欧盟区域以及对主权管制的支持
本页面介绍了将欧盟区域和支持与主权控制结合使用的限制、限制和其他配置选项。
概览
具有主权管制的欧盟区域和支持为受支持的 Google Cloud 服务提供数据驻留和数据主权功能。为了提供这些功能,其中一些服务的功能受到限制。在欧盟主权和支持主权环境下创建新文件夹或项目时,大多数更改会在新手入门过程中应用,但其中部分更改稍后可以通过修改组织政策来更改。
请务必了解这些限制如何修改给定 Google Cloud 服务的行为,或者如何影响数据主权或数据驻留。例如,系统会自动停用某些功能或能力,以确保保持数据主权和数据驻留。此外,如果更改组织政策设置,则可能出现将数据从一个区域复制到另一个区域的意外后果。
支持的产品和服务
如需查看欧盟区域和主权管制所支持的产品和服务的列表,请参阅支持的产品页面。
组织政策
本部分介绍在使用主权控制的欧盟区域和支持创建文件夹或项目时,每项服务都会受到默认组织政策限制条件值的影响。其他适用的限制条件(即使默认设置未设置)可以提供额外的“深度防御”,以进一步保护贵组织的 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 in:eu-locations 作为 allowedValues 列表项。此值将任何新资源的创建限制为仅欧盟值组。设置此标志后,您将无法在欧盟区域、多区域位置或其他位置创建任何资源。如需了解详情,请参阅组织政策值组文档。 如果更改此值,则允许更少的数据在欧盟数据边界之外创建或存储,从而可能破坏数据主权和数据驻留。例如:将 in:eu-locations 值组替换为 in:europe-locations 值组,其中包括非欧盟成员状态位置。 |
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥(而不是 Google 的默认加密机制)加密静态数据。 通过从列表中移除一项或多项支持的服务,此值可能会破坏数据主权,因为新的静态数据将使用 Google 自己的密钥(而不是您的密钥)自动加密。现有的静态数据仍将使用您提供的密钥进行加密。 |
gcp.restrictCmekCryptoKeyProjects |
用户可以针对旨在与欧盟主权控制和主权管制提供支持的项目或文件夹设置此值。例如:under:folders/my-folder-name限制已获批准的文件夹或项目的范围(这些文件夹或项目可提供 KMS 密钥 用于使用 CMEK 加密静态数据)。此限制条件可防止未经批准的文件夹或项目提供加密密钥,这样有助于保证受支持服务的静态数据的数据主权。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响数据驻留或数据主权。 |
compute.disableInstanceDataAccessApis
| 设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.trustedImageProjects |
(可选)不设置值。设置此值可提供额外的深度防御。 设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。 |
Cloud Storage 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
storage.uniformBucketLevelAccess |
设置为 True。 您可以使用 IAM 政策(而不是 Cloud Storage 访问控制列表 (ACL))管理对新存储桶的访问权限。此限制条件可为存储桶及其内容提供精细的权限。 如果在启用此限制条件时创建存储桶,则无法使用 ACL 管理对该存储桶的访问。换句话说,存储桶的访问权限控制方法已永久设置为使用 IAM 政策,而不是 Cloud Storage ACL。 |
Google Kubernetes Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载中的数据主权;我们强烈建议您保留此值。 |
Cloud Key Management Service 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
cloudkms.allowedProtectionLevels |
设置为 EXTERNAL。限制可能创建的 Cloud Key Management Service CryptoKey 类型,并将其设置为仅允许外部密钥类型。 |
受影响的功能
本部分列出了受欧盟主权管制和区域影响提供支持的各项服务的功能。
Cloud Logging 功能
如需将 Cloud Logging 与客户管理的加密密钥 (CMEK) 结合使用,您必须完成 Cloud Logging 文档中的为组织启用 CMEK 页面中的步骤。
| 特征 | 说明 |
|---|---|
| 日志接收器 | 过滤条件不应包含客户数据。 日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。 |
| Live Tailing 日志条目 | 过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。 |
| 基于日志的提醒 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建基于日志的提醒。 |
| 基于日志的指标 | 此功能处于禁用状态。 系统定义的和用户定义的基于日志的指标处于禁用状态。 |
| 日志浏览器查询的缩短的网址 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建查询的缩短网址。 |
| 在日志浏览器中保存查询 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中保存任何查询。 |
| 使用 BigQuery 的日志分析 | 此功能处于禁用状态。 您无法使用日志分析功能。 |
Compute Engine 功能
| 特征 | 说明 |
|---|---|
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。 |
| 本地 SSD | 此功能处于禁用状态。 无法创建具有本地 SSD 的实例,因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。 |
| 客机环境 |
客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据主权。但是,对于需要额外控制的客户,您还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。如需了解详情,请参阅 构建自定义映像页面。 |
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以按照
此页面中的说明启用和使用交互式串行端口。
|
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以按照
此页面中的说明启用和使用交互式串行端口。
|