此页面由 Cloud Translation API 翻译。

欧盟主权控制功能的限制和局限

本页介绍了使用 Sovereign Controls for EU 时的限制、局限和其他配置选项。

概览

适用于欧盟的主权控制功能为受支持 Google Cloud 服务提供数据驻留和数据主权功能。为了提供这些功能，其中一些服务的功能受到限制。当在 Sovereign Controls for EU 环境中创建新文件夹或项目时，大部分更改会在初始配置过程中应用，但其中一些更改稍后可通过修改组织政策来完成。

请务必了解这些限制如何修改给定 Google Cloud 服务的行为，或者如何影响数据主权或数据驻留。例如，系统会自动停用某些功能或能力，以确保保持数据主权和数据驻留。此外，如果更改组织政策设置，则可能出现将数据从一个区域复制到另一个区域的意外后果。

支持的产品和服务

如需查看 Sovereign Controls for EU 支持的产品和服务的列表，请参阅支持的产品页面。

组织政策

本部分介绍使用 Sovereign Controls for EU 创建文件夹或项目时，每项服务如何受到默认组织政策限制条件值影响。其他适用的限制条件（即使默认设置未设置）可以提供额外的“深度防御”，以进一步保护贵组织的 Google Cloud 资源。

云范围的组织政策限制条件

以下组织政策限制条件适用于任何适用的 Google Cloud 服务。

组织政策限制条件	说明
`gcp.resourceLocations`	设置为 `in:eu-locations` 作为 `allowedValues` 列表项。此值将任何新资源的创建限制为仅欧盟值组。设置此标志后，您将无法在欧盟区域、多区域位置或其他位置创建任何资源。如需了解详情，请参阅组织政策值组文档。如果更改此值，则允许更少的数据在欧盟数据边界之外创建或存储，从而可能破坏数据主权和数据驻留。例如：将 `in:eu-locations` 值组替换为 `in:europe-locations` 值组，其中包括非欧盟成员状态位置。
`gcp.restrictNonCmekServices`	设置为所有范围内的 API 服务名称的列表，包括： `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` 对于上述每个服务，一些功能可能会受到影响。请参阅下面的“受影响的功能”部分。每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥（而不是 Google 的默认加密机制）加密静态数据。如果通过从列表中移除一个或多个受支持的服务来更改此值，则可能会破坏数据主权，因为系统会使用 Google 自己的密钥（而不是您自己的密钥）自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
`gcp.restrictCmekCryptoKeyProjects`	用户可以将此值设为要与 Sovereign Controls for EU 配合使用的项目或文件夹。例如：`under:folders/my-folder-name` 限制已获批准的文件夹或项目的范围（这些文件夹或项目可提供 KMS 密钥用于使用 CMEK 加密静态数据）。此限制条件可防止未获批准的文件夹或项目提供加密密钥，从而有助于保证受支持服务的静态数据的数据主权。

Compute Engine 组织政策限制条件

组织政策限制条件	说明
`compute.enableComplianceMemoryProtection`	设置为 True。停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。更改此值可能会影响数据驻留或数据主权。
`compute.disableInstanceDataAccessApis`	设置为 True。全局停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。
`compute.restrictNonConfidentialComputing`	（可选）不设置值。设置此值可提供额外的深度防御。如需了解详情，请参阅机密虚拟机文档。
`compute.trustedImageProjects`	（可选）不设置值。设置此值可提供额外的深度防御。设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理，从而影响数据主权。

Cloud Storage 组织政策限制条件

组织政策限制条件说明

storage.uniformBucketLevelAccess 设置为 True。

您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储桶的访问权限。此限制条件可为存储桶及其内容提供精细的权限。

如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

组织政策限制条件	说明
`storage.uniformBucketLevelAccess`	设置为 True。您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储桶的访问权限。此限制条件可为存储桶及其内容提供精细的权限。如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件	说明
`container.restrictNoncompliantDiagnosticDataAccess`	设置为 True。用于停用内核问题的汇总分析，这是维护工作负载的主权所必需的。更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。

Cloud Key Management Service 组织政策限制条件

组织政策限制条件	说明
`cloudkms.allowedProtectionLevels`	设置为 `EXTERNAL`。限制可能创建的 Cloud Key Management Service CryptoKey 类型，并将其设置为仅允许外部密钥类型。

受影响的功能

本部分列出每个服务的功能或能力如何受 Sovereign Controls for EU 影响。

BigQuery 特性

功能	说明
在新文件夹上启用 BigQuery	系统支持 BigQuery，但由于内部配置流程，当您创建新的“受保工作负载”文件夹时，系统不会自动启用 BigQuery。此过程通常需要 10 分钟才能完成，但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery，请完成以下步骤：在 Google Cloud 控制台中，前往 Assured Workloads 页面。前往 Assured Workloads 从列表中选择新的 Assured Workloads 文件夹。在文件夹详情页面的允许的服务部分，点击查看可用更新。在允许的服务窗格中，查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务，请点击允许服务将其添加。如果未列出 BigQuery 服务，请等待内部流程完成。如果在创建文件夹后的 12 小时内未列出服务，请与 Cloud Customer Care 联系。启用流程完成后，您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。可靠工作负载不支持 Gemini in BigQuery。
不受支持的功能	以下 BigQuery 功能不受支持，也不应在 BigQuery CLI 中使用。您有责任确保不会在 BigQuery 中将其用于欧盟主权控制功能。与远程数据源交互不支持在外部训练的 BQML 模型。支持内部训练的 BQML 模型。定期查询和联合查询动态数据遮盖 GDrive 导出远程函数已保存的查询工作流安排对于 BigQuery Studio，笔记本不受支持。
不受支持的集成	以下 BigQuery 集成不受支持。您有责任确保不将这些角色与 BigQuery 搭配使用，以便在欧盟境内使用主权控制功能。 Data Catalog API 的 `CreateTag`、`SearchCatalog`、`Bulk tagging` 和 `Business Glossary` API 方法可能会以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟使用这些方法来实现主权控制。
支持的 BigQuery API	支持以下 BigQuery API：数据集作业模型项目预留日常安排行访问权限政策 Storage Read Storage Write Tables 表格数据默认情况下，系统不会启用 Reservations API。您可以按照此页面上的说明启用该 API。
区域	除欧盟多区域外，所有 BigQuery 欧盟区域都支持 BigQuery。如果数据集是在欧盟多区域、非欧盟区域或非欧盟多区域中创建的，我们无法保证其符合相关法规。在创建 BigQuery 数据集时，您有责任指定合规的区域。如果使用某个欧盟区域发送表数据列表请求，但数据集是在另一个欧盟区域创建的，BigQuery 无法推断您打算使用哪个区域，并且操作将会失败并显示“找不到数据集”错误消息。
Google Cloud 控制台	支持 Google Cloud 控制台中的 BigQuery 界面。
BigQuery 命令行界面	支持 BigQuery CLI。
Google Cloud SDK	您必须使用 Google Cloud SDK 403.0.0 或更高版本，才能保证技术数据的数据区域划分。如需验证您当前的 Google Cloud SDK 版本，请运行 `gcloud --version`，然后运行 `gcloud components update` 以更新到最新版本。
管理员控制功能	BigQuery 会停用不受支持的 API，但具有足够权限创建“受保工作负载”文件夹的管理员可以启用不受支持的 API。如果出现这种情况，您会通过 Assured Workloads Monitoring 信息中心收到潜在违规情况的通知。
正在加载数据	不支持 Google 软件即服务 (SaaS) 应用、外部云端存储空间提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任确保不将 BigQuery Data Transfer Service 连接器用于欧盟工作负载的主权控制功能。
第三方转移	BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用 BigQuery Data Transfer Service 的任何第三方传输服务时，您有责任自行确认支持情况。
不合规的 BQML 模型	不支持在外部训练的 BQML 模型。
查询作业	查询作业只能在“主权控制（欧盟）”文件夹中创建。
对其他项目中的数据集进行查询	BigQuery 不会阻止从非主权控制机制查询 EU 项目的 EU 数据集。您应确保将对欧盟主权控制数据执行读取或联接的任何查询放入“欧盟主权控制”文件夹中。您可以在 BigQuery CLI 中使用 `projectname.dataset.table` 为其查询结果指定完全限定表名称。
Cloud Logging	BigQuery 会将部分日志数据存储在 Cloud Logging 中。您应停用 `_Default` 日志存储分区，或将 `_Default` 存储分区限制在欧盟区域，以确保合规。如需了解如何设置新的 `_Default` 存储分区的位置，或如何停用将条目路由到新的 `_Default` 存储分区的功能，请参阅为组织和文件夹配置默认设置。

Bigtable 功能

功能说明

不受支持的功能

功能	说明
不受支持的功能	不支持以下 Bigtable 功能和 API 方法。您有责任确保不将这些功能与适用于欧盟的主权控制功能的 Bigtable 搭配使用。 RPC Admin API 的 `ListHotTablets` API 方法以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟使用该方法。 Rest Admin API 的 `hotTablets.list` API 方法以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟使用该方法。
分块边界	Bigtable 使用一小部分行键来定义分块边界，其中可能包括客户数据和元数据。Bigtable 中的分块边界表示表中连续的行范围被分成多个分块的位置。 Google 人员可以访问这些分屏边界，以提供技术支持和调试服务，并且不受“适用于欧盟的主权管制”中的管理员访问数据控制的约束。

不支持以下 Bigtable 功能和 API 方法。您有责任确保不将这些功能与适用于欧盟的主权控制功能的 Bigtable 搭配使用。

RPC Admin API 的 ListHotTablets API 方法以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟使用该方法。
Rest Admin API 的 hotTablets.list API 方法以不受支持的方式处理和存储技术数据。您有责任确保不会针对欧盟使用该方法。

分块边界 Bigtable 使用一小部分行键来定义分块边界，其中可能包括客户数据和元数据。Bigtable 中的分块边界表示表中连续的行范围被分成多个分块的位置。

Google 人员可以访问这些分屏边界，以提供技术支持和调试服务，并且不受“适用于欧盟的主权管制”中的管理员访问数据控制的约束。

Spanner 功能

功能	说明
分块边界	Spanner 使用一小部分主键和编入索引的列来定义分块边界，其中可能包含客户数据和元数据。Spanner 中的分块边界表示连续行范围被拆分为较小部分的位置。 Google 人员可以访问这些分屏边界，以提供技术支持和调试服务，并且不受“适用于欧盟的主权管制”中的管理员访问数据控制的约束。

Dataproc 功能

功能	说明
Google Cloud 控制台	Dataproc 目前不支持特定管辖区的 Google Cloud 控制台。如需强制执行数据驻留，请确保在使用 Dataproc 时使用 Google Cloud CLI 或 API。

GKE 功能

功能	说明
集群资源限制	确保您的集群配置不会使用 Sovereign Controls for EU 不支持的服务的资源。例如，以下配置无效，因为它需要启用或使用不受支持的服务： set `binaryAuthorization.evaluationMode` to `enabled`

Cloud Logging 功能

如需将 Cloud Logging 与 Customer-Managed Encryption Keys (CMEK) 搭配使用，您必须完成 Cloud Logging 文档中为组织启用 CMEK 页面中的步骤。

功能	说明
日志接收器	过滤条件不应包含客户数据。日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。
Live Tailing 日志条目	过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据，但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。
基于日志的提醒	此功能处于禁用状态。您无法在 Google Cloud 控制台中创建基于日志的提醒。
日志浏览器查询的缩短的网址	此功能处于禁用状态。您无法在 Google Cloud 控制台中创建查询的缩短网址。
在日志浏览器中保存查询	此功能处于禁用状态。您无法在 Google Cloud 控制台中保存任何查询。
使用 BigQuery 的日志分析	此功能处于禁用状态。您无法使用日志分析功能。
基于 SQL 的提醒政策	此功能处于禁用状态。您无法使用基于 SQL 的提醒政策功能。

Cloud Monitoring 功能

功能	说明
合成监控工具	此功能处于禁用状态。
正常运行时间检查	此功能处于禁用状态。
信息中心中的日志面板微件	此功能已停用。您无法向信息中心添加日志面板。
信息中心中的 Error Reporting 面板小部件	此功能已停用。您无法向信息中心添加错误报告面板。
在 `EventAnnotation` 中过滤信息中心	此功能已停用。无法在信息中心中设置 `EventAnnotation` 过滤条件。
`alertPolicies` 中的 `SqlCondition`	此功能已停用。您无法向 `alertPolicy` 添加 `SqlCondition`。

Compute Engine 功能

特征	说明
暂停和恢复虚拟机实例	此功能处于禁用状态。暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
本地 SSD	此功能处于禁用状态。无法创建具有本地 SSD 的实例，因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
客机环境	客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置，系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等，请参阅客机环境。这些组件可帮助您通过内部安全控制和流程满足数据主权。不过，如果您想要额外控制，还可以挑选自己的映像或代理，并选择性地使用 `compute.trustedImageProjects` 组织政策限制条件。如需了解详情，请参阅构建自定义映像页面。
`instances.getSerialPortOutput()`	此 API 已停用；您将无法使用此 API 从指定实例获取串行端口输出。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照此页面中的说明启用和使用交互式串行端口。
`instances.getScreenshot()`	此 API 已停用；您将无法使用此 API 从指定实例获取屏幕截图。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照此页面中的说明启用和使用交互式串行端口。