Restrições e limitações nas regiões da UE e suporte com controles de soberania
Nesta página, descrevemos as restrições, limitações e outras opções de configuração ao usar as regiões e o suporte da UE com os controles de soberania.
Visão geral
As regiões e o suporte da UE com controles de soberania fornecem recursos de residência e soberania de dados para serviços compatíveis do Google Cloud. Para fornecer esses recursos, alguns deles são restritos ou limitados. A maioria dessas mudanças é aplicada durante o processo de integração ao criar uma nova pasta ou projeto em um ambiente de regiões e suporte da UE com controles de soberania. No entanto, algumas delas podem ser alteradas mais tarde ao modificar as políticas da organização.
É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam a soberania de dados ou a residência de dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir que a soberania e a residência de dados sejam mantidas. Além disso, se uma configuração de política da organização for alterada, a consequência indesejada de copiar dados de uma região para outra poderá ser criada.
Produtos e serviços compatíveis
Consulte a página Produtos com suporte para ver uma lista de produtos e serviços aceitos nas regiões e no suporte da UE com controles de soberania.
Políticas da organização
Esta seção descreve como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando regiões e suporte da UE com controles de soberania. Outras restrições aplicáveis, mesmo que não sejam definidas por padrão, podem fornecer "defesa em profundidade" adicional para proteger ainda mais os recursos do Google Cloud da sua organização.
Restrições da política da organização em toda a nuvem
As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.
Restrição da política da organização | Descrição |
---|---|
gcp.resourceLocations |
Defina como in:eu-locations como o item
da lista allowedValues .Esse valor restringe a criação de novos recursos somente ao grupo de valores da UE. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da UE. Consulte a documentação Grupos de valores de política da organização para mais informações. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a soberania e a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite da UE. Por exemplo: substituir o grupo de valores in:eu-locations pelo
in:europe-locations ,
que inclui locais de estado não membros da UE.
|
gcp.restrictNonCmekServices |
Defina como uma lista de todos os
nomes de serviço de API no escopo,
incluindo:
Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Se você alterar esse valor removendo um ou mais serviços com suporte da lista, isso poderá prejudicar a soberania de dados, já que os novos dados em repouso serão criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu. |
gcp.restrictCmekCryptoKeyProjects |
Os usuários podem definir esse valor para projetos ou pastas destinados ao
uso com regiões e suporte da UE com controles de soberania. Por exemplo:
under:folders/my-folder-name Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves KMS para criptografia de dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, ajudando a garantir a soberania de dados para dados em repouso dos serviços com suporte. |
Restrições da política da organização do Compute Engine
Restrição da política da organização | Descrição |
---|---|
compute.enableComplianceMemoryProtection |
Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar sua residência ou soberania de dados. |
compute.disableInstanceDataAccessApis
| Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e
instances.getScreenshot() . |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não está definido. Defina esse valor para oferecer mais
defesa em profundidade. Consulte a
documentação sobre VMs confidenciais
para mais informações. |
compute.trustedImageProjects |
(Opcional) O valor não está definido. Defina esse valor para oferecer mais
defesa em profundidade.
A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados. |
Restrições da política da organização do Cloud Storage
Restrição da política da organização | Descrição |
---|---|
storage.uniformBucketLevelAccess |
Definido como Verdadeiro. O acesso a novos buckets é gerenciado usando políticas do IAM em vez de listas de controle de acesso (ACLs) do Cloud Storage. Essa restrição fornece permissões refinadas para buckets e o conteúdo deles. Se um bucket for criado enquanto essa restrição estiver ativada, o acesso a ele nunca poderá ser gerenciado usando ACLs. Em outras palavras, o método de controle de acesso de um bucket é definido permanentemente para usar políticas do IAM em vez de ACLs do Cloud Storage. |
Restrições da política da organização do Google Kubernetes Engine
Restrição da política da organização | Descrição |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É altamente recomendável manter o valor definido. |
Restrições da política da organização do Cloud Key Management Service
Restrição da política da organização | Descrição |
---|---|
cloudkms.allowedProtectionLevels |
Defina como EXTERNAL .Restringe os tipos de CryptoKey do Cloud Key Management Service que podem ser criados e é definido para permitir apenas tipos de chave externos. |
Recursos afetados
Nesta seção, listamos como os recursos ou capacidades de cada serviço são afetados pelas regiões e suporte da UE com controles de soberania.
Recursos do BigQuery
Engenharia de | Descrição |
---|---|
Como ativar o BigQuery em uma nova pasta | O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma nova pasta Assured Workloads devido a um processo de configuração interno. Normalmente, esse processo termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o
processo foi concluído e ativar o BigQuery, siga estas etapas:
Após a conclusão do processo de ativação, será possível usar o BigQuery na pasta do Assured Workloads. |
Recursos não compatíveis | Os seguintes recursos do BigQuery não são compatíveis e não podem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para regiões e suporte da UE com controles de soberania.
|
Integrações não compatíveis | As integrações do BigQuery a seguir não são compatíveis. É sua responsabilidade não usá-los com o BigQuery para regiões e suporte da UE com controles de soberania.
|
APIs compatíveis do BigQuery | As seguintes APIs BigQuery são compatíveis:
|
Regiões | O BigQuery é compatível com todas as regiões da UE do BigQuery, exceto a multirregião da UE. A conformidade não pode ser garantida se um conjunto de dados for criado em uma multirregião da UE, de fora da UE ou de uma multirregião fora da UE. É sua responsabilidade especificar uma região em conformidade ao criar conjuntos de dados do BigQuery. Se uma solicitação de lista de dados da tabela for enviada usando uma região da UE, mas o conjunto de dados tiver sido criado em outra, o BigQuery não poderá inferir qual região você quer, e a operação falhará com uma mensagem de erro "conjunto de dados não encontrado". |
Console do Google Cloud | A interface do usuário do BigQuery no console do Google Cloud é
compatível.
|
CLI do BigQuery | A CLI do BigQuery é compatível.
|
SDK Google Cloud | Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados para dados técnicos. Para verificar a versão atual do SDK Google Cloud, execute gcloud --version e gcloud components update para atualizar para a versão mais recente.
|
Controles do administrador | O BigQuery vai desativar as APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta do Assured Workloads poderão ativar uma API sem suporte. Se isso ocorrer, você será notificado sobre possíveis não conformidades no painel de monitoramento do Assured Workloads. |
Como carregar os dados | Os conectores do serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) do Google, provedores externos de armazenamento em nuvem e data warehouses não são compatíveis. Você é responsável por não usar os conectores do serviço de transferência de dados do BigQuery para regiões e suporte da UE com cargas de trabalho de controles de soberania. |
Transferências de terceiros | O BigQuery não verifica o suporte para transferências de terceiros no serviço de transferência de dados do BigQuery. Você é responsável por verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery. |
Modelos do BQML incompatíveis | Os modelos do BQML treinados externamente não têm suporte. |
Jobs de consulta | Os jobs de consulta só devem ser criados dentro das pastas "Regiões e suporte" da UE com controles de soberania. |
Consultas em conjuntos de dados em outros projetos | O BigQuery não impede que os conjuntos de dados das regiões e dos controles de soberania da UE sejam
consultados em projetos de regiões e suporte de regiões diferentes da UE. É importante garantir que qualquer
consulta com leitura ou mesclagem nas regiões e suporte da UE com dados dos controles de soberania seja colocada em
uma pasta de regiões e suporte da UE com controles de soberania. Especifique um nome de tabela totalmente qualificado para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery. |
Cloud Logging | O BigQuery usa o Cloud Logging para alguns dados de registro.
Desative os buckets de geração de registros _default ou restrinja os buckets _default às regiões da UE para manter a conformidade usando o seguinte comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulte esta página para mais informações. |
Recursos do Bigtable
Engenharia de | Descrição |
---|---|
Recursos não compatíveis | Os recursos do Bigtable e os métodos de API a seguir não são
compatíveis. É sua responsabilidade não usá-los com o Bigtable para regiões e suporte da UE com controles de soberania.
|
Limites de divisão | O Bigtable usa um pequeno subconjunto de chaves de linha para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão
no Bigtable indica o local onde os intervalos contíguos de linhas
em uma tabela são divididos em blocos. Esses limites de divisão podem ser acessados pela equipe do Google para fins de suporte técnico e depuração. Eles não estão sujeitos a controles de dados de acesso administrativo nas regiões e suporte da UE com controles de soberania. |
Recursos do Spanner
Engenharia de | Descrição |
---|---|
Limites de divisão | O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Spanner indica o local onde os intervalos contíguos de linhas são divididos em partes menores. Esses limites de divisão podem ser acessados pela equipe do Google para fins de suporte técnico e depuração. Eles não estão sujeitos a controles de dados de acesso administrativo nas regiões e suporte da UE com controles de soberania. |
Recursos do Dataproc
Engenharia de | Descrição |
---|---|
Console do Google Cloud | No momento, o Dataproc não é compatível com o Console jurisdicional do Google Cloud. Para aplicar a residência de dados, use a CLI ou a API do Google Cloud ao usar o Dataproc. |
Recursos do GKE
Engenharia de | Descrição |
---|---|
Restrições de recursos de cluster | Verifique se a configuração do cluster não usa recursos para
serviços que não são suportados nas regiões e no suporte da UE com controles de soberania. Por exemplo, a
configuração a seguir é inválida porque requer a ativação ou o uso
de um serviço sem suporte:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Recursos do Cloud Logging
Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), conclua as etapas na página Ativar a CMEK para uma organização na documentação do Cloud Logging.
Engenharia de | Descrição |
---|---|
Coletores de registros | Os filtros não podem conter dados do cliente. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes. |
Entradas de registro de acompanhamento ao vivo | Os filtros não podem conter dados do cliente. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes. |
Alertas com base em registros | Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud. |
URLs encurtados para consultas do Buscador de registros | Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console do Google Cloud. |
Salvar consultas no Buscador de registros | Este recurso está desativado. Não é possível salvar consultas no console do Google Cloud. |
Registrar análises usando o BigQuery | Este recurso está desativado. Não é possível usar o recurso de análise de registros. |
Recursos do Compute Engine
Engenharia de | Descrição |
---|---|
Como suspender e retomar uma instância de VM | Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente. O armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEKs. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações de
soberania de dados e residência de dados da ativação desse recurso.
|
SSDs locais | Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque atualmente não é possível fazer a criptografia deles usando CMEKs. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações de
soberania de dados e residência de dados da ativação desse recurso.
|
Ambiente para convidado |
Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso.
Dependendo da configuração da VM, as atualizações desse software podem ser
instaladas por padrão. Consulte
Ambiente convidado para ver informações específicas sobre
o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser mais controle, também é possível selecionar suas próprias imagens ou agentes e usar a restrição da política da organização compute.trustedImageProjects .
Consulte a página Como criar uma imagem personalizada para mais informações. |
instances.getSerialPortOutput() |
Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Altere o valor de restrição da política da organização compute.disableInstanceDataAccessApis
para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções
nesta página.
|
instances.getScreenshot() |
Essa API está desativada. Você não receberá uma captura de tela da
instância especificada usando essa API. Altere o valor de restrição da política da organização compute.disableInstanceDataAccessApis
para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções
nesta página.
|