每项服务所使用的资源受位置的影响会有所不同。在向您的组织政策添加资源位置限制条件之前,请先查看以下相应部分,了解要应用该政策的目标资源将如何表现。
客服助手
在 Agent Assist 中创建 conversation profile
或 knowledge base
资源时,系统会强制执行组织政策。这两种资源都是区域性资源。
资源位置限制条件不适用于 global
位置;始终允许创建资源。
如需查看可用位置和限制的列表,请参阅 Agent Assist 区域化和数据驻留页面。
Apigee
在创建以下 Apigee 资源时,系统会强制执行资源位置限制:
如需查看可用位置的列表,请参阅 Apigee 位置。
如需详细了解如何设置包含资源位置限制条件的组织政策,请参阅限制资源位置。
AI Platform
资源位置限制适用于以下 AI Platform 资源:
AI Platform Training 和 AI Platform Prediction 资源仅支持区域位置。对多区域位置和地区位置的限制条件对 AI Platform 没有影响。但是,对包含区域的值组的限制确实起作用。例如,组织政策中的值 asia
对 AI Platform 没有影响,但值 in:asia-locations
对其有影响。
了解有关可用于 AI Platform Training 的区域和可用于 AI Platform Prediction 的区域的更多信息。
AlloyDB for PostgreSQL
系统会在您创建集群、实例和某些类型的备份时强制执行组织政策。创建按需备份需遵守组织政策,而创建自动备份和持续备份(如果已启用以防止数据丢失)则不受此政策约束。
AlloyDB for PostgreSQL 仅支持区域位置。对多区域位置和地区位置的限制条件没有影响。但是,对包含区域的值组的限制确实起作用。例如,组织政策中的值 asia
没有影响,但值 in:asia-locations
对其有影响。
如需查看可用位置列表,请参阅 AlloyDB for PostgreSQL 位置。
反洗钱 AI
资源位置限制条件适用于所有反洗钱 AI 资源,并会在资源创建时强制执行。
如需查看可用位置的列表,请参阅 AML AI 位置。
Apigee Integration API
当您使用 Apigee Integrations API 创建以下资源时,系统会强制执行组织政策:
- 集成
- 授权配置 (AuthConfig)
- AuthConfig 的证书
- 集成版本
- SFDC(Salesforce)渠道
- SFDC(Salesforce)实例
在您运行、安排或测试集成时,系统也会强制执行组织政策。
Apigee 集成因区域而异。这意味着,在特定区域创建的集成只能访问该区域内的资源。
如需查看您可以在哪些可用位置创建集成,请参阅支持的区域。
App Engine
App Engine 是 application
资源的属性。在所有环境中,系统都会在您创建 application
时实施位置属性。您只能在每个项目中创建一个 App Engine application
。系统会自动在与 application
相同的位置创建一个 Cloud Storage 存储分区。如果您创建的 application
具有不符合组织政策的大范围位置,那么您必须创建新的项目和 App Engine application
。
如果您停用了 application
,则该应用未来不会再提供服务,但复制的代码和数据仍会保留在 application
的存储位置中。如需完全清除该数据,请删除父项目。
App Engine 柔性环境以 Compute Engine 为构建基础。 如果任何自动扩缩实例的位置不在组织政策所定义的允许位置列表中,则扩缩操作可能会失败。
如需查看可用位置的列表,请参阅 App Engine 位置。
Application Integration API
当您使用 Application Integration API 创建以下资源时,系统会强制执行组织政策:
在您运行、安排或测试集成时,系统也会强制执行组织政策。
Application Integration 是区域性的,这意味着在特定区域创建的集成只能访问该区域内的资源。
如需查看可用位置的列表,请参阅应用集成位置。
限制
以下 Application Integration 资源不支持您指定的资源位置限制:
- “发送电子邮件”任务的电子邮件主题和电子邮件正文
- AuthConfig 的证书
- 使用 Gemini 构建集成
Artifact Registry
您可以在多区域或单区域中创建代码库。Artifact Registry 会在您创建代码库时强制执行组织政策。
系统不会以追溯方式实施组织政策合规性。 即使代码库位置被资源位置组织政策拒绝,工件也可以添加到任何现有代码库。 如需对现有代码库强制执行新的资源位置组织政策, 请在应用该组织政策后创建新的代码库,然后将工件从旧代码库迁移到新代码库。您可以使用 gcrane 工具在代码库之间复制映像。
如需查看可用位置的列表,请参阅 Artifact Registry 文档。
Audit Manager
当您运行新的审核时,系统会根据您在创建审核请求时指定的区域强制执行组织政策。如果将审核的位置选择为全球,则不受资源位置限制条件的约束。
如需查看可用区域位置的列表,请参阅审核管理器位置。
Backup for GKE
创建以下任一区域性资源时,系统都会强制执行组织政策:
BackupPlan
:此资源的位置决定了在此方案下创建的备份的所有备份数据的存储目标区域。一个项目中可以有多个BackupPlan
资源。RestorePlan
:此资源的位置控制着要将备份中的数据恢复到的目标集群的可接受区域。一个项目中可以有多个RestorePlan
资源
如需了解详情,请参阅 Backup for GKE 位置。
BigQuery
BigQuery dataset
资源可以是单区域资源,也可以是多区域资源。系统不会以追溯方式实施组织政策合规性。如需对现有的 dataset
实施新的资源位置限制条件,请删除 dataset
资源,然后使用应用于父资源的组织政策重新创建该资源。
您可以在位于资源位置组织政策所拒绝位置的 dataset
资源内创建 Database
资源。dataset
资源的位置并不能决定 database
资源的位置。如需对现有的 database
实施新的资源位置限制条件,请删除 database
资源,然后使用应用于父资源的组织政策重新创建该资源。
如需查看可用位置的列表,请参阅 BigQuery 数据集位置页面。
BigQuery Data Transfer Service
TransferConfig
资源可以是单区域资源,也可以是多区域资源。系统不会以追溯方式实施组织政策合规性。只有在创建 TransferConfig
时才会检查组织政策。如需对现有的 TransferConfig
实施新的资源位置限制条件,请删除 TransferConfig
资源,然后使用应用于父资源的组织政策重新创建该资源。
如需查看可用位置的列表,请参阅 BigQuery Data Transfer Service 位置。
BigQuery Migration Service
MigrationWorkflow
资源描述了构成迁移工作流的任务和子任务。您可以在运行迁移评估或 SQL 转换时,使用 Google Cloud 控制台或 API 创建这些任务。迁移工作流必须与其使用的资源位于同一位置。例如,如果您的 BigQuery 数据集和 Cloud Storage 存储桶位于 US
多区域,则迁移工作流可以创建在 US
多区域或 us-west1
区域。
系统仅在创建迁移工作流时会检查组织政策,因为它是不可变的资源。
如需查看可用位置的列表,请参阅 BigQuery Migration Service 位置。
Certificate Authority Service
您可以在任何可用位置创建 CA 服务资源,例如证书模板、证书授权机构 (CA) 池和 CA。这些资源在创建后无法移动。
您可以使用 Google Cloud CLI 命令复制证书模板。您可以使用 gcloud CLI 命令在另一个受支持的位置创建同名的资源。如需了解详情,请参阅创建证书模板。
您可以从同一 CA 池中的现有 CA 克隆 CA。系统将在从其进行克隆的 CA 所在的位置创建这些新 CA。如需了解详情,请参阅创建证书授权机构。
如需查看可用位置的列表,请参阅 CA 服务位置。
Bigtable
Bigtable 实例资源是集群的逻辑容器。每个集群位于一个地区。实例中的所有数据均匀复制到该实例中包含的所有集群。组织政策在创建集群时强制执行。您不能在组织政策拒绝的位置创建新的存储容器。现有实例和集群会继续运行,即使它们位于组织政策后续更改拒绝的位置。
您可以通过在组织策略就位后删除它们并重新创建它们的方法手动纠正违反新组织政策的资源。例如,如果您有一个多集群实例,其中一个集群违反了新的组织策略,则可以将其删除,然后在允许的区域中添加一个新集群。
如需查看可用位置的列表,请参阅 Bigtable 位置页面。
Cloud Build
系统会在您创建新的区域性 Cloud Build 资源时强制执行组织政策。虽然您可以在任何区域中创建资源,但 Cloud Build 可以确保您选择组织批准的区域。创建组织政策后,仅在新创建的非全球区域 Cloud Build 资源上强制执行组织政策。
如需查看可用区域的列表,请参阅 Cloud Build 位置页面。
Certificate Manager
除了只能是全球性资源的 CertificateMaps
和 CertificateMapEntries
之外,您可以在任何区域性或全球性位置创建 Certificate Manager 资源。不过,您无法为资源选择可用区。系统会在您创建 Certificate Manager 资源时强制执行组织政策。
如需查看可用位置的列表,请参阅各位置可使用的产品。
Cloud Composer
Cloud Composer 环境是下列资源的逻辑容器。在环境创建过程中,您可以选择环境的位置(区域/地区),并根据所选位置创建基础资源。
Cloud SQL 实例
运行 Airflow 网络服务器的 App Engine 虚拟机
Persistent Disk:用于 Airflow Web 服务器和 GKE 集群
Pub/Sub 主题
使用自定义 Python 依赖项构建和存储 Airflow 映像
未指定位置限制时,根据配置,Composer 可能会在 GKE 集群或使用 Cloud Build 构建 Airflow 映像。如需了解详情,请参阅将 Python 依赖项安装到专用 IP 环境。根据 Composer 版本,Airflow 映像可能存储在所选区域中(使用 Artifact Registry)或所选区域所属的多区域(使用 Container Registry)中。
如果指定了位置限制,则 Cloud Composer 会在环境的 GKE 集群中构建 Airflow 映像,并将其存储在所选区域的 Artifact Registry 代码库中。
Cloud Monitoring:环境存储指标以及在您指定的区域中执行 Airflow DAG
- 某些指标标签可能包含 DAG 和 Cloud Composer 环境的名称。
Cloud Logging:默认情况下,Cloud Composer 将存储在 Cloud Logging 中,这是一项全球性的 Google Cloud 服务。如果您要将 Cloud Composer 日志存储在特定位置,则必须将日志重定向到此位置的 Cloud Storage 存储分区。
如需查看可用位置的列表,请参阅 Cloud Composer 区域。
如需详细了解 Cloud Composer 环境的详细架构,请参阅 Cloud Composer 文档。
Cloud Data Fusion
组织政策在创建实例时强制执行。实例是在您指定的区域中创建的区域级资源。
使用客户管理的加密密钥 (CMEK) 创建实例时,密钥位置必须与实例位置相同。
默认情况下,Cloud Data Fusion 会在每个流水线的实例所在的区域创建临时 Dataproc 集群。这些临时集群的位置可以更改,不会受到资源位置组织政策的强制执行。对于静态 Dataproc 集群,您可以使用 Dataproc 支持的任何位置,并且这些位置不会由资源位置组织政策强制执行。
如需查看可用位置的列表,请参阅 Cloud Data Fusion 支持的区域。
Cloud Deploy
Cloud Deploy 资源类型如下:
- 交付流水线
- 目标
- 版本
- 发布
- 作业运行
所有 Cloud Deploy 资源均在创建交付流水线的同一区域中创建。
如果您的组织政策禁止使用某些位置,您将无法在该区域创建任何 Cloud Deploy 资源(交付流水线、目标、版本或发布)。
如需查看 Cloud Deploy 服务及其资源的可用位置列表,请参阅 Cloud Deploy 区域简介。
Cloud Run functions
创建或更新 Cloud Run 函数资源时,系统会强制执行组织政策。系统不会对任何现有资源强制执行此政策。
如需查看可用区域的列表,请参阅 Cloud Run 函数位置。
Cloud Healthcare API
创建 dataset
资源时,将强制执行组织政策。dataset
资源是区域资源或多区域资源。可以将数据存储资源(例如 FHIR 存储)或其他较低级别的资源(例如 HL7v2 消息)添加到任何现有的 dataset
中,即使 dataset
资源位于组织拒绝的位置政策。为确保您的资源符合资源位置限制,请在应用组织策略后创建新的 dataset
资源,然后将数据从旧的 dataset
资源迁移到新的资源。
如需查看可用位置的列表,请参阅 Cloud Healthcare API 区域。
Cloud Interconnect
您可以在任何区域创建 Cloud 互连连接。不过,您无法选择可用区。系统会在您创建 Cloud 互连连接时强制执行组织政策。
如需查看可用区域的列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Intrusion Detection System
系统会在您创建 Cloud IDS 端点(可用区级资源)时实施组织政策。系统不会以追溯方式实施组织政策合规性。现有端点会继续运行,即使它们位于组织政策拒绝的位置。如需对现有 Cloud IDS 端点强制执行新的资源位置限制条件,请删除该实例,然后使用已应用组织政策重新创建。
如需查看可用位置的列表,请参阅各位置可使用的产品。
Cloud Key Management Service
您可以在单区域位置、双区域位置、多区域位置或全球位置创建 Cloud KMS 资源。系统将在您创建该资源时实施组织政策。
如需了解详情,请参阅 Cloud KMS 的位置页面。
Cloud Logging
系统会在您创建新的日志存储分区时实施组织政策。虽然您可以在任何区域中创建新存储分区或者将其位置设置为 global
,但 Logging 可以确保您选择组织批准的区域。创建组织政策后,仅在新创建的日志存储分区上实施组织政策
如需查看可用区域的列表,请参阅 Cloud Logging 存储概览页面的区域化部分。
Cloud NAT
您可以在任何区域位置创建 Cloud NAT 网关。不过,您无法为 Cloud NAT 网关选择可用区。系统会在您创建 Cloud NAT 网关时强制执行组织政策。
如需查看可用区域位置的列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Router
Cloud Router 可以在任何区域位置创建。不过,您无法为 Cloud Router 路由器选择区域。系统会在您创建 Cloud Router 路由器时强制执行组织政策。
如需查看可用区域位置的列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Load Balancing
您可以在任何区域位置创建使用以下产品的负载平衡器:
- 区域外部应用负载均衡器
- 区域外部代理网络负载均衡器
- 区域内部应用负载均衡器
- 区域内部代理网络负载均衡器
- 外部直通式网络负载均衡器
- 内部直通式网络负载均衡器
不过,您无法为这些负载平衡器选择可用区。系统会在您创建负载均衡资源时强制执行组织政策。
如需查看可用区域位置的列表,请参阅 Compute Engine 区域和可用区页面。
Google Cloud Armor
创建 Google Cloud Armor 安全政策时,系统会根据您在创建请求中指定的区域强制执行组织政策。系统不会对现有资源强制执行此政策。全球资源不受资源位置限制条件的约束。
如需查看可用区域位置的列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Run
系统会在您创建顶级资源(例如 Service
)时强制执行组织政策。它不会针对任何现有资源或现有资源更新强制执行,即使这些更新会导致创建较低级别的资源(例如 Revision
)也是如此。
如需查看可用区域的列表,请参阅 Cloud Run 位置页面。
Cloud Service Mesh
当您尝试预配 Cloud Service Mesh 或为该网格创建工作负载时,系统会强制执行组织政策。将工作负载注册到 Service Mesh 时,Cloud Service Mesh 不会强制执行组织政策。
请参阅适用于您的特定服务工作负载的相关文档:
查看 Cloud Service Mesh 计算基础架构的可用区域列表:
Spanner
组织政策在创建实例时强制执行。实例是单区域或多区域资源。如果某个实例遭到资源位置组织政策屏蔽,那么您必须删除该实例才能让资源符合政策。被资源位置组织政策屏蔽的实例仍然可以读取、写入和创建数据库资源。
如需查看可用位置的列表,请参阅 Spanner 实例页面。
Cloud SQL
系统会在您创建实例时实施组织政策。该实例是区域资源,将创建不会实施资源位置限制的地区数据库。创建读取副本或数据库克隆时,新资源会被定位到与原始资源相同的位置,因此系统不会实施资源位置组织政策。
如需查看可用位置的列表,请参阅 Cloud SQL 实例位置页面。
Cloud Storage
系统会在您创建 bucket
资源时实施组织政策。Bucket
资源是单区域或多区域资源。Object
资源可以添加到任何现有 bucket
,即使 object
位于资源位置组织政策所拒绝的位置也是如此。为确保您的资源符合资源位置组织政策,请在应用组织政策后创建新的 bucket
资源,然后将数据从旧 bucket
资源迁移到新资源。
如需查看可用位置的列表,请参阅 Cloud Storage 存储分区位置页面。
Cloud Tasks
系统会在您创建队列时强制执行组织政策。它不会针对在设置组织政策之前创建的队列或对此类队列的更新强制执行。
如需查看可用位置的列表,请参阅各位置可使用的产品。
限制
以下区域存在限制:
us-central1
us-central2
(专用 Google Cloud 区域)
如果您的组织政策中包含上述任一区域,您必须同时包含 us-central1
和 us-central2
,即使您不会在这些区域创建 Cloud Tasks 资源也是如此。您可以在组织政策中添加区域 us-central2
,即使贵组织不使用专用区域也是如此。
Cloud Translation - 高级版 API (v3)
如需确保您的 Cloud Translation 资源符合资源位置限制条件,请在创建资源时指定区域端点。资源位置限制条件会在您创建 Cloud Translation 资源时强制执行。
如需了解如何使用区域性端点,请参阅指定区域性端点。
Cloud VPN
您可以在任何区域位置创建 Cloud VPN 网关。不过,您无法为 Cloud VPN 网关选择区域。系统会在您创建 Cloud VPN 网关时强制执行组织政策。
如需查看可用区域位置的列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Workstations
系统会在您创建新的区域性资源(例如工作站集群、工作站配置和工作站)时强制执行组织政策。创建工作站配置可能会导致创建 Compute Engine 永久性磁盘和虚拟机,因此您只能在组织政策允许的可用区中创建这些资源。
如需查看可用位置的列表,请参阅 Cloud Workstations 位置。
Compute Engine
Compute Engine 提供了多种资源,这些资源可以是全球资源、区域资源或地区资源。区域和地区资源受资源位置的限制。全局资源不受资源位置限制,但是某些全局资源使用区域和地区资源;这些区域和地区资源受资源位置限制。
例如,实例模板是全局资源,但是您可以在实例模板中指定区域或地区磁盘。这些磁盘受资源位置限制,因此,在实例模板中,必须在组织策略允许的区域和地区中指定磁盘。
限制
所有 Compute Engine 资源均支持您指定的资源位置限制,以下情况除外。
快照和映像
- 创建快照或映像时,必须在允许的位置指定存储位置,否则快照或映像的创建可能会失败。
托管实例组
某些托管实例组 (MIG) 操作依赖于允许地区中虚拟机的创建或重新创建。这些操作包括:横向扩容(手动或通过自动扩展)、自动修复、自动更新和主动实例重新分配。为了使这些操作成功,您的 MIG 必须存在于组织的资源位置限制所允许的位置。
在允许的位置创建 MIG。对于区域 MIG,选择不受位置限制的地区。
如果您具有预先存在的区域或地区 MIG,并且稍后又设置了资源位置限制,如果违反该限制,则 MIG 操作将失败。您必须在允许的位置重新创建 MIG。
单租户节点
- 如果您有一个预先存在的节点组,并且后来又设置了资源位置限制,如果该组的位置违反了该限制,则无法横向扩容该组以添加新主机(手动或通过自动扩展)。
如需查看可用位置的列表,请参阅 Compute Engine 区域和地区页面。
Config Controller
Config Controller 使用 Compute Engine 区域和地区。当您创建集群时,系统会在 Compute Engine 资源级层实施资源位置限制条件。如需通过添加更多实例来扩展集群,这些新添加项也必须位于允许的位置。
若要创建具有足够冗余的集群,请使用值组来控制受限制的位置。如果您手动设置位置,则该区域中的所有可用区都必须都位于允许列表中才能具有相同的冗余级别。如果进行调节的任何位置不在组织政策中定义的允许位置列表中,则自动调节集群可能会发生故障。
对话分析洞见
系统会在您在对话式数据分析中创建 conversation
时强制执行组织政策。conversation
资源是区域性资源。
如需查看可用位置的列表,请参阅 Conversational Insights 位置页面。
Data Lineage API
当您使用 CreateProcess、UpdateProcess 或 ProcessOpenLineageRunEvent 方法创建或更新 Process
时,系统会强制执行组织政策。
子资源(Runs
或 Events
)可以更新或添加到任何现有的 Process
,即使 Process
位于资源位置组织政策所拒绝的位置也是如此。为确保您的所有资源都符合资源位置组织政策,请在应用组织政策后创建新的 Process
。
Dataflow
系统会在您创建 job
时实施组织政策。job
是同时使用 Cloud Storage 和 Compute Engine 的区域资源。
您可以通过指定地区参数,将 Compute Engine 工作器配置为在作业所在区域以外的地区执行。在这种情况下,Dataflow 控制面板将在指定区域执行,而数据处理工作器将在指定地区执行。如果您未指定工作器所在的地区,则系统将在被配置为运行 job
的区域内创建工作器。
如果您未指定 job
所在的地区,则工作器的位置将位于被配置为运行 job
的区域内的某个地区。
Dataflow 将根据地区的可用容量来选择地区。job
所在区域内的所有地区都应设为资源位置组织政策允许的值。
如果进行伸缩的任何位置不在组织政策中定义的允许位置列表中,则自动伸缩集群可能会发生故障。
如需查看可用位置的列表,请参阅 Dataflow 区域端点页面。
Dataform
Dataform 资源是区域性的。创建 Dataform 代码库时,该代码库及其所有子资源都受限于在创建代码库时指定的区域。
如需查看可用位置的列表,请参阅 Dataform 位置。
Dataplex
创建以下任何 Dataplex 资源时,系统都会强制执行组织政策:
系统会在创建资源时强制执行该政策。应用资源位置限制条件不会影响现有资源或对这些资源的更新。
Dataproc
当您创建 cluster
时,系统会根据您在创建请求中指定的区域实施组织政策。当调用 submit
方法时,job
的位置受其父级 cluster
的位置约束。
如需查看可用位置的列表,请参阅 Dataproc 区域端点页面。
Dataproc Metastore
当您创建 service
时,系统会根据您在创建请求中指定的区域实施组织政策。当调用 importMetadata
和 backupService
方法时,backups
和 metadataImports
的位置受其父级 service
的位置限制。
如需查看可用位置的列表,请参阅 Dataproc Metastore 位置页面。
数据存储区
Datastore database
资源直接依赖于父项目中的 App Engine 应用及其定义的位置。如果您停用 App Engine 应用,则系统将阻止对关联数据库的 API 访问。如需从物理位置删除复制的数据,请按 App Engine 部分中的说明删除项目。
如需查看可用位置的列表,请参阅 Datastore 位置页面。
Dialogflow
在 Dialogflow CX 中创建 agent
或 location setting
资源时,系统会强制执行组织政策(Dialogflow ES 尚未强制执行组织政策)。agent
资源和 location setting
资源均为区域或多区域资源。其他 Dialogflow 资源(例如 intents
或 flows
)可以添加到任何现有 agent
,即使 agent
资源位于组织政策。为确保您的资源符合资源位置限制,请在应用组织策略后创建新的 agent
资源,然后将数据从旧的 agent
资源迁移到新的资源。
资源位置限制不适用于 global
位置;始终允许创建资源。
如需查看可用位置的列表,请参阅 Dialogflow 位置页面。
Document AI
Document AI 资源是区域性的。创建 Processor
或 LabelerPool
资源时,系统会强制执行资源位置组织政策,并限制可以在其中创建或存储新资源的区域。
不会追溯强制执行组织政策遵从。即使父级的资源位置被资源位置组织政策拒绝,也可以在现有父级资源下创建新的 Document AI 资源。如需对现有资源实施新的资源位置限制条件,请删除该资源,然后使用应用的组织政策重新创建该资源。
如需查看可用位置的列表,请参阅 Document AI 多区域支持页面。
Eventarc
系统会在您创建 Eventarc 触发器时实施组织政策。系统不会对现有资源或现有资源更新强制执行政策。触发器可以是全球资源,也可以是区域资源。全球资源不受资源位置限制条件的约束。
如果强制执行资源位置限制条件,则可以创建地区性触发器,这些触发器的地区与资源位置限制条件中应用的地区完全匹配,或者包含在值组中的地区触发器。例如,如果 us-central1
或 us-locations
出现在组织政策中定义的允许位置列表中,您可以创建 us-central1
触发器。
如需查看可用位置的列表,请参阅 Eventarc 位置。
Filestore
系统会在您创建 Filestore 实例(可以是可用区资源或区域资源)时实施组织政策。系统不会以追溯方式实施组织政策合规性。现有实例会继续运行,即使它们位于组织政策拒绝的位置。如需对现有 Filestore 实例强制执行新的资源位置限制条件,请删除该实例,然后使用已应用组织政策重新创建。
如需查看可用位置列表,请参阅 Filestore 地区和区域页面。
Firestore
Firestore database
资源直接依赖于父项目中的 App Engine 应用及其定义的位置。如果您停用 App Engine 应用,则系统将阻止对关联数据库的 API 访问。如需从物理位置删除复制的数据,请按 App Engine 部分中的说明删除项目。
如需查看可用位置的列表,请参阅 Firestore 位置页面。
Cloud 新一代防火墙企业版
系统会在您创建 Cloud NGFW Enterprise 端点(可用区级资源)时强制执行组织政策。系统不会以追溯方式实施组织政策合规性。现有端点会继续运行,即使它们位于组织政策拒绝的位置。如需对现有 Cloud NGFW 企业版端点强制执行新的资源位置限制条件,请删除该实例,然后使用已应用组织政策重新创建。
如需查看可用位置的列表,请参阅各位置可使用的产品。
安全 Web 代理
您可以在任何区域位置创建安全 Web 代理。不过,您无法为安全 Web 代理选择区域。系统会在您创建安全 Web 代理时强制执行组织政策。
如需查看可用位置的列表,请参阅各位置可使用的产品。
舰队
Cloud Fleet membership
资源仅支持 Compute Engine 区域和可用区中的区域位置。当您注册集群时,系统会在 membership
资源级层实施资源位置限制条件。全球和区域位置都支持舰队会员资格。
若要创建具有足够冗余的成员资格,请使用值组来控制受限制的区域。对多区域位置和地区位置的限制条件对 Fleet membership
没有影响。但是,对包含区域的值组的限制确实起作用。例如,组织政策中的值 asia
对舰队成员资格没有影响,但值 in:asia-locations
对其有影响。
Vertex AI 上的生成式 AI
资源位置限制条件适用于所有 Vertex AI 上的生成式 AI 资源。系统不会以追溯方式实施组织政策合规性。这意味着,应用资源位置限制不会影响任何现有资源或对这些资源的更新。Google 模型不是 Google Cloud 资源,因此不受资源位置限制条件的约束。
如需查看可用区域的列表,请参阅 Vertex AI 上的生成式 AI 位置。
GKE Multi-cloud
当您使用 GKE Multi-Cloud API 创建以下集群时,系统会强制执行组织政策:
- GKE on AWS
- GKE on Azure
- GKE 关联集群
如需查看可用位置的列表,请参阅每个集群平台的以下页面。
Google Kubernetes Engine
Google Kubernetes Engine 使用 Compute Engine 区域和地区。当您为集群创建虚拟机时,系统会在 Compute Engine 资源级层实施资源位置限制条件。如果您想要通过添加更多实例或添加其他地区来扩展集群,那么这些新添加项也必须位于允许的位置。
若要创建具有足够冗余的集群,请使用值组来控制受限制的位置。如果您手动设置位置,则该区域中的所有地区必须都位于允许列表中才能具有相同的冗余级别。如果进行调节的任何位置不在组织政策中定义的允许位置列表中,则自动调节集群可能会发生故障。
Infrastructure Manager
Infrastructure Manager 使用这些 Google Cloud 区域来创建 Infra Manager 部署。
此外,Infrastructure Manager 使用 HCL 作为配置语言,以便使用 Terraform 使资源生效。
系统会对 Infra Manager 部署资源以及 HCL 中定义的受支持 Google Cloud 资源强制执行资源位置限制。
Integration Connectors API
当您使用 Integration Connectors API 创建以下资源时,系统会强制执行组织政策:
如需查看可用位置的列表,请参阅 Integration Connectors 位置。
Looker (Google Cloud Core)
您可以在区域位置创建 Looker (Google Cloud Core) 资源。系统将在您创建该资源时实施组织政策。
如需查看可用区域的列表,请参阅创建 Looker (Google Cloud Core) 实例页面。
Managed Service for Microsoft Active Directory
创建托管 Microsoft AD 网域或更新现有 AD 资源时,将强制执行组织政策。托管 Microsoft AD 需要允许的 global
位置。如果不允许 global
位置,则网域创建和资源更新将失败。
Memorystore for Memcached
组织政策在创建实例时强制执行。该实例是一种区域级资源,会根据所选节点数量创建一个或多个可用区缓存。使用扩容操作添加节点时,新资源会被定位到与原始实例相同的区域。在扩容期间,系统会强制执行位置组织政策。
如需查看可用位置的列表,请参阅 Memorystore for Memcached 的地区和区域页面。
Memorystore for Redis
组织政策在创建实例时强制执行。实例是一种区域级资源,它会根据所选的实例层级创建一个或多个可用区缓存。基本层级实例会在指定区域和可用区内部署单个缓存。标准层级实例会部署一个可用区缓存以及一个或多个位于实例所在区域内的可用区缓存副本。创建其他副本时,您可以在与原始区域缓存相同的区域中找到新资源。创建其他副本时,系统会强制执行位置组织政策。
如需查看可用位置的列表,请参阅 Memorystore for Redis 的区域和可用区页面。
Memorystore for Redis Cluster
组织政策在创建实例时强制执行。该实例是一种区域级资源,会根据所选的可用区分布模式创建一个或多个可用区缓存。创建其他副本或分片时,您可以将新资源放置在与原始可用区缓存相同的区域。创建其他副本时,系统会强制执行位置组织政策。
如需查看可用位置的列表,请参阅 Memorystore for Redis Cluster 位置页面。
Network Connectivity Center
您可以在全球位置创建 Network Connectivity Center Hub 和 VPC Spoke 资源。您可以在任何区域位置创建 Network Connectivity Center 混合 Spoke 资源。系统将在您创建该资源时实施组织政策。
如需查看可用区域位置的列表,请参阅 Compute Engine 区域和可用区页面。
Network Intelligence Center - Connectivity Tests
您可以在全球位置创建 Connectivity Tests 资源。系统将在您创建该资源时实施组织政策。
Persistent Disk
系统会在您创建 disk
资源(之后可挂接到虚拟机)时实施组织政策:
- 创建地区
disk
资源后,您可以将其挂接到同一地区中的虚拟机实例。 - 创建区域
disk
资源后,您可以将其挂接到disk
所在的两个地区之一中的虚拟机实例。
系统不会以追溯方式实施组织政策合规性。如需对现有的 disk
资源实施新的资源位置组织政策,您需要删除 disk
资源,然后使用应用于父资源的组织政策重新创建这些资源。
如需查看可用位置的列表,请参阅 Compute Engine 区域和地区页面。
Pub/Sub
资源位置组织政策会影响可以静态保留发布到 topic
的消息的位置。系统会在您将消息发布到 topic
时实施组织政策。请注意,topic
仍然是全球资源,可供已获授权的客户端从世界上的任何位置进行访问。
对组织政策的更改不可追溯,也不会应用于现有的 topics
。如果新资源位置限制条件拒绝某个位置,而发布到 topic
的消息已存储在该位置,则系统不会自动移动这些消息。
如需了解详情,请参阅 Pub/Sub 的限制 Pub/Sub 资源位置页面。
Pub/Sub Lite
资源位置组织政策会影响可在其中创建 topic
的位置,而位置将决定消息的永久保留位置。topic
是可用区级资源,但可以从任何位置(包括 Google Cloud 外部)请求消息。
对组织政策的更改不可追溯,也不会应用于现有的 topics
。如果新资源位置限制条件拒绝某个位置,而发布到 topic
的消息已存储在该位置,则系统不会自动移动这些消息。
Secret Manager
Secret 可以具有自动复制政策或用户管理的复制政策。
使用自动复制政策时,系统会复制载荷数据,而不会受到任何限制。在使用自动复制政策创建密钥时,Secret Manager 要求允许使用 global
位置。如果不允许 global
位置,则创建密钥将失败。
使用用户管理的复制政策时,载荷数据将复制到用户定义的一组受支持的位置。在使用用户管理的复制政策创建密钥时,Secret Manager 要求允许使用复制政策中的所有位置。如果密钥的复制政策中有任何不允许使用的位置,则创建密钥将失败。
系统将在您创建该密钥时实施组织政策。
如需了解详情,请参阅 Secret Manager 的位置页面。
无服务器 VPC 访问通道
系统会在您创建新的无服务器 VPC 访问通道连接器实例时强制执行组织政策。创建组织政策后,仅在新创建的区域性无服务器 VPC 访问通道连接器实例上强制执行组织政策。
如需了解详情,请参阅无服务器 VPC 访问通道支持的区域。
Secure Source Manager
系统会在您创建新的 Secure Source Manager 实例时强制执行组织政策。Secure Source Manager 可确保您选择组织批准的区域。创建组织政策后,仅在新创建的某个区域的 Secure Source Manager 实例上强制执行组织政策。
如需了解详情,请参阅 Secure Source Manager 概览页面。
敏感数据保护
资源位置限制适用于所有敏感数据保护资源。
对组织政策的更改不可追溯,也不会应用于现有资源。
详细了解支持 Sensitive Data Protection 的区域。
Speaker ID
资源位置组织政策会影响可在其中创建 speaker
资源的位置,而位置将决定注册短语和声纹的存储位置。
资源位置组织政策还会影响可在其中更新 settings
的位置。
详细了解支持使用音箱 ID 的区域。
Speech-to-Text
资源位置组织政策会影响可在其中创建任何 Speech-to-Text 资源的位置。它还会影响可以更新 config
资源的位置。
Speech-to-Text v1 在 global
、eu
和 us
区域提供。详细了解 Speech-to-Text v2 支持的区域。
Timeseries Insights API
资源位置限制适用于所有 Timeseries Insights API 资源。
Timeseries Insights API 仅支持区域位置。在特定区域创建的集成只能访问该区域内的资源。对多区域位置和地区位置的限制不会影响 Timeseries Insights API。但是,对包含区域的值组的限制确实起作用。例如,组织政策中的值 asia
对 Timeseries Insights API 没有影响,但值 in:asia-locations
对其有影响。
如需查看您可以在哪些可用位置创建集成,请参阅支持的区域。
Transcoder API
job
和 jobTemplate
资源是区域级资源。您可以在创建资源时指定位置。系统会在您创建资源时强制执行组织政策。
如需查看可用区域的列表,请参阅 Transcoder API 位置。
Vertex AI
除 DataLabelingJob
资源之外,资源位置限制条件适用于所有 Vertex AI 资源。
Vertex AI 仅支持区域位置。对多区域位置和地区位置的限制不会影响 Vertex AI。但是,对包含区域的值组的限制确实起作用。例如,组织政策中的值 asia
对 Vertex AI 没有影响,但值 in:asia-locations
对其有影响。
详细了解 AI Platform Training 支持的区域。
Vertex AI Search
资源位置限制条件适用于所有 Vertex AI Search 资源。系统不会以追溯方式实施组织政策合规性。这意味着,应用资源位置限制不会影响任何现有资源或对这些资源的更新。
如需查看可用区域的列表,请参阅 Vertex AI Search 位置。
虚拟私有云
Virtual Private Cloud (VPC) 网络是包含区域性虚拟子网 (subnet) 的全球虚拟网络。资源位置限制条件不适用于 VPC 网络,因为它们是全球性资源。系统会在创建子网时对子网强制执行资源位置限制条件。如果您创建的是自动模式 VPC 网络,则子网只会在资源位置限制允许的区域中创建。
如需查看可用区域的列表,请参阅 Compute Engine 区域和可用区页面。
Workflows
系统会在您创建 Workflows 工作流时强制执行组织政策。系统不会对现有资源或现有资源更新强制执行政策。Workflows 是区域资源,受资源位置限制条件的约束。
如果强制执行资源位置限制条件,则只能创建地区与资源位置限制条件中应用的地区完全匹配,或者包含在值组中的工作流。例如,如果 us-central1
或 us-locations
出现在组织政策中定义的允许位置列表中,则您可以创建 us-central1
工作流。
如需查看可用位置的列表,请参阅 Workflows 位置。