このページは Cloud Translation API によって翻訳されました。

T-Systems Sovereign Cloud の制限事項

このトピックでは、T-Systems Sovereign Cloud を使用する際の制限事項と、その他の構成オプションについて説明します。

概要

T-Systems Sovereign Cloud（TSI Sovereign Cloud）は、対象 Google Cloud サービスのデータ所在地とデータ主権の機能を提供します。これらの機能を提供するために、これらのサービスの一部の機能が制限または限定されています。これらの変更のほとんどは、組織が T-Systems International（TSI）によって管理されるようになるオンボーディングプロセス中に適用されますが、一部は組織のポリシーを変更することによって後で変更できます。

これらの制限が特定の Google Cloud サービスの動作をどのように変更するかや、データ主権やデータ所在地に与える影響について理解することが重要です。たとえば、データ主権とデータ所在地が維持されるように、一部の機能が自動的に無効になる場合があります。また、組織のポリシー設定を変更すると、あるリージョンから別のリージョンにデータがコピーされるという意図しない結果が生じる可能性があります。

対象のサービスと API

サービス

Compute Engine
- 組織のポリシー
- 影響を受ける機能
Persistent Disk
Cloud Storage
- 組織のポリシー
Cloud SQL
Cloud Key Management Service（Cloud KMS）
- 組織のポリシー
Google Kubernetes Engine
- 組織のポリシー
Cloud Logging
- 影響を受ける機能

API

TSI Sovereign Cloud では、次の API エンドポイントを使用できます。

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

組織のポリシー

このセクションでは、TSI Sovereign Cloud を使用してフォルダまたはプロジェクトを作成する際に、各サービスがデフォルトの組織ポリシー制約値によってどのように影響を受けるかについて説明します。デフォルトで設定されていない場合でも、その他の適用可能な制約により、組織の Google Cloud リソースをさらに保護するための「多層防御」を追加できます。

クラウド全体の組織のポリシーの制約

次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。

組織のポリシーの制約	説明
`gcp.resourceLocations`	`allowedValues` リストアイテムとして `in:tsi-sovereign` に設定します。この値は、新しいリソースの作成を TSI 値グループのみに制限します。設定すると、TSI で定義されているリージョン、マルチリージョン、ロケーションの外部にリソースを作成できなくなります。詳細については、組織のポリシーの値グループのドキュメントをご覧ください。
`gcp.restrictNonCmekServices`	対象範囲内のすべての API サービス名のリストに設定します。次に例を示します。 `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` 上記の各サービスで、一部の機能が影響を受ける可能性があります。以下の、影響を受ける機能のセクションをご覧ください。各サービスには、顧客管理の暗号鍵（CMEK）が必要です。 CMEK により、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化できます。リストから 1 つ以上の対象サービスを削除してこの値を変更すると、データ主権が損なわれる可能性があります。新しい保管中のデータは、ユーザーではなく Google 独自の鍵を使用して自動的に暗号化されます。既存の保存データは、指定した鍵によって暗号化されます。
`gcp.restrictCmekCryptoKeyProjects`	TSI Sovereign Cloud 組織である `under:organizations/your-organization-name` に設定します。プロジェクトまたはフォルダを指定することで、この値をさらに制限できます。 CMEK を使用して保管中のデータを暗号化するために KMS 鍵を提供できる承認済みフォルダまたはプロジェクトの範囲を制限します。この制約により、承認されていないフォルダまたはプロジェクトが暗号鍵を提供できなくなるため、対象範囲内のサービスの保管中のデータのデータ主権を保証できます。

Compute Engine の組織のポリシーの制約

組織のポリシーの制約	説明
`compute.enableComplianceMemoryProtection`	True に設定します。インフラストラクチャ障害が発生したときにメモリコンテンツを追加で保護するために、一部の内部診断機能を無効にします。この値を変更すると、データ所在地またはデータ主権に影響する可能性があります。
`compute.disableSerialPortLogging`	True に設定します。制約が適用されているフォルダまたはプロジェクト内の Compute Engine VM から Stackdriver へのシリアルポートロギングを無効にします。この値を変更すると、データ所在地またはデータ主権に影響する可能性があります。
`compute.disableInstanceDataAccessApis`	True に設定します。 `instances.getSerialPortOutput()` API と `instances.getScreenshot()` API をグローバルに無効にします。
`compute.restrictNonConfidentialComputing`	（省略可）値は設定されていません。多層防御を提供するには、この値を設定します。詳細については、Confidential VM のドキュメントをご覧ください。
`compute.trustedImageProjects`	（省略可）値は設定されていません。多層防御を提供するには、この値を設定します。この値を設定すると、イメージストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。

Cloud Storage の組織のポリシーに関する制約

組織のポリシーの制約説明

storage.uniformBucketLevelAccess True に設定します。

新しいバケットへのアクセスは、Cloud Storage アクセス制御リスト（ACL）ではなく、IAM ポリシーを使用して管理されます。この制約により、バケットとその内容に対するきめ細かい権限を付与できます。

この制約が有効になっているときにバケットを作成すると、そのバケットへのアクセスを ACL を使用して管理できなくなります。つまり、バケットのアクセス制御方法は、Cloud Storage ACL ではなく IAM ポリシーを使用するように永続的に設定されます。

組織のポリシーの制約	説明
`storage.uniformBucketLevelAccess`	True に設定します。新しいバケットへのアクセスは、Cloud Storage アクセス制御リスト（ACL）ではなく、IAM ポリシーを使用して管理されます。この制約により、バケットとその内容に対するきめ細かい権限を付与できます。この制約が有効になっているときにバケットを作成すると、そのバケットへのアクセスを ACL を使用して管理できなくなります。つまり、バケットのアクセス制御方法は、Cloud Storage ACL ではなく IAM ポリシーを使用するように永続的に設定されます。
`storage.restrictAuthTypes`	ハッシュベースのメッセージ認証コード（HMAC）を使用した認証を防ぐために設定します。この制約値には、次の 2 つの HMAC タイプが指定されています。 `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` デフォルトでは、TSI Sovereign Cloud のワークロードの Cloud Storage リソースに対する HMAC キーの認証はブロックされます。HMAC 鍵は、ユーザーの許可なくユーザーデータにアクセスするために使用できるため、データ主権に影響します。Cloud Storage のドキュメントの HMAC キーをご覧ください。この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することを強くおすすめします。

storage.restrictAuthTypes

ハッシュベースのメッセージ認証コード（HMAC）を使用した認証を防ぐために設定します。この制約値には、次の 2 つの HMAC タイプが指定されています。

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

デフォルトでは、TSI Sovereign Cloud のワークロードの Cloud Storage リソースに対する HMAC キーの認証はブロックされます。HMAC 鍵は、ユーザーの許可なくユーザーデータにアクセスするために使用できるため、データ主権に影響します。Cloud Storage のドキュメントの HMAC キーをご覧ください。

この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することを強くおすすめします。

Google Kubernetes Engine の組織のポリシーの制約

組織のポリシーの制約	説明
`container.restrictNoncompliantDiagnosticDataAccess`	True に設定します。ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にするために使用されます。この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することを強くおすすめします。

Cloud Key Management Service の組織のポリシーの制約

組織のポリシーの制約	説明
`cloudkms.allowedProtectionLevels`	`EXTERNAL` と `EXTERNAL_VPC` に設定します。作成できる Cloud Key Management Service CryptoKey のタイプを制限します。`EXTERNAL` と `EXTERNAL_VPC` の鍵タイプのみが許可されるように設定されています。

影響を受ける機能

このセクションでは、各サービスの機能が TSI Sovereign Cloud によってどのように影響を受けるかについて説明します。

Compute Engine の機能

機能	説明
VM インスタンスの一時停止および再開	この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスクストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスクストレージは、現在、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の `gcp.restrictNonCmekServices` 組織ポリシーの制約をご覧ください。
ローカル SSD	この機能は無効になっています。現在、ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の `gcp.restrictNonCmekServices` 組織ポリシーの制約をご覧ください。
シリアルポート出力の表示	この機能は無効になっています。出力をプログラムで表示したり、Cloud Logging で表示したりすることはできません。シリアルポート出力を有効にするには、`compute.disableSerialPortLogging` 組織のポリシー制約値を False に変更します。
ゲスト環境	ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。 VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされる場合があります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージまたはエージェントを選択して、`compute.trustedImageProjects` 組織ポリシーの制約を使用することもできます。詳細については、カスタムイメージのビルドのトピックをご覧ください。
`instances.getSerialPortOutput()`	この API は無効です。この API を使用して指定したインスタンスからシリアルポート出力を取得することはできません。この API を有効にするには、`compute.disableInstanceDataAccessApis` 組織のポリシー制約値を False に変更します。このトピックの手順に従って、インタラクティブシリアルポートを有効にして使用することもできます。
`instances.getScreenshot()`	この API は無効です。この API を使用して指定したインスタンスからスクリーンショットを取得することはできません。この API を有効にするには、`compute.disableInstanceDataAccessApis` 組織のポリシー制約値を False に変更します。このトピックの手順に従って、インタラクティブシリアルポートを有効にして使用することもできます。

Cloud Logging の機能

CMEK に必要な追加の Cloud Logging 構成

顧客管理の暗号鍵（CMEK）で Cloud Logging を使用するには、Cloud Logging ドキュメントの組組織の CMEK を有効にするトピックの手順を完了する必要があります。

影響を受ける Cloud Logging の機能

機能	説明
ログシンク	フィルタに顧客データを含めないでください。ログシンクには、構成として格納されるフィルタが含まれます。顧客データを含むフィルタは作成しないでください。
ライブテーリングログエントリ	フィルタに顧客データを含めないでください。ライブテーリングセッションには、構成として格納されたフィルタが含まれます。テーリングログによってログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして転送できます。顧客データを含むフィルタは作成しないでください。
ログベースのアラート	この機能は無効になっています。 Google Cloud コンソールでログベースのアラートを作成することはできません。
ログエクスプローラクエリの短縮 URL	この機能は無効になっています。 Google Cloud コンソールでは、クエリの短縮 URL を作成できません。
ログエクスプローラにクエリを保存する	この機能は無効になっています。 Google Cloud コンソールではクエリを保存できません。
BigQuery を使用したLog Analytics	この機能は無効になっています。 Log Analytics 機能は使用できません。