Diese Seite wurde von der Cloud Translation API übersetzt.

Einschränkungen und Limitierungen bei der Steuerung der Datenhoheit in der EU

Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie Domänenkontrollen für die EU verwenden.

Übersicht

Datenhoheitskontrollen für die EU bieten Funktionen für Datenstandort und Datenhoheit für unterstützte Google Cloud Dienste. Einige dieser Funktionen sind eingeschränkt oder limitiert, um diese Funktionen bereitstellen zu können. Die meisten dieser Änderungen werden während der Einrichtung angewendet, wenn ein neuer Ordner oder ein Projekt in einer Sovereign Controls for EU-Umgebung erstellt wird. Einige davon können jedoch später durch Änderungen der Organisationsrichtlinien geändert werden.

Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud Dienst ändern oder die Datenhoheit oder den Datenstandort beeinflussen. Einige Funktionen können beispielsweise automatisch deaktiviert werden, um die Datenhoheit und den Datenstandort beizubehalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.

Unterstützte Produkte und Dienste

Auf der Seite Unterstützte Produkte finden Sie eine Liste der Produkte und Dienste, die von Sovereign Controls für die EU unterstützt werden.

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von Datenhoheitssteuerelementen für die EU erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud -Ressourcen Ihrer Organisation weiter zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud Dienste.

Organisationsrichtlinie-Beschränkung	Beschreibung
`gcp.resourceLocations`	Legen Sie `in:eu-locations` als Listenelement `allowedValues` fest. Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die EU-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der EU erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie sowohl die Datenhoheit als auch den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der EU-Datengrenze zulassen. Beispiel: Ersetzen der Wertgruppe `in:eu-locations` durch die Wertgruppe `in:europe-locations`, die Standorte außerhalb des EU-Mitgliedsstatus enthält.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Weitere Informationen finden Sie unten im Abschnitt "Betroffene Funktionen". Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere unterstützte Dienste aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictCmekCryptoKeyProjects`	Nutzer können diesen Wert auf Projekte oder Ordner setzen, die für die Verwendung mit Datenhoheitssteuerelementen für die EU vorgesehen sind. Beispiel: `under:folders/my-folder-name` Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten unterstützter Dienste.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung	Beschreibung
`compute.enableComplianceMemoryProtection`	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit auswirken.
`compute.disableInstanceDataAccessApis`	Auf True festlegen. Deaktiviert global die APIs `instances.getSerialPortOutput()` und `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.trustedImageProjects`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Einschränkungen für Cloud Storage-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung Beschreibung

storage.uniformBucketLevelAccess Auf True festlegen.

Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte.

Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.

Organisationsrichtlinie-Beschränkung	Beschreibung
`storage.uniformBucketLevelAccess`	Auf True festlegen. Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte. Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung	Beschreibung
`container.restrictNoncompliantDiagnosticDataAccess`	Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.

Einschränkungen der Organisationsrichtlinien für Cloud Key Management Service

Organisationsrichtlinie-Beschränkung	Beschreibung
`cloudkms.allowedProtectionLevels`	Legen Sie `EXTERNAL` fest. Schränkt die CryptoKey-Typen der Cloud Key Management Service ein, die erstellt werden können, und ist so eingestellt, dass nur externe Schlüsseltypen zulässig sind.

Betroffene Features

In diesem Abschnitt wird beschrieben, wie sich die Features oder Funktionen der einzelnen Dienste von den Datenhoheitssteuerelementen für die EU auswirken.

BigQuery-Funktionen

Funktion	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu „Assured Workloads“ Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen. Überprüfen Sie im Bereich Zugelassene Dienste die Dienste, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen. Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care. Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Features werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Sie sind dafür verantwortlich, sie nicht in BigQuery für souveräne Kontrollen für die EU zu verwenden. Interaktion mit Remote-Datenquellen extern trainierte BQML-Modelle werden nicht unterstützt. Intern trainierte BQML-Modelle werden unterstützt. Geplante und föderierte Abfragen Dynamische Datenmaskierung GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Notebooks werden in BigQuery Studio nicht unterstützt.
Nicht unterstützte Integrationen	Die folgenden BigQuery-Integrationen werden nicht unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit BigQuery für souveräne Kontrollen für die EU zu verwenden. Mit den API-Methoden `CreateTag`, `SearchCatalog`, `Bulk tagging` und `Business Glossary` der Data Catalog API können technische Daten auf eine nicht unterstützte Weise verarbeitet und gespeichert werden. Sie sind dafür verantwortlich, diese Methoden nicht für souveränen Zugriff in der EU zu verwenden.
Unterstützte BigQuery APIs	Folgende BigQuery APIs werden unterstützt: Datasets Jobs Modelle Projekte Reservierungen Abläufe Zeilenzugriffsrichtlinien Speicherlesevorgänge Schreiben im Speicher Tables Tabellendaten Die Reservations API ist standardmäßig nicht aktiviert. Sie können die API mithilfe der Anleitung auf dieser Seite aktivieren.
Regionen	BigQuery wird für alle BigQuery-Regionen in der EU unterstützt, mit Ausnahme der multiregionalen EU-Region. Die Einhaltung der Anforderungen kann nicht garantiert werden, wenn ein Datensatz in einer EU-Multi-Region, einer Region außerhalb der EU oder einer Multi-Region außerhalb der EU erstellt wird. Sie sind dafür verantwortlich, beim Erstellen von BigQuery-Datasets eine konforme Region anzugeben. Wenn eine Anfrage für eine Liste von Tabellendaten mit einer EU-Region gesendet wird, das Dataset aber in einer anderen EU-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region Sie gemeint haben. Der Vorgang schlägt mit der Fehlermeldung „Dataset nicht gefunden“ fehl.
Google Cloud Console	Die BigQuery-Benutzeroberfläche in der Google Cloud Console wird unterstützt.
BigQuery-Befehlszeile	Die BigQuery-Befehlszeile wird unterstützt.
Google Cloud SDK	Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um die Datenregionalisierung für technische Daten zu gewährleisten. Führen Sie `gcloud --version` aus, um die aktuelle Google Cloud SDK-Version zu prüfen, und dann `gcloud components update`, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren	In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Ordners für gesicherte Arbeitslasten können eine nicht unterstützte API jedoch aktivieren. In diesem Fall werden Sie über das Dashboard für das Assured Workloads-Monitoring über mögliche Nichteinhaltung informiert.
Daten laden	BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, BigQuery Data Transfer Service-Anschlüsse nicht für souveräne Kontrollen für EU-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen	BigQuery prüft nicht, ob Drittanbieter-Übertragungen für den BigQuery Data Transfer Service unterstützt werden. Sie sind dafür verantwortlich, den Support zu prüfen, wenn Sie eine Drittanbieterübertragung für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle	Äußerlich trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs	Abfragejobs mit sollten nur in Ordnern mit Datenhoheitskontrollen für die EU erstellt werden.
Abfragen zu Datensätzen in anderen Projekten	In BigQuery wird nicht verhindert, dass Datensätze mit souveränen Steuerelementen für die EU von Projekten ohne souveräne Steuerelemente für die EU abgefragt werden. Achten Sie darauf, dass alle Abfragen, die Lese- oder Join-Vorgänge auf Daten der Steuerung der Datenhoheit in der EU umfassen, in einem Ordner für die Steuerung der Datenhoheit in der EU abgelegt werden. Sie können mit `projectname.dataset.table` in der BigQuery-Befehlszeile einen vollständigen Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging	BigQuery verwendet Cloud Logging für einige Ihrer Protokolldaten. Sie sollten Ihre `_Default`-Logging-Buckets deaktivieren oder auf EU-Regionen beschränken, um die Compliance aufrechtzuerhalten.`_Default` Informationen zum Festlegen des Speicherorts für neue `_Default`-Buckets oder zum Deaktivieren von Routingeinträgen für neue `_Default`-Buckets finden Sie unter Standardeinstellungen für Organisationen und Ordner konfigurieren.

Bigtable-Funktionen

Funktion Beschreibung

Nicht unterstützte Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Bigtable-Funktionen und API-Methoden werden nicht unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit Bigtable for Sovereign Controls for EU zu verwenden. Die `ListHotTablets` API-Methode der RPC Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für souveränentliche Kontrollen für die EU zu verwenden. Die `hotTablets.list` API-Methode der Rest Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für souveränentliche Kontrollen für die EU zu verwenden.
Split-Grenzen	In Bigtable werden Teilungsgrenzen mithilfe einer kleinen Teilmenge von Zeilenschlüsseln definiert, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Bigtable gibt an, wo zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden. Auf diese Grenzwerte können Google-Mitarbeiter zu technischen Support- und Debugging-Zwecken zugreifen. Sie unterliegen nicht den Datenkontrollen für den administrativen Zugriff in den Datenhoheitskontrollen für die EU.

Die folgenden Bigtable-Funktionen und API-Methoden werden nicht unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit Bigtable for Sovereign Controls for EU zu verwenden.

Die ListHotTablets API-Methode der RPC Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für souveränentliche Kontrollen für die EU zu verwenden.
Die hotTablets.list API-Methode der Rest Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für souveränentliche Kontrollen für die EU zu verwenden.

Split-Grenzen In Bigtable werden Teilungsgrenzen mithilfe einer kleinen Teilmenge von Zeilenschlüsseln definiert, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Bigtable gibt an, wo zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden.

Auf diese Grenzwerte können Google-Mitarbeiter zu technischen Support- und Debugging-Zwecken zugreifen. Sie unterliegen nicht den Datenkontrollen für den administrativen Zugriff in den Datenhoheitskontrollen für die EU.

Spanner-Funktionen

Funktion	Beschreibung
Split-Grenzen	Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Teilungsgrenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile unterteilt werden. Auf diese Grenzwerte können Google-Mitarbeiter zu technischen Support- und Debugging-Zwecken zugreifen. Sie unterliegen nicht den Datenkontrollen für den administrativen Zugriff in den Datenhoheitskontrollen für die EU.

Funktion

Beschreibung

Split-Grenzen

Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Teilungsgrenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile unterteilt werden.

Auf diese Grenzwerte können Google-Mitarbeiter zu technischen Support- und Debugging-Zwecken zugreifen. Sie unterliegen nicht den Datenkontrollen für den administrativen Zugriff in den Datenhoheitskontrollen für die EU.

Dataproc-Features

Funktion	Beschreibung
Google Cloud Console	Dataproc unterstützt derzeit nicht die Google Cloud Console für Gerichtsbarkeiten. Wenn Sie den Datenstandort erzwingen möchten, verwenden Sie bei der Verwendung von Dataproc entweder die Google Cloud CLI oder die API.

GKE-Features

Funktion	Beschreibung
Einschränkungen für Clusterressourcen	Achten Sie darauf, dass in Ihrer Clusterkonfiguration keine Ressourcen für Dienste verwendet werden, die in Sovereign Controls for EU nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da ein nicht unterstützter Dienst aktiviert oder verwendet werden muss: set `binaryAuthorization.evaluationMode` to `enabled`

Features von Cloud Logging

Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verwenden möchten, müssen Sie die Schritte auf der Seite CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation ausführen.

Funktion	Beschreibung
Logsenken	Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge	Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.
Logbasierte Benachrichtigungen	Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery	Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden.
SQL-basierte Benachrichtigungsrichtlinien	Die Funktion ist deaktiviert. Sie können die Funktion „SQL-basierte Benachrichtigungsrichtlinien“ nicht verwenden.

Cloud Monitoring-Funktionen

Funktion	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose	Die Funktion ist deaktiviert.
Widgets für den Steuerfeldbereich für Protokolle in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Protokollfeld hinzufügen.
Widgets für den Bereich „Error Reporting“ in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Steuerfeld für Fehlermeldungen hinzufügen.
In `EventAnnotation` nach Dashboards filtern	Diese Funktion ist deaktiviert. Der Filter für `EventAnnotation` kann nicht in einem Dashboard festgelegt werden.
`SqlCondition` in `alertPolicies`	Diese Funktion ist deaktiviert. Sie können einer `alertPolicy` kein `SqlCondition` hinzufügen.

Compute Engine Features

Funktion	Beschreibung
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Im Abschnitt oben finden Sie die Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`. Dort erfahren Sie, welche Auswirkungen die Aktivierung dieser Funktion auf die Datensouveränität und den Datenspeicherort hat.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Im Abschnitt oben finden Sie die Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`. Dort erfahren Sie, welche Auswirkungen die Aktivierung dieser Funktion auf die Datensouveränität und den Datenspeicherort hat.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Bilder oder Kundenservicemitarbeiter auswählen und optional die Organisationsrichtlinieneinschränkung `compute.trustedImageProjects` verwenden. Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
`instances.getSerialPortOutput()`	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung auf dieser Seite.
`instances.getScreenshot()`	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung auf dieser Seite.