Batasan dan batasan di Wilayah Uni Eropa dan Dukungan dengan Kontrol Kedaulatan

Halaman ini menjelaskan pembatasan, batasan, dan opsi konfigurasi lainnya saat menggunakan Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.

Ringkasan

Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan menyediakan fitur residensi data dan kedaulatan data untuk layanan Google Cloud yang didukung. Untuk menyediakan fitur ini, beberapa fitur layanan ini dibatasi atau dibatasi. Sebagian besar perubahan ini diterapkan selama proses orientasi saat membuat folder atau project baru di lingkungan Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan, tetapi beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi.

Penting untuk memahami cara batasan ini mengubah perilaku layanan Google Cloud tertentu atau memengaruhi kedaulatan data atau residensi data. Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memastikan bahwa kedaulatan data dan residensi data tetap dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, hal tersebut mungkin mengakibatkan konsekuensi yang tidak diinginkan, yaitu penyalinan data dari satu region ke region lain.

Produk dan layanan yang didukung

Lihat halaman Produk yang didukung untuk mengetahui daftar produk dan layanan yang didukung oleh Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.

Kebijakan organisasi

Bagian ini menjelaskan pengaruh dari nilai batasan kebijakan organisasi default pada setiap layanan saat folder atau project dibuat menggunakan Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan. Batasan lain yang berlaku — meskipun tidak ditetapkan secara default — dapat memberikan "defense-in-depth" tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Batasan kebijakan organisasi di seluruh cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan Kebijakan Organisasi Deskripsi
gcp.resourceLocations Tetapkan ke in:eu-locations sebagai item daftar allowedValues.

Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai Uni Eropa. Jika ditetapkan, resource tidak dapat dibuat di region, multi-region, atau lokasi lain di luar Uni Eropa. Lihat dokumentasi Grup nilai kebijakan organisasi untuk informasi selengkapnya.

Mengubah nilai ini dengan membuatnya tidak terlalu ketat berpotensi merusak kedaulatan data dan residensi data karena memungkinkan data dibuat atau disimpan di luar batas data Uni Eropa. Misalnya: mengganti grup nilai in:eu-locations dengan grup nilai in:europe-locations, yang mencakup lokasi negara bagian non-Uni Eropa.
gcp.restrictNonCmekServices Tetapkan ke daftar semua nama layanan API dalam cakupan, termasuk:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Lihat bagian Fitur yang Terpengaruh di bawah.

Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan data dalam penyimpanan dienkripsi dengan kunci yang Anda kelola, bukan mekanisme enkripsi default Google.

Mengubah nilai ini dengan menghapus satu atau beberapa layanan yang didukung dari daftar dapat merusak kedaulatan data, karena data dalam penyimpanan baru akan otomatis dienkripsi menggunakan kunci Google, bukan kunci Anda. Data dalam penyimpanan yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
gcp.restrictCmekCryptoKeyProjects Pengguna dapat menetapkan nilai ini ke project atau folder yang dimaksudkan untuk digunakan dengan Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan. Misalnya: under:folders/my-folder-name

Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci KMS untuk mengenkripsi data dalam penyimpanan menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data dalam penyimpanan layanan yang didukung.

Batasan kebijakan organisasi Compute Engine

Batasan Kebijakan Organisasi Deskripsi
compute.enableComplianceMemoryProtection Tetapkan ke True.

Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan konten memori saat terjadi kesalahan infrastruktur.

Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data Anda.
compute.disableInstanceDataAccessApis Tetapkan ke True.

Menonaktifkan API instances.getSerialPortOutput() dan instances.getScreenshot() secara global.

compute.restrictNonConfidentialComputing

(Opsional) Nilai belum ditetapkan. Tetapkan nilai ini untuk memberikan defense in depth tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.

compute.trustedImageProjects

(Opsional) Nilai belum ditetapkan. Tetapkan nilai ini untuk memberikan defense in depth tambahan.

Menetapkan nilai ini akan membatasi penyimpanan gambar dan pembuatan instance disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Batasan kebijakan organisasi Cloud Storage

Batasan Kebijakan Organisasi Deskripsi
storage.uniformBucketLevelAccess Tetapkan ke True.

Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin terperinci untuk bucket dan kontennya.

Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tidak akan dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen untuk menggunakan kebijakan IAM, bukan ACL Cloud Storage.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan Kebijakan Organisasi Deskripsi
container.restrictNoncompliantDiagnosticDataAccess Tetapkan ke True.

Digunakan untuk menonaktifkan analisis agregat masalah kernel, yang diperlukan untuk mempertahankan kontrol workload yang berdaulat.

Mengubah nilai ini dapat memengaruhi kedaulatan data dalam workload Anda; sebaiknya Anda mempertahankan nilai yang ditetapkan.

Batasan kebijakan organisasi Cloud Key Management Service

Batasan Kebijakan Organisasi Deskripsi
cloudkms.allowedProtectionLevels Tetapkan ke EXTERNAL.

Membatasi jenis CryptoKey Cloud Key Management Service yang mungkin dibuat, dan ditetapkan agar hanya mengizinkan jenis kunci eksternal.

Fitur yang terpengaruh

Bagian ini mencantumkan pengaruh dari Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan terhadap fitur atau kemampuan setiap layanan.

Fitur BigQuery

Fitur Deskripsi
Mengaktifkan BigQuery di folder baru BigQuery didukung, tetapi tidak diaktifkan secara otomatis saat Anda membuat folder Assured Workloads baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dapat memerlukan waktu lebih lama dalam situasi tertentu. Untuk memeriksa apakah proses ini telah selesai dan untuk mengaktifkan BigQuery, selesaikan langkah-langkah berikut:
  1. Di konsol Google Cloud, buka halaman Assured Workloads.

    Buka Assured Workloads

  2. Pilih folder Assured Workloads baru dari daftar.
  3. Pada halaman Folder Details di bagian Layanan yang diizinkan, klik Review Available Updates.
  4. Di panel Allowed services, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Resource Usage Restriction untuk folder. Jika layanan BigQuery tercantum, klik Allow Services untuk menambahkannya.

    Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam sejak pembuatan folder, hubungi Cloud Customer Care.

Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Assured Workloads.

Fitur yang tidak didukung Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di BigQuery CLI. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.
Integrasi yang tidak didukung Integrasi BigQuery berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan BigQuery untuk Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.
  • Metode API CreateTag, SearchCatalog, Bulk tagging, dan Business Glossary dari Data Catalog API dapat memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.
BigQuery API yang didukung BigQuery API berikut didukung:


Region BigQuery didukung untuk semua region Uni Eropa BigQuery kecuali multi-region di UE. Kepatuhan tidak dapat dijamin jika set data dibuat di multi-region Uni Eropa, region non-EU, atau multi-region non-Uni Eropa. Anda bertanggung jawab untuk menentukan region yang mematuhi kebijakan saat membuat set data BigQuery.

Jika permintaan daftar data tabel dikirim menggunakan satu region EU, tetapi set data dibuat di region EU lain, BigQuery tidak dapat menyimpulkan region mana yang Anda inginkan dan operasinya akan gagal dengan pesan error "set data tidak ditemukan".
Konsol Google Cloud Antarmuka pengguna BigQuery di konsol Google Cloud didukung.

CLI BigQuery BigQuery CLI didukung.

Google Cloud SDK Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru guna mempertahankan jaminan regionalisasi data untuk data teknis. Untuk memverifikasi versi Google Cloud SDK saat ini, jalankan gcloud --version, lalu gcloud components update untuk mengupdate ke versi terbaru.
Kontrol administrator BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Assured Workloads dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk workload Region Uni Eropa dan Dukungan dengan Sovereignty Controls.
Transfer pihak ketiga BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga apa pun untuk BigQuery Data Transfer Service.
Model BQML yang tidak mematuhi kebijakan Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri Tugas kueri hanya boleh dibuat dalam Region Uni Eropa dan Dukungan dengan folder Kontrol Kedaulatan.
Kueri terkait set data dalam project lain BigQuery tidak mencegah kueri Region Uni Eropa dan Dukungan dengan set data Kontrol Sovereignty dari Region non-Uni Eropa dan Dukungan dengan project Sovereignty Controls. Anda harus memastikan bahwa setiap kueri yang memiliki pembacaan atau penggabungan pada data Region Uni Eropa dan Dukungan dengan Sovereignty Controls akan ditempatkan di folder Region Uni Eropa dan Dukungan dengan Sovereignty Controls. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kuerinya menggunakan projectname.dataset.table di BigQuery CLI.
Cloud Logging BigQuery menggunakan Cloud Logging untuk sebagian data log Anda. Anda harus menonaktifkan bucket logging _default atau membatasi bucket _default ke wilayah Uni Eropa untuk menjaga kepatuhan menggunakan perintah berikut:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Lihat halaman ini untuk informasi selengkapnya.

Fitur Bigtable

Fitur Deskripsi
Fitur yang tidak didukung Fitur Bigtable dan metode API berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan Bigtable untuk Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.
  • Metode ListHotTablets API dari RPC Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.
  • Metode hotTablets.list API dari Rest Admin API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.
Batas pemisahan Bigtable menggunakan subkumpulan kunci baris untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Bigtable menunjukkan lokasi tempat rentang baris yang berdekatan dalam tabel dibagi menjadi tablet.

Batas pemisahan ini dapat diakses oleh staf Google untuk keperluan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol data akses administratif di Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.

Fitur Spanner

Fitur Deskripsi
Batas pemisahan Spanner menggunakan sebagian kecil kunci utama dan kolom terindeks untuk menentukan batas terpisah, yang dapat mencakup metadata dan data pelanggan. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil.

Batas pemisahan ini dapat diakses oleh staf Google untuk keperluan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol data akses administratif di Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan.

Fitur Dataproc

Fitur Deskripsi
Konsol Google Cloud Dataproc saat ini tidak mendukung Konsol Google Cloud Yurisdiksi. Untuk memberlakukan residensi data, pastikan Anda menggunakan Google Cloud CLI atau API saat menggunakan Dataproc.

Fitur GKE

Fitur Deskripsi
Pembatasan resource cluster Pastikan konfigurasi cluster Anda tidak menggunakan resource untuk layanan yang tidak didukung di Region Uni Eropa dan Dukungan dengan Kontrol Kedaulatan. Misalnya, konfigurasi berikut tidak valid karena mengharuskan pengaktifan atau penggunaan layanan yang tidak didukung:

set `binaryAuthorization.evaluationMode` to `enabled`

Fitur Cloud Logging

Untuk menggunakan Cloud Logging dengan Kunci Enkripsi yang Dikelola Pelanggan (CMEK), Anda harus menyelesaikan langkah-langkah di halaman Mengaktifkan CMEK untuk organisasi dalam dokumentasi Cloud Logging.

Fitur Deskripsi
Sink log Filter tidak boleh berisi Data Pelanggan.

Sink log menyertakan filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Entri log tailing live Filter tidak boleh berisi Data Pelanggan.

Sesi live tailing menyertakan filter yang disimpan sebagai konfigurasi. Log tailing tidak menyimpan data entri log itu sendiri, tetapi dapat membuat kueri dan mengirimkan data lintas region. Jangan membuat filter yang berisi Data Pelanggan.
Pemberitahuan berbasis log Fitur ini dinonaktifkan.

Anda tidak dapat membuat pemberitahuan berbasis log di Konsol Google Cloud.
URL yang dipersingkat untuk kueri Logs Explorer Fitur ini dinonaktifkan.

Anda tidak dapat membuat URL kueri yang disingkat di Konsol Google Cloud.
Menyimpan kueri di Logs Explorer Fitur ini dinonaktifkan.

Anda tidak dapat menyimpan kueri apa pun di Konsol Google Cloud.
Mencatat data ke dalam log Analytics menggunakan BigQuery Fitur ini dinonaktifkan.

Anda tidak dapat menggunakan fitur Log Analytics.

Fitur Compute Engine

Fitur Deskripsi
Menangguhkan dan melanjutkan instance VM Fitur ini dinonaktifkan.

Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan org gcp.restrictNonCmekServices di bagian di atas untuk memahami kedaulatan data dan implikasi residensi data jika fitur ini diaktifkan.
SSD lokal Fitur ini dinonaktifkan.

Anda tidak akan dapat membuat instance dengan SSD Lokal karena saat ini instance tersebut tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan org gcp.restrictNonCmekServices di bagian di atas untuk memahami kedaulatan data dan implikasi residensi data jika fitur ini diaktifkan.
Lingkungan tamu Skrip, daemon, dan biner dapat disertakan dengan lingkungan tamu untuk mengakses data nonaktif maupun data aktif yang tidak dienkripsi. Bergantung pada konfigurasi VM Anda, update untuk software ini dapat diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang setiap konten paket, kode sumber, dan lainnya.

Komponen ini membantu Anda memenuhi kedaulatan data melalui proses dan kontrol keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi compute.trustedImageProjects.

Lihat halaman Membuat gambar kustom untuk mengetahui informasi selengkapnya.
instances.getSerialPortOutput() API ini dinonaktifkan; Anda tidak akan bisa mendapatkan output port serial dari instance yang ditentukan menggunakan API ini.

Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di halaman ini.
instances.getScreenshot() API ini dinonaktifkan; Anda tidak akan bisa mengambil screenshot dari instance yang ditentukan menggunakan API ini.

Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di halaman ini.