Restrictions et limites dans les régions de l'UE et assistance pour les contrôles de souveraineté
Cette page décrit les restrictions, les limites et d'autres options de configuration lorsque vous utilisez les régions de l'UE et l'assistance pour les contrôles de souveraineté.
Présentation
Les régions de l'UE et l'assistance pour les contrôles de souveraineté fournissent des fonctionnalités de résidence et de souveraineté des données pour les services Google Cloud compatibles. Pour fournir ces fonctionnalités, certaines de ces fonctionnalités sont limitées ou limitées. La plupart de ces modifications sont appliquées lors du processus d'intégration, lorsque vous créez un dossier ou un projet dans un environnement "Régions de l'UE et assistance pour les contrôles de souveraineté". Vous pouvez toutefois modifier certaines d'entre elles ultérieurement en modifiant les règles d'administration.
Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné, ou affectent la souveraineté des données ou la résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour assurer la souveraineté et la résidence des données. De plus, si un paramètre de règle d'administration est modifié, cela peut avoir pour conséquence inattendue la copie de données d'une région à une autre.
Produits et services compatibles
Consultez la page Produits compatibles pour obtenir la liste des produits et services compatibles avec les régions de l'UE et l'assistance pour les contrôles de souveraineté.
Règles d'administration
Cette section décrit comment chaque service est affecté par les valeurs de contrainte de règle d'administration par défaut lorsque des dossiers ou des projets sont créés à l'aide des régions de l'UE et de la compatibilité avec les contrôles de souveraineté. D'autres contraintes applicables, même si elles ne sont pas définies par défaut, peuvent fournir une"défense en profondeur" supplémentaire pour mieux protéger les ressources Google Cloud de votre organisation.
Contraintes liées aux règles d'administration à l'échelle du cloud
Les contraintes liées aux règles d'administration suivantes s'appliquent à tout service Google Cloud applicable.
Contrainte liée aux règles d'administration | Description |
---|---|
gcp.resourceLocations |
Définissez in:eu-locations en tant qu'élément de liste allowedValues .Cette valeur limite la création de ressources au groupe de valeurs "UE". Lorsque cette option est définie, aucune ressource ne peut être créée dans d'autres régions, emplacements multirégionaux ni emplacements situés en dehors de l'UE. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration. Modifier cette valeur pour la rendre moins restrictive compromet la souveraineté et la résidence des données en autorisant la création ou le stockage de données en dehors de la limite des données de l'UE. Par exemple : remplacement du groupe de valeurs in:eu-locations par le groupe de valeurs in:europe-locations , qui inclut les emplacements des États membres de l'UE.
|
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service répertorié nécessite des clés de chiffrement gérées par le client (CMEK). Le chiffrement CMEK permet de chiffrer les données au repos à l'aide d'une clé que vous gérez, et non à l'aide des mécanismes de chiffrement par défaut de Google. Modifier cette valeur en supprimant un ou plusieurs services compatibles de la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés de Google plutôt que des vôtres. Les données au repos existantes resteront chiffrées à l'aide de la clé que vous avez fournie. |
gcp.restrictCmekCryptoKeyProjects |
Les utilisateurs peuvent définir cette valeur sur les projets ou dossiers destinés à être utilisés avec les régions de l'UE et l'assistance pour les contrôles de souveraineté. Par exemple :
under:folders/my-folder-name Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou les projets non approuvés de fournir des clés de chiffrement, contribuant ainsi à garantir la souveraineté des données pour les données au repos des services compatibles. |
Contraintes liées aux règles d'administration Compute Engine
Contrainte liée aux règles d'administration | Description |
---|---|
compute.enableComplianceMemoryProtection |
Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour fournir une protection supplémentaire du contenu de la mémoire en cas de défaillance d'infrastructure. La modification de cette valeur peut affecter la résidence ou la souveraineté des données. |
compute.disableInstanceDataAccessApis
| Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot() . |
compute.restrictNonConfidentialComputing |
(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur les Confidential VMs. |
compute.trustedImageProjects |
(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour renforcer la défense en profondeur.
La définition de cette valeur limite le stockage d'images et l'instanciation de disque à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés. |
Contraintes liées aux règles d'administration Cloud Storage
Contrainte liée aux règles d'administration | Description |
---|---|
storage.uniformBucketLevelAccess |
Défini sur True. L'accès aux nouveaux buckets est géré à l'aide de stratégies IAM au lieu de listes de contrôle d'accès (LCA) Cloud Storage. Cette contrainte fournit des autorisations précises pour les buckets et leur contenu. Si un bucket est créé alors que cette contrainte est activée, l'accès à celui-ci ne peut jamais être géré à l'aide de LCA. En d'autres termes, la méthode de contrôle des accès d'un bucket est définie de manière permanente sur l'utilisation de stratégies IAM au lieu de LCA Cloud Storage. |
Contraintes liées aux règles d'administration de Google Kubernetes Engine
Contrainte liée aux règles d'administration | Description |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons vivement de conserver la valeur définie. |
Contraintes liées aux règles d'administration de Cloud Key Management Service
Contrainte liée aux règles d'administration | Description |
---|---|
cloudkms.allowedProtectionLevels |
Variable définie sur EXTERNAL .Limite les types de CryptoKeys Cloud Key Management Service pouvant être créés et est configuré pour n'autoriser que les types de clés externes. |
Fonctionnalités concernées
Cette section décrit l'impact des régions de l'UE et de l'assistance pour les contrôles de souveraineté sur les fonctionnalités de chaque service.
Fonctionnalités de BigQuery
Sélection | Description |
---|---|
Activer BigQuery sur un nouveau dossier | BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Ce processus se termine normalement en 10 minutes, mais peut prendre beaucoup plus de temps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit:
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. |
Fonctionnalités non compatibles | Les fonctionnalités BigQuery suivantes ne sont pas compatibles et ne doivent pas être utilisées dans la CLI BigQuery. Il est de votre responsabilité de ne pas les utiliser dans BigQuery pour les régions de l'UE et l'assistance pour les contrôles de souveraineté.
|
Intégrations non compatibles | Les intégrations BigQuery suivantes ne sont pas compatibles. Il est de votre responsabilité de ne pas les utiliser avec BigQuery pour les régions de l'UE et l'assistance pour les contrôles de souveraineté.
|
API BigQuery compatibles | Les API BigQuery suivantes sont compatibles:
|
Régions | BigQuery est compatible avec toutes les régions BigQuery de l'UE, à l'exception de l'emplacement multirégional UE. La conformité ne peut pas être garantie si un ensemble de données est créé dans un emplacement multirégional de l'UE, un emplacement en dehors de l'UE ou un emplacement multirégional hors UE. Il est de votre responsabilité de spécifier une région conforme lorsque vous créez des ensembles de données BigQuery. Si une requête de liste de données de table est envoyée depuis une région de l'UE, mais que l'ensemble de données a été créé dans une autre région de l'UE, BigQuery ne peut pas déduire la région souhaitée et l'opération échoue et renvoie le message d'erreur "Ensemble de données introuvable". |
Console Google Cloud | L'interface utilisateur BigQuery est compatible avec la console Google Cloud.
|
CLI BigQuery | La CLI BigQuery est compatible.
|
SDK Google Cloud | Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour garantir la régionalisation des données techniques. Pour vérifier votre version actuelle de Google Cloud SDK, exécutez gcloud --version , puis gcloud components update pour passer à la version la plus récente.
|
Commandes d'administration | BigQuery désactivera les API non compatibles, mais les administrateurs disposant des autorisations suffisantes pour créer un dossier Assured Workloads peuvent activer une API non compatible. Dans ce cas, vous serez informé d'une éventuelle non-conformité via le tableau de bord de surveillance Assured Workloads. |
Chargement des données | Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas compatibles. Il est de votre responsabilité de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour les régions de l'UE et l'assistance pour les charges de travail de contrôles de souveraineté. |
Transferts tiers | BigQuery ne vérifie pas la compatibilité du service de transfert de données BigQuery avec les transferts tiers. Il est de votre responsabilité de vérifier la compatibilité lorsque vous utilisez un transfert tiers pour le service de transfert de données BigQuery. |
Modèles BQML non conformes | Les modèles BQML entraînés en externe ne sont pas acceptés. |
Tâches de requête | Les jobs de requête avec ne doivent être créés que dans les dossiers "Régions de l'UE" et "Assistance pour les contrôles de souveraineté". |
Requêtes sur des ensembles de données d'autres projets | BigQuery n'empêche pas les requêtes sur les ensembles de données "Régions de l'UE" et "Assistance pour les contrôles de souveraineté" des ensembles de données provenant de régions hors UE d'être interrogées. Vous devez vous assurer que toute requête comportant une lecture ou une jointure sur les données "Régions de l'UE et assistance pour les contrôles de souveraineté" soit placée dans le dossier "Régions de l'UE et assistance pour les contrôles de souveraineté". Vous pouvez spécifier un nom de table complet pour le résultat de la requête à l'aide de projectname.dataset.table dans la CLI BigQuery. |
Cloud Logging | BigQuery utilise Cloud Logging pour certaines données de journaux.
Pour maintenir la conformité, vous devez désactiver vos buckets de journalisation _default ou limiter les buckets _default aux régions de l'UE à l'aide de la commande suivante:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Pour en savoir plus, consultez cette page. |
Fonctionnalités Bigtable
Sélection | Description |
---|---|
Fonctionnalités non compatibles | Les fonctionnalités et méthodes d'API Bigtable suivantes ne sont pas compatibles. Il est de votre responsabilité de ne pas les utiliser avec Bigtable pour les régions de l'UE et l'assistance pour les contrôles de souveraineté.
|
Limites de division | Bigtable utilise un petit sous-ensemble de clés de ligne pour définir des limites de division, qui peuvent inclure des métadonnées et des données client. Dans Bigtable, une limite de division indique l'emplacement où les plages de lignes contiguës d'une table sont divisées en tablettes. Ces limites de division sont accessibles par le personnel de Google à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles des données d'accès administrateur dans les régions de l'UE ni à l'assistance pour les contrôles de souveraineté. |
Fonctionnalités de Spanner
Sélection | Description |
---|---|
Limites de division | Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir les limites de division, qui peuvent inclure des données et des métadonnées client. Dans Spanner, une limite de division indique l'emplacement où les plages de lignes contiguës sont divisées en éléments plus petits. Ces limites de division sont accessibles par le personnel de Google à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles des données d'accès administrateur dans les régions de l'UE ni à l'assistance pour les contrôles de souveraineté. |
Fonctionnalités de Dataproc
Sélection | Description |
---|---|
Console Google Cloud | Dataproc n'est actuellement pas compatible avec la console Google Cloud juridictionnelle. Pour appliquer la résidence des données, veillez à utiliser Google Cloud CLI ou l'API lorsque vous utilisez Dataproc. |
Fonctionnalités de GKE
Sélection | Description |
---|---|
Restrictions de ressources de cluster | Assurez-vous que la configuration de votre cluster n'utilise pas de ressources pour des services non compatibles avec les régions de l'UE et l'assistance pour les contrôles de souveraineté. Par exemple, la configuration suivante n'est pas valide, car elle nécessite l'activation ou l'utilisation d'un service non compatible:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Fonctionnalités de Cloud Logging
Pour utiliser Cloud Logging avec des clés de chiffrement gérées par le client (CMEK), vous devez suivre la procédure décrite sur la page Activer CMEK pour une organisation dans la documentation Cloud Logging.
Sélection | Description |
---|---|
Récepteurs de journaux | Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres stockés dans la configuration. Ne créez pas de filtres qui contiennent des données client. |
Affichage en direct des dernières lignes des entrées de journal | Les filtres ne doivent pas contenir de données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. L'affichage des dernières données des journaux ne stocke aucune donnée d'entrée de journal, mais peut interroger et transmettre des données entre régions. Ne créez pas de filtres contenant des données client. |
Alertes basées sur des journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud. |
URL raccourcies pour les requêtes de l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud. |
Enregistrer des requêtes dans l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud. |
Analyse de journaux avec BigQuery | Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité Analyse de journaux. |
Fonctionnalités de Compute Engine
Sélection | Description |
---|---|
Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
|
Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent actuellement pas être chiffrés à l'aide de clés CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
|
Environnement invité |
Les scripts, les daemons et les binaires inclus dans l'environnement invité peuvent accéder aux données non chiffrées au repos et en cours d'utilisation.
Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Consultez la section
Environnement invité pour obtenir des informations spécifiques sur le contenu de chaque package, le code source, etc. Ces composants vous aident à garantir la souveraineté des données grâce à des contrôles et des processus de sécurité internes. Toutefois, si vous souhaitez davantage de contrôle, vous pouvez également sélectionner vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects .
Pour en savoir plus, consultez la page Créer une image personnalisée. |
instances.getSerialPortOutput() |
Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de
cette page.
|
instances.getScreenshot() |
Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de
cette page.
|