資料落地總覽

總覽

本頁說明如何使用 Cloud SQL 執行資料落地規定。

資料落地是指資料的實際位置，以及控管資料儲存、加密和存取方式的當地法規。隨著各國的資料保護和隱私權法規不斷演進，瞭解如何遵守當地資料落地要求並保護使用者資料，就變得越來越重要。

在傳統的內部部署環境中，各種元件會整合並處理資料駐留。舉例來說，公司可以將權杖化閘道做為 Cloud Access Security Broker (CASB)，在應用程式資料傳輸到海外之前加以保護。

Google Cloud 及其服務 (包括 Cloud SQL) 整合，可協助您控管資料位置和資料存取權 (包括 Google 或任何人的存取權)，以處理資料落地問題。

雲端運算中的資料落地機制

以下列出您應瞭解的資料落地問題：

• 如果公司雲端管理員不知道資料的實際位置，就無法瞭解當地法規。如要研究各個地點的資料駐留政策，管理員必須知道資料中心的位置。
• 公司雲端管理員和供應商可使用服務水準協議 (SLA) 建立允許的位置。不過，如果必須在與服務水準協議條款不同的地區儲存資料，該怎麼辦？
• 使用者必須確保資料，以及在雲端專案中使用的所有服務和資源，都符合主機所在國家/地區的資料存放位置法規。
  • 如果想決定資料和加密金鑰的儲存位置，該怎麼做？
  • 如果想決定使用者可存取資料的位置，該怎麼做？

Google Cloud 等服務可讓您執行下列操作，解決部分問題：

• 設定資料的儲存位置。建立 Cloud SQL 執行個體時，您可以選取區域，也可以編輯現有執行個體來變更區域。
• 使用 Cloud SQL 的跨區域唯讀副本功能，有助於符合指定區域的資料落地標準。
• 控管使用者可存取資料的網路位置，以及控管雲端管理員對這項資料的存取權。

Cloud SQL 可在以下三個方面協助您因應資料落地挑戰：

• 儲存資料：設定資料的儲存位置。
• 資料加密：控管加密金鑰的儲存位置。
• 存取資料：控管資料存取權。

儲存資料

資料落地是指在特定區域內儲存個人識別資訊 (PII)，並根據該區域的法規處理這些資料。

如要儲存資料，您必須符合該國家/地區的法律和法規要求，例如資料在地化法律。舉例來說，某個國家/地區可能會規定所有政府相關資料都必須儲存在該國家/地區。或者，公司可能在合約中規定，必須將部分客戶的資料儲存在其他國家/地區。因此，公司必須符合資料儲存所在國家/地區的資料落地規定。

您可以使用 Google Cloud設定資料儲存位置，包括備份資料。包括讓您選擇資料儲存的區域。如果您選擇在這些區域為 Cloud SQL 設定資源，Google 會根據服務專屬條款，僅將您的靜態資料儲存在這些區域。您可以在建立執行個體時選取區域，也可以編輯現有執行個體來變更區域。

如要進一步瞭解備份位置，請參閱「自訂備份位置」。

您可以在機構、專案或資料夾層級，使用機構政策限制強制執行資料落地規定。您可以透過這些限制條件，定義使用者可為支援的服務建立資源的 Google Cloud 位置。如要限制資料落地位置，可以使用資源位置限制，限制新資源的實際位置。您也可以微調限制的政策，將多區域 (例如 asia 和 europe) 或區域 (例如 us-east1 或 europe-west1) 指定為允許或拒絕的位置。

VPC Service Controls 可讓您限制使用 Cloud SQL API，透過 Cloud SQL Admin API 或 Cloud Storage API 匯入及匯出資料，進而強制執行資料落地。這項限制可確保資料只會留存在您選擇的網路位置。使用 VPC Service Controls 建立服務範圍，定義服務可存取的虛擬邊界，防止資料移出這些邊界。即使使用者已根據 Google Cloud IAM 政策獲得授權，您仍可強制執行這項限制。

加密資料

Google Cloud 服務 (包括 Cloud SQL) 會使用各種加密方法，將靜態和傳輸中的客戶內容加密。加密程序完全自動，客戶無須採取任何行動，

Cloud SQL 也可讓您使用客戶自行管理的加密金鑰 (CMEK)，為資料新增一層加密機制。 如果貴機構有機密或管制資料，且必須自行管理加密金鑰，建議使用 CMEK。CMEK 功能可讓您使用自己的加密編譯金鑰，保護 Cloud SQL 中的靜態資料。新增 CMEK 後，每當進行 API 呼叫時，Cloud SQL 就會使用您的金鑰存取資料。

如要在部署服務的區域中儲存 CMEK，可以使用 Cloud Key Management Service (Cloud KMS)。建立金鑰時，您會設定金鑰位置。如要將這些金鑰儲存在實體的硬體安全性模組 (HSM) 中，請使用 Cloud HSM。該模組位於您選擇的區域。

如要選擇儲存 CMEK 的位置，也可以使用第三方產品。如要在 Google 基礎架構外部部署的第三方金鑰管理產品中儲存及管理金鑰，可以使用 Cloud External Key Manager (Cloud EKM)。

存取資料

透過 Cloud SQL，您可以控管哪些使用者能存取資料。

如要控管 Google 支援和工程人員的存取權，請使用 Access Approval。Access Approval 可讓您要求 Google 員工必須先獲得明確核准，才能存取 Google Cloud 上的資料或設定(如需例外情況，請參閱「Access Approval 例外情況」)。

當 Google 管理員與您的資料互動時，資料存取核准機制會產生近乎即時的稽核記錄，與資料存取透明化控管機制提供的資訊互補。稽核記錄會列出管理員的辦公室位置和存取原因。您也可以為有權存取資料或設定的管理員強制執行特定屬性，包括地理區域和其他法規遵循相關屬性。

Key Access Justifications 與 Cloud KMS 和 Cloud EKM 整合。每次有人要求使用您的金鑰加密或解密資料時，「金鑰存取依據」都會提供詳細的理由，並提供機制讓您使用設定的自動化政策，核准或拒絕金鑰存取要求。

搭配使用存取權核准、資料存取透明化控管機制和金鑰存取依據，以及 Cloud KMS 和 Cloud EKM，您就能拒絕 Google 解密資料。因此，您可以全權控管自有資料的存取權。

後續步驟

• 如要進一步瞭解 Google Cloud 資料位置承諾，請參閱 Google Cloud 服務專屬條款。
• 如要進一步瞭解 Google Cloud的資料落地設定，請參閱「瞭解 Google Cloud的資料落地、作業透明度和隱私權控制選項」。
• 如要進一步瞭解 Google Cloud 如何保護客戶資料 的整個生命週期，以及 Google Cloud 如何向客戶公開相關資訊，並確保他們可以控管自己的資料，請參閱「信任 Google Cloud的資料」。
• 瞭解 Google Cloud 架構完善架構中的資料落地最佳做法。