Limitazioni e limitazioni nelle regioni dell'UE e assistenza con controlli di sovranità
Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizzano le regioni e l'assistenza UE con controlli di sovranità.
Panoramica
Le regioni e l'assistenza nell'UE con controlli di sovranità offrono funzionalità di residenza e sovranità dei dati per i servizi Google Cloud supportati. Per fornire queste funzionalità, alcune di queste funzionalità sono limitate o limitate. La maggior parte di queste modifiche viene applicata durante il processo di onboarding durante la creazione di una nuova cartella o di un nuovo progetto in un ambiente per le regioni e l'assistenza UE con controlli di sovranità. Tuttavia, alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione.
È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sulla sovranità dei dati o sulla residenza dei dati. Ad esempio, alcune caratteristiche o funzionalità possono essere disabilitate automaticamente per garantire che la sovranità e la residenza dei dati vengano mantenute. Inoltre, la modifica di un'impostazione dei criteri dell'organizzazione potrebbe avere la conseguenza involontaria di copiare i dati da una regione all'altra.
Prodotti e servizi supportati
Consulta la pagina Prodotti supportati per un elenco dei prodotti e servizi supportati dalle regioni UE e dall'assistenza con controlli di sovranità.
Criteri dell'organizzazione
Questa sezione descrive in che modo ogni servizio è interessato dai valori dei vincoli dei criteri dell'organizzazione predefiniti quando le cartelle o i progetti vengono creati utilizzando le regioni e l'assistenza dell'UE con controlli di sovranità. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire un'ulteriore"difesa in profondità" per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Impostato su in:eu-locations come voce
elenco allowedValues.Questo valore limita la creazione di nuove risorse solo al gruppo di valore dell'UE. Se questa impostazione è impostata, non è possibile creare risorse in altre regioni, località a più regioni o località al di fuori dell'UE. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe compromettere sia la sovranità che la residenza dei dati, in quanto i dati possono essere creati o archiviati al di fuori dei confini dell'UE. Ad esempio, sostituisci il gruppo di valori in:eu-locations con il
gruppo di valori in:europe-locations,
che include località di stati membri non appartenenti all'UE.
|
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i
nomi di servizi API nell'ambito,
tra cui:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK consente che i dati at-rest siano criptati con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi supportati dall'elenco potrebbe minare la sovranità dei dati, poiché i nuovi dati at-rest verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave che hai fornito. |
gcp.restrictCmekCryptoKeyProjects |
Gli utenti possono impostare questo valore su progetti o cartelle destinati all'uso con le regioni e l'assistenza UE con controlli di sovranità. Ad esempio:
under:folders/my-folder-nameLimita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per criptare i dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati at-rest dei servizi supportati. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.enableComplianceMemoryProtection |
Impostalo su True. Disabilita alcune funzionalità di diagnostica interne per fornire un'ulteriore protezione dei contenuti della memoria quando si verifica un guasto dell'infrastruttura. La modifica di questo valore può influire sulla residenza o sulla sovranità dei dati. |
compute.disableInstanceDataAccessApis
| Impostalo su True. Disabilita a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot(). |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriore difesa in profondità. Per ulteriori informazioni, consulta la documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriore difesa in profondità.
L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco di progetti specificato. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati. |
Vincoli dei criteri dell'organizzazione di Cloud Storage
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
storage.uniformBucketLevelAccess |
Impostalo su True. L'accesso ai nuovi bucket è gestito utilizzando criteri IAM anziché elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se viene creato un bucket mentre questo vincolo è abilitato, l'accesso al bucket non potrà mai essere gestito utilizzando gli ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente per utilizzare i criteri IAM anziché gli ACL di Cloud Storage. |
Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Impostalo su True. Utilizzata per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo di sovranità di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel carico di lavoro; ti consigliamo vivamente di mantenere il valore impostato. |
Vincoli dei criteri dell'organizzazione di Cloud Key Management Service
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
cloudkms.allowedProtectionLevels |
Impostato su EXTERNAL.Limita i tipi di CryptoKey di Cloud Key Management Service che possono essere creati ed è impostata per consentire solo i tipi di chiavi esterne. |
Funzionalità interessate
Questa sezione elenca l'impatto delle regioni e dell'assistenza con controlli di sovranità sulle funzionalità di ciascun servizio.
Funzionalità di BigQuery
| Funzionalità | Descrizione |
|---|---|
| Funzionalità non supportate | Le seguenti funzionalità di BigQuery non sono supportate e non devono essere utilizzate nell'interfaccia a riga di comando di BigQuery. È tua responsabilità non utilizzarli in BigQuery per le regioni dell'UE e nell'assistenza con controlli di sovranità.
|
| Integrazioni non supportate | Le seguenti integrazioni di BigQuery non sono supportate. È tua responsabilità non utilizzarli con BigQuery per le regioni dell'UE e con l'assistenza con controlli di sovranità.
|
| API BigQuery supportate | Sono supportate le seguenti API BigQuery:
|
| Regioni | BigQuery è supportato per tutte le regioni dell'UE di BigQuery, ad eccezione di quelle multiregionali dell'UE. La conformità non può essere garantita se un set di dati viene creato in una località con più regioni UE, una regione non UE o una località multiregionale al di fuori dell'UE. È tua responsabilità specificare una regione conforme quando crei set di dati BigQuery. Se una richiesta dell'elenco di dati di una tabella viene inviata utilizzando una regione dell'UE, ma il set di dati è stato creato in un'altra, BigQuery non può dedurre la regione desiderata e l'operazione non andrà a buon fine e verrà visualizzato il messaggio di errore "Set di dati non trovato". |
| Console Google Cloud | L'interfaccia utente di BigQuery nella console Google Cloud è supportata.
|
| Interfaccia a riga di comando BigQuery | È supportata l'interfaccia a riga di comando di BigQuery.
|
| Google Cloud SDK | Devi utilizzare Google Cloud SDK versione 403.0.0 o successiva per garantire le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui gcloud --version, quindi gcloud components update per eseguire l'aggiornamento alla versione più recente.
|
| Controlli per gli amministratori | BigQuery disattiverà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella di Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale non conformità tramite la dashboard di monitoraggio di Assured Workloads. |
| Caricamento dei dati | I connettori BigQuery Data Transfer Service per app Google Software as a Service (SaaS), provider di spazio di archiviazione sul cloud esterni e data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per le regioni e l'assistenza nell'UE con carichi di lavoro con controlli di sovranità. |
| Trasferimenti di terze parti | BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare l'assistenza quando utilizzi qualsiasi trasferimento di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
| Job di query | I job di query devono essere creati solo nelle regioni UE e nell'assistenza con cartelle Controlli di sovranità. |
| Query sui set di dati in altri progetti | BigQuery non impedisce che le regioni e l'assistenza UE con controlli di sovranità vengano interrogate da regioni non UE e dall'assistenza per progetti con controlli di sovranità. Devi assicurarti che ogni query con una lettura o un join sui dati per le regioni e l'assistenza UE con controlli di sovranità venga inserita in una cartella delle regioni e dell'assistenza UE con controlli di sovranità. Puoi specificare un nome completo della tabella per il risultato della query utilizzando projectname.dataset.table nell'interfaccia a riga di comando di BigQuery. |
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dati di log.
Devi disabilitare i tuoi bucket di logging _default o limitare i bucket _default alle regioni dell'UE per mantenere la conformità utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkPer saperne di più, consulta questa pagina. |
Funzionalità di Bigtable
| Funzionalità | Descrizione |
|---|---|
| Funzionalità non supportate | Le funzionalità e i metodi API di Bigtable seguenti non sono supportati. È tua responsabilità non utilizzarli con Bigtable per le regioni dell'UE e con l'assistenza con controlli di sovranità.
|
| Dividi i confini | Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire i limiti di suddivisione, che potrebbero includere metadati e dati dei clienti. Un confine diviso in Bigtable indica la posizione in cui intervalli contigui di righe in una tabella vengono suddivisi in tablet. Questi confini della suddivisione sono accessibili dal personale di Google ai fini di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni e nell'assistenza con controlli di sovranità dell'UE. |
Funzionalità di Spanner
| Funzionalità | Descrizione |
|---|---|
| Dividi i confini | Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i confini suddivisi, che possono includere dati e metadati dei clienti. Un confine diviso in Spanner indica la posizione in cui intervalli contigui di righe sono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili dal personale di Google ai fini di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo nelle regioni e nell'assistenza con controlli di sovranità dell'UE. |
Funzionalità di Dataproc
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Al momento Dataproc non supporta la console Jurisdictional Google Cloud. Per applicare la residenza dei dati, assicurati di utilizzare Google Cloud CLI o l'API quando usi Dataproc. |
Funzionalità di GKE
| Funzionalità | Descrizione |
|---|---|
| Limitazioni delle risorse cluster | Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nelle regioni dell'UE e nell'assistenza con controlli di sovranità. Ad esempio, la
seguente configurazione non è valida perché richiede l'abilitazione o l'utilizzo di
un servizio non supportato:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Funzionalità di Cloud Logging
Per utilizzare Cloud Logging con chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi nella pagina Abilitare CMEK per un'organizzazione nella documentazione di Cloud Logging.
| Funzionalità | Descrizione |
|---|---|
| Sink di log | I filtri non devono contenere i dati dei clienti. I sink di log includono filtri che vengono archiviati come configurazione. Non creare filtri che contengono i dati dei clienti. |
| Voci di log di tailing in tempo reale | I filtri non devono contenere i dati dei clienti. Una sessione di coda in tempo reale include un filtro che viene memorizzato come configurazione. I log di coda non archiviano i dati voce di log, ma possono eseguire query e trasmettere dati tra regioni. Non creare filtri contenenti i dati dei clienti. |
| Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud. |
| URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud. |
| Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud. |
| Analisi dei log con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Analisi dei log. |
Funzionalità di Compute Engine
| Funzionalità | Descrizione |
|---|---|
| Sospensione e ripristino di un'istanza VM | Questa funzionalità è disattivata. La sospensione e il ripristino di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere attualmente criptata tramite CMEK. Consulta il vincolo del criterio dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni in termini di sovranità e residenza dei dati derivanti dall'abilitazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptate tramite CMEK. Consulta il vincolo del criterio dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni in termini di sovranità e residenza dei dati derivanti dall'abilitazione di questa funzionalità.
|
| Ambiente guest |
È possibile che script, daemon e programmi binari inclusi nell'ambiente guest accedano a dati at-rest non criptati e in uso.
A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche sui contenuti, il codice sorgente di ogni pacchetto e altro ancora. Questi componenti ti aiutano a rispettare la sovranità dei dati attraverso processi e controlli di sicurezza interni. Tuttavia, per un maggiore controllo, puoi anche organizzare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo del criterio dell'organizzazione compute.trustedImageProjects.
Per saperne di più, consulta la pagina Creazione di un'immagine personalizzata. |
instances.getSerialPortOutput() |
Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis in False per abilitare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni in
questa pagina.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai ottenere uno screenshot dell'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis in False per abilitare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni in
questa pagina.
|