Einschränkungen und Limitierungen in EU-Regionen und -Support mit Datenhoheitskontrollen

Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie EU-Regionen und den Support mit Domänenkontrollen verwenden.

Übersicht

„EU-Regionen und -Support mit Datenhoheitskontrollen“ bietet Funktionen für Datenstandort und Datenhoheit für unterstützten Google Cloud-Diensten. Einige dieser Funktionen sind eingeschränkt oder limitiert, um diese Funktionen bereitstellen zu können. Die meisten dieser Änderungen werden während der Einrichtung angewendet, wenn ein neuer Ordner oder ein Projekt in einer EU-Regionen- und Support mit Datenhoheitskontrollen-Umgebung erstellt wird. Einige davon können jedoch später durch Änderungen der Organisationsrichtlinien geändert werden.

Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud-Dienst ändern oder die Datenhoheit oder den Datenstandort beeinflussen. Einige Funktionen können beispielsweise automatisch deaktiviert werden, um die Datenhoheit und den Datenstandort beizubehalten. Wenn außerdem ein Einstellung der Organisationsrichtlinie geändert wird, kann dies unbeabsichtigte Folgen haben Daten von einer Region in eine andere zu kopieren.

Unterstützte Produkte und Dienste

Auf der Seite Unterstützte Produkte finden Sie eine Liste der Produkte und Dienste, die von EU-Regionen und dem Support mit Kontrollen zur Datenhoheit unterstützt werden.

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von EU-Regionen und mit Datenhoheitssteuerelementen erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche "gestaffelte Sicherheitsebene" bieten, um die Google Cloud-Ressourcen Ihrer Organisation weiter zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.

Organisationsrichtlinie-Beschränkung Beschreibung
gcp.resourceLocations Legen Sie in:eu-locations als Listenelement allowedValues fest.

Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die EU-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der EU erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.

Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie sowohl die Datenhoheit als auch den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der EU-Datengrenze zulassen. Beispiel: Ersetzen der Wertgruppe in:eu-locations durch die Wertgruppe in:europe-locations, die Standorte außerhalb des EU-Mitgliedsstatus enthält.
gcp.restrictNonCmekServices Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Weitere Informationen finden Sie unten im Abschnitt "Betroffene Funktionen".

Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google.

Ändern Sie diesen Wert, indem Sie einen oder mehrere unterstützte Dienste aus der kann die Liste Datenhoheit, da neue ruhende Daten automatisch mit dem anstelle Ihrer Schlüssel. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
gcp.restrictCmekCryptoKeyProjects Nutzer können diesen Wert auf Projekte oder Ordner festlegen, die für Verwendung mit EU-Regionen und -Support mit Datenhoheitskontrollen. Beispiel: under:folders/my-folder-name

Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten unterstützter Dienste.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung Beschreibung
compute.enableComplianceMemoryProtection Auf True festlegen.

Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit auswirken.
compute.disableInstanceDataAccessApis Auf True festlegen.

Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().

compute.restrictNonConfidentialComputing

(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.

compute.trustedImageProjects

(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen.

Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Einschränkungen für Cloud Storage-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung Beschreibung
storage.uniformBucketLevelAccess Auf True festlegen.

Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte.

Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung Beschreibung
container.restrictNoncompliantDiagnosticDataAccess Auf True festlegen.

Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten.

Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.

Einschränkungen der Organisationsrichtlinien für Cloud Key Management Service

Organisationsrichtlinie-Beschränkung Beschreibung
cloudkms.allowedProtectionLevels Legen Sie EXTERNAL fest.

Schränkt die CryptoKey-Typen der Cloud Key Management Service ein, die erstellt werden können, und ist so eingestellt, dass nur externe Schlüsseltypen zulässig sind.

Betroffene Features

In diesem Abschnitt wird erläutert, wie sich dies auf die Funktionen der einzelnen Dienste durch EU-Regionen und -Support mit Datenhoheitskontrollen.

BigQuery-Features

Funktion Beschreibung
BigQuery für einen neuen Ordner aktivieren BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang wird normalerweise endet in zehn Minuten, kann aber unter bestimmten Umständen viel länger dauern. Um zu prüfen, ob die abgeschlossen ist. Führen Sie die folgenden Schritte aus, um BigQuery zu aktivieren:
<ph type="x-smartling-placeholder">
    </ph>
  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu Assured Workloads

  2. Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Abschnitt Zulässige Dienste auf Verfügbare Updates ansehen
  4. Überprüfen Sie im Bereich Zulässige Dienste die Dienste, die dem Beschränkung der Ressourcennutzung Organisationsrichtlinie für den Ordner. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Erlauben Sie den Diensten, sie hinzuzufügen.

    Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn der Parameter Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgeführt sind, wenden Sie sich Cloud Customer Care

Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.

Nicht unterstützte Funktionen Die folgenden BigQuery-Features werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Sie sind dafür verantwortlich, sie nicht in BigQuery für EU-Regionen und Support mit Souveränitätskontrollen zu verwenden.
Nicht unterstützte Integrationen Die folgenden BigQuery-Integrationen werden nicht unterstützt. Es ist sind Sie dafür verantwortlich, sie nicht mit BigQuery zu verwenden, EU-Regionen und -Support mit Datenhoheitskontrollen.
  • CreateTag, SearchCatalog Bulk tagging und Business Glossary API Methoden der Die Data Catalog API kann technische Daten auf eine Weise zu verarbeiten und zu speichern, die nicht unterstützt wird. Es ist Sie sind dafür verantwortlich, diese Methoden nicht für EU-Regionen und -Support mit Datenhoheitskontrollen zu verwenden.
Unterstützte BigQuery APIs Folgende BigQuery APIs werden unterstützt:
<ph type="x-smartling-placeholder">

Regionen BigQuery wird für die gesamte BigQuery-EU unterstützt mit Ausnahme des multiregionalen Standorts „EU“. Compliance kann nicht garantiert werden Ein Dataset wird in einer Mehrfachregion der EU, einer Nicht-EU-Region oder einer Nicht-EU-Region erstellt. multiregional. Sie sind dafür verantwortlich, beim Erstellen von BigQuery-Datasets eine konforme Region anzugeben.

Wenn eine Anfrage für eine Liste von Tabellendaten mit einer EU-Region gesendet wird, das Dataset aber in einer anderen EU-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region Sie gemeint haben. Der Vorgang schlägt mit der Fehlermeldung „Dataset nicht gefunden“ fehl.
Google Cloud Console Die BigQuery-Benutzeroberfläche in der Google Cloud Console unterstützt.

BigQuery-Befehlszeile Die BigQuery-Befehlszeile wird unterstützt.

Google Cloud SDK Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um Garantien zur Datenregionalisierung für technische Daten aufrechtzuerhalten. Führen Sie gcloud --version aus, um die aktuelle Google Cloud SDK-Version zu prüfen, und dann gcloud components update, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren BigQuery deaktiviert nicht unterstützte APIs, aber Administratoren mit den erforderlichen Berechtigungen zum Erstellen eines Assured Workloads-Ordners eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Dashboard für das Assured Workloads-Monitoring über potenzielle Nichteinhaltung informiert.
Daten laden BigQuery Data Transfer Service Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, extern Cloud Storage-Anbieter und Data Warehouses werden nicht unterstützt. Sie sind dafür verantwortlich, BigQuery Data Transfer Service-Connectors nicht für Arbeitslasten in EU-Regionen und Support mit Souveränitätskontrollen zu verwenden.
Drittanbieter Übertragungen BigQuery prüft nicht, ob Drittanbieter-Übertragungen für den BigQuery Data Transfer Service unterstützt werden. Es ist Ihr ist es erforderlich, dass Sie dies bestätigen, wenn Sie BigQuery Data Transfer Service.
Nicht konforme BQML-Modelle Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs Abfragejobs mit sollten nur in Ordnern von EU-Regionen und -Support mit Datenhoheitskontrollen erstellt werden.
Abfragen von Datasets in anderen Projekten In BigQuery kann nicht verhindert werden, dass Datasets in EU-Regionen und mit Support für Datenhoheitskontrollen von Projekten außerhalb dieser Regionen abgefragt werden. Achten Sie darauf, dass alle Abfragen, die Lese- oder Join-Vorgänge auf Daten aus EU-Regionen und Support mit Datenhoheitskontrollen umfassen, in einem Ordner für EU-Regionen und Support mit Datenhoheitskontrollen abgelegt werden. Sie können eine vollständig qualifiziert Tabellenname für das Abfrageergebnisse mit projectname.dataset.table. in der BigQuery-Befehlszeile.
Cloud Logging BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten Ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf EU-Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Weitere Informationen finden Sie auf dieser Seite.

Bigtable-Features

Funktion Beschreibung
Nicht unterstützte Funktionen Die folgenden Bigtable-Funktionen und API-Methoden sind nicht unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit Bigtable für EU-Regionen und -Support mit Datenhoheitskontrollen.
  • Die ListHotTablets API-Methode der RPC Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für EU-Regionen und Support mit Datenhoheitskontrollen zu verwenden.
  • Die hotTablets.list API-Methode der Rest Admin API verarbeitet und speichert technische Daten auf eine nicht unterstützte Weise. Sie sind dafür verantwortlich, diese Methode nicht für EU-Regionen und Support mit Datenhoheitskontrollen zu verwenden.
Split-Grenzen In Bigtable werden Teilungsgrenzen mithilfe einer kleinen Teilmenge von Zeilenschlüsseln definiert, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Bigtable gibt an, wo zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden.

Diese Split-Grenzen sind für Google-Mitarbeiter aus technischen Gründen Support- und Debugging-Zwecke und unterliegen nicht den administrativen auf Datenkontrollen in EU-Regionen und Support mit Datenhoheitskontrollen zugreifen.

Spanner-Features

Funktion Beschreibung
Split-Grenzen Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Teilungsgrenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile unterteilt werden.

Diese Split-Grenzen sind für Google-Mitarbeiter aus technischen Gründen Support- und Debugging-Zwecke und unterliegen nicht administrativen auf Datenkontrollen in EU-Regionen und Support mit Datenhoheitskontrollen zugreifen.

Dataproc-Features

Funktion Beschreibung
Google Cloud Console Dataproc unterstützt derzeit nicht die Google Cloud Console für Gerichtsbarkeiten. Wenn Sie den Datenstandort erzwingen möchten, verwenden Sie bei der Verwendung von Dataproc entweder die Google Cloud CLI oder die API.

GKE-Features

Funktion Beschreibung
Einschränkungen für Clusterressourcen Achten Sie darauf, dass Ihre Clusterkonfiguration keine Ressourcen verwendet für Dienste, die in EU-Regionen und Support mit Datenhoheitskontrollen nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da ein nicht unterstützter Dienst aktiviert oder verwendet werden muss:

set `binaryAuthorization.evaluationMode` to `enabled`

Features von Cloud Logging

Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verwenden möchten, müssen Sie führen Sie die Schritte im CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation.

Funktion Beschreibung
Logsenken Filter dürfen keine Kundendaten enthalten.

Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge Filter dürfen keine Kundendaten enthalten.

Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.
Logbasierte Benachrichtigungen Die Funktion ist deaktiviert.

Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery Die Funktion ist deaktiviert.

Das Feature "Loganalyse" kann nicht verwendet werden.
SQL-basierte Benachrichtigungsrichtlinien Die Funktion ist deaktiviert.

Sie können die Funktion „SQL-basierte Benachrichtigungsrichtlinien“ nicht verwenden.

Cloud Monitoring-Funktionen

Funktion Beschreibung
Synthetischer Monitor Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose Die Funktion ist deaktiviert.
Widgets für den Steuerfeldbereich für Protokolle in Dashboards Diese Funktion ist deaktiviert.

Sie können einem Dashboard kein Protokollfeld hinzufügen.
Widgets für das Steuerfeld für Fehlerberichte in Dashboards Diese Funktion ist deaktiviert.

Sie können einem Dashboard kein Steuerfeld für Fehlermeldungen hinzufügen.
In EventAnnotation nach Dashboards filtern Diese Funktion ist deaktiviert.

Der Filter für EventAnnotation kann nicht in einem Dashboard festgelegt werden.
SqlCondition in alertPolicies Diese Funktion ist deaktiviert.

Sie können einer alertPolicy kein SqlCondition hinzufügen.

Compute Engine Features

Funktion Beschreibung
VM-Instanz anhalten bzw. fortsetzen Die Funktion ist deaktiviert.

Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen finden Sie in der gcp.restrictNonCmekServices Organisation Richtlinieneinschränkung im obigen Abschnitt zum Verständnis der Datenhoheit und die Auswirkungen auf den Datenstandort.
Lokale SSDs Die Funktion ist deaktiviert.

Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Weitere Informationen finden Sie in der gcp.restrictNonCmekServices Organisation Richtlinieneinschränkung im obigen Abschnitt zum Verständnis der Datenhoheit und die Auswirkungen auf den Datenstandort.
Gastumgebung Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung.

Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Bilder oder Kundenservicemitarbeiter auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.

Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
instances.getSerialPortOutput() Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen.

Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port zu aktivieren und zu verwenden. Folgen Sie dazu der Anleitung auf auf dieser Seite.
instances.getScreenshot() Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten.

Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port zu aktivieren und zu verwenden. Folgen Sie dazu der Anleitung auf auf dieser Seite.