Einschränkungen und Limitierungen in EU-Regionen und -Support mit Datenhoheitskontrollen
Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie EU-Regionen und den Support mit Domänenkontrollen verwenden.
Übersicht
„EU-Regionen und -Support mit Datenhoheitskontrollen“ bietet Funktionen für Datenstandort und Datenhoheit für unterstützten Google Cloud-Diensten. Einige dieser Funktionen sind eingeschränkt oder limitiert, um diese Funktionen bereitstellen zu können. Die meisten dieser Änderungen werden während der Einrichtung angewendet, wenn ein neuer Ordner oder ein Projekt in einer EU-Regionen- und Support mit Datenhoheitskontrollen-Umgebung erstellt wird. Einige davon können jedoch später durch Änderungen der Organisationsrichtlinien geändert werden.
Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud-Dienst ändern oder die Datenhoheit oder den Datenstandort beeinflussen. Einige Funktionen können beispielsweise automatisch deaktiviert werden, um die Datenhoheit und den Datenstandort beizubehalten. Wenn außerdem ein Einstellung der Organisationsrichtlinie geändert wird, kann dies unbeabsichtigte Folgen haben Daten von einer Region in eine andere zu kopieren.
Unterstützte Produkte und Dienste
Auf der Seite Unterstützte Produkte finden Sie eine Liste der Produkte und Dienste, die von EU-Regionen und dem Support mit Kontrollen zur Datenhoheit unterstützt werden.
Organisationsrichtlinien
In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von EU-Regionen und mit Datenhoheitssteuerelementen erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche "gestaffelte Sicherheitsebene" bieten, um die Google Cloud-Ressourcen Ihrer Organisation weiter zu schützen.
Einschränkungen für Cloud-Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.
Organisationsrichtlinie-Beschränkung | Beschreibung |
---|---|
gcp.resourceLocations |
Legen Sie in:eu-locations als Listenelement allowedValues fest.Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die EU-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der EU erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie sowohl die Datenhoheit als auch den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der EU-Datengrenze zulassen. Beispiel: Ersetzen der Wertgruppe in:eu-locations durch die Wertgruppe in:europe-locations , die Standorte außerhalb des EU-Mitgliedsstatus enthält.
|
gcp.restrictNonCmekServices |
Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Ändern Sie diesen Wert, indem Sie einen oder mehrere unterstützte Dienste aus der kann die Liste Datenhoheit, da neue ruhende Daten automatisch mit dem anstelle Ihrer Schlüssel. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt. |
gcp.restrictCmekCryptoKeyProjects |
Nutzer können diesen Wert auf Projekte oder Ordner festlegen, die für
Verwendung mit EU-Regionen und -Support mit Datenhoheitskontrollen. Beispiel: under:folders/my-folder-name Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten unterstützter Dienste. |
Einschränkungen für Compute Engine-Organisationsrichtlinien
Organisationsrichtlinie-Beschränkung | Beschreibung |
---|---|
compute.enableComplianceMemoryProtection |
Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit auswirken. |
compute.disableInstanceDataAccessApis
| Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot() . |
compute.restrictNonConfidentialComputing |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche
gestaffelte Sicherheitsebenen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation. |
compute.trustedImageProjects |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen.
Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden. |
Einschränkungen für Cloud Storage-Organisationsrichtlinien
Organisationsrichtlinie-Beschränkung | Beschreibung |
---|---|
storage.uniformBucketLevelAccess |
Auf True festlegen. Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte. Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt. |
Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine
Organisationsrichtlinie-Beschränkung | Beschreibung |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten. |
Einschränkungen der Organisationsrichtlinien für Cloud Key Management Service
Organisationsrichtlinie-Beschränkung | Beschreibung |
---|---|
cloudkms.allowedProtectionLevels |
Legen Sie EXTERNAL fest.Schränkt die CryptoKey-Typen der Cloud Key Management Service ein, die erstellt werden können, und ist so eingestellt, dass nur externe Schlüsseltypen zulässig sind. |
Betroffene Features
In diesem Abschnitt wird erläutert, wie sich dies auf die Funktionen der einzelnen Dienste durch EU-Regionen und -Support mit Datenhoheitskontrollen.
BigQuery-Features
Funktion | Beschreibung |
---|---|
BigQuery für einen neuen Ordner aktivieren | BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang wird normalerweise
endet in zehn Minuten, kann aber unter bestimmten Umständen viel länger dauern. Um zu prüfen, ob die
abgeschlossen ist. Führen Sie die folgenden Schritte aus, um BigQuery zu aktivieren: <ph type="x-smartling-placeholder">
Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner. Gemini in BigQuery wird von Assured Workloads nicht unterstützt. |
Nicht unterstützte Funktionen | Die folgenden BigQuery-Features werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Sie sind dafür verantwortlich, sie nicht in BigQuery für EU-Regionen und Support mit Souveränitätskontrollen zu verwenden.
|
Nicht unterstützte Integrationen | Die folgenden BigQuery-Integrationen werden nicht unterstützt. Es ist
sind Sie dafür verantwortlich,
sie nicht mit BigQuery zu verwenden,
EU-Regionen und -Support mit Datenhoheitskontrollen.
|
Unterstützte BigQuery APIs | Folgende BigQuery APIs werden unterstützt: <ph type="x-smartling-placeholder">
|
Regionen | BigQuery wird für die gesamte BigQuery-EU unterstützt
mit Ausnahme des multiregionalen Standorts „EU“. Compliance kann nicht garantiert werden
Ein Dataset wird in einer Mehrfachregion der EU, einer Nicht-EU-Region oder einer Nicht-EU-Region erstellt.
multiregional. Sie sind dafür verantwortlich, beim Erstellen von BigQuery-Datasets eine konforme Region anzugeben. Wenn eine Anfrage für eine Liste von Tabellendaten mit einer EU-Region gesendet wird, das Dataset aber in einer anderen EU-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region Sie gemeint haben. Der Vorgang schlägt mit der Fehlermeldung „Dataset nicht gefunden“ fehl. |
Google Cloud Console | Die BigQuery-Benutzeroberfläche in der Google Cloud Console
unterstützt.
|
BigQuery-Befehlszeile | Die BigQuery-Befehlszeile wird unterstützt.
|
Google Cloud SDK | Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um Garantien zur Datenregionalisierung für technische Daten aufrechtzuerhalten. Führen Sie gcloud --version aus, um die aktuelle Google Cloud SDK-Version zu prüfen, und dann gcloud components update , um auf die neueste Version zu aktualisieren.
|
Steuerelemente für Administratoren | BigQuery deaktiviert nicht unterstützte APIs, aber Administratoren mit den erforderlichen Berechtigungen zum Erstellen eines Assured Workloads-Ordners eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Dashboard für das Assured Workloads-Monitoring über potenzielle Nichteinhaltung informiert. |
Daten laden | BigQuery Data Transfer Service Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, extern Cloud Storage-Anbieter und Data Warehouses werden nicht unterstützt. Sie sind dafür verantwortlich, BigQuery Data Transfer Service-Connectors nicht für Arbeitslasten in EU-Regionen und Support mit Souveränitätskontrollen zu verwenden. |
Drittanbieter Übertragungen | BigQuery prüft nicht, ob Drittanbieter-Übertragungen für den BigQuery Data Transfer Service unterstützt werden. Es ist Ihr ist es erforderlich, dass Sie dies bestätigen, wenn Sie BigQuery Data Transfer Service. |
Nicht konforme BQML-Modelle | Extern trainierte BQML-Modelle werden nicht unterstützt. |
Abfragejobs | Abfragejobs mit sollten nur in Ordnern von EU-Regionen und -Support mit Datenhoheitskontrollen erstellt werden. |
Abfragen von Datasets in anderen Projekten | In BigQuery kann nicht verhindert werden, dass Datasets in EU-Regionen und mit Support für Datenhoheitskontrollen von Projekten außerhalb dieser Regionen abgefragt werden. Achten Sie darauf, dass alle Abfragen, die Lese- oder Join-Vorgänge auf Daten aus EU-Regionen und Support mit Datenhoheitskontrollen umfassen, in einem Ordner für EU-Regionen und Support mit Datenhoheitskontrollen abgelegt werden. Sie können eine
vollständig qualifiziert
Tabellenname für das Abfrageergebnisse mit projectname.dataset.table .
in der BigQuery-Befehlszeile. |
Cloud Logging | BigQuery verwendet Cloud Logging für einige Ihrer Logdaten.
Sie sollten Ihre _default -Logging-Buckets deaktivieren oder _default -Buckets auf EU-Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Weitere Informationen finden Sie auf dieser Seite. |
Bigtable-Features
Funktion | Beschreibung |
---|---|
Nicht unterstützte Funktionen | Die folgenden Bigtable-Funktionen und API-Methoden sind nicht
unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit
Bigtable für EU-Regionen und -Support mit Datenhoheitskontrollen.
|
Split-Grenzen | In Bigtable werden Teilungsgrenzen mithilfe einer kleinen Teilmenge von Zeilenschlüsseln definiert, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Bigtable gibt an, wo zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden. Diese Split-Grenzen sind für Google-Mitarbeiter aus technischen Gründen Support- und Debugging-Zwecke und unterliegen nicht den administrativen auf Datenkontrollen in EU-Regionen und Support mit Datenhoheitskontrollen zugreifen. |
Spanner-Features
Funktion | Beschreibung |
---|---|
Split-Grenzen | Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Teilungsgrenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile unterteilt werden. Diese Split-Grenzen sind für Google-Mitarbeiter aus technischen Gründen Support- und Debugging-Zwecke und unterliegen nicht administrativen auf Datenkontrollen in EU-Regionen und Support mit Datenhoheitskontrollen zugreifen. |
Dataproc-Features
Funktion | Beschreibung |
---|---|
Google Cloud Console | Dataproc unterstützt derzeit nicht die Google Cloud Console für Gerichtsbarkeiten. Wenn Sie den Datenstandort erzwingen möchten, verwenden Sie bei der Verwendung von Dataproc entweder die Google Cloud CLI oder die API. |
GKE-Features
Funktion | Beschreibung |
---|---|
Einschränkungen für Clusterressourcen | Achten Sie darauf, dass Ihre Clusterkonfiguration keine Ressourcen verwendet für
Dienste, die in EU-Regionen und Support mit Datenhoheitskontrollen nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da ein nicht unterstützter Dienst aktiviert oder verwendet werden muss:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Features von Cloud Logging
Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verwenden möchten, müssen Sie führen Sie die Schritte im CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation.
Funktion | Beschreibung |
---|---|
Logsenken | Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten. |
Live-Tailing-Logeinträge | Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten. |
Logbasierte Benachrichtigungen | Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden. |
Gekürzte URLs für Log-Explorer-Abfragen | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen. |
Abfragen im Log-Explorer speichern | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern. |
Loganalysen mit BigQuery | Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden. |
SQL-basierte Benachrichtigungsrichtlinien | Die Funktion ist deaktiviert. Sie können die Funktion „SQL-basierte Benachrichtigungsrichtlinien“ nicht verwenden. |
Cloud Monitoring-Funktionen
Funktion | Beschreibung |
---|---|
Synthetischer Monitor | Die Funktion ist deaktiviert. |
Verfügbarkeitsdiagnose | Die Funktion ist deaktiviert. |
Widgets für den Steuerfeldbereich für Protokolle in Dashboards | Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Protokollfeld hinzufügen. |
Widgets für das Steuerfeld für Fehlerberichte in Dashboards | Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Steuerfeld für Fehlermeldungen hinzufügen. |
In EventAnnotation nach Dashboards filtern
|
Diese Funktion ist deaktiviert. Der Filter für EventAnnotation kann nicht in einem Dashboard festgelegt werden.
|
SqlCondition
in alertPolicies
|
Diese Funktion ist deaktiviert. Sie können einer alertPolicy kein SqlCondition hinzufügen.
|
Compute Engine Features
Funktion | Beschreibung |
---|---|
VM-Instanz anhalten bzw. fortsetzen | Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen finden Sie in der gcp.restrictNonCmekServices Organisation
Richtlinieneinschränkung im obigen Abschnitt zum Verständnis der Datenhoheit
und die Auswirkungen auf den Datenstandort.
|
Lokale SSDs | Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Weitere Informationen finden Sie in der gcp.restrictNonCmekServices Organisation
Richtlinieneinschränkung im obigen Abschnitt zum Verständnis der Datenhoheit
und die Auswirkungen auf den Datenstandort.
|
Gastumgebung |
Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen.
Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter
Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Bilder oder Kundenservicemitarbeiter auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.
Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen. |
instances.getSerialPortOutput() |
Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch
den interaktiven seriellen Port zu aktivieren und zu verwenden. Folgen Sie dazu der Anleitung auf
auf dieser Seite.
|
instances.getScreenshot() |
Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch
den interaktiven seriellen Port zu aktivieren und zu verwenden. Folgen Sie dazu der Anleitung auf
auf dieser Seite.
|