Halaman ini diterjemahkan oleh Cloud Translation API.

Batasan dan pembatasan di T-Systems Sovereign Cloud

Topik ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan T-Systems Sovereign Cloud.

Ringkasan

Sovereign Cloud T-Systems (TSI Sovereign Cloud) menyediakan fitur kedaulatan data dan kedudukan data untuk layanan Google Cloud dalam cakupan. Untuk menyediakan fitur ini, beberapa fitur layanan ini dibatasi atau dibatasi. Sebagian besar perubahan ini diterapkan selama proses orientasi saat organisasi Anda dikelola oleh T-Systems International (TSI), tetapi beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi.

Penting untuk memahami bagaimana batasan ini mengubah perilaku untuk layanan Google Cloud tertentu atau memengaruhi kedaulatan data atau residensi data. Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memastikan kedaulatan data dan residensi data dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, tindakan ini dapat menyebabkan konsekuensi yang tidak diinginkan berupa penyalinan data dari satu region ke region lain.

Layanan dan API dalam cakupan

Layanan

Compute Engine
- Kebijakan organisasi
- Fitur yang terpengaruh
Persistent Disk
Cloud Storage
- Kebijakan organisasi
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- Kebijakan organisasi
Google Kubernetes Engine
- Kebijakan organisasi
Cloud Logging
- Fitur yang terpengaruh

API

Endpoint API berikut tersedia di TSI Sovereign Cloud:

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

Kebijakan organisasi

Bagian ini menjelaskan pengaruh setiap layanan terhadap nilai batasan kebijakan organisasi default saat folder atau project dibuat menggunakan TSI Sovereign Cloud. Batasan lain yang berlaku — meskipun tidak ditetapkan secara default — dapat memberikan "pertahanan menyeluruh" tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Batasan kebijakan organisasi di seluruh cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan Kebijakan Organisasi	Deskripsi
`gcp.resourceLocations`	Tetapkan ke `in:tsi-sovereign` sebagai item daftar `allowedValues`. Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai TSI. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar yang ditentukan oleh TSI. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya.
`gcp.restrictNonCmekServices`	Tetapkan ke daftar semua nama layanan API dalam cakupan, termasuk: `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Lihat bagian Fitur yang Terpengaruh di bawah. Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan data dalam penyimpanan dienkripsi dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan dalam cakupan dari daftar dapat merusak kedaulatan data, karena data dalam penyimpanan baru akan otomatis dienkripsi menggunakan kunci milik Google, bukan kunci Anda. Data dalam penyimpanan yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
`gcp.restrictCmekCryptoKeyProjects`	Tetapkan ke `under:organizations/your-organization-name`, yang merupakan organisasi TSI Sovereign Cloud Anda. Anda dapat lebih membatasi nilai ini dengan menentukan project atau folder. Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci KMS untuk mengenkripsi data dalam penyimpanan menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui untuk menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data dalam penyimpanan layanan dalam cakupan.

Batasan kebijakan organisasi Compute Engine

Batasan Kebijakan Organisasi	Deskripsi
`compute.enableComplianceMemoryProtection`	Tetapkan ke Benar. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kerusakan infrastruktur. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data Anda.
`compute.disableSerialPortLogging`	Tetapkan ke Benar. Menonaktifkan logging port serial ke Stackdriver dari VM Compute Engine di folder atau project tempat batasan diterapkan. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data Anda.
`compute.disableInstanceDataAccessApis`	Tetapkan ke Benar. Menonaktifkan `instances.getSerialPortOutput()` dan `instances.getScreenshot()` API secara global.
`compute.restrictNonConfidentialComputing`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan defense-in-depth tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
`compute.trustedImageProjects`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan defense-in-depth tambahan. Menetapkan nilai ini akan membatasi penyimpanan image dan pembuatan instance disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Batasan kebijakan organisasi Cloud Storage

Batasan Kebijakan Organisasi Deskripsi

storage.uniformBucketLevelAccess Tetapkan ke Benar.

Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin terperinci untuk bucket dan kontennya.

Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak akan pernah dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen untuk menggunakan kebijakan IAM, bukan ACL Cloud Storage.

Batasan Kebijakan Organisasi	Deskripsi
`storage.uniformBucketLevelAccess`	Tetapkan ke Benar. Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin terperinci untuk bucket dan kontennya. Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak akan pernah dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen untuk menggunakan kebijakan IAM, bukan ACL Cloud Storage.
`storage.restrictAuthTypes`	Tetapkan untuk mencegah autentikasi menggunakan kode autentikasi pesan berbasis hash (HMAC). Dua jenis HMAC berikut ditentukan dalam nilai batasan ini: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Secara default, kunci HMAC dicegah agar tidak mengautentikasi ke resource Cloud Storage untuk workload di TSI Sovereign Cloud. Kunci HMAC memengaruhi kedaulatan data karena dapat digunakan untuk mengakses data pelanggan tanpa sepengetahuan pelanggan. Lihat kunci HMAC di dokumen Cloud Storage. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya tetap gunakan nilai yang ditetapkan.

storage.restrictAuthTypes

Tetapkan untuk mencegah autentikasi menggunakan kode autentikasi pesan berbasis hash (HMAC). Dua jenis HMAC berikut ditentukan dalam nilai batasan ini:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Secara default, kunci HMAC dicegah agar tidak mengautentikasi ke resource Cloud Storage untuk workload di TSI Sovereign Cloud. Kunci HMAC memengaruhi kedaulatan data karena dapat digunakan untuk mengakses data pelanggan tanpa sepengetahuan pelanggan. Lihat kunci HMAC di dokumen Cloud Storage.

Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya tetap gunakan nilai yang ditetapkan.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan Kebijakan Organisasi	Deskripsi
`container.restrictNoncompliantDiagnosticDataAccess`	Tetapkan ke Benar. Digunakan untuk menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol kedaulatan atas beban kerja. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya tetap gunakan nilai yang ditetapkan.

Batasan kebijakan organisasi Cloud Key Management Service

Batasan Kebijakan Organisasi	Deskripsi
`cloudkms.allowedProtectionLevels`	Tetapkan ke `EXTERNAL` dan `EXTERNAL_VPC`. Membatasi jenis CryptoKey Cloud Key Management Service yang dapat dibuat, dan disetel untuk hanya mengizinkan jenis kunci `EXTERNAL` dan `EXTERNAL_VPC`.

Fitur yang terpengaruh

Bagian ini mencantumkan dampak fitur atau kemampuan setiap layanan terhadap TSI Sovereign Cloud.

Fitur Compute Engine

Fitur	Deskripsi
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Penangguhan dan pengaktifan kembali instance VM memerlukan penyimpanan disk persisten, dan penyimpanan disk persisten yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami kedaulatan data dan implikasi residensi data dari mengaktifkan fitur ini.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena saat ini SSD Lokal tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami kedaulatan data dan implikasi residensi data dari mengaktifkan fitur ini.
Melihat output port serial	Fitur ini dinonaktifkan; Anda tidak akan dapat melihat output secara terprogram atau melalui Cloud Logging. Ubah nilai batasan kebijakan organisasi `compute.disableSerialPortLogging` menjadi False untuk mengaktifkan output port serial.
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data dalam penyimpanan dan data yang sedang digunakan yang tidak dienkripsi. Bergantung pada konfigurasi VM Anda, update untuk software ini mungkin diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, bagi pelanggan yang menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi `compute.trustedImageProjects`. Lihat topik Mem-build image kustom untuk mengetahui informasi selengkapnya.
`instances.getSerialPortOutput()`	API ini dinonaktifkan; Anda tidak akan dapat mendapatkan output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di topik ini.
`instances.getScreenshot()`	API ini dinonaktifkan; Anda tidak akan dapat mendapatkan screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di topik ini.

Fitur Cloud Logging

Konfigurasi Cloud Logging tambahan yang diperlukan untuk CMEK

Untuk menggunakan Cloud Logging dengan Kunci Enkripsi yang Dikelola Pelanggan (CMEK), Anda harus menyelesaikan langkah-langkah dalam topik Mengaktifkan CMEK untuk organisasi dalam dokumentasi Cloud Logging.

Fitur Cloud Logging yang terpengaruh

Fitur	Deskripsi
Sink log	Filter tidak boleh berisi Data Pelanggan. Penampung log menyertakan filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Entri log pelacakan langsung	Filter tidak boleh berisi Data Pelanggan. Sesi pelacakan langsung menyertakan filter yang disimpan sebagai konfigurasi. Log tailing tidak menyimpan data entri log itu sendiri, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.
Pemberitahuan berbasis log	Fitur ini dinonaktifkan. Anda tidak dapat membuat pemberitahuan berbasis log di konsol Google Cloud .
URL yang dipersingkat untuk kueri Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat membuat URL kueri yang disingkat di konsol Google Cloud .
Menyimpan kueri di Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat menyimpan kueri apa pun di konsol Google Cloud .
Log Analytics menggunakan BigQuery	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur Log Analytics.