Cette page a été traduite par l'API Cloud Translation.

Restrictions et limites dans les régions de l'UE et assistance pour les contrôles de souveraineté

Cette page décrit les restrictions, les limites et d'autres configurations lors de l'utilisation des régions de l'UE et de l'assistance pour les contrôles de souveraineté.

Présentation

Les régions de l'UE et l'assistance pour les contrôles de souveraineté offrent des fonctionnalités de résidence et de souveraineté des données pour services Google Cloud compatibles. Pour fournir ces fonctionnalités, ces services sont limitées ou limitées. La plupart de ces changements lors du processus d'intégration lors de la création d'un dossier ou d'un projet dans un environnement Régions de l'UE et assistance pour les contrôles de souveraineté, mais vous pourrez modifier certaines de ces régions modification règles d'administration.

Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné, ou affectent la souveraineté des données ou la résidence des données. Pour Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir le maintien de la souveraineté et de la résidence des données. En outre, si un paramètre de règle d'administration est modifié, cela peut avoir des conséquences inattendues de copier des données d'une région à une autre.

Produits et services compatibles

Consultez la page Produits compatibles pour obtenir la liste des produits et services compatibles avec les régions de l'UE et l'assistance pour les contrôles de souveraineté.

Règles d'administration

Cette section décrit l'impact de l'organisation par défaut sur chaque service des valeurs de contrainte de règle lorsque des dossiers ou des projets sont créés Régions de l'UE et assistance pour les contrôles de souveraineté Autres contraintes applicables, même si elles ne sont pas définies par par défaut, ce qui offre une protection supplémentaire pour mieux protéger les ressources Google Cloud de votre organisation.

Contraintes liées aux règles d'administration à l'échelle du cloud

Les éléments suivants : Contraintes liées aux règles d'administration applicables à tous les services Google Cloud applicables.

Contrainte liée aux règles d'administration	Description
`gcp.resourceLocations`	Définir sur `in:eu-locations` pour `allowedValues` un élément de liste. Cette valeur limite la création de ressources au groupe de valeurs "UE" uniquement. Si ce paramètre est défini, aucune ressource ne peut être créée dans d'autres régions, des emplacements multirégionaux ou des emplacements hors de l'UE. Consultez le Groupes de valeurs des règles d'administration. Modifier cette valeur pour la rendre moins restrictive compromet la souveraineté et la résidence des données en autorisant la création ou le stockage de données en dehors de la limite des données de l'UE. Par exemple : remplacement du groupe de valeurs `in:eu-locations` par le groupe de valeurs `in:europe-locations`, qui inclut les emplacements des États membres de l'UE.
`gcp.restrictNonCmekServices`	Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris : `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Certaines fonctionnalités peuvent être affectées pour chacun des services listés ci-dessus. Voir la section "Fonctionnalités concernées" ci-dessous. Chaque service répertorié nécessite Clés de chiffrement gérées par le client (CMEK). Avec une CMEK, les données au repos sont chiffrées à l'aide d'une clé que vous gérez, les mécanismes de chiffrement par défaut de Google. Modifiez cette valeur en supprimant un ou plusieurs services compatibles de la peut compromettre souveraineté des données, car les nouvelles données au repos sont automatiquement chiffrées clés au lieu des vôtres. Les données au repos existantes restent chiffrées que vous avez fournie.
`gcp.restrictCmekCryptoKeyProjects`	Les utilisateurs peuvent définir cette valeur pour les projets ou dossiers pour les régions de l'UE et pour les contrôles de souveraineté. Par exemple : `under:folders/my-folder-name` Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche des dossiers ou projets non approuvés de fournir des clés de chiffrement, de garantir la souveraineté des données pour les services compatibles au repos données.

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration	Description
`compute.enableComplianceMemoryProtection`	Défini sur True. Désactive certaines fonctionnalités de diagnostic interne afin de fournir la protection du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence ou la souveraineté des données.
`compute.disableInstanceDataAccessApis`	Défini sur True. Désactive globalement `instances.getSerialPortOutput()` et `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour fournir une défense en profondeur. Consultez le Documentation sur Confidential VMs pour en savoir plus.
`compute.trustedImageProjects`	(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour fournir une défense en profondeur. La définition de cette valeur limite le stockage d'image et l'instanciation de disque au spécifiée pour la liste de projets. Cette valeur affecte la souveraineté des données empêchant l'utilisation d'images ou d'agents non autorisés.

Contraintes liées aux règles d'administration Cloud Storage

Contrainte liée aux règles d'administration Description

storage.uniformBucketLevelAccess Défini sur True.

L'accès aux nouveaux buckets est géré à l'aide de stratégies IAM au lieu de Listes de contrôle d'accès (LCA) Cloud Storage Cette contrainte fournit des autorisations précises pour les buckets et leur contenu.

Si un bucket est créé alors que cette contrainte est activée, l'accès à celui-ci peut ne doivent jamais être gérées à l'aide de listes de contrôle d'accès. En d'autres termes, la méthode de contrôle des accès d'un bucket est défini de manière permanente pour utiliser des stratégies IAM au lieu des LCA Cloud Storage.

Contrainte liée aux règles d'administration	Description
`storage.uniformBucketLevelAccess`	Défini sur True. L'accès aux nouveaux buckets est géré à l'aide de stratégies IAM au lieu de Listes de contrôle d'accès (LCA) Cloud Storage Cette contrainte fournit des autorisations précises pour les buckets et leur contenu. Si un bucket est créé alors que cette contrainte est activée, l'accès à celui-ci peut ne doivent jamais être gérées à l'aide de listes de contrôle d'accès. En d'autres termes, la méthode de contrôle des accès d'un bucket est défini de manière permanente pour utiliser des stratégies IAM au lieu des LCA Cloud Storage.

Contraintes liées aux règles d'administration de Google Kubernetes Engine

Contrainte liée aux règles d'administration	Description
`container.restrictNoncompliantDiagnosticDataAccess`	Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons vivement de conserver la valeur définie.

Contraintes liées aux règles d'administration de Cloud Key Management Service

Contrainte liée aux règles d'administration	Description
`cloudkms.allowedProtectionLevels`	Variable définie sur `EXTERNAL`. Limite les types de CryptoKeys Cloud Key Management Service pouvant être créés et est défini pour n'autoriser que les adresses externes clés.

Fonctionnalités concernées

Cette section liste l'impact sur les fonctionnalités de chaque service Régions de l'UE et assistance pour les contrôles de souveraineté

Fonctionnalités de BigQuery

Caractéristique	Description
Activer BigQuery sur un nouveau dossier	BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un Dossier Assured Workloads en raison d'un processus de configuration interne. Ce processus normalement se termine en dix minutes, mais peut prendre beaucoup plus de temps dans certaines circonstances. Pour vérifier si est terminé et pour activer BigQuery, procédez comme suit: Dans la console Google Cloud, accédez à la page Assured Workloads. <ph type="x-smartling-placeholder"></ph> Accéder à Assured Workloads Sélectionnez votre nouveau dossier Assured Workloads dans la liste. Dans la section Services autorisés de la page Détails du dossier, cliquez sur Examinez les mises à jour disponibles. Dans le volet Services autorisés, passez en revue les services à ajouter au Restriction d'utilisation des ressources la règle d'administration définie pour le dossier. Si les services BigQuery sont répertoriés, cliquez sur Cliquez sur Autoriser les services pour les ajouter. Si les services BigQuery ne sont pas répertoriés, attendez la fin du processus interne. Si le ne sont pas répertoriés dans les 12 heures suivant la création du dossier, contactez Cloud Customer Care : Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery Dossier Assured Workloads.
Fonctionnalités non compatibles	Les fonctionnalités BigQuery suivantes ne sont pas compatibles et doivent ne peut pas être utilisée dans la CLI BigQuery. Il est de votre responsabilité de ne pas les utiliser dans BigQuery pour les régions de l'UE et l'assistance pour les contrôles de souveraineté. Interaction avec des sources de données distantes <ph type="x-smartling-placeholder"></ph> Les modèles BQML entraînés en externe ne sont pas acceptés. <ph type="x-smartling-placeholder"></ph> Les modèles BQML entraînés en interne sont acceptés. Requêtes planifiées et fédérées Masquage dynamique des données Exportation GDrive Fonctions à distance Requêtes enregistrées Planification des workflows Pour BigQuery Studio, les notebooks sont non pris en charge.
Intégrations non compatibles	Les intégrations BigQuery suivantes ne sont pas compatibles. Il est il est de votre responsabilité de ne pas les utiliser avec BigQuery Régions de l'UE et assistance pour les contrôles de souveraineté Les `CreateTag`, `SearchCatalog` API `Bulk tagging` et `Business Glossary` des méthodes L'API Data Catalog permet traiter et stocker des données techniques d'une manière qui n'est pas prise en charge. Il est votre responsabilité de ne pas utiliser ces méthodes pour les Régions de l'UE et l'Assistance pour les contrôles de souveraineté.
API BigQuery compatibles	Les API BigQuery suivantes sont compatibles: Ensembles de données Emplois Modèles Projets Réservations Routines Règles d'accès aux lignes Lecture du stockage Écriture du stockage Tables Données de la table L'API Réservations n'est pas activée par défaut. Toi vous pouvez activer l'API en suivant les instructions cette page.
Régions	BigQuery est compatible avec toutes les éditions BigQuery de l'UE à l'exception de l'emplacement multirégional de l'UE. La conformité ne peut pas être garantie si un ensemble de données est créé dans un emplacement multirégional de l'UE, dans une région en dehors de l'UE ou dans un pays de l'UE autre que l'UE un emplacement multirégional. Il est de votre responsabilité de spécifier une région conforme lorsque vous créez des ensembles de données BigQuery. Si une requête de liste de données de table est envoyée via une région UE, mais que l'ensemble de données a été créée dans une autre région de l'UE, BigQuery ne peut pas déterminer pour la région souhaitée. L'opération échoue et renvoie le message "Ensemble de données introuvable". s'affiche.
console Google Cloud	L'interface utilisateur BigQuery de la console Google Cloud compatibles.
CLI BigQuery	La CLI BigQuery est compatible.
SDK Google Cloud	Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour gérer les données garanties de régionalisation pour les données techniques. Pour effectuer la validation votre version actuelle de Google Cloud SDK, exécutez `gcloud --version`, puis puis sur `gcloud components update` pour obtenir la dernière version.
Commandes d'administration	BigQuery désactivera les API non compatibles, mais les administrateurs disposant des autorisations suffisantes pour créer un dossier Assured Workloads peut activer une API non compatible. Dans ce cas, vous serez informé une éventuelle non-conformité Surveillance Assured Workloads tableau de bord.
Chargement des données	Service de transfert de données BigQuery connecteurs pour les applications SaaS (Software as a Service) Google, externes les fournisseurs de stockage cloud et les entrepôts de données ne sont pas compatibles. C'est votre de ne pas utiliser les connecteurs du service de transfert de données BigQuery Régions de l'UE et assistance pour les charges de travail de contrôles de souveraineté
Tierce transferts	BigQuery ne vérifie pas la compatibilité avec des transferts tiers pour le service de transfert de données BigQuery. C'est votre la responsabilité de vérifier l'assistance lors de l'utilisation d'un transfert tiers pour le service de transfert de données BigQuery.
Modèles BQML non conformes	<ph type="x-smartling-placeholder"></ph> Les modèles BQML entraînés en externe ne sont pas acceptés.
Tâches de requête	Les jobs de requête avec ne doivent être créés que dans les dossiers "Régions de l'UE" et "Assistance pour les contrôles de souveraineté".
Requêtes sur des ensembles de données d'autres projets	BigQuery n'empêche pas les ensembles de données de type "Régions de l'UE" et la compatibilité avec les ensembles de données de contrôle de souveraineté interrogés depuis des régions hors Union européenne et assistance pour les projets de contrôles de souveraineté. Vous devez vous assurer de requête comportant une lecture ou une jointure sur les données des régions de l'UE et l'assistance pour les contrôles de souveraineté dans un dossier Régions de l'UE et assistance pour les contrôles de souveraineté. Vous pouvez spécifier un complètement qualifiés nom de la table pour le résultat de sa requête en utilisant `projectname.dataset.table`. dans la CLI BigQuery.
Cloud Logging	BigQuery utilise Cloud Logging pour certaines données de journaux. Désactivez vos buckets de journalisation `_default` ou limiter `_default` buckets aux régions de l'UE pour maintenir la conformité à l'aide de la commande suivante: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Pour en savoir plus, consultez cette page. des informations.

Fonctionnalités Bigtable

Caractéristique Description

Fonctionnalités non compatibles

Caractéristique	Description
Fonctionnalités non compatibles	Les fonctionnalités et méthodes d'API Bigtable suivantes ne sont pas compatibles. Il est de votre responsabilité de ne pas les utiliser avec Bigtable pour les régions de l'UE et assistance pour les contrôles de souveraineté La méthode API `ListHotTablets` de Processus de l'API RPC Admin et de stocker des données techniques d'une manière qui n'est pas prise en charge. C'est votre de ne pas utiliser cette méthode pour les Régions de l'UE et l'Assistance pour les contrôles de souveraineté. La méthode API `hotTablets.list` de Processus de l'API REST Admin et de stocker des données techniques d'une manière qui n'est pas prise en charge. C'est votre de ne pas utiliser cette méthode pour les Régions de l'UE et l'Assistance pour les contrôles de souveraineté.
Limites de division	Bigtable utilise un petit sous-ensemble de clés de ligne pour définir la division qui peuvent inclure des métadonnées et des données client. Une limite de division dans Bigtable indique l'emplacement où des plages de lignes contiguës d'une table sont divisés en tablets. Le personnel de Google a accès à ces limites de division pour les équipes techniques à des fins d'assistance et de débogage, et ne sont pas soumises à aux contrôles des données dans les régions de l'UE et assistance pour les contrôles de souveraineté.

Les fonctionnalités et méthodes d'API Bigtable suivantes ne sont pas compatibles. Il est de votre responsabilité de ne pas les utiliser avec Bigtable pour les régions de l'UE et assistance pour les contrôles de souveraineté

La méthode API ListHotTablets de Processus de l'API RPC Admin et de stocker des données techniques d'une manière qui n'est pas prise en charge. C'est votre de ne pas utiliser cette méthode pour les Régions de l'UE et l'Assistance pour les contrôles de souveraineté.
La méthode API hotTablets.list de Processus de l'API REST Admin et de stocker des données techniques d'une manière qui n'est pas prise en charge. C'est votre de ne pas utiliser cette méthode pour les Régions de l'UE et l'Assistance pour les contrôles de souveraineté.

Limites de division Bigtable utilise un petit sous-ensemble de clés de ligne pour définir la division qui peuvent inclure des métadonnées et des données client. Une limite de division dans Bigtable indique l'emplacement où des plages de lignes contiguës d'une table sont divisés en tablets.

Le personnel de Google a accès à ces limites de division pour les équipes techniques à des fins d'assistance et de débogage, et ne sont pas soumises à aux contrôles des données dans les régions de l'UE et assistance pour les contrôles de souveraineté.

Fonctionnalités de Spanner

Caractéristique	Description
Limites de division	Spanner utilise un petit sous-ensemble de clés primaires des colonnes pour définir diviser limites, qui peuvent inclure les données et métadonnées des clients. Une division dans Spanner indique l'emplacement où les plages contiguës de lignes sont divisées en parties plus petites. Le personnel de Google a accès à ces limites de division pour les équipes techniques à des fins d'assistance et de débogage, et ne sont pas soumises à aux contrôles des données dans les régions de l'UE et assistance pour les contrôles de souveraineté.

Caractéristique

Description

Limites de division

Spanner utilise un petit sous-ensemble de clés primaires des colonnes pour définir diviser limites, qui peuvent inclure les données et métadonnées des clients. Une division dans Spanner indique l'emplacement où les plages contiguës de lignes sont divisées en parties plus petites.

Le personnel de Google a accès à ces limites de division pour les équipes techniques à des fins d'assistance et de débogage, et ne sont pas soumises à aux contrôles des données dans les régions de l'UE et assistance pour les contrôles de souveraineté.

Fonctionnalités de Dataproc

Caractéristique	Description
console Google Cloud	Pour le moment, Dataproc n'est pas compatible avec Juridictionnel console Google Cloud. Pour appliquer la résidence des données, veillez à utiliser à la Google Cloud CLI ou à l'API lorsque vous utilisez Dataproc.

Fonctionnalités de GKE

Caractéristique	Description
Restrictions de ressources de cluster	Assurez-vous que votre configuration de cluster n'utilise pas de ressources pour non compatibles avec les régions de l'UE et l'assistance pour les contrôles de souveraineté. Par exemple, la configuration suivante n'est pas valide, car elle nécessite l'activation ou l'utilisation un service non compatible: set `binaryAuthorization.evaluationMode` to `enabled`

Fonctionnalités de Cloud Logging

Pour utiliser Cloud Logging avec des clés de chiffrement gérées par le client (CMEK), vous devez suivez les étapes du Activer les CMEK pour une organisation dans la documentation Cloud Logging.

Caractéristique	Description
Récepteurs de journaux	Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres qui sont stockés en tant que configuration. Ne créez pas de filtres qui contiennent des données client.
Affichage en direct des dernières lignes des entrées de journal	Les filtres ne doivent pas contenir de données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. Les journaux ne stockent aucune donnée d'entrée de journal proprement dite, mais peuvent interroger et transmettent des données entre régions. Ne créez pas de filtres qui contiennent Données client.
Alertes basées sur des journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud.
<ph type="x-smartling-placeholder"></ph> URL raccourcies pour les requêtes de l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud.
<ph type="x-smartling-placeholder"></ph> Enregistrer des requêtes dans l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud.
<ph type="x-smartling-placeholder"></ph> Analyse de journaux avec BigQuery	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité Analyse de journaux.

Fonctionnalités de Compute Engine

Extraction	Description
Suspendre et réactiver une instance de VM	Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez le Organisation `gcp.restrictNonCmekServices` dans la section ci-dessus pour comprendre la souveraineté des données et les conséquences de l'activation de cette fonctionnalité sur la résidence des données.
Disques SSD locaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent actuellement pas être chiffrées à l'aide de clés CMEK. Consultez le Organisation `gcp.restrictNonCmekServices` dans la section ci-dessus pour comprendre la souveraineté des données et les conséquences de l'activation de cette fonctionnalité sur la résidence des données.
Environnement invité	Il est possible pour les scripts, les daemons et les binaires inclus dans l'environnement invité pour accéder aux données non chiffrées au repos et en cours d'utilisation. Selon la configuration de votre VM, les mises à jour de ce logiciel est installé par défaut. Voir <ph type="x-smartling-placeholder"></ph> l'environnement invité pour obtenir des informations spécifiques le contenu de chaque package, le code source, etc. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et des processus de sécurité internes. Toutefois, si vous souhaitez un contrôle supplémentaire, vous pouvez aussi organiser vos propres images ou et utiliser éventuellement `compute.trustedImageProjects` une contrainte de règle d'administration. Consultez les Créer une image personnalisée.
`instances.getSerialPortOutput()`	Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Modifier l'organisation `compute.disableInstanceDataAccessApis` la valeur de la contrainte de règle sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions sur <ph type="x-smartling-placeholder"></ph> cette page.
`instances.getScreenshot()`	Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Modifier l'organisation `compute.disableInstanceDataAccessApis` la valeur de la contrainte de règle sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions sur <ph type="x-smartling-placeholder"></ph> cette page.