Limitazioni e limitazioni nelle regioni dell'UE e supporto con controlli di sovranità

Questa pagina descrive restrizioni, limitazioni e altre opzioni di configurazione quando utilizzi le regioni e l'assistenza UE con controlli di sovranità.

Panoramica

Le regioni e l'assistenza nell'UE con controlli di sovranità offrono funzionalità di residenza e sovranità dei dati per i servizi Google Cloud supportati. Per fornire queste funzionalità, alcune funzionalità dei servizi sono limitate o limitate. La maggior parte di queste modifiche viene applicata durante il processo di onboarding quando viene creata una nuova cartella o un nuovo progetto in un ambiente per le regioni e l'assistenza dell'UE con controlli di sovranità. Tuttavia, alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione.

È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sulla sovranità dei dati o sulla residenza dei dati. Ad esempio, alcune funzionalità o caratteristiche potrebbero essere disabilitate automaticamente per garantire che la sovranità e la residenza dei dati vengano mantenute. Inoltre, la modifica di un'impostazione dei criteri dell'organizzazione potrebbe avere la conseguenza involontaria di copiare i dati da una regione all'altra.

Prodotti e servizi supportati

Consulta la pagina Prodotti supportati per un elenco dei prodotti e servizi supportati dalle regioni e dall'assistenza nell'UE con controlli di sovranità.

Criteri dell'organizzazione

Questa sezione descrive in che modo ogni servizio è interessato dai valori dei vincoli predefiniti dei criteri dell'organizzazione quando le cartelle o i progetti vengono creati utilizzando le regioni e l'assistenza dell'UE con controlli di sovranità. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire un'ulteriore"difesa in profondità" per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.

Vincoli dei criteri dell'organizzazione a livello di cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo dei criteri dell'organizzazione	Descrizione
`gcp.resourceLocations`	Impostato su `in:eu-locations` come voce dell'elenco `allowedValues`. Questo valore limita la creazione di nuove risorse solo al gruppo di valore UE. Se viene configurato, non è possibile creare risorse in altre regioni, in regioni multiple o in località al di fuori dell'UE. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo può potenzialmente compromettere la sovranità e la residenza dei dati, in quanto ne consentono la creazione o l'archiviazione al di fuori dei confini dell'UE. Ad esempio, sostituisci il gruppo di valori `in:eu-locations` con il gruppo di valori `in:europe-locations`, che include le località di stati membri non UE.
`gcp.restrictNonCmekServices`	Impostato su un elenco di tutti i nomi dei servizi API nell'ambito, tra cui: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Consulta la sezione Funzionalità interessate di seguito. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK consente che i dati at-rest siano criptati con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi supportati dall'elenco potrebbe minare la sovranità dei dati, poiché i nuovi dati at-rest verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave fornita.
`gcp.restrictCmekCryptoKeyProjects`	Gli utenti possono impostare questo valore su progetti o cartelle destinati all'utilizzo con le regioni e l'assistenza nell'UE con controlli di sovranità. Ad esempio: `under:folders/my-folder-name` Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per criptare i dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati at-rest dei servizi supportati.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`compute.enableComplianceMemoryProtection`	Impostalo su True. Disabilita alcune funzionalità di diagnostica interne per fornire ulteriore protezione dei contenuti della memoria in caso di errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati.
`compute.disableInstanceDataAccessApis`	Impostalo su True. Disabilita a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriore difesa in profondità. Per saperne di più, consulta la documentazione di Confidential VM.
`compute.trustedImageProjects`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriore difesa in profondità. L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco di progetti specificato. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Vincoli dei criteri dell'organizzazione di Cloud Storage

Vincolo dei criteri dell'organizzazione Descrizione

storage.uniformBucketLevelAccess Impostalo su True.

L'accesso ai nuovi bucket viene gestito utilizzando i criteri IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti.

Se viene creato un bucket mentre questo vincolo è abilitato, l'accesso al bucket non potrà mai essere gestito utilizzando gli ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

Vincolo dei criteri dell'organizzazione	Descrizione
`storage.uniformBucketLevelAccess`	Impostalo su True. L'accesso ai nuovi bucket viene gestito utilizzando i criteri IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se viene creato un bucket mentre questo vincolo è abilitato, l'accesso al bucket non potrà mai essere gestito utilizzando gli ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Impostalo su True. Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo di sovranità di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel carico di lavoro; ti consigliamo vivamente di mantenere il valore impostato.

Vincoli dei criteri dell'organizzazione di Cloud Key Management Service

Vincolo dei criteri dell'organizzazione	Descrizione
`cloudkms.allowedProtectionLevels`	Impostato su `EXTERNAL`. Limita i tipi di CryptoKey di Cloud Key Management Service che possono essere creati ed è impostata per consentire solo i tipi di chiavi esterne.

Funzionalità interessate

Questa sezione elenca le funzionalità o le capacità di ciascun servizio interessate dalle regioni e dall'assistenza con controlli di sovranità dell'UE.

Funzionalità di BigQuery

Selezione delle	Descrizione
Attivazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Di solito, questa procedura termina entro dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per abilitare BigQuery, completa questi passaggi: Nella console Google Cloud, vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella della sezione Servizi consentiti, fai clic su Esamina aggiornamenti disponibili. Nel riquadro Servizi consentiti, rivedi i servizi da aggiungere al criterio dell'organizzazione Limitazione di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento del processo interno. Se i servizi non vengono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine del processo di abilitazione, puoi utilizzare BigQuery nella cartella Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità di BigQuery non sono supportate e non devono essere utilizzate nell'interfaccia a riga di comando di BigQuery. È tua responsabilità non utilizzarli in BigQuery per le regioni e l'assistenza nell'UE con controlli di sovranità. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono supportati. Sono supportati i modelli BQML addestrati internamente. Query pianificate e federate Mascheramento dei dati dinamici Esportazione in GDrive Funzioni del telecomando Query salvate Pianificazione del flusso di lavoro I notebooks non sono supportati per BigQuery Studio.
Integrazioni non supportate	Le seguenti integrazioni di BigQuery non sono supportate. È tua responsabilità non utilizzarli con BigQuery per le regioni e l'assistenza nell'UE con controlli di sovranità. I metodi delle API `CreateTag`, `SearchCatalog`, `Bulk tagging` e `Business Glossary` dell'API Data Catalog possono elaborare e archiviare i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questi metodi per le regioni e l'assistenza nell'UE con controlli di sovranità.
API BigQuery supportate	Sono supportate le seguenti API BigQuery: Set di dati Job Modelli Progetti Prenotazioni Routine Criteri di accesso alle righe Lettura archiviazione Scrittura spazio di archiviazione Tables Dati della tabella L'API Reservations non è abilitata per impostazione predefinita. Puoi abilitare l'API utilizzando le istruzioni in questa pagina.
Regioni	BigQuery è supportato per tutte le regioni dell'UE di BigQuery, ad eccezione di quelle multiregionali dell'UE. La conformità non può essere garantita se un set di dati viene creato in più regioni dell'UE, in una regione non UE o in più regioni non UE. È tua responsabilità specificare una regione conforme quando crei set di dati BigQuery. Se una richiesta dell'elenco di dati della tabella viene inviata utilizzando una regione dell'UE, ma il set di dati è stato creato in un'altra regione dell'UE, BigQuery non può dedurre la regione desiderata e l'operazione non andrà a buon fine e verrà visualizzato il messaggio di errore "Set di dati non trovato".
Console Google Cloud	L'interfaccia utente di BigQuery è supportata nella console Google Cloud.
Interfaccia a riga di comando di BigQuery	L'interfaccia a riga di comando di BigQuery è supportata.
Google Cloud SDK	Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui `gcloud --version`, quindi `gcloud components update` per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disattiverà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella di Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale non conformità tramite la dashboard di monitoraggio di Assured Workloads.
Caricamento dei dati	I connettori BigQuery Data Transfer Service per app Google Software as a Service (SaaS), provider di spazio di archiviazione sul cloud esterni e data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per le regioni e l'assistenza nell'UE con carichi di lavoro per i controlli di sovranità.
Trasferimenti di terze parti	BigQuery non verifica il supporto dei trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare l'assistenza quando utilizzi qualsiasi trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono supportati.
Job di query	I job di query con devono essere creati solo all'interno delle regioni delle regioni e delle cartelle Assistenza con controlli di sovranità dell'UE.
Query sui set di dati in altri progetti	BigQuery non impedisce che sui set di dati delle regioni e dell'assistenza UE con controlli di sovranità vengano eseguite query da regioni non UE e assistenza per progetti di controlli di sovranità. Devi assicurarti che ogni query con una lettura o un join sui dati relativi alle regioni e all'assistenza nell'UE con controlli di sovranità venga inserita in una cartella per le regioni e l'assistenza nell'UE con controlli di sovranità. Puoi specificare un nome completo della tabella per il risultato della query utilizzando `projectname.dataset.table` nell'interfaccia a riga di comando di BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dati dei log. Devi disabilitare i bucket di logging `_default` o limitare i bucket `_default` alle regioni dell'UE per mantenere la conformità utilizzando il seguente comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Consulta questa pagina per saperne di più.

Funzionalità di Bigtable

Selezione delle Descrizione

Funzionalità non supportate

Selezione delle	Descrizione
Funzionalità non supportate	Le funzionalità di Bigtable e i metodi API seguenti non sono supportati. È tua responsabilità non utilizzarli con Bigtable per le regioni e l'assistenza con controlli di sovranità dell'UE. Il metodo dell'API `ListHotTablets` dell'API RPC Admin elabora e archivia i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per le regioni e l'assistenza nell'UE con controlli di sovranità. Il metodo dell'API `hotTablets.list` dell'API Rest Admin elabora e archivia i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per le regioni e l'assistenza nell'UE con controlli di sovranità.
Dividi i confini	Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire limiti di suddivisione, che possono includere dati e metadati dei clienti. Un confine di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe in una tabella sono suddivisi in tablet. Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni e nell'assistenza con controlli di sovranità dell'UE.

Le funzionalità di Bigtable e i metodi API seguenti non sono supportati. È tua responsabilità non utilizzarli con Bigtable per le regioni e l'assistenza con controlli di sovranità dell'UE.

Il metodo dell'API ListHotTablets dell'API RPC Admin elabora e archivia i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per le regioni e l'assistenza nell'UE con controlli di sovranità.
Il metodo dell'API hotTablets.list dell'API Rest Admin elabora e archivia i dati tecnici in un modo non supportato. È tua responsabilità non utilizzare questo metodo per le regioni e l'assistenza nell'UE con controlli di sovranità.

Dividi i confini Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire limiti di suddivisione, che possono includere dati e metadati dei clienti. Un confine di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe in una tabella sono suddivisi in tablet.

Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni e nell'assistenza con controlli di sovranità dell'UE.

Funzionalità di Spanner

Selezione delle	Descrizione
Dividi i confini	Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i confini divisi, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui intervalli contigui di righe sono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni e nell'assistenza con controlli di sovranità dell'UE.

Selezione delle

Descrizione

Dividi i confini

Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i confini divisi, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui intervalli contigui di righe sono suddivisi in parti più piccole.

Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni e nell'assistenza con controlli di sovranità dell'UE.

Funzionalità di Dataproc

Selezione delle	Descrizione
Console Google Cloud	Al momento Dataproc non supporta la console Google Cloud giurisdizionale. Per applicare la residenza dei dati, assicurati di utilizzare Google Cloud CLI o l'API quando usi Dataproc.

Funzionalità di GKE

Selezione delle	Descrizione
Limitazioni delle risorse del cluster	Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nelle regioni e nell'assistenza con controlli di sovranità dell'UE. Ad esempio, la seguente configurazione non è valida perché richiede l'abilitazione o l'utilizzo di un servizio non supportato: set `binaryAuthorization.evaluationMode` to `enabled`

Funzionalità di Cloud Logging

Per utilizzare Cloud Logging con chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi nella pagina Abilitare CMEK per un'organizzazione nella documentazione di Cloud Logging.

Selezione delle	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono i filtri archiviati come configurazione. Non creare filtri contenenti dati dei clienti.
Voci di log di tailing in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di tailing in tempo reale include un filtro che viene archiviato come configurazione. I log di coda non archiviano i dati voce di log, ma possono eseguire query e trasmettere dati tra regioni. Non creare filtri contenenti i dati dei clienti.
Avvisi basati su log	Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud.
URL abbreviati per le query di Esplora log	Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud.
Salvataggio delle query in Esplora log	Questa funzionalità è disattivata. Non puoi salvare le query nella console Google Cloud.
Analisi dei log con BigQuery	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Analisi dei log.

Funzionalità di Compute Engine

Selezione delle	Descrizione
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e il ripristino di un'istanza VM richiedono l'archiviazione su disco permanente, mentre l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa al momento non può essere criptata tramite CMEK. Consulta il vincolo dei criteri dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni in termini di sovranità e residenza dei dati associate all'abilitazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptate tramite CMEK. Consulta il vincolo dei criteri dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni in termini di sovranità e residenza dei dati associate all'abilitazione di questa funzionalità.
Ambiente guest	Gli script, i daemon e i programmi binari inclusi nell'ambiente guest possono accedere a dati at-rest non criptati e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche sui contenuti di ogni pacchetto, sul codice sorgente e altro ancora. Questi componenti ti aiutano a rispettare la sovranità dei dati attraverso processi e controlli di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche organizzare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo del criterio dell'organizzazione `compute.trustedImageProjects`. Per ulteriori informazioni, consulta la pagina Creare un'immagine personalizzata.
`instances.getSerialPortOutput()`	Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione `compute.disableInstanceDataAccessApis` in False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni in questa pagina.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai ottenere uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione `compute.disableInstanceDataAccessApis` in False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni in questa pagina.