主要概念

借助 Assured Workloads, Google Cloud 用户可以对文件夹应用控制措施,以满足监管、区域或主权要求。本页介绍了其主要组件。

Assured Workloads 文件夹

Assured Workloads 文件夹是您工作负载的最高层级监管边界。每个 Assured Workloads 文件夹都配置有(并主动强制执行)控制措施,这些控制措施符合所选控制包的监管要求。Assured Workloads 文件夹也是用于存储必须符合这些要求的资源(例如,包含您工作负载的项目)的容器。系统会持续监控 Assured Workloads 文件夹及其资源,以确保符合合规性要求。

例如,如果您需要满足影响级别 4 (IL4) 的法规要求,则需要为 IL4 创建 Assured Workloads 文件夹,然后将项目和资源创建或迁移到该 Assured Workloads 文件夹。在该文件夹中,这些项目将配置为强制执行 IL4 的法规要求,如果有任何资源不合规,系统会通知您。

为确保贵组织的所有资源都符合特定控制包的要求,您可以创建一个 Assured Workloads 文件夹,将其用作所有其他文件夹、项目和资源的父级。将顶级文件夹设为 Assured Workloads 文件夹后,Google Cloud 资源层次结构中的所有子资源都将继承其控制措施。如需了解详情,请参阅如何为组织设置合规性控制。 Google Cloud

Assured Workloads 密钥管理项目

根据您选择的控制包,Assured Workloads 还可以在 Assured Workloads 文件夹中创建密钥管理项目来存储 CMEK 加密密钥。如果将一个项目用于密钥,将另一个项目用于资源,就可以在安全管理员和开发者之间建立职责分离机制。

后续步骤