Restrizioni e limitazioni nei controlli di sovranità per l'UE
Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizzano i controlli sovrani per l'UE.
Panoramica
I controlli sovrani per l'UE forniscono funzionalità di sovranità e localizzazione dei dati per i servizi Google Cloud supportati. Per fornire queste funzionalità, alcune funzionalità di questi servizi sono limitate o vietate. La maggior parte di queste modifiche viene applicata durante la procedura di onboarding quando viene creata una nuova cartella o un nuovo progetto in un ambiente Sovereign Controls per l'UE, ma alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione.
È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sulla sovranità dei dati o sulla residenza dei dati. Ad esempio, alcune funzionalità o capacità potrebbero essere disattivate automaticamente per garantire la sovranità e la residenza dei dati. Inoltre, se viene modificata un'impostazione dei criteri dell'organizzazione, la conseguenza indesiderata potrebbe essere la copia dei dati da una regione all'altra.
Prodotti e servizi supportati
Consulta la pagina Prodotti supportati per un elenco dei prodotti e servizi supportati da Sovereign Controls per l'UE.
Criteri dell'organizzazione
Questa sezione descrive in che modo ogni servizio è interessato dai valori predefiniti dei vincoli delle norme dell'organizzazione quando vengono create cartelle o progetti utilizzando i controlli sovrani per l'UE. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta in:eu-locations come elemento dell'elenco allowedValues.Questo valore limita la creazione di nuove risorse solo al gruppo di valori UE. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori dell'UE. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe minare sia la sovranità dei dati sia la loro residenza, consentendo la creazione o la memorizzazione dei dati al di fuori del confine dei dati dell'UE. Ad esempio, sostituendo il gruppo di valori in:eu-locations con il
gruppo di valori in:europe-locations,
che include le località degli stati membri non appartenenti all'UE.
|
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i nomi dei servizi API in ambito, inclusi:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). La chiave CMEK consente di criptare i dati a riposo con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore mediante la rimozione di uno o più servizi supportati dall'elenco potrebbe minare la sovranità dei dati, poiché i nuovi dati a riposo verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave che hai fornito. |
gcp.restrictCmekCryptoKeyProjects |
Gli utenti possono impostare questo valore per i progetti o le cartelle destinati all'uso con i Controlli di sovranità per l'UE. Ad esempio:
under:folders/my-folder-nameLimita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità sui dati per i dati a riposo dei servizi supportati. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.enableComplianceMemoryProtection |
Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria in caso di guasto dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati. |
compute.disableInstanceDataAccessApis
| Imposta su True. Disattiva a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot(). |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità. Per ulteriori informazioni, consulta la
documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità.
L'impostazione di questo valore limita lo spazio di archiviazione delle immagini e l'istanziazione dei dischi all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'uso di immagini o agenti non autorizzati. |
Vincoli dei criteri dell'organizzazione di Cloud Storage
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
storage.uniformBucketLevelAccess |
Imposta su True. L'accesso ai nuovi bucket viene gestito utilizzando i criteri IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se un bucket viene creato con questo vincolo attivo, l'accesso non potrà mai essere gestito utilizzando le ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato definitivamente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage. |
Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Viene utilizzato per disattivare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo carico di lavoro. Ti consigliamo vivamente di mantenere il valore impostato. |
Vincoli dei criteri dell'organizzazione di Cloud Key Management Service
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
cloudkms.allowedProtectionLevels |
Impostato su EXTERNAL.Limita i tipi di CryptoKey di Cloud Key Management Service che possono essere creati ed è impostato per consentire solo i tipi di chiavi esterne. |
Funzionalità interessate
Questa sezione elenca in che modo le funzionalità o le capacità di ciascun servizio sono interessate dai controlli sovrani per l'UE.
Funzionalità di BigQuery
| Funzionalità | Descrizione |
|---|---|
| Attivazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova
cartella Assured Workloads a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per attivare BigQuery, svolgi i seguenti passaggi:
Al termine della procedura di abilitazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads. |
| Funzionalità non supportate | Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non usarli
in BigQuery per i controlli sovrani per l'UE.
|
| Integrazioni non supportate | Le seguenti integrazioni di BigQuery non sono supportate. È colpa tua se non li utilizzi con BigQuery per i controlli sovrani per l'UE.
|
| API BigQuery supportate | Sono supportate le seguenti API BigQuery:
|
| Regioni | BigQuery è supportato per tutte le regioni BigQuery EU
tranne la regione multiregionale dell'UE. La conformità non può essere garantita
se un set di dati viene creato in una regione con più regioni dell'UE, in una regione non appartenente all'UE o in una regione con più regioni non appartenente all'UE. È responsabilità dell'utente specificare una regione conforme
quando crea set di dati BigQuery. Se una richiesta di elenco di dati di tabella viene inviata utilizzando una regione dell'UE, ma il set di dati è stato creato in un'altra regione dell'UE, BigQuery non può dedurre quale regione intendi utilizzare e l'operazione non andrà a buon fine con un messaggio di errore "set di dati non trovato". |
| Console Google Cloud | L'interfaccia utente di BigQuery nella console Google Cloud è supportata.
|
| BigQuery CLI | La CLI BigQuery è supportata.
|
| Google Cloud SDK | Per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici, devi utilizzare la versione 403.0.0 o successiva del Google Cloud SDK. Per verificare
la versione corrente dell'Google Cloud SDK, esegui gcloud --version e poi gcloud components update per eseguire l'aggiornamento alla versione più recente.
|
| Controlli per gli amministratori | BigQuery disattiva le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono attivare un'API non supportata. In questo caso, riceverai una notifica relativa alla potenziale mancata conformità tramite la dashboard del monitoraggio di Assured Workloads. |
| Caricamento di dati | I connettori di BigQuery Data Transfer Service per le app Google Software as a Service (SaaS), i fornitori di servizi di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori di BigQuery Data Transfer Service per i controlli sovrani per i carichi di lavoro dell'UE. |
| Trasferimenti di terze parti | BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare l'assistenza quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
| Job di query | I job di query con devono essere creati solo all'interno delle cartelle dei controlli di sovranità per l'UE. |
| Query sui set di dati in altri progetti | BigQuery non impedisce di eseguire query sui set di dati dei controlli sovrani per l'UE da progetti con controlli non sovrani per l'UE. Devi assicurarti che qualsiasi
query che includa una lettura o un join sui dati di Sovereign Controls per l'UE sia inserita
in una cartella Sovereign Controls per l'UE. Puoi specificare un
nome di tabella completo per il risultato della query utilizzando projectname.dataset.table
nella CLI BigQuery. |
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dei dati di log.
Per mantenere la conformità, devi disattivare i bucket di log _default o limitare i bucket _default alle regioni dell'UE utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkPer ulteriori informazioni, consulta questa pagina. |
Funzionalità di Bigtable
| Funzionalità | Descrizione |
|---|---|
| Funzionalità non supportate | I seguenti metodi API e funzionalità di Bigtable non sono supportati. È tua responsabilità non utilizzarle con
Bigtable per i Controlli di sovranità per l'UE.
|
| Confini della suddivisione | Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire i confini della suddivisione, che possono includere i dati e i metadati dei clienti. Un confine di suddivisione
in Bigtable indica la posizione in cui gli intervalli contigui di righe
in una tabella vengono suddivisi in tablet. Questi confini della suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo in Sovereign Controls per l'UE. |
Funzionalità di Spanner
| Funzionalità | Descrizione |
|---|---|
| Confini della suddivisione | Spanner utilizza un piccolo sottoinsieme di chiavi principali e colonne indicizzate per definire confini di suddivisione, che possono includere dati e metadati dei clienti. Un confine
di suddivisione in Spanner indica la posizione in cui gli intervalli contigüe
di righe vengono suddivisi in pezzi più piccoli. Questi confini della suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo in Sovereign Controls per l'UE. |
Funzionalità di Dataproc
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Al momento Dataproc non supporta la console Google Cloud giurisdizionale. Per applicare la residenza dei dati, assicurati di utilizzare Google Cloud CLI o l'API quando utilizzi Dataproc. |
Funzionalità di GKE
| Funzionalità | Descrizione |
|---|---|
| Limitazioni delle risorse del cluster | Assicurati che la configurazione del cluster non utilizzi risorse per
servizi non supportati in Sovereign Controls for EU. Ad esempio, la
seguente configurazione non è valida perché richiede l'attivazione o l'utilizzo
di un servizio non supportato:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Funzionalità di Cloud Logging
Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi descritti nella pagina Attivare CMEK per un'organizzazione della documentazione di Cloud Logging.
| Funzionalità | Descrizione |
|---|---|
| Destinazioni dei log | I filtri non devono contenere dati dei clienti. I canali di log includono filtri archiviati come configurazione. Non creare filtri che contengono dati dei clienti. |
| Voci di log di monitoraggio in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro archiviato come configurazione. La funzionalità di monitoraggio dei log non memorizza i dati voce di log, ma può eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengono dati dei clienti. |
| Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud. |
| URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud. |
| Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud. |
| Analisi dei log con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics. |
| Criteri di avviso basati su SQL | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL. |
Funzionalità di Cloud Monitoring
| Funzionalità | Descrizione |
|---|---|
| Monitoraggio sintetico | Questa funzionalità è disattivata. |
| Controllo di uptime | Questa funzionalità è disattivata. |
| Widget del riquadro dei log in Dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un riquadro dei log a una dashboard. |
| Widget del riquadro di segnalazione degli errori in Dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un riquadro per i report sugli errori a una dashboard. |
Filtra in
EventAnnotation
per le dashboard
|
Questa funzionalità è disattivata. Il filtro di EventAnnotation
non può essere impostato in una dashboard.
|
SqlCondition
in alertPolicies
|
Questa funzionalità è disattivata. Non puoi aggiungere un SqlCondition a un
alertPolicy.
|
Funzionalità di Compute Engine
| Funzionalità | Descrizione |
|---|---|
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono spazio di archiviazione su disco permanente e attualmente lo spazio di archiviazione su disco permanente utilizzato per memorizzare lo stato della VM sospesa non può essere criptato utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati derivanti dall'attivazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptate utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati derivanti dall'attivazione di questa funzionalità.
|
| Ambiente guest |
È possibile che script, demoni e file binari inclusi nell'ambiente guest accedano a dati at-rest e in uso non criptati.
A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere
installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche su
i contenuti, il codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a garantire la sovranità dei dati tramite controlli e procedure di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche organizzare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo delle norme dell'organizzazione compute.trustedImageProjects.
Per ulteriori informazioni, consulta la pagina Creazione di un'immagine personalizzata. |
instances.getSerialPortOutput() |
Questa API è disattivata. Non potrai ottenere l'output della porta seriale
dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in
questa pagina.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in
questa pagina.
|