi Akses.
|
Membagi batas | Bigtable menggunakan subset kecil kunci baris untuk menentukan batas
pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan
di Bigtable menunjukkan lokasi tempat rentang baris yang berdekatan
dalam tabel dibagi menjadi tablet. Batas yang terpisah ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol data akses administratif di Batas Data Uni Eropa dengan Alasan Akses. |
Fitur Google Cloud Armor
Fitur | Deskripsi |
---|---|
Kebijakan keamanan dengan cakupan global | Fitur ini dinonaktifkan oleh batasan kebijakan organisasi.compute.disableGlobalCloudArmorPolicy
|
Fitur Spanner
Fitur | Deskripsi |
---|---|
Membagi batas | Spanner menggunakan subset kecil kunci utama dan kolom yang diindeks
untuk menentukan
batas
pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas
pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan
dibagi menjadi bagian-bagian yang lebih kecil. Batas yang terpisah ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol data akses administratif di Batas Data Uni Eropa dengan Alasan Akses. |
Fitur Katalog Universal Dataplex
Fitur | Deskripsi |
---|---|
Metadata aspek dan glosarium | Aspek dan glosarium tidak didukung. Anda tidak dapat menelusuri atau mengelola aspek dan glosarium, serta tidak dapat mengimpor metadata kustom. |
Attribute Store | Fitur ini tidak digunakan lagi dan dinonaktifkan. |
Data Catalog | Fitur ini tidak digunakan lagi dan dinonaktifkan. Anda tidak dapat menelusuri atau mengelola metadata di Data Catalog. |
Pemindaian Profil Data dan Kualitas Data | Ekspor hasil Pemindaian Kualitas Data tidak didukung. |
Discovery | Fitur ini dinonaktifkan. Anda tidak dapat menjalankan pemindaian Penemuan untuk mengekstrak metadata dari data Anda. |
Lake dan Zona | Fitur ini dinonaktifkan. Anda tidak dapat mengelola lake, zona, dan tugas. |
Fitur Dataproc
Fitur | Deskripsi |
---|---|
Google Cloud console | Saat ini, Dataproc tidak mendukung Jurisdictional Google Cloud console. Untuk menerapkan residensi data, pastikan Anda menggunakan Google Cloud CLI atau API saat menggunakan Dataproc. |
Fitur GKE
Fitur | Deskripsi |
---|---|
Batasan resource cluster | Pastikan konfigurasi cluster Anda tidak menggunakan resource untuk
layanan yang tidak didukung di Batas Data Uni Eropa dengan Justifikasi Akses. Misalnya, konfigurasi
berikut tidak valid karena memerlukan pengaktifan atau penggunaan
layanan yang tidak didukung:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Fitur Cloud Logging
Untuk menggunakan Cloud Logging dengan Kunci Enkripsi yang Dikelola Pelanggan (CMEK), Anda harus menyelesaikan langkah-langkah di halaman Mengaktifkan CMEK untuk organisasi dalam dokumentasi Cloud Logging.
Fitur | Deskripsi |
---|---|
Sink log | Filter tidak boleh berisi Data Pelanggan. Sink log mencakup filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan. |
Mengikuti entri log secara langsung | Filter tidak boleh berisi Data Pelanggan. Sesi tailing langsung mencakup filter yang disimpan sebagai konfigurasi. Mengikuti log tidak menyimpan data entri log apa pun, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan. |
Pemberitahuan berbasis log | Fitur ini dinonaktifkan. Anda tidak dapat membuat pemberitahuan berbasis log di konsol Google Cloud . |
URL yang dipersingkat untuk kueri Logs Explorer | Fitur ini dinonaktifkan. Anda tidak dapat membuat URL kueri yang dipendek di konsol Google Cloud . |
Menyimpan kueri di Logs Explorer | Fitur ini dinonaktifkan. Anda tidak dapat menyimpan kueri apa pun di konsol Google Cloud . |
Log Analytics menggunakan BigQuery | Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur Log Analytics. |
Kebijakan pemberitahuan berbasis SQL | Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur kebijakan pemberitahuan berbasis SQL. |
Fitur Cloud Monitoring
Fitur | Deskripsi |
---|---|
Monitor Sintetis | Fitur ini dinonaktifkan. |
Cek uptime | Fitur ini dinonaktifkan. |
Widget panel log di Dasbor | Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor. |
Widget panel pelaporan error di Dasbor | Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor. |
Filter di
EventAnnotation
untuk Dasbor
|
Fitur ini dinonaktifkan. Filter EventAnnotation
tidak dapat disetel di dasbor.
|
SqlCondition
di alertPolicies
|
Fitur ini dinonaktifkan. Anda tidak dapat menambahkan SqlCondition ke
alertPolicy .
|
Fitur Cloud Run
Fitur | Deskripsi |
---|---|
Fitur yang tidak didukung | Fitur Cloud Run berikut tidak didukung: |
Fitur Compute Engine
Fitur | Deskripsi |
---|---|
Menangguhkan dan melanjutkan instance VM | Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan gcp.restrictNonCmekServices org
di bagian di atas untuk memahami implikasi kedaulatan data
dan residensi data dari pengaktifan fitur ini.
|
SSD Lokal | Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena saat ini SSD tersebut tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan gcp.restrictNonCmekServices org
di bagian di atas untuk memahami implikasi kedaulatan data
dan residensi data dari pengaktifan fitur ini.
|
Lingkungan tamu |
Skrip, daemon, dan biner yang disertakan dengan
lingkungan tamu dapat mengakses data yang tidak dienkripsi saat istirahat dan saat digunakan.
Bergantung pada konfigurasi VM Anda, update software ini mungkin diinstal secara default. Lihat
Lingkungan tamu untuk mengetahui informasi spesifik tentang
konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan compute.trustedImageProjects
batasan kebijakan organisasi.
Lihat halaman Membangun image kustom untuk mengetahui informasi selengkapnya. |
Kebijakan OS di VM Manager |
Skrip inline dan file output biner dalam file kebijakan OS
tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Oleh karena itu, jangan sertakan informasi sensitif apa pun dalam file ini.
Atau, pertimbangkan untuk menyimpan skrip dan file output ini di bucket Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat
Contoh kebijakan OS. Jika Anda ingin membatasi pembuatan atau modifikasi resource kebijakan OS yang menggunakan skrip inline atau file output biner, aktifkan batasan kebijakan organisasi constraints/osconfig.restrictInlineScriptAndOutputFileUsage .Untuk mengetahui informasi selengkapnya, lihat Batasan untuk Konfigurasi OS. |
instances.getSerialPortOutput() |
API ini dinonaktifkan; Anda tidak akan dapat memperoleh output port serial
dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat
mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di
halaman ini.
|
instances.getScreenshot() |
API ini dinonaktifkan; Anda tidak akan dapat mengambil screenshot dari instance yang
ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat
mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di
halaman ini.
|