EU リージョンとサポート(主権管理あり)の制限と制限事項

このページでは、EU リージョンとサポート(主権管理あり)を使用する際の制限、制限事項、その他の構成オプションについて説明します。

概要

EU リージョンとサポート(主権管理あり)では、サポートされている Google Cloud サービスのデータ所在地とデータ主権機能が提供されます。これらの機能を提供するために、これらのサービスの一部の機能が制限または限定されています。こうした変更のほとんどは、EU リージョンとサポート(主権管理あり)の環境内に新しいフォルダまたはプロジェクトを作成する際に、オンボーディング プロセス中に適用されますが、一部は組織ポリシーを変更することによって後で変更できます。

これらの制限が特定の Google Cloud サービスの動作をどのように変更するか、またはデータ主権またはデータ所在地に与える影響を理解することが重要です。たとえば、データ主権とデータ所在地を維持するために、一部の機能が自動的に無効になることがあります。また、組織のポリシーの設定が変更された場合、あるリージョンから別のリージョンにデータをコピーすると、意図しない結果が生じる可能性があります。

サポートされているプロダクトとサービス

EU リージョンとサポート(主権管理あり)でサポートされているプロダクトとサービスのリストについては、サポートされているプロダクトをご覧ください。

組織のポリシー

このセクションでは、EU リージョンとサポート(主権管理あり)を使用してフォルダまたはプロジェクトを作成する際に、各サービスがデフォルトの組織のポリシーの制約値によってどのように影響を受けるかについて説明します。他の適用可能な制約(デフォルトで設定されていなくても)により、追加の「多層防御」が提供され、組織の Google Cloud リソースの保護を強化できます。

クラウド全体の組織のポリシーの制約

次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。

組織のポリシーの制約 説明
gcp.resourceLocations allowedValues リスト項目として in:eu-locations に設定します。

この値は、新しいリソースの作成を EU の値グループのみに制限します。設定した場合、他のリージョン、マルチリージョン、EU 以外のロケーションには、リソースを作成できません。詳細については、組織のポリシーの値グループのドキュメントをご覧ください。

制限を緩くしてこの値を変更すると、EU のデータ境界外でデータを作成または保存できるようになるため、データ主権とデータ所在地の両方が損なわれる可能性があります。たとえば、in:eu-locations 値グループを EU 以外のメンバーの状態の場所を含む in:europe-locations の値グループに置き換えます。
gcp.restrictNonCmekServices 以下を含む、対象範囲内のすべての API サービス名のリストに設定します。
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
上記の各サービスは、一部の機能に影響する可能性があります。以下の影響を受ける機能のセクションをご覧ください。

各サービスには、顧客管理の暗号鍵(CMEK)が必要です。 CMEK により、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化できます。

リストから 1 つ以上のサポート対象のサービスを削除してこの値を変更すると、データ主権が損なわれる可能性があります。新しい保管中のデータは、ユーザーのものではなく Google 独自の鍵を使用して自動的に暗号化されます。既存の保存データは、指定した鍵によって暗号化されます。
gcp.restrictCmekCryptoKeyProjects この値は、EU リージョンとサポート(主権管理あり)での使用を目的としたプロジェクトまたはフォルダに設定できます。例: under:folders/my-folder-name

CMEK を使用して保管中のデータを暗号化するために KMS 鍵を提供できる承認済みフォルダまたはプロジェクトの範囲を制限します。この制約により、承認されていないフォルダまたはプロジェクトが暗号鍵を提供できなくなるため、サポート対象サービスの保管中のデータのデータ主権を保証できます。

Compute Engine の組織のポリシーに関する制約

組織のポリシーの制約 説明
compute.enableComplianceMemoryProtection True に設定します。

インフラストラクチャ障害が発生したときにメモリの内容をさらに保護するため、一部の内部診断機能を無効にします。

この値を変更すると、データ所在地またはデータ主権に影響する可能性があります。
compute.disableInstanceDataAccessApis True に設定します。

instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。

compute.restrictNonConfidentialComputing

(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。 詳細については、Confidential VMs のドキュメントをご覧ください。

compute.trustedImageProjects

(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。

この値を設定すると、イメージ ストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。

Cloud Storage 組織のポリシーの制約

組織のポリシーの制約 説明
storage.uniformBucketLevelAccess True に設定します。

新しいバケットへのアクセスは、Cloud Storage アクセス制御リスト(ACL)ではなく、IAM ポリシーを使用して管理されます。この制約により、バケットとそのコンテンツに対するきめ細かい権限を付与できます。

この制約が有効になっているときにバケットを作成すると、そのバケットへのアクセスを ACL を使用して管理できなくなります。つまり、バケットのアクセス制御方法は、Cloud Storage ACL ではなく IAM ポリシーを使用するように永続的に設定されます。

Google Kubernetes Engine 組織のポリシーの制約

組織のポリシーの制約 説明
container.restrictNoncompliantDiagnosticDataAccess True に設定します。

ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にするために使用されます。

この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することを強くおすすめします。

Cloud Key Management Service 組織のポリシーの制約

組織のポリシーの制約 説明
cloudkms.allowedProtectionLevels EXTERNAL に設定します。

作成できる Cloud Key Management Service CryptoKey のタイプを制限し、外部の鍵タイプのみを許可するように設定されています。

影響を受ける機能

このセクションでは、各サービスの機能が、EU リージョンとサポート(主権管理あり)にどのように影響されるかについて説明します。

BigQuery の特長

特徴 説明
新しいフォルダで BigQuery を有効にする BigQuery はサポートされていますが、内部構成プロセスにより、新しい Assured Workloads フォルダを作成しても自動的に有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらにそれ以上かかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の手順を行います。
  1. Google Cloud コンソールで、[Assured Workloads] ページに移動します。

    Assured Workloads に移動

  2. リストから新しい Assured Workloads フォルダを選択します。
  3. [フォルダの詳細] ページの [許可されているサービス] セクションで、[利用可能なアップデートを確認] をクリックします。
  4. [許可されているサービス] ペインで、フォルダのリソース使用量制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、[サービスを許可] をクリックして追加します。

    BigQuery サービスがリストにない場合は、内部プロセスが完了するまで待ちます。フォルダの作成後 12 時間以内にサービスがリストにない場合は、Cloud カスタマーケアにお問い合わせください。

有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。

サポートされていない機能 次の BigQuery 機能はサポートされていないため、BigQuery CLI で使用しないでください。EU リージョンとサポート(主権管理あり)に対して、これらを BigQuery で使用しないようにすることはお客様の責任です。
サポートされていない統合 次の BigQuery 統合はサポートされていません。EU リージョンとサポート(主権管理あり)に対して、これらを BigQuery で使用しないするようにすることはお客様の責任です。
  • Data Catalog APICreateTagSearchCatalogBulk taggingBusiness Glossary の各 API メソッドは、サポートされていない方法で技術データを処理して保存できます。EU リージョンとサポート(主権管理あり)に対して、これらの方法を使用しないようにすることはお客様の責任です。
サポートされている BigQuery API 次の BigQuery API がサポートされています。


リージョン BigQuery は、EU マルチリージョンを除くすべての BigQuery EU リージョンでサポートされています。EU マルチリージョン、EU 以外のリージョン、EU 以外のマルチリージョンにデータセットが作成された場合は、コンプライアンスが保証されません。BigQuery データセットを作成する際にポリシーに準拠するリージョンを指定する責任はお客様にあります。

1 つの EU リージョンを使用してテーブルデータ リスト リクエストが送信されたものの、そのデータセットが別の EU リージョンで作成された場合、BigQuery は意図したリージョンを推測できず、「データセットが見つかりません」というエラー メッセージでオペレーションが失敗します。
Google Cloud コンソール Google Cloud コンソールの BigQuery ユーザー インターフェースがサポートされています。

BigQuery CLI BigQuery CLI がサポートされています。

Google Cloud SDK テクニカル データのデータリージョン指定の保証を維持するには、Google Cloud SDK バージョン 403.0.0 以降を使用する必要があります。現在の Google Cloud SDK のバージョンを確認するには、gcloud --version を実行してから gcloud components update を実行し、最新バージョンに更新します。
管理機能 BigQuery はサポートされていない API を無効にしますが、Assured Workloads フォルダを作成するのに十分な権限を持つ管理者は、サポートされていない API を有効にできます。その場合、Assured Workloads モニタリング ダッシュボードを通じて、コンプライアンス違反の可能性が通知されます。
データの読み込み Google Software as a Service(SaaS)アプリ、外部クラウド ストレージ プロバイダ、データ ウェアハウス用の BigQuery Data Transfer Service コネクタはサポートされていません。EU リージョンとサポート(主権管理あり)のワークロードに対して、BigQuery Data Transfer Service コネクタを使用しないようにすることはお客様の責任です。
サードパーティ転送 BigQuery では、BigQuery Data Transfer Service のサードパーティ転送のサポートは検証されません。BigQuery Data Transfer Service のサードパーティ転送を使用する際のサポート確認は、お客様の責任です。
非準拠 BQML モデル 外部でトレーニングされた BQML モデルはサポートされていません。
クエリジョブ クエリジョブは、EU リージョンとサポート(主権管理あり)のフォルダ内でのみ作成する必要があります。
他のプロジェクトのデータセットに対するクエリ BigQuery では、EU リージョンとサポート(主権管理あり)のプロジェクトからの、主権制御のある EU リージョンとサポートのデータセットへのクエリを防ぐことはできません。EU リージョンとサポート(主権管理あり)のデータに対して読み取りや結合を行うクエリはすべて、EU リージョンとサポート(主権管理あり)のフォルダに配置する必要があります。BigQuery CLI で projectname.dataset.table を使用して、クエリ結果の完全修飾テーブル名を指定できます。
Cloud Logging BigQuery は、一部のログデータに対して Cloud Logging を利用します。 コンプライアンスを維持するには、_default ロギング バケットを無効にするか、次のコマンドを使用して _default バケットを EU リージョンに制限する必要があります。

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

詳細については、このページをご覧ください。

Bigtable の機能

特徴 説明
サポートされていない機能 次の Bigtable の機能と API メソッドはサポートされていません。EU リージョンとサポート(主権管理あり)に対して、これらを Bigtable で使用しないするようにすることはお客様の責任です。
  • RPC Admin APIListHotTablets API メソッドは、サポートされていない方法で技術データを処理して保存します。EU リージョンとサポート(主権管理あり)に対してこの方法を使用しないようにすることは、お客様の責任です。
  • Rest Admin APIhotTablets.list API メソッドは、サポートされていない方法で技術データを処理して保存します。EU リージョンとサポート(主権管理あり)に対してこの方法を使用しないようにすることは、お客様の責任です。
スプリットの境界 Bigtable は行キーのごく一部を使用して、スプリットの境界を定義します。スプリットの境界には顧客データとメタデータが含まれる場合があります。Bigtable のスプリットの境界は、テーブル内の連続した範囲の行がタブレットに分割される場所を示します。

これらのスプリットの境界は、Google の担当者がテクニカル サポートとデバッグ目的でアクセスできますが、主権管理を含む EU リージョンとサポートにおける管理者権限データ管理の対象ではありません。

Spanner の機能

特徴 説明
スプリットの境界 Spanner は、主キーとインデックス付き列の小さなサブセットを使用して、顧客データとメタデータを含むスプリットの境界を定義します。Spanner のスプリットの境界は、連続する範囲の行が小さな部分に分割される場所を示します。

これらのスプリットの境界は、Google の担当者がテクニカル サポートとデバッグ目的でアクセスできますが、主権管理を含む EU リージョンとサポートにおける管理者権限データ管理の対象ではありません。

Dataproc の機能

特徴 説明
Google Cloud コンソール Dataproc は現在、法域 Google Cloud コンソールをサポートしていません。データ所在地を適用するため、Dataproc を使用する場合は Google Cloud CLI または API を使用してください。

GKE の機能

特徴 説明
クラスタ リソースの制限 クラスタ構成では、EU リージョンとサポート(主権管理あり)でサポートされていないサービスのリソースを使用ていないことを確認してください。たとえば、次の構成は、サポートされていないサービスを有効にするか、使用する必要があるため、無効です。

set `binaryAuthorization.evaluationMode` to `enabled`

Cloud Logging の機能

顧客管理の暗号鍵(CMEK)で Cloud Logging を使用するには、Cloud Logging ドキュメントの組織の CMEK を有効にするページの手順を完了する必要があります。

特徴 説明
ログシンク フィルタに顧客データを含めることはできません。

ログシンクには、構成として格納されるフィルタが含まれます。 顧客データを含むフィルタは作成しないでください。
ライブ テーリング ログエントリ フィルタに顧客データを含めることはできません。

ライブ テーリング セッションには、構成として格納されたフィルタが含まれます。 テーリングログによってログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして転送できます。顧客データを含むフィルタは作成しないでください。
ログベースのアラート この機能は無効になっています。

Google Cloud コンソールでログベースのアラートを作成することはできません。
ログ エクスプローラ クエリの短縮 URL この機能は無効になっています。

Google Cloud コンソールでは、クエリの短縮 URL を作成できません。
ログ エクスプローラにクエリを保存する この機能は無効になっています。

Google Cloud コンソールではクエリを保存できません。
BigQuery を使用したLog Analytics この機能は無効になっています。

Log Analytics 機能は使用できません。

Compute Engine の機能

特徴 説明
VM インスタンスの一時停止および再開 この機能は無効になっています。

VM インスタンスの一時停止と再開には永続ディスク ストレージが必要であり、一時停止された VM の状態の保存に使用される永続ディスク ストレージは現在、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。
ローカル SSD この機能は無効になっています。

現在、ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。
ゲスト環境 ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。 VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされる場合があります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。

これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージやエージェントをキュレートし、必要に応じて compute.trustedImageProjects 組織ポリシーの制約を使用することもできます。

詳細については、カスタム イメージの構築ページをご覧ください。
instances.getSerialPortOutput() この API は無効になっています。この API を使用して、指定されたインスタンスからシリアルポート出力を取得することはできません。

この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。また、このページの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。
instances.getScreenshot() この API は無効になっています。この API を使用して、指定されたインスタンスからスクリーンショットを取得することはできません。

この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。また、このページの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。