Diese Seite wurde von der Cloud Translation API übersetzt.

Einschränkungen in der T-Systems Sovereign Cloud

In diesem Thema werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie T-Systems Sovereign Cloud verwenden.

Übersicht

T-Systems Sovereign Cloud (TSI Sovereign Cloud) bietet Funktionen für den Datenspeicherort und die Datensouveränität für im Geltungsbereich liegende Google Cloud -Dienste. Einige dieser Funktionen sind eingeschränkt oder limitiert, um diese Funktionen bereitstellen zu können. Die meisten dieser Änderungen werden während des Onboardings angewendet, wenn Ihre Organisation von T-Systems International (TSI) verwaltet wird. Einige davon können jedoch später durch Änderungen der Organisationsrichtlinien geändert werden.

Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud -Dienst ändern oder die Datenhoheit oder den Datenstandort beeinflussen. Einige Funktionen können beispielsweise automatisch deaktiviert werden, um die Datenhoheit und den Datenstandort beizubehalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.

Dienste und APIs im Geltungsbereich

Dienste

Compute Engine
- Organisationsrichtlinien
- Betroffene Features
Persistent Disk
Cloud Storage
- Organisationsrichtlinien
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- Organisationsrichtlinien
Google Kubernetes Engine
- Organisationsrichtlinien
Cloud Logging
- Betroffene Features

APIs

Die folgenden API-Endpunkte sind in TSI Sovereign Cloud verfügbar:

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von TSI Sovereign Cloud erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud -Ressourcen Ihrer Organisation weiter zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud -Dienste.

Organisationsrichtlinie-Beschränkung	Beschreibung
`gcp.resourceLocations`	Legen Sie `in:tsi-sovereign` als Listenelement `allowedValues` fest. Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die TSI-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der von TSI definierten Regionen erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Weitere Informationen finden Sie unten im Abschnitt "Betroffene Funktionen". Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictCmekCryptoKeyProjects`	Legen Sie `under:organizations/your-organization-name` fest, die Sovereign Cloud-Organisation von TSI. Sie können diesen Wert weiter einschränken, indem Sie ein Projekt oder einen Ordner angeben. Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung	Beschreibung
`compute.enableComplianceMemoryProtection`	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit auswirken.
`compute.disableSerialPortLogging`	Auf True festlegen. Deaktiviert das Logging serieller Ports in Stackdriver von Compute Engine-VMs im Ordner oder Projekt, in dem die Einschränkung erzwungen wird. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit auswirken.
`compute.disableInstanceDataAccessApis`	Auf True festlegen. Deaktiviert global die APIs `instances.getSerialPortOutput()` und `instances.getScreenshot()`.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.trustedImageProjects`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Einschränkungen für Cloud Storage-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung Beschreibung

storage.uniformBucketLevelAccess Auf True festlegen.

Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte.

Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.

Organisationsrichtlinie-Beschränkung	Beschreibung
`storage.uniformBucketLevelAccess`	Auf True festlegen. Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte. Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt.
`storage.restrictAuthTypes`	Legen Sie diese Option fest, um die Authentifizierung mit einem Hash-basierten Nachrichten-Authentifizierungscode (HMAC) zu verhindern. In diesem Einschränkungswert sind die folgenden beiden HMAC-Typen angegeben: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Standardmäßig können sich HMAC-Schlüssel nicht bei Cloud Storage-Ressourcen für Arbeitslasten in TSI Sovereign Cloud authentifizieren. HMAC-Schlüssel wirken sich auf die Datensouveränität aus, da sie dazu verwendet werden können, ohne Wissen des Kunden auf Kundendaten zuzugreifen. Weitere Informationen finden Sie in der Cloud Storage-Dokumentation unter HMAC-Schlüssel. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.

storage.restrictAuthTypes

Legen Sie diese Option fest, um die Authentifizierung mit einem Hash-basierten Nachrichten-Authentifizierungscode (HMAC) zu verhindern. In diesem Einschränkungswert sind die folgenden beiden HMAC-Typen angegeben:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Standardmäßig können sich HMAC-Schlüssel nicht bei Cloud Storage-Ressourcen für Arbeitslasten in TSI Sovereign Cloud authentifizieren. HMAC-Schlüssel wirken sich auf die Datensouveränität aus, da sie dazu verwendet werden können, ohne Wissen des Kunden auf Kundendaten zuzugreifen. Weitere Informationen finden Sie in der Cloud Storage-Dokumentation unter HMAC-Schlüssel.

Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung	Beschreibung
`container.restrictNoncompliantDiagnosticDataAccess`	Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.

Einschränkungen der Organisationsrichtlinien für Cloud Key Management Service

Organisationsrichtlinie-Beschränkung	Beschreibung
`cloudkms.allowedProtectionLevels`	Legen Sie `EXTERNAL` und `EXTERNAL_VPC` fest. Schränkt die CryptoKey-Typen der Cloud Key Management Service ein, die erstellt werden können, und ist so eingestellt, dass nur Schlüsseltypen vom Typ `EXTERNAL` und `EXTERNAL_VPC` zulässig sind.

Betroffene Features

In diesem Abschnitt wird beschrieben, wie sich die Features oder Funktionen der einzelnen Dienste von TSI Sovereign Cloud auswirken.

Compute Engine Features

Funktion	Beschreibung
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Im Abschnitt oben finden Sie die Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`. Dort erfahren Sie, welche Auswirkungen die Aktivierung dieser Funktion auf die Datensouveränität und den Datenspeicherort hat.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Im Abschnitt oben finden Sie die Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`. Dort erfahren Sie, welche Auswirkungen die Aktivierung dieser Funktion auf die Datensouveränität und den Datenspeicherort hat.
Ausgabe des seriellen Ports ansehen	Diese Funktion ist deaktiviert. Sie können die Ausgabe weder programmatisch noch über Cloud Logging aufrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableSerialPortLogging` in False, um die serielle Portausgabe zu aktivieren.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Kunden, die zusätzliche Kontrolle wünschen, können jedoch auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung `compute.trustedImageProjects` verwenden. Weitere Informationen finden Sie unter Benutzerdefiniertes Image erstellen.
`instances.getSerialPortOutput()`	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter In diesem Thema.
`instances.getScreenshot()`	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter In diesem Thema.

Features von Cloud Logging

Zusätzliche Cloud Logging-Konfiguration für CMEK

Um Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) zu verwenden, müssen Sie die Schritte unter CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation ausführen.

Betroffene Cloud Logging-Funktionen

Funktion	Beschreibung
Logsenken	Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge	Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.
Logbasierte Benachrichtigungen	Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud -Konsole erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery	Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden.