Limitazioni e limitazioni nelle regioni dell'UE e assistenza con i controlli di sovranità
Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando utilizzi le regioni e l'assistenza nell'UE con controlli di sovranità.
Panoramica
Regioni e assistenza nell'UE con controlli di sovranità fornisce funzionalità di residenza dei dati e sovranità dei dati per i servizi Google Cloud supportati. Per fornire queste funzionalità, alcune funzionalità di questi servizi sono limitate o vietate. La maggior parte di queste modifiche viene applicata durante la procedura di onboarding quando viene creata una nuova cartella o un nuovo progetto in un ambiente Regioni e assistenza nell'UE con controlli di sovranità, ma alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione.
È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sulla sovranità dei dati o sulla residenza dei dati. Ad esempio, alcune funzionalità o capacità potrebbero essere disattivate automaticamente per garantire la sovranità e la residenza dei dati. Inoltre, se viene modificata un'impostazione dei criteri dell'organizzazione, la conseguenza indesiderata potrebbe essere la copia dei dati da una regione all'altra.
Prodotti e servizi supportati
Consulta la pagina Prodotti supportati per un elenco dei prodotti e servizi supportati dalle regioni e dall'assistenza nell'UE con controlli di sovranità.
Criteri dell'organizzazione
Questa sezione descrive in che modo ogni servizio è interessato dai valori predefiniti dei vincoli delle norme dell'organizzazione quando vengono create cartelle o progetti utilizzando le regioni dell'UE e l'assistenza con i controlli di sovranità. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta in:eu-locations come elemento dell'elenco allowedValues.Questo valore limita la creazione di nuove risorse solo al gruppo di valori UE. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori dell'UE. Consulta le Per saperne di più, consulta la documentazione sui gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe minare sia la sovranità dei dati sia la loro residenza, consentendo la creazione o la memorizzazione dei dati al di fuori del confine dei dati dell'UE. Ad esempio, sostituendo il gruppo di valori in:eu-locations con il
gruppo di valori in:europe-locations,
che include le località degli stati membri non appartenenti all'UE.
|
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i nomi dei servizi API in ambito, inclusi:
Ciascun servizio elencato richiede Chiavi di crittografia gestite dal cliente (CMEK). La chiave CMEK consente di criptare i dati a riposo con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore mediante la rimozione di uno o più servizi supportati dall'elenco potrebbe minare la sovranità dei dati, poiché i nuovi dati a riposo verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave che hai fornito. |
gcp.restrictCmekCryptoKeyProjects |
Gli utenti possono impostare questo valore per i progetti o le cartelle destinati all'uso con Regioni e assistenza nell'UE con controlli di sovranità. Ad esempio:
under:folders/my-folder-nameLimita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità sui dati per i dati a riposo dei servizi supportati. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.enableComplianceMemoryProtection |
Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire ulteriori della memoria in caso di errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati. |
compute.disableInstanceDataAccessApis
| Imposta su True. Disattiva a livello globale instances.getSerialPortOutput() e
API instances.getScreenshot(). |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriori
una difesa in profondità. Per ulteriori informazioni, consulta la
documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità.
L'impostazione di questo valore limita lo spazio di archiviazione delle immagini e l'inizializzazione del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'uso di immagini o agenti non autorizzati. |
Vincoli dei criteri dell'organizzazione di Cloud Storage
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
storage.uniformBucketLevelAccess |
Imposta su True. L'accesso ai nuovi bucket viene gestito tramite i criteri IAM anziché Elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se un bucket viene creato con questo vincolo attivo, l'accesso non potrà mai essere gestito utilizzando le ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato definitivamente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage. |
Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Viene utilizzato per disattivare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel carico di lavoro. noi consigliamo vivamente di mantenere il valore impostato. |
Vincoli dei criteri dell'organizzazione di Cloud Key Management Service
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
cloudkms.allowedProtectionLevels |
Impostato su EXTERNAL.Limita i tipi di CryptoKey Cloud Key Management Service che possono essere creati e viene impostato per consentire solo elementi esterni tipi di chiavi. |
Funzionalità interessate
Questa sezione elenca in che modo le funzionalità o le capacità di ogni servizio sono influenzate dalla Regioni e assistenza nell'UE con controlli di sovranità.
Funzionalità di BigQuery
| Funzionalità | Descrizione |
|---|---|
| Attivazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova
Cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente
termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è stato completato e per attivare BigQuery, svolgi i seguenti passaggi:
Al termine del processo di abilitazione, puoi utilizzare BigQuery Cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads. |
| Funzionalità non supportate | Le seguenti funzionalità di BigQuery non sono supportate e devono
nell'interfaccia a riga di comando di BigQuery. È tua responsabilità non
usarle in BigQuery per le regioni e l'assistenza
nell'UE con controlli di sovranità.
|
| Integrazioni non supportate | Le seguenti integrazioni di BigQuery non sono supportate. È
è tua responsabilità non utilizzarli con BigQuery
Regioni e assistenza nell'UE con controlli di sovranità.
|
| API BigQuery supportate | Sono supportate le seguenti API BigQuery:
|
| Regioni | BigQuery è supportato per tutte le versioni BigQuery EU
regioni ad eccezione della multiregione EU. La conformità non può essere garantita
se un set di dati viene creato in una multiregione dell'UE, in una regione non UE o in una
multiregione non UE. È responsabilità dell'utente specificare una regione conforme
quando crea set di dati BigQuery. Se una richiesta di elenco di dati di tabella viene inviata utilizzando una regione dell'UE, ma il set di dati è stato creato in un'altra regione dell'UE, BigQuery non può dedurre quale regione intendi utilizzare e l'operazione non andrà a buon fine con un messaggio di errore "set di dati non trovato". |
| Console Google Cloud | L'interfaccia utente di BigQuery nella console Google Cloud
supportati.
|
| BigQuery CLI | L'interfaccia a riga di comando di BigQuery è supportata.
|
| Google Cloud SDK | Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per gestire i dati
per i dati tecnici,
garanzie di regionalizzazione. Per verificare
la versione attuale di Google Cloud SDK, esegui gcloud --version e
poi gcloud components update per eseguire l'aggiornamento alla versione più recente.
|
| Controlli per gli amministratori | BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads può abilitare un'API non supportata. In questo caso, riceverai una notifica la potenziale non conformità Monitoraggio di Assured Workloads dashboard. |
| Caricamento di dati | I connettori di BigQuery Data Transfer Service per le app Google Software as a Service (SaaS), i fornitori di servizi di archiviazione sul cloud esterni e i data warehouse non sono supportati. È la tua la responsabilità di non utilizzare i connettori BigQuery Data Transfer Service per Regioni e assistenza nell'UE con carichi di lavoro di controlli di sovranità. |
| Trasferimenti di terze parti | BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È la tua la responsabilità di verificare l'assistenza durante l'utilizzo di trasferimenti di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
| Job di query | I job di query con devono essere creati solo all'interno delle cartelle Regioni e assistenza nell'UE con controlli di sovranità. |
| Query su set di dati in altri progetti | BigQuery non impedisce di eseguire query sui set di dati delle regioni e dell'assistenza nell'UE con controlli di sovranità da progetti di regioni e assistenza non UE con controlli di sovranità. Devi assicurarti che qualsiasi
query che includa una lettura o una unione sui dati di Regioni e assistenza nell'UE con controlli di sovranità sia inserita
in una cartella Regioni e assistenza nell'UE con controlli di sovranità. Puoi specificare un
nome di tabella completo per il risultato della query utilizzando projectname.dataset.table
nella CLI BigQuery. |
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dati di log.
Per mantenere la conformità, devi disattivare i bucket di log _default o limitare i bucket _default alle regioni dell'UE utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkPer ulteriori informazioni, consulta questa pagina. |
Funzionalità di Bigtable
| Funzionalità | Descrizione |
|---|---|
| Funzionalità non supportate | Le funzionalità e i metodi API Bigtable non sono
supportati. È responsabilità dell'utente non utilizzarli con
Bigtable per le regioni e l'assistenza nell'UE con controlli di sovranità.
|
| Dividi confini | Bigtable usa un piccolo sottoinsieme di chiavi di riga per definire la suddivisione
che possono includere dati e metadati dei clienti. Un confine divisa
in Bigtable indica la posizione in cui intervalli contigui di righe
in una tabella sono suddivisi in tablet. Questi confini della suddivisione sono accessibili da parte del personale Google per e non sono soggetti a obblighi amministrativi accedi ai controlli dei dati nelle regioni dell'UE e assistenza con i controlli di sovranità. |
Funzionalità di Spanner
| Funzionalità | Descrizione |
|---|---|
| Confini della suddivisione | Spanner usa un piccolo sottoinsieme di chiavi primarie
colonne da definire
divisa
confini, che possono includere dati e metadati dei clienti. Una divisione
in Spanner la località in cui gli intervalli contigui
di righe sono suddivise in parti più piccole. Questi confini della suddivisione sono accessibili da parte del personale Google per e non sono soggetti a obblighi amministrativi accedi ai controlli dei dati nelle regioni dell'UE e assistenza con i controlli di sovranità. |
Funzionalità di Dataproc
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Al momento Dataproc non supporta la console Google Cloud giurisdizionale. Per applicare la residenza dei dati, assicurati di utilizzare la CLI Google Cloud o l'API quando utilizzi Dataproc. |
Funzionalità di GKE
| Funzionalità | Descrizione |
|---|---|
| Limitazioni delle risorse del cluster | Assicurati che la configurazione del cluster non utilizzi risorse per
servizi che non sono supportati nelle regioni dell'UE e assistenza con controlli di sovranità. Ad esempio, la
seguente configurazione non è valida perché richiede l'attivazione o l'utilizzo
di un servizio non supportato:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Funzionalità di Cloud Logging
Per utilizzare Cloud Logging con chiavi di crittografia gestite dal cliente (CMEK), devi completa i passaggi nella Abilita CMEK per un'organizzazione nella documentazione di Cloud Logging.
| Funzionalità | Descrizione |
|---|---|
| Destinazioni dei log | I filtri non devono contenere dati dei clienti. I canali di log includono filtri archiviati come configurazione. Non creare filtri che contengono dati dei clienti. |
| Voci di log di tailing in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di tailing in tempo reale include un filtro che viene archiviato come configurazione. La funzionalità di monitoraggio dei log non memorizza i dati delle voci di log, ma può eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengono Dati dei clienti. |
| Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud. |
| URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati per le query nella console Google Cloud. |
| Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud. |
| Analisi dei log con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics. |
Funzionalità di Cloud Monitoring
| Funzionalità | Descrizione |
|---|---|
| Monitoraggio sintetico | Questa funzionalità è disattivata. |
| Controllo di uptime | Questa funzionalità è disattivata. |
| Widget del riquadro dei log in Dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un riquadro di log a un Fitbit.com. |
| Widget del riquadro di Error Reporting nelle dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un riquadro per i report sugli errori a una dashboard. |
Filtra in
EventAnnotation
per le dashboard
|
Questa funzionalità è disattivata. Filtro di EventAnnotation
non possono essere impostati in una dashboard.
|
Funzionalità di Compute Engine
| Funzionalità | Descrizione |
|---|---|
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e il ripristino di un'istanza VM richiede l'archiviazione su disco permanente. mentre l'archiviazione su disco permanente utilizzata per l'archiviazione dello stato di una VM sospesa essere criptati usando CMEK. Consulta le gcp.restrictNonCmekServices organizzazione
vincolo dei criteri nella sezione precedente per comprendere la sovranità dei dati
e la residenza dei dati che comporta
l'abilitazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptati utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati derivanti dall'attivazione di questa funzionalità.
|
| Ambiente guest |
È possibile utilizzare script, daemon e programmi binari inclusi con
l'ambiente guest per accedere ai dati at-rest e in uso non criptati.
A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere
installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche su
i contenuti, il codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a rispettare la sovranità dei dati attraverso controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche organizzare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo delle norme dell'organizzazione compute.trustedImageProjects.
Consulta Creazione di un'immagine personalizzata per ulteriori informazioni. |
instances.getSerialPortOutput() |
Questa API è disabilitata. non potrai ottenere un output della porta seriale
dall'istanza specificata utilizzando questa API. Cambia l'organizzazione compute.disableInstanceDataAccessApis
il valore del vincolo del criterio su False per abilitare questa API. Puoi anche
attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate su
su questa pagina.
|
instances.getScreenshot() |
Questa API è disabilitata. non potrai acquisire uno screenshot
l'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in
questa pagina.
|