此页面由 Cloud Translation API 翻译。

欧盟区域以及对主权管制的支持的限制和局限

本页将介绍相关限制、局限性选项。

概览

EU Regions and Support with Sovereignty Controls 为受支持的 Google Cloud 服务提供数据驻留和数据主权功能。为了提供这些功能，其中一些服务的功能受到限制。当在具有主权控制的欧盟区域和控制环境中创建新文件夹或项目时，大部分更改会在初始配置过程中应用，但其中一些更改稍后可通过修改组织政策来完成。

请务必了解这些限制如何修改给定 Google Cloud 服务的行为，或者如何影响数据主权或数据驻留。对于例如，系统可能会自动停用某些功能确保数据主权和数据驻留能够得到维护。此外，如果更改组织政策设置，则可能出现将数据从一个区域复制到另一个区域的意外后果。

支持的产品和服务

请参阅支持的产品页面了解欧盟区域支持的产品和服务以及主权管制支持。

组织政策

本部分介绍使用 EU Regions and Support with Sovereignty Controls 创建文件夹或项目时，每项服务如何受到默认组织政策限制条件值影响。其他适用的限制条件（即使默认设置未设置）可以提供额外的“深度防御”，以进一步保护贵组织的 Google Cloud 资源。

云范围的组织政策限制条件

以下组织政策限制条件适用于任何适用的 Google Cloud 服务。

组织政策限制条件	说明
`gcp.resourceLocations`	设置为 `in:eu-locations` 作为 `allowedValues` 列表项。此值将任何新资源的创建限制为仅欧盟值组。设置此标志后，您将无法在欧盟区域、多区域位置或其他位置创建任何资源。如需了解详情，请参阅组织政策值组文档。如果更改此值，则允许更少的数据在欧盟数据边界之外创建或存储，从而可能破坏数据主权和数据驻留。例如：将 `in:eu-locations` 值组替换为 `in:europe-locations` 值组，其中包括非欧盟成员状态位置。
`gcp.restrictNonCmekServices`	设置为所有范围内的 API 服务名称的列表，包括： `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` 对于上述每个服务，一些功能可能会受到影响。请参阅下面的“受影响的功能”部分。每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥（而不是 Google 的默认加密机制）加密静态数据。如果通过从列表中移除一个或多个受支持的服务来更改此值，则可能会破坏数据主权，因为系统会使用 Google 自己的密钥（而不是您自己的密钥）自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
`gcp.restrictCmekCryptoKeyProjects`	用户可以将此值设为要与欧盟区域以及对主权管制的支持配合使用的项目或文件夹。例如：`under:folders/my-folder-name` 限制已获批准的文件夹或项目的范围（这些文件夹或项目可提供 KMS 密钥用于使用 CMEK 加密静态数据）。此限制条件可防止未获批准的文件夹或项目提供加密密钥，从而有助于保证受支持服务的静态数据的数据主权。

Compute Engine 组织政策限制条件

组织政策限制条件	说明
`compute.enableComplianceMemoryProtection`	设置为 True。停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。更改此值可能会影响数据驻留或数据主权。
`compute.disableInstanceDataAccessApis`	设置为 True。全局停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。
`compute.restrictNonConfidentialComputing`	（可选）不设置值。设置此值可提供额外的深度防御。如需了解详情，请参阅机密虚拟机文档。
`compute.trustedImageProjects`	（可选）不设置值。设置此值可提供额外的深度防御。设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理，从而影响数据主权。

Cloud Storage 组织政策限制条件

组织政策限制条件说明

storage.uniformBucketLevelAccess 设置为 True。

您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储桶的访问权限。此限制条件可为存储桶及其内容提供精细的权限。

如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

组织政策限制条件	说明
`storage.uniformBucketLevelAccess`	设置为 True。您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储桶的访问权限。此限制条件可为存储桶及其内容提供精细的权限。如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件	说明
`container.restrictNoncompliantDiagnosticDataAccess`	设置为 True。用于停用内核问题的汇总分析，这是维护工作负载的主权所必需的。更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。

Cloud Key Management Service 组织政策限制条件

组织政策限制条件	说明
`cloudkms.allowedProtectionLevels`	设置为 `EXTERNAL`。限制可能创建的 Cloud Key Management Service CryptoKey 类型，并将其设置为仅允许外部密钥类型。

受影响的功能

本部分列出了每项服务的特性或功能受到的影响欧盟区域以及对主权管制的支持。

BigQuery 特性

特征	说明
在新文件夹上启用 BigQuery	支持 BigQuery，但创建新的 Assured Workloads 文件夹，因为存在内部配置过程。此过程通常需要 10 分钟才能完成，但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery，请完成以下步骤：在 Google Cloud 控制台中，转到 Assured Workloads 页面。前往 Assured Workloads 从列表中选择新的 Assured Workloads 文件夹。在文件夹详细信息页面的允许的服务部分，点击查看可用更新。在允许的服务窗格中，查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务，请点击允许服务将其添加。如果未列出 BigQuery 服务，请等待内部流程完成。如果在创建文件夹后的 12 小时内未列出服务，请与 Cloud Customer Care 联系。启用流程完成后，您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。 Assured Workloads 不支持 Gemini in BigQuery。
不受支持的功能	以下 BigQuery 功能不受支持，也不应在 BigQuery CLI 中使用。您有责任避免在 BigQuery 中将其用于欧盟区域以及支持主权管制的支持。与远程数据源交互不支持在外部训练的 BQML 模型。支持内部训练的 BQML 模型。计划查询和联合查询动态数据遮盖 GDrive 导出远程函数已保存的查询工作流安排对于 BigQuery Studio 笔记本不受支持。
不支持的集成	不支持以下 BigQuery 集成。您有责任确保不将这些模型与欧盟区域以及对主权管制的支持的 BigQuery 搭配使用。 Data Catalog API 的 `CreateTag`、`SearchCatalog`、`Bulk tagging` 和 `Business Glossary` API 方法可能会以不受支持的方式处理和存储技术数据。时间是您自行承担不将这些方法用于欧盟区域以及支持主权管制的责任。
支持的 BigQuery API	支持以下 BigQuery API：数据集作业模型项目预留日常安排行访问权限政策 Storage Read 存储空间写入 Tables 表格数据预留 API 默认处于停用状态。您您可以按照此页面。
区域	所有 BigQuery 欧盟地区均支持 BigQuery 欧盟多区域之外的其他区域无法保证合规性数据集创建于欧盟多区域、非欧盟区域或非欧盟多区域位置您有责任指定一个合规区域创建任务。如果使用某个欧盟区域发送表数据列表请求，但数据集是在另一个欧盟区域创建的，BigQuery 将无法推断您打算使用的区域，并且操作将会失败并显示“找不到数据集”错误消息。
Google Cloud 控制台	Google Cloud 控制台中的 BigQuery 界面是支持。
BigQuery CLI	支持 BigQuery CLI。
Google Cloud SDK	您必须使用 Google Cloud SDK 403.0.0 或更高版本来维护数据针对技术数据的区域化保证。进行验证您当前的 Google Cloud SDK 版本，运行 `gcloud --version`，以及然后按 `gcloud components update` 更新到最新版本。
管理员控制功能	BigQuery 将停用不受支持的 API，但管理员会停用拥有足够的权限来创建 Assured Workloads 文件夹可能会启用不受支持的 API。如果出现这种情况，您会通过 Assured Workloads 监控信息中心收到潜在违规问题的通知。
正在加载数据	BigQuery Data Transfer Service Google 软件即服务 (SaaS) 应用的连接器，外部不支持云存储服务商和数据仓库。您的不将 BigQuery Data Transfer Service 连接器用于欧盟区域以及对主权控制工作负载的支持。
第三方次换乘	BigQuery 不会验证对 BigQuery Data Transfer Service 的第三方转移。使用 BigQuery Data Transfer Service 的任何第三方传输服务时，您有责任自行确认支持情况。
不合规的 BQML 模型	不支持在外部训练的 BQML 模型。
查询作业	查询作业只能在“具有主权管制的欧盟区域和支持”文件夹中创建。
对其他项目中的数据集进行查询	BigQuery 不会阻止包含主权控制数据集的欧盟区域和支持来自非欧盟区域以及主权控制项目的支持团队提出的问题。您应确保将对欧盟区域以及对主权管制的支持数据执行读取或联接的任何查询放入“欧盟区域以及对主权管制的支持”文件夹中。您可以在 BigQuery CLI 中使用 `projectname.dataset.table` 为其查询结果指定完全限定表名称。
Cloud Logging	BigQuery 利用 Cloud Logging 处理您的部分日志数据。您应停用 `_default` 个日志记录存储分区，或者将 `_default` 个存储分区限制为位于欧盟区域以保持合规性： `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` 如需了解详情，请参阅此页面信息。

Bigtable 特性

特征说明

不受支持的功能

特征	说明
不受支持的功能	不支持以下 Bigtable 功能和 API 方法。您有责任不将其用于 Bigtable 适用于欧盟区域以及主权控制支持。 RPC Admin API 的 `ListHotTablets` API 方法以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟区域以及对主权管制的支持使用该方法。 Rest Admin API 的 `hotTablets.list` API 方法以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟区域以及对主权管制的支持使用该方法。
分屏边界	Bigtable 使用一小部分行键来定义分块边界，其中可能包括客户数据和元数据。分屏边界表示连续范围的行所在的位置被拆分为多个片。 Google 人员可以访问这些分屏边界，以提供技术支持和调试服务，并且不受“欧盟区域和支持”控制下的行政访问数据控制的约束。

不支持以下 Bigtable 功能和 API 方法。您有责任不将其用于 Bigtable 适用于欧盟区域以及主权控制支持。

RPC Admin API 的 ListHotTablets API 方法以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟区域以及对主权管制的支持使用该方法。
Rest Admin API 的 hotTablets.list API 方法以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟区域以及对主权管制的支持使用该方法。

分屏边界 Bigtable 使用一小部分行键来定义分块边界，其中可能包括客户数据和元数据。分屏边界表示连续范围的行所在的位置被拆分为多个片。

Google 人员可以访问这些分屏边界，以提供技术支持和调试服务，并且不受“欧盟区域和支持”控制下的行政访问数据控制的约束。

Spanner 功能

特征	说明
分屏边界	Spanner 使用一小部分主键，并编入索引以定义所需的列拆分边界，其中可能包括客户数据和元数据。Spanner 中的分块边界表示连续行范围被拆分为较小部分的位置。 Google 技术人员可以查看这些分块边界用于支持和调试目的，并且不受管理访问欧盟区域的数据控制和主权控制的支持。

Dataproc 特性

特征	说明
Google Cloud 控制台	Dataproc 目前不支持特定管辖区的 Google Cloud 控制台。如需强制执行数据驻留，请确保在使用 Dataproc 时使用 Google Cloud CLI 或 API。

GKE 功能

特征	说明
集群资源限制	确保您的集群配置不会使用不受“Assured Workloads for EU Regions and Support with Sovereignty Controls”支持的服务的资源。例如，以下配置无效，因为它需要启用或使用不支持的服务： set `binaryAuthorization.evaluationMode` to `enabled`

Cloud Logging 功能

如需将 Cloud Logging 与客户管理的加密密钥 (CMEK) 搭配使用，您必须完成为组织启用 CMEK 页面。

特征	说明
日志接收器	过滤条件不应包含客户数据。日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。
Live Tailing 日志条目	过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据，但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。
基于日志的提醒	此功能处于禁用状态。您无法在 Google Cloud 控制台中创建基于日志的提醒。
日志浏览器查询的缩短的网址	此功能处于禁用状态。您无法在 Google Cloud 控制台中创建查询的缩短网址。
在日志浏览器中保存查询	此功能处于禁用状态。您无法在 Google Cloud 控制台中保存任何查询。
使用 BigQuery 的日志分析	此功能处于禁用状态。您无法使用日志分析功能。

Cloud Monitoring 功能

特征	说明
合成监控工具	此功能处于禁用状态。
拨测	此功能处于禁用状态。
信息中心中的日志面板微件	此功能已停用。您无法将日志面板添加到信息中心。
错误报告面板微件在信息中心中	此功能已停用。您无法添加错误报告添加到信息中心
过滤条件 `EventAnnotation` 对于信息中心	此功能已停用。过滤条件： `EventAnnotation` 无法在信息中心内设置。

Compute Engine 功能

特征	说明
暂停和恢复虚拟机实例	此功能处于禁用状态。暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
本地 SSD	此功能处于禁用状态。无法创建具有本地 SSD 的实例，因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
客机环境	客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置，系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等，请参阅客机环境。这些组件可帮助您通过内部安全控制和流程满足数据主权。不过，如果您希望您还可以使用额外的控制功能也可以使用 `compute.trustedImageProjects` 组织政策限制条件。如需了解详情，请参阅构建自定义映像页面。
`instances.getSerialPortOutput()`	此 API 已停用；您将无法使用此 API 从指定实例获取串行端口输出。更改 `compute.disableInstanceDataAccessApis` 组织将政策限制条件值设置为 False，以启用此 API。您还可以按照此页面上的说明启用和使用交互式串行端口。
`instances.getScreenshot()`	此 API 已停用；您将无法使用此 API 从指定实例获取屏幕截图。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照此页面上的说明启用和使用交互式串行端口。