Einschränkungen in EU-Regionen und -Support durch Datenhoheitskontrollen
Auf dieser Seite werden die Einschränkungen und anderen Konfigurationsoptionen bei Verwendung von EU-Regionen und -Support mit Datenhoheitskontrollen beschrieben.
Überblick
EU-Regionen und -Support mit Datenhoheitskontrollen bieten Features für Datenstandort und Datenhoheit für unterstützte Google Cloud-Dienste. Einige dieser Funktionen sind eingeschränkt oder limitiert, um diese Funktionen bereitstellen zu können. Die meisten dieser Änderungen werden während des Onboarding-Prozesses angewendet, wenn ein neuer Ordner oder ein neues Projekt in einer Umgebung für EU-Regionen und -Support mit Datenhoheitskontrollen erstellt wird. Einige können jedoch später durch Ändern der Organisationsrichtlinien geändert werden.
Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud-Dienst ändern oder die Datenhoheit oder den Datenstandort beeinflussen. Beispielsweise können einige Features oder Funktionen automatisch deaktiviert werden, um die Datenhoheit und den Datenstandort beizubehalten. Wird die Einstellung einer Organisationsrichtlinie geändert, kann dies außerdem unbeabsichtigte Folgen haben, wenn Daten von einer Region in eine andere kopiert werden.
Unterstützte Produkte und Dienste
Auf der Seite Unterstützte Produkte finden Sie eine Liste der Produkte und Dienste, die von EU-Regionen und Support mit Datenhoheitskontrollen unterstützt werden.
Organisationsrichtlinien
In diesem Abschnitt wird beschrieben, wie sich die standardmäßigen Einschränkungswerte der Organisationsrichtlinie auf die einzelnen Dienste auswirken, wenn Ordner oder Projekte mit EU-Regionen und -Support mit Datenhoheitskontrollen erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche "gestaffelte Sicherheitsebene" bieten, um die Google Cloud-Ressourcen Ihrer Organisation weiter zu schützen.
Einschränkungen für Cloud-Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.
| Organisationsrichtlinie-Beschränkung | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie in:eu-locations als Listenelement allowedValues fest.Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die EU-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der EU erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie sowohl die Datenhoheit als auch den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der EU-Datengrenze zulassen. Beispiel: Ersetzen der Wertgruppe in:eu-locations durch die Wertgruppe in:europe-locations, die Standorte außerhalb des EU-Mitgliedsstatus enthält.
|
gcp.restrictNonCmekServices |
Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere unterstützte Dienste aus der Liste entfernen, kann die Datenhoheit beeinträchtigt werden, da neue ruhende Daten automatisch mit den eigenen Schlüsseln von Google und nicht mit Ihren verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt. |
gcp.restrictCmekCryptoKeyProjects |
Nutzer können diesen Wert auf Projekte oder Ordner festlegen, die für die Verwendung mit EU-Regionen und Support mit Datenhoheitskontrollen vorgesehen sind. Beispiel: under:folders/my-folder-nameBeschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dies trägt dazu bei, die Datenhoheit für inaktive Daten von unterstützten Diensten zu gewährleisten. |
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Organisationsrichtlinie-Beschränkung | Beschreibung |
|---|---|
compute.enableComplianceMemoryProtection |
Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit auswirken. |
compute.disableInstanceDataAccessApis
| Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot(). |
compute.restrictNonConfidentialComputing |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen bereitzustellen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation. |
compute.trustedImageProjects |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen bereitzustellen.
Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden. |
Einschränkungen für Cloud Storage-Organisationsrichtlinien
| Organisationsrichtlinie-Beschränkung | Beschreibung |
|---|---|
storage.uniformBucketLevelAccess |
Auf True festlegen. Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte. Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt. |
Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine
| Organisationsrichtlinie-Beschränkung | Beschreibung |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten. |
Einschränkungen der Organisationsrichtlinien für Cloud Key Management Service
| Organisationsrichtlinie-Beschränkung | Beschreibung |
|---|---|
cloudkms.allowedProtectionLevels |
Legen Sie EXTERNAL fest.Schränkt die CryptoKey-Typen der Cloud Key Management Service ein, die erstellt werden können, und ist so eingestellt, dass nur externe Schlüsseltypen zulässig sind. |
Betroffene Features
In diesem Abschnitt wird aufgeführt, wie die Features oder Funktionen der einzelnen Dienste durch EU-Regionen und den Support mit Datenhoheitskontrollen beeinflusst werden.
BigQuery-Features
| Funktion | Beschreibung |
|---|---|
| BigQuery für einen neuen Ordner aktivieren | BigQuery wird unterstützt, aber aufgrund eines internen Konfigurationsprozesses nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Dieser Vorgang ist normalerweise innerhalb von zehn Minuten abgeschlossen, kann aber unter Umständen viel länger dauern. Mit den folgenden Schritten können Sie prüfen, ob der Vorgang abgeschlossen ist, und BigQuery aktivieren:
Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. |
| Nicht unterstützte Funktionen | Die folgenden BigQuery-Features werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Sie sind dafür verantwortlich, sie nicht in BigQuery für EU-Regionen und -Support mit Datenhoheitskontrollen zu verwenden.
|
| Nicht unterstützte Integrationen | Die folgenden BigQuery-Integrationen werden nicht unterstützt. Sie sind selbst dafür verantwortlich, sie nicht mit BigQuery für EU-Regionen und den Support mit Datenhoheitskontrollen zu verwenden.
|
| Unterstützte BigQuery APIs | Die folgenden BigQuery APIs werden unterstützt:
|
| Regionen | BigQuery wird für alle BigQuery-Regionen in der EU unterstützt, mit Ausnahme des multiregionalen Standorts EU. Die Einhaltung kann nicht garantiert werden, wenn ein Dataset an einem multiregionalen Standort, einer Region außerhalb der EU oder außerhalb der EU erstellt wird. Beim Erstellen von BigQuery-Datasets müssen Sie selbst eine konforme Region angeben. Wenn eine Anfrage zum Auflisten von Tabellendaten mit einer EU-Region gesendet wird, das Dataset jedoch in einer anderen EU-Region erstellt wurde, kann BigQuery die gewünschte Region nicht ableiten. Der Vorgang schlägt dann mit der Fehlermeldung „Dataset nicht gefunden“ fehl. |
| Google Cloud Console | Die BigQuery-Benutzeroberfläche in der Google Cloud Console wird unterstützt.
|
| BigQuery-Befehlszeile | Die BigQuery-Befehlszeile wird unterstützt.
|
| Google Cloud SDK | Sie müssen das Google Cloud SDK 403.0.0 oder höher verwenden, um die Regionalisierung von technischen Daten zu gewährleisten. Um Ihre aktuelle Version des Google Cloud SDK zu prüfen, führen Sie gcloud --version und dann gcloud components update aus, um auf die neueste Version zu aktualisieren.
|
| Steuerelemente für Administratoren | BigQuery deaktiviert nicht unterstützte APIs, aber Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Monitoring-Dashboard von Assured Workloads über mögliche Verstöße informiert. |
| Daten laden | BigQuery Data Transfer Service-Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, externe Cloud Storage-Anbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, keine BigQuery Data Transfer Service-Connectors für EU-Regionen und -Support mit Arbeitslasten für Datenhoheitskontrollen zu verwenden. |
| Drittanbieter-Übertragungen | BigQuery überprüft nicht, ob Drittanbieter-Übertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, die Unterstützung zu prüfen, wenn Sie eine Drittanbieter-Übertragung für den BigQuery Data Transfer Service verwenden. |
| Nicht konforme BQML-Modelle | Extern trainierte BQML-Modelle werden nicht unterstützt. |
| Abfragejobs | Abfragejobs mit sollten nur innerhalb von EU-Regionen und -Support mit Datenhoheitskontrollen erstellt werden. |
| Abfragen von Datasets in anderen Projekten | BigQuery verhindert nicht, dass Datasets für EU-Regionen und -Support mit Datenhoheitskontrollen von Nicht-EU-Regionen und Support für Datenhoheitskontrollen abgefragt werden. Achten Sie darauf, dass jede Abfrage, die einen Lese- oder Join für Daten zu EU-Regionen und -Support mit Datenhoheitskontrollen hat, in den Ordner „EU-Regionen und -Support mit Datenhoheitskontrollen“ platziert wird. Sie können in der BigQuery-Befehlszeile mit projectname.dataset.table einen vollständig qualifizierten Tabellennamen für das Abfrageergebnis angeben. |
| Cloud Logging | BigQuery verwendet Cloud Logging für einige Ihrer Logdaten.
Deaktivieren Sie die _default-Logging-Buckets oder beschränken Sie _default-Buckets auf EU-Regionen, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu folgenden Befehl:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkWeitere Informationen finden Sie auf dieser Seite. |
Bigtable-Features
| Funktion | Beschreibung |
|---|---|
| Nicht unterstützte Funktionen | Die folgenden Bigtable-Funktionen und API-Methoden werden nicht unterstützt. Sie sind dafür verantwortlich, sie nicht mit Bigtable für EU-Regionen und den Support mit Datenhoheitskontrollen zu verwenden.
|
| Split-Grenzen | Bigtable verwendet eine kleine Teilmenge von Zeilenschlüsseln, um Split-Grenzen zu definieren, die Kundendaten und Metadaten umfassen können. Eine Aufteilungsgrenze in Bigtable gibt den Ort an, an dem zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden. Diese Split-Grenzen sind für Google-Mitarbeiter für technischen Support und zur Fehlerbehebung zugänglich und unterliegen nicht den Kontrollen auf Daten mit Administratorzugriff in EU-Regionen und dem Support mit Datenhoheitskontrollen. |
Spanner-Features
| Funktion | Beschreibung |
|---|---|
| Split-Grenzen | Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Split-Grenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt den Ort an, an dem zusammenhängende Zeilenbereiche in kleinere Teile unterteilt werden. Diese Split-Grenzen sind für Google-Mitarbeiter für technischen Support und zur Fehlerbehebung zugänglich und unterliegen nicht den Kontrollen auf Daten mit Administratorzugriff in EU-Regionen und dem Support mit Datenhoheitskontrollen. |
Dataproc-Features
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Dataproc unterstützt derzeit nicht die Rechtsabteilung von Google Cloud Console. Wenn Sie den Datenstandort erzwingen möchten, müssen Sie bei Verwendung von Dataproc entweder die Google Cloud CLI oder die API verwenden. |
GKE-Features
| Funktion | Beschreibung |
|---|---|
| Einschränkungen für Clusterressourcen | Achten Sie darauf, dass Ihre Clusterkonfiguration keine Ressourcen für Dienste verwendet, die in EU-Regionen und Support mit Datenhoheitskontrollen nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da sie einen nicht unterstützten Dienst aktivieren oder verwenden muss:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Features von Cloud Logging
Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verwenden möchten, müssen Sie die Schritte auf der Seite CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation ausführen.
| Funktion | Beschreibung |
|---|---|
| Logsenken | Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten. |
| Live-Tailing-Logeinträge | Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten. |
| Logbasierte Benachrichtigungen | Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden. |
| Gekürzte URLs für Log-Explorer-Abfragen | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen. |
| Abfragen im Log-Explorer speichern | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern. |
| Loganalysen mit BigQuery | Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden. |
Compute Engine Features
| Funktion | Beschreibung |
|---|---|
| VM-Instanz anhalten bzw. fortsetzen | Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen auf die Datenhoheit und den Datenstandort bei der Aktivierung dieses Features finden Sie unter der Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices im Abschnitt oben.
|
| Lokale SSDs | Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Weitere Informationen zu den Auswirkungen auf die Datenhoheit und den Datenstandort bei der Aktivierung dieses Features finden Sie unter der Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices im Abschnitt oben.
|
| Gastumgebung |
Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen.
Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter
Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Einschränkung der Organisationsrichtlinie compute.trustedImageProjects verwenden.
Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen. |
instances.getSerialPortOutput() |
Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung auf
dieser Seite.
|
instances.getScreenshot() |
Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung auf
dieser Seite.
|