Halaman ini diterjemahkan oleh Cloud Translation API.

Batasan dan batasan dalam Sovereign Controls untuk Uni Eropa

Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan Sovereign Controls for EU.

Ringkasan

Sovereign Controls for EU menyediakan fitur kedaulatan data dan residensi data untuk layanan Google Cloud yang didukung. Untuk menyediakan fitur ini, beberapa fitur layanan ini dibatasi atau terbatas. Sebagian besar perubahan ini diterapkan selama proses orientasi saat membuat folder atau project baru di lingkungan Sovereign Controls for EU, tetapi beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi.

Penting untuk memahami bagaimana batasan ini mengubah perilaku untuk layanan Google Cloud tertentu atau memengaruhi kedaulatan data atau residensi data. Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memastikan kedaulatan data dan residensi data dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, tindakan ini dapat menyebabkan konsekuensi yang tidak diinginkan, yaitu menyalin data dari satu region ke region lain.

Produk dan layanan yang didukung

Lihat halaman Produk yang didukung untuk mengetahui daftar produk dan layanan yang didukung oleh Sovereign Controls for EU.

Kebijakan organisasi

Bagian ini menjelaskan pengaruh setiap layanan terhadap nilai batasan kebijakan organisasi default saat folder atau project dibuat menggunakan Sovereign Controls for EU. Batasan lain yang berlaku — meskipun tidak ditetapkan secara default — dapat memberikan "pertahanan menyeluruh" tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Batasan kebijakan organisasi di seluruh cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan Kebijakan Organisasi	Deskripsi
`gcp.resourceLocations`	Tetapkan ke `in:eu-locations` sebagai item daftar `allowedValues`. Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai Uni Eropa. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar Uni Eropa. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya. Mengubah nilai ini dengan membuatnya kurang membatasi berpotensi melemahkan kedaulatan data dan residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data Uni Eropa. Misalnya: mengganti grup nilai `in:eu-locations` dengan grup nilai `in:europe-locations`, yang mencakup lokasi negara anggota non-Uni Eropa.
`gcp.restrictNonCmekServices`	Tetapkan ke daftar semua nama layanan API dalam cakupan, termasuk: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Lihat bagian Fitur yang Terpengaruh di bawah. Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan data dalam penyimpanan dienkripsi dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan yang didukung dari daftar dapat merusak kedaulatan data, karena data dalam penyimpanan baru akan otomatis dienkripsi menggunakan kunci milik Google, bukan kunci Anda. Data dalam penyimpanan yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
`gcp.restrictCmekCryptoKeyProjects`	Pengguna dapat menetapkan nilai ini ke project atau folder yang ditujukan untuk digunakan dengan Sovereign Controls for EU. Misalnya: `under:folders/my-folder-name` Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci KMS untuk mengenkripsi data dalam penyimpanan menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui untuk memberikan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data dalam penyimpanan layanan yang didukung.

Batasan kebijakan organisasi Compute Engine

Batasan Kebijakan Organisasi	Deskripsi
`compute.enableComplianceMemoryProtection`	Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kerusakan infrastruktur. Mengubah nilai ini dapat memengaruhi tempat tinggal data atau kedaulatan data Anda.
`compute.disableInstanceDataAccessApis`	Tetapkan ke True. Menonaktifkan `instances.getSerialPortOutput()` dan `instances.getScreenshot()` API secara global.
`compute.restrictNonConfidentialComputing`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan defense-in-depth tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
`compute.trustedImageProjects`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan defense-in-depth tambahan. Menetapkan nilai ini akan membatasi penyimpanan image dan pembuatan instance disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Batasan kebijakan organisasi Cloud Storage

Batasan Kebijakan Organisasi Deskripsi

storage.uniformBucketLevelAccess Tetapkan ke True.

Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin terperinci untuk bucket dan kontennya.

Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak akan pernah dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen untuk menggunakan kebijakan IAM, bukan ACL Cloud Storage.

Batasan Kebijakan Organisasi	Deskripsi
`storage.uniformBucketLevelAccess`	Tetapkan ke True. Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin terperinci untuk bucket dan kontennya. Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak akan pernah dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen untuk menggunakan kebijakan IAM, bukan ACL Cloud Storage.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan Kebijakan Organisasi	Deskripsi
`container.restrictNoncompliantDiagnosticDataAccess`	Tetapkan ke True. Digunakan untuk menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol kedaulatan atas beban kerja. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya tetap gunakan nilai yang ditetapkan.

Batasan kebijakan organisasi Cloud Key Management Service

Batasan Kebijakan Organisasi	Deskripsi
`cloudkms.allowedProtectionLevels`	Tetapkan ke `EXTERNAL`. Membatasi jenis CryptoKey Cloud Key Management Service yang dapat dibuat, dan ditetapkan untuk hanya mengizinkan jenis kunci eksternal.

Fitur yang terpengaruh

Bagian ini mencantumkan pengaruh Kontrol Berdaulat untuk Uni Eropa terhadap fitur atau kemampuan setiap layanan.

Fitur BigQuery

Fitur	Deskripsi
Mengaktifkan BigQuery di folder baru	BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Workload Terjamin baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dalam beberapa situasi dapat memerlukan waktu lebih lama. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut: Di konsol Google Cloud, buka halaman Workload Terjamin. Buka Assured Workloads Pilih folder Assured Workloads baru dari daftar. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Batasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya. Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care. Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Workload Terjamin. Gemini di BigQuery tidak didukung oleh Assured Workloads.
Fitur yang tidak didukung	Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di BigQuery CLI. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Sovereign Controls for EU. Interaksi dengan sumber data jarak jauh Model BQML yang dilatih secara eksternal tidak didukung. Model BQML yang dilatih secara internal didukung. Kueri terjadwal dan gabungan Penyamaran data dinamis Ekspor GDrive Fungsi jarak jauh Kueri tersimpan Penjadwalan alur kerja Untuk BigQuery Studio, notebook tidak didukung.
Integrasi yang tidak didukung	Integrasi BigQuery berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan BigQuery untuk Sovereign Controls for EU. Metode API `CreateTag`, `SearchCatalog`, `Bulk tagging`, dan `Business Glossary` dari Data Catalog API dapat memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Kontrol Berdaulat untuk Uni Eropa.
BigQuery API yang didukung	BigQuery API berikut didukung: Set data Pekerjaan Model Project Pemesanan Rutinitas Kebijakan Akses Baris Pembacaan Penyimpanan Storage Write Tables Data Tabel Reservations API tidak diaktifkan secara default. Anda dapat mengaktifkan API menggunakan petunjuk di halaman ini.
Region	BigQuery didukung untuk semua region BigQuery EU kecuali multi-region Uni Eropa. Kepatuhan tidak dapat dijamin jika set data dibuat di multi-region Uni Eropa, region non-Uni Eropa, atau multi-region non-Uni Eropa. Anda bertanggung jawab untuk menentukan region yang mematuhi kebijakan saat membuat set data BigQuery. Jika permintaan daftar data tabel dikirim menggunakan satu region Uni Eropa, tetapi set data dibuat di region Uni Eropa lainnya, BigQuery tidak dapat menyimpulkan region mana yang Anda inginkan dan operasi akan gagal dengan pesan error "set data tidak ditemukan".
Konsol Google Cloud	Antarmuka pengguna BigQuery di konsol Google Cloud didukung.
BigQuery CLI	BigQuery CLI didukung.
Google Cloud SDK	Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data untuk data teknis. Untuk memverifikasi versi Google Cloud SDK saat ini, jalankan `gcloud --version`, lalu `gcloud components update` untuk mengupdate ke versi terbaru.
Kontrol administrator	BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Beban Kerja Terjamin dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data	Konektor BigQuery Data Transfer Service untuk aplikasi Google Software as a Service (SaaS), penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk Sovereign Controls for EU workloads.
Transfer pihak ketiga	BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service.
Model BQML yang tidak mematuhi kebijakan	Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri	Tugas kueri hanya boleh dibuat dalam folder Sovereign Controls for EU.
Kueri pada set data di project lain	BigQuery tidak mencegah Kontrol Berdaulat untuk set data Uni Eropa dikueri dari project non-Kontrol Berdaulat untuk Uni Eropa. Anda harus memastikan bahwa setiap kueri yang memiliki operasi baca atau join pada data Sovereign Controls for EU ditempatkan di folder Sovereign Controls for EU. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kueri menggunakan `projectname.dataset.table` di BigQuery CLI.
Cloud Logging	BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging `_default` atau membatasi bucket `_default` ke region Uni Eropa untuk mempertahankan kepatuhan menggunakan perintah berikut: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Lihat halaman ini untuk informasi selengkapnya.

Fitur Bigtable

Fitur Deskripsi

Fitur yang tidak didukung

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur Bigtable dan metode API berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan Bigtable untuk Sovereign Controls for EU. Metode API `ListHotTablets` dari RPC Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Sovereign Controls for EU. Metode API `hotTablets.list` dari Rest Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Sovereign Controls for EU.
Memisahkan batas	Bigtable menggunakan sebagian kecil kunci baris untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Bigtable menunjukkan lokasi tempat rentang baris yang berdekatan dalam tabel dibagi menjadi tablet. Batas pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, dan tidak tunduk pada kontrol data akses administratif di Sovereign Controls untuk Uni Eropa.

Fitur Bigtable dan metode API berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan Bigtable untuk Sovereign Controls for EU.

Metode API ListHotTablets dari RPC Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Sovereign Controls for EU.
Metode API hotTablets.list dari Rest Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Sovereign Controls for EU.

Memisahkan batas Bigtable menggunakan sebagian kecil kunci baris untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Bigtable menunjukkan lokasi tempat rentang baris yang berdekatan dalam tabel dibagi menjadi tablet.

Batas pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, dan tidak tunduk pada kontrol data akses administratif di Sovereign Controls untuk Uni Eropa.

Fitur Spanner

Fitur	Deskripsi
Memisahkan batas	Spanner menggunakan sebagian kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data pelanggan dan metadata. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil. Batas pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, dan tidak tunduk pada kontrol data akses administratif di Sovereign Controls untuk Uni Eropa.

Fitur

Deskripsi

Memisahkan batas

Spanner menggunakan sebagian kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data pelanggan dan metadata. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil.

Batas pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, dan tidak tunduk pada kontrol data akses administratif di Sovereign Controls untuk Uni Eropa.

Fitur Dataproc

Fitur	Deskripsi
Konsol Google Cloud	Dataproc saat ini tidak mendukung Konsol Google Cloud Jurisdiksi. Untuk menerapkan residensi data, pastikan Anda menggunakan Google Cloud CLI atau API saat menggunakan Dataproc.

Fitur GKE

Fitur	Deskripsi
Batasan resource cluster	Pastikan konfigurasi cluster Anda tidak menggunakan resource untuk layanan yang tidak didukung di Sovereign Controls for EU. Misalnya, konfigurasi berikut tidak valid karena memerlukan pengaktifan atau penggunaan layanan yang tidak didukung: set `binaryAuthorization.evaluationMode` to `enabled`

Fitur Cloud Logging

Untuk menggunakan Cloud Logging dengan Kunci Enkripsi yang Dikelola Pelanggan (CMEK), Anda harus menyelesaikan langkah-langkah di halaman Mengaktifkan CMEK untuk organisasi dalam dokumentasi Cloud Logging.

Fitur	Deskripsi
Sink log	Filter tidak boleh berisi Data Pelanggan. Penampung log menyertakan filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Entri log pelacakan langsung	Filter tidak boleh berisi Data Pelanggan. Sesi pelacakan langsung menyertakan filter yang disimpan sebagai konfigurasi. Log tailing tidak menyimpan data entri log itu sendiri, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.
Pemberitahuan berbasis log	Fitur ini dinonaktifkan. Anda tidak dapat membuat pemberitahuan berbasis log di konsol Google Cloud.
URL yang dipersingkat untuk kueri Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat membuat URL kueri yang disingkat di konsol Google Cloud.
Menyimpan kueri di Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat menyimpan kueri apa pun di konsol Google Cloud.
Log Analytics menggunakan BigQuery	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur Log Analytics.
Kebijakan pemberitahuan berbasis SQL	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur kebijakan pemberitahuan berbasis SQL.

Fitur Cloud Monitoring

Fitur	Deskripsi
Synthetic Monitor	Fitur ini dinonaktifkan.
Pemeriksaan uptime	Fitur ini dinonaktifkan.
Widget panel log di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di `EventAnnotation` untuk Dasbor	Fitur ini dinonaktifkan. Filter `EventAnnotation` tidak dapat ditetapkan di dasbor.
`SqlCondition` di `alertPolicies`	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan `SqlCondition` ke `alertPolicy`.

Fitur Compute Engine

Fitur	Deskripsi
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Penangguhan dan pengaktifan kembali instance VM memerlukan penyimpanan disk persisten, dan penyimpanan disk persisten yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami kedaulatan data dan implikasi residensi data dari mengaktifkan fitur ini.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena saat ini SSD Lokal tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami kedaulatan data dan implikasi residensi data dari mengaktifkan fitur ini.
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data dalam penyimpanan dan data yang sedang digunakan yang tidak dienkripsi. Bergantung pada konfigurasi VM Anda, update untuk software ini dapat diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika ingin kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi `compute.trustedImageProjects`. Lihat halaman Mem-build image kustom untuk mengetahui informasi selengkapnya.
`instances.getSerialPortOutput()`	API ini dinonaktifkan; Anda tidak akan dapat mendapatkan output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di halaman ini.
`instances.getScreenshot()`	API ini dinonaktifkan; Anda tidak akan dapat mendapatkan screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di halaman ini.