The names for some Assured Workloads control packages have changed. For information about the name change, see Control package renaming notice.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Data Boundary for Criminal Justice Information Systems (CJIS)

בדף הזה מפורטות אמצעי הבקרה שמוחלים על עומסי עבודה של CJIS ב-Assured Workloads. הוא כולל מידע מפורט על מיקום הנתונים, על מוצרים נתמכים Google Cloud ונקודות הקצה שלהם ב-API, ועל הגבלות או מגבלות שחלות על המוצרים האלה. המידע הנוסף הבא רלוונטי ל-CJIS:

מיקום האחסון של הנתונים: חבילת אמצעי הבקרה של CJIS מגדירה אמצעי בקרה למיקום הנתונים כדי לתמוך באזורים בארה"ב בלבד. מידע נוסף זמין בקטע Google Cloud-wide organization policy constraints.
תמיכה: שירותי תמיכה טכנית לעומסי עבודה של CJIS זמינים עם מינויים ל-Cloud Customer Care ברמות Enhanced או Premium. בקשות תמיכה בנושא עומסי עבודה של CJIS מועברות לאנשים בארה"ב שעברו בדיקות רקע של CJIS. מידע נוסף זמין במאמר בנושא קבלת תמיכה.
תמחור: חבילת הבקרה של CJIS כלולה ברמת Premium של Assured Workloads, שכוללת חיוב נוסף של 20%. מידע נוסף זמין במאמר בנושא תמחור של Assured Workloads.

דרישות מוקדמות

כדי להמשיך לעמוד בדרישות כמשתמש בחבילת אמצעי הבקרה של CJIS, צריך לוודא שאתם עומדים בדרישות המוקדמות הבאות ופועלים לפיהן:

יוצרים תיקיית CJIS באמצעות Assured Workloads ומפריסים את עומסי העבודה של CJIS רק בתיקייה הזו.
צריך להפעיל ולהשתמש רק בשירותים שתואמים ל-CJIS עבור עומסי עבודה שתואמים ל-CJIS.
אל תשתמשו בשרתי Google Cloud MCP אלא אם צוין אחרת. ‫CJIS לא מספק אמצעי בקרה על מיקום הנתונים בשרתי Google Cloud MCP, כשמדובר בנתונים שנמצאים בשימוש ובנתונים במעבר. כדי לחסום גישה לא רצויה לשרתי Google Cloud MCP, אפשר לעיין במאמר שליטה בשימוש בשרתי Google Cloud MCP באמצעות IAM.
אל תשנו את ערכי ברירת המחדל של האילוצים במדיניות הארגון, אלא אם אתם מבינים את הסיכונים של אחסון נתונים במדינה מסוימת שעלולים להתרחש ומוכנים לקבל אותם.
מומלץ לפעול לפי השיטות המומלצות הכלליות לאבטחה שמפורטות בGoogle Cloud מרכז השיטות המומלצות לאבטחה.
כשניגשים למסוף Google Cloud , אפשר להשתמש במסוף Google Cloud לפי תחום שיפוט. לא נדרש להשתמש במסוף Google Cloud השיפוט עבור CJIS. אפשר לגשת אליו באחת מכתובות ה-URL הבאות:
- console.us.cloud.google.com
- ‫console.us.cloud.google למשתמשים עם זהויות מאוחדות

מוצרים נתמכים ונקודות קצה של API

אלא אם צוין אחרת, המשתמשים יכולים לגשת לכל המוצרים הנתמכים דרך מסוף Google Cloud . בטבלה הבאה מפורטות הגבלות שמשפיעות על התכונות של מוצר נתמך, כולל הגבלות שנאכפות באמצעות הגדרות של אילוצי מדיניות הארגון.

אם מוצר לא מופיע ברשימה, הוא לא נתמך ולא עומד בדרישות הבקרה של CJIS. לא מומלץ להשתמש במוצרים לא נתמכים בלי לבצע בדיקת נאותות ולהבין היטב את האחריות שלכם במסגרת מודל האחריות המשותפת. לפני שמשתמשים במוצר שלא נתמך, חשוב לוודא שאתם מודעים לסיכונים הכרוכים בכך ומוכנים לקבל אותם, כמו השפעות שליליות על מיקום הנתונים או על ריבונות הנתונים.

מוצר נתמך	נקודות קצה ל-API	הגבלות
Access Context Manager	`accesscontextmanager.googleapis.com`	ללא
Access Transparency	`accessapproval.googleapis.com`	ללא
Agent Assist	`dialogflow.googleapis.com`	ללא
‫AlloyDB ל-PostgreSQL	`alloydb.googleapis.com`	ללא
Apigee	`apigee.googleapis.com`	ללא
App Hub	`apphub.googleapis.com`	ללא
Application Integration	`integrations.googleapis.com`	ללא
Artifact Registry	`artifactregistry.googleapis.com`	ללא
גיבוי ל-GKE	`gkebackup.googleapis.com`	ללא
BigQuery	`bigquery.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	תכונות שהושפעו
שירות העברת נתונים ל-BigQuery	`bigquerydatatransfer.googleapis.com`	ללא
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	ללא
Binary Authorization	`binaryauthorization.googleapis.com`	ללא
Certificate Authority Service	`privateca.googleapis.com`	ללא
‫Certificate Manager	`certificatemanager.googleapis.com`	ללא
מאגר משאבי ענן	`cloudasset.googleapis.com`	ללא
Cloud Build	`cloudbuild.googleapis.com`	ללא
Cloud DNS	`dns.googleapis.com`	תכונות שהושפעו
Cloud Data Fusion	`datafusion.googleapis.com`	ללא
Cloud Deploy	`clouddeploy.googleapis.com`	ללא
Cloud Domains	`domains.googleapis.com`	ללא
‫Cloud External Key Manager ‏ (Cloud EKM)	`cloudkms.googleapis.com`	ללא
Cloud HSM	`cloudkms.googleapis.com`	ללא
Cloud Identity	`cloudidentity.googleapis.com`	ללא
Cloud Interconnect	`compute.googleapis.com`	תכונות שהושפעו
Cloud Key Management Service ‏(Cloud KMS)	`cloudkms.googleapis.com`	מגבלות שקשורות למדיניות הארגון
Cloud Load Balancing	`compute.googleapis.com`	תכונות שהושפעו
Cloud Logging	`logging.googleapis.com`	תכונות שהושפעו
Cloud Monitoring	`monitoring.googleapis.com`	תכונות שהושפעו
Cloud NAT	`compute.googleapis.com`	תכונות שהושפעו
Cloud OS Login API	`oslogin.googleapis.com`	ללא
Cloud Router	`compute.googleapis.com`	תכונות שהושפעו
Cloud Run	`run.googleapis.com`	תכונות שהושפעו
פונקציות Cloud Run	`run.googleapis.com`	ללא
Cloud SQL	`sqladmin.googleapis.com`	ללא
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	ללא
Cloud Storage	`storage.googleapis.com`	ללא
Cloud Tasks	`cloudtasks.googleapis.com`	ללא
‫Cloud VPN	`compute.googleapis.com`	תכונות שהושפעו
Cloud Vision API	`vision.googleapis.com`	ללא
Cloud Workstations	`workstations.googleapis.com`	ללא
Compliance Manager	`cloudsecuritycompliance.googleapis.com`	ללא
Compute Engine	`compute.googleapis.com`	התכונות שיושפעו ומגבלות שקשורות למדיניות הארגון
Connect	`gkeconnect.googleapis.com`	ללא
Dialogflow CX	`dialogflow.googleapis.com`	ללא
Customer Experience Insights	`contactcenterinsights.googleapis.com`	תכונות שהושפעו
Data Security Posture Management	`Not applicable`	ללא
Database Center	`databasecenter.googleapis.com`	ללא
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	ללא
Dataform	`dataform.googleapis.com`	תכונות שהושפעו
‫Document AI	`documentai.googleapis.com`	ללא
Essential Contacts	`essentialcontacts.googleapis.com`	ללא
Eventarc	`eventarc.googleapis.com`	ללא
מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי	`compute.googleapis.com`	ללא
Filestore	`file.googleapis.com`	ללא
כללי אבטחה של Firebase	`firebaserules.googleapis.com`	ללא
Firestore	`firestore.googleapis.com`	ללא
‫GKE Hub	`gkehub.googleapis.com`	ללא
‫GKE Identity Service	`anthosidentityservice.googleapis.com`	ללא
סטרימינג של תמונות ב-GKE	`containerfilesystem.googleapis.com`	ללא
‫Gemini Enterprise	`discoveryengine.googleapis.com`	תכונות שהושפעו
‫AI גנרטיבי ב-Vertex AI	`aiplatform.googleapis.com`	ללא
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	תכונות שהושפעו
Google Kubernetes Engine (GKE)‎	`container.googleapis.com` `containersecurity.googleapis.com`	ללא
מסוף Google Admin	`Not applicable`	ללא
ניהול זהויות והרשאות גישה (IAM)	`iam.googleapis.com`	ללא
שרת proxy לאימות זהויות (IAP)	`iap.googleapis.com`	ללא
Infrastructure Manager	`config.googleapis.com`	ללא
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי	`compute.googleapis.com`	ללא
הצדקות גישה למפתחות	`cloudekm.googleapis.com` `cloudkms.googleapis.com`	ללא
Knowledge Catalog	`dataplex.googleapis.com` `datalineage.googleapis.com`	תכונות שהושפעו
‫Looker (Google Cloud core)	`looker.googleapis.com`	ללא
Managed Service for Apache Airflow	`composer.googleapis.com`	ללא
‫Managed Service for Apache Spark	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	ללא
‫Memorystore for Redis	`redis.googleapis.com`	ללא
הגנה מוגברת על המודל	`modelarmor.googleapis.com`	ללא
Network Connectivity Center	`networkconnectivity.googleapis.com`	תכונות שהושפעו
Organization Policy Service	`orgpolicy.googleapis.com`	ללא
Persistent Disk	`compute.googleapis.com`	ללא
Pub/Sub	`pubsub.googleapis.com`	ללא
מאזן עומסים חיצוני אזורי של אפליקציות (ALB)	`compute.googleapis.com`	ללא
מאזן עומסי רשת אזורי חיצוני בשרת proxy	`compute.googleapis.com`	ללא
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	`compute.googleapis.com`	ללא
מאזן עומסי רשת פנימי אזורי בשרת proxy	`compute.googleapis.com`	ללא
מנהל המשאבים	`cloudresourcemanager.googleapis.com`	ללא
Secret Manager	`secretmanager.googleapis.com`	ללא
Secure Source Manager	`securesourcemanager.googleapis.com`	ללא
‫Security Command Center Premium	`securitycenter.googleapis.com` `securitycentermanagement.googleapis.com` `securityposture.googleapis.com` `websecurityscanner.googleapis.com`	ללא
Sensitive Data Protection	`dlp.googleapis.com`	ללא
Spanner	`spanner.googleapis.com`	מגבלות שקשורות למדיניות הארגון
המרת דיבור לטקסט (STT)	`speech.googleapis.com`	תכונות שהושפעו
Storage Transfer Service	`storagetransfer.googleapis.com`	ללא
המרת טקסט לדיבור (TTS)	`texttospeech.googleapis.com`	ללא
VM Manager	`osconfig.googleapis.com`	ללא
VPC Service Controls	`accesscontextmanager.googleapis.com`	ללא
חיזוי של Vertex AI Batch	`aiplatform.googleapis.com`	ללא
Vertex AI Model Monitoring	`aiplatform.googleapis.com`	ללא
מרשם המודלים של Vertex AI	`aiplatform.googleapis.com`	ללא
חיזוי אונליין של Vertex AI	`aiplatform.googleapis.com`	ללא
Vertex AI Pipelines	`aiplatform.googleapis.com`	ללא
חיפוש על ידי סוכן	`discoveryengine.googleapis.com`	תכונות שהושפעו
Vertex AI Training	`aiplatform.googleapis.com`	ללא
Vertex AI Workbench	`notebooks.googleapis.com`	ללא
ענן וירטואלי פרטי (VPC)	`compute.googleapis.com`	ללא
Web Risk	`webrisk.googleapis.com`	ללא
איחוד שירותי אימות הזהות של כוח עבודה	`iam.googleapis.com` `sts.googleapis.com`	ללא

הגבלות ומגבלות

בקטעים הבאים מתוארות הגבלות או מגבלות שחלות על תכונות בכל Google Workspace או על מוצרים ספציפיים, כולל אילוצי מדיניות ארגונית שמוגדרים כברירת מחדל בתיקיות CJIS. Google Cloudאילוצים אחרים של מדיניות הארגון שרלוונטיים – גם אם הם לא מוגדרים כברירת מחדל – יכולים לספק הגנה נוספת כדי להגן על המשאבים של הארגון Google Cloud .

Google Cloud-wide

תכונות שיושפעו Google Cloudבכל הארגון

תכונה	תיאור
מסוףGoogle Cloud	כדי לגשת למסוף Google Cloud כשמשתמשים בחבילת בקרות CJIS, אפשר להשתמש במסוף Google Cloud Jurisdictional. אין צורך במסוף Google Cloud השיפוט לצורך CJIS, ואפשר לגשת אליו באמצעות אחת מכתובות ה-URL הבאות: console.us.cloud.google.com ‫console.us.cloud.google למשתמשים עם זהות מאוחדת

תכונה

תיאור

מסוףGoogle Cloud

כדי לגשת למסוף Google Cloud כשמשתמשים בחבילת בקרות CJIS, אפשר להשתמש במסוף Google Cloud Jurisdictional. אין צורך במסוף Google Cloud השיפוט לצורך CJIS, ואפשר לגשת אליו באמצעות אחת מכתובות ה-URL הבאות:

console.us.cloud.google.com
‫console.us.cloud.google למשתמשים עם זהות מאוחדת

Google Cloudאילוצים של מדיניות הארגון

האילוצים הבאים של מדיניות הארגון חלים על כל Google Cloud.

אילוץ של מדיניות הארגון	תיאור
`gcp.resourceLocations`	מגדירים את המיקומים הבאים ברשימה `allowedValues`: `us-locations` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` הערך הזה מגביל את יצירת המשאבים החדשים לערכים שנבחרו. אם המדיניות מוגדרת, אי אפשר ליצור משאבים באזורים אחרים, באזורים שכוללים מספר אזורים או במיקומים מחוץ לבחירה. במאמר בנושא שירותים שנתמכים על ידי מיקומי משאבים מפורטת רשימה של משאבים שאפשר להגביל באמצעות המגבלה של מדיניות הארגון בנושא מיקומי משאבים. יכול להיות שחלק מהמשאבים לא ייכללו בהיקף ולא ניתן יהיה להגביל אותם. שינוי הערך הזה כך שיהיה פחות מגביל עלול לפגוע במיקום הנתונים, כי הוא מאפשר ליצור או לאחסן נתונים מחוץ לגבולות נתונים תואמים.
`gcp.restrictCmekCryptoKeyProjects`	ההגדרה היא `under:organizations/your-organization-name`, שהוא הארגון שלכם ב-Assured Workloads. אפשר להגביל עוד יותר את הערך הזה על ידי ציון פרויקט או תיקייה. מגביל את היקף התיקיות או הפרויקטים שאושרו ויכולים לספק מפתחות Cloud KMS להצפנת נתונים במנוחה באמצעות CMEK. האילוץ הזה מונע מתיקיות או מפרויקטים לא מאושרים לספק מפתחות הצפנה, וכך עוזר להבטיח ריבונות הנתונים בשירותים שכלולים בהיקף ההגדרה, כשהם במנוחה.
`gcp.restrictNonCmekServices`	מוגדר לרשימה של כל שמות השירותים של ה-API שנכללים בהיקף, כולל: `bigquery.googleapis.com` `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` יכול להיות שחלק מהתכונות יושפעו בכל אחד מהשירותים שמפורטים למעלה. כל שירות שמופיע ברשימה דורש מפתחות הצפנה בניהול הלקוח (CMEK). הצפנת CMEK מתבצעת על נתונים באחסון באמצעות מפתח שמנוהל על ידכם, ולא באמצעות מנגנוני ההצפנה שמוגדרים כברירת מחדל ב-Google. שינוי הערך הזה על ידי הסרת שירות אחד או יותר מהרשימה עלול לפגוע בריבונות הנתונים, כי נתונים חדשים במצב מנוחה יוצפנו באופן אוטומטי באמצעות המפתחות של Google ולא המפתחות שלכם. נתונים קיימים באחסון יישארו מוצפנים באמצעות המפתח שסיפקתם.
`gcp.restrictServiceUsage`	ההגדרה צריכה להיות 'אפשרות שמאפשרת שימוש בכל נקודות הקצה של מוצרי API נתמכים'. הגבלת הגישה בזמן הריצה למשאבים של שירותים מסוימים, כדי לקבוע באילו שירותים אפשר להשתמש. מידע נוסף זמין במאמר בנושא הגבלת השימוש במשאבים.
`gcp.restrictTLSVersion`	הגדרה לדחיית גרסאות ה-TLS הבאות: `TLS_1_0` `TLS_1_1` מידע נוסף זמין במאמר בנושא הגבלת גרסאות TLS.

BigQuery

תכונות BigQuery שמושפעות

תכונה	תיאור
הפעלת BigQuery בתיקייה חדשה	‫BigQuery נתמך, אבל הוא לא מופעל באופן אוטומטי כשיוצרים תיקייה חדשה של Assured Workloads בגלל תהליך הגדרה פנימי. בדרך כלל התהליך הזה מסתיים תוך עשר דקות, אבל בנסיבות מסוימות הוא יכול להימשך הרבה יותר זמן. כדי לבדוק אם התהליך הסתיים ולהפעיל את BigQuery, מבצעים את השלבים הבאים: נכנסים לדף Assured Workloads במסוף Google Cloud . מעבר אל Assured Workloads בוחרים את התיקייה החדשה של Assured Workloads מהרשימה. בדף פרטי התיקייה, בקטע שירותים מורשים, לוחצים על בדיקת עדכונים זמינים. בחלונית Allowed services (שירותים מותרים), בודקים את השירותים שרוצים להוסיף למדיניות הארגון Resource Usage Restriction (הגבלת השימוש במשאבים) של התיקייה. אם שירותי BigQuery מופיעים ברשימה, לוחצים על Allow Services (התרת שירותים) כדי להוסיף אותם. אם שירותי BigQuery לא מופיעים ברשימה, צריך לחכות עד שהתהליך הפנימי יסתיים. אם השירותים לא מופיעים תוך 12 שעות מיצירת התיקייה, צריך לפנות אל Cloud Customer Care. אחרי שתהליך ההפעלה יושלם, תוכלו להשתמש ב-BigQuery בתיקייה Assured Workloads. ‫Gemini ב-BigQuery לא נתמך על ידי Assured Workloads.
תכונות שלא נתמכות	אין תמיכה בתכונות הבאות של BigQuery, ואסור להשתמש בהן בכלי BigQuery CLI. באחריותכם לא להשתמש בהם ב-BigQuery עבור Assured Workloads. אינטראקציה עם מקורות נתונים מרוחקים אין תמיכה ב מודלים של BQML שאומנו חיצונית. יש תמיכה במודלים של BQML שעברו אימון פנימי. אין תמיכה בהסתרת נתונים באמצעות תגי מדיניות. יש תמיכה בהסתרת נתונים באמצעות החלת מדיניות נתונים ישירות על עמודות. ייצוא ל-Google Drive פונקציות מרחוק שאילתות שמורות תזמון תהליך עבודה ב-BigQuery Studio,‏ notebooks לא נתמכים. ‫Gemini ב-BigQuery לא נתמך.
‫BigQuery CLI	יש תמיכה ב-BigQuery CLI.
Google Cloud SDK	כדי לשמור על ההתחייבויות בנוגע לאזוריות הנתונים של נתונים טכניים, צריך להשתמש בגרסה 403.0.0 ואילך של Google Cloud SDK. כדי לוודא מהי גרסת Google Cloud SDK הנוכחית, מריצים את הפקודה `gcloud --version` ואז את הפקודה `gcloud components update` כדי לעדכן לגרסה החדשה ביותר.
אמצעי בקרה לאדמינים	מערכת BigQuery תשבית ממשקי API שלא נתמכים, אבל אדמינים עם הרשאות מספיקות ליצירת תיקיות של Assured Workloads יכולים להפעיל ממשק API שלא נתמך. אם זה יקרה, תקבלו הודעה על אי-תאימות פוטנציאלית דרך לוח הבקרה של Assured Workloads.
טעינת נתונים	אין תמיכה במחברים של שירות העברת נתונים ל-BigQuery עבור אפליקציות של Google Software as a Service‏ (SaaS), ספקי אחסון בענן חיצוניים ומחסני נתונים. באחריותכם לא להשתמש במחברים של שירות העברת הנתונים ל-BigQuery בעומסי עבודה של CJIS.
העברות לצד שלישי	‫BigQuery לא מאמת את התמיכה בהעברות של צד שלישי בשירות העברת הנתונים ל-BigQuery. באחריותכם לוודא שיש תמיכה כשמשתמשים בהעברה של צד שלישי בשירות העברת הנתונים ל-BigQuery.
מודלים של BQML שלא עומדים בדרישות	מודלים של BQML שאומנו חיצונית לא נתמכים.
משימות של השאילתה	צריך ליצור משימות של שאילתות רק בתיקיות Assured Workloads.
שאילתות במערכי נתונים בפרויקטים אחרים	‫BigQuery לא מונע הפעלת שאילתות על מערכי נתונים של Assured Workloads מפרויקטים שאינם Assured Workloads. חשוב לוודא שכל שאילתה שכוללת קריאה או צירוף של נתונים מ-Assured Workloads ממוקמת בתיקיות של Assured Workloads. אפשר לציין שם טבלה מלא לתוצאת השאילתה באמצעות `projectname.dataset.table` ב-BigQuery CLI.
Cloud Logging	חלק מנתוני היומן שלכם מועברים ל-BigQuery דרך Cloud Logging. כדי לשמור על תאימות, צריך להשבית את קטגוריות היומנים של `_default` או להגביל את הקטגוריות של `_default` לאזורים שכלולים בהיקף באמצעות הפקודה הבאה: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` מידע נוסף זמין במאמר בנושא הגדרת אזור ליומנים.

Cloud Interconnect

התכונות שיושפעו ב-Cloud Interconnect

תכונה	תיאור
VPN בזמינות גבוהה (HA)	כשמשתמשים ב-Cloud Interconnect עם Cloud VPN, צריך להפעיל את הפונקציונליות של VPN בזמינות גבוהה (HA). בנוסף, אתם צריכים לעמוד בדרישות ההצפנה והאזורים שמפורטות בקטע תכונות Cloud VPN שמושפעות.

Cloud KMS

אילוצים של מדיניות הארגון ב-Cloud KMS

אילוץ של מדיניות הארגון	תיאור
`cloudkms.allowedProtectionLevels`	ההגדרה מאפשרת ליצור מפתחות קריפטוגרפיים של Cloud Key Management Service עם רמות ההגנה הבאות: `SOFTWARE` `HSM` `EXTERNAL` `EXTERNAL_VPC` מידע נוסף זמין במאמר בנושא רמות הגנה.

Cloud Logging

התכונות שיושפעו ב-Cloud Logging

תכונה	תיאור
פריטי Sink ביומן	המסננים לא צריכים להכיל נתוני לקוחות. אובייקטי sink ביומן כוללים מסננים שמאוחסנים כהגדרות. אל תיצרו מסננים שמכילים נתוני לקוחות.
רישום ביומן בזמן אמת	המסננים לא צריכים להכיל נתוני לקוחות. סשן של מעקב בזמן אמת כולל מסנן שמאוחסן כתצורה. הפעלת tailing ביומנים לא מאחסנת נתוני רשומות ביומן, אבל יכולה לשלוח שאילתות ולהעביר נתונים בין אזורים. אל תיצרו מסננים שמכילים נתוני לקוחות.
מדיניות התראות שמבוססת על SQL	התכונה הזו מושבתת. אין לך אפשרות להשתמש בתכונה של מדיניות התראות מבוססת-SQL.

Cloud Monitoring

התכונות שיושפעו ב-Cloud Monitoring

תכונה	תיאור
Synthetic Monitor	התכונה הזו מושבתת.
בדיקת זמני פעילות	התכונה הזו מושבתת.
ווידג'טים של חלונית היומן בלוחות בקרה	התכונה הזו מושבתת. אי אפשר להוסיף חלונית יומן ללוח בקרה.
ווידג'טים של לוחות לדיווח על שגיאות במרכזי בקרה	התכונה הזו מושבתת. אי אפשר להוסיף לוח בקרה לדיווח על שגיאות.
סינון ב`EventAnnotation` במרכזי בקרה	התכונה הזו מושבתת. Filter of `EventAnnotation` cannot be set in a dashboard.
`SqlCondition` ב-`alertPolicies`	התכונה הזו מושבתת. אי אפשר להוסיף `SqlCondition` אל `alertPolicy`.

Cloud Run

תכונות Cloud Run שמושפעות

תכונה	תיאור
תכונות שלא נתמכות	התכונות הבאות של Cloud Run לא נתמכות: שילוב עם Cloud Trace פונקציות Cloud Run טריגרים של Eventarc

Cloud VPN

תכונות Cloud VPN שמושפעות

תכונה	תיאור
נקודות קצה של VPN	חובה להשתמש רק בנקודות קצה של Cloud VPN שנמצאות באזור שכלול בהיקף. מוודאים ששער ה-VPN מוגדר לשימוש רק באזור שכלול בהיקף.

Compute Engine

תכונות מושפעות של Compute Engine

תכונה	תיאור
השהיה וחידוש של מכונת VM	התכונה הזו מושבתת. השהיה והפעלה מחדש של מכונת VM דורשות אחסון בדיסק מתמיד, ובשלב הזה אי אפשר להצפין את האחסון בדיסק מתמיד שמשמש לאחסון מצב ה-VM המושהה באמצעות CMEK. כדי להבין את ההשלכות של הפעלת התכונה הזו על ריבונות הנתונים ועל מיקום הנתונים, אפשר לעיין במגבלת המדיניות של הארגון `gcp.restrictNonCmekServices` בקטע שלמעלה.
Local SSDs	התכונה הזו מושבתת. לא תוכלו ליצור מופע עם כונני SSD מקומיים כי אי אפשר להצפין אותם באמצעות CMEK. בקטע שלמעלה מוסבר על האילוץ של מדיניות הארגון `gcp.restrictNonCmekServices`, כדי להבין את ההשלכות של הפעלת התכונה הזו על ריבונות הנתונים ועל מיקום הנתונים.
סביבת אורח	יכול להיות שסקריפטים, תהליכי רקע וקבצים בינאריים שכלולים בסביבת האורח יוכלו לגשת לנתונים לא מוצפנים במנוחה ובשימוש. יכול להיות שעדכונים לתוכנה הזו יותקנו כברירת מחדל, בהתאם להגדרות של המכונה הווירטואלית. מידע ספציפי על התוכן, קוד המקור ועוד של כל חבילה זמין במאמר בנושא סביבת אורח. הרכיבים האלה עוזרים לכם לעמוד בדרישות של ריבונות נתונים באמצעות אמצעי בקרה ותהליכים פנימיים. עם זאת, אם אתם רוצים שליטה נוספת, אתם יכולים גם לבחור תמונות או סוכנים משלכם, ואם תרצו, תוכלו להשתמש באילוץ `compute.trustedImageProjects` של מדיניות הארגון. מידע נוסף זמין במאמר בנושא יצירת תמונה בהתאמה אישית.
OS policies in VM Manager	סקריפטים מוטבעים וקבצים בינאריים של פלט בקובצי מדיניות של מערכת ההפעלה לא מוצפנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK). אל תכללו מידע רגיש בקבצים האלה. מומלץ לאחסן את הסקריפטים האלה ואת קובצי הפלט בקטגוריות של Cloud Storage. דוגמאות למדיניות של מערכת הפעלה אם רוצים להגביל את היצירה או השינוי של משאבי מדיניות מערכת הפעלה שמשתמשים בסקריפטים מוטבעים או בקובצי פלט בינאריים, צריך להפעיל את אילוץ מדיניות הארגון `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. מידע נוסף זמין במאמר מגבלות של OS Config.
`instances.getSerialPortOutput()`	ממשק ה-API הזה מושבת. לא תהיה לכם אפשרות לקבל פלט של יציאה טורית מהמופע שצוין באמצעות ה-API הזה. כדי להפעיל את ה-API הזה, משנים את הערך של `compute.disableInstanceDataAccessApis` האילוץ של מדיניות הארגון ל-False. אפשר גם להפעיל ולהשתמש ביציאה הטורית האינטראקטיבית לפי ההוראות שבקטע הפעלת גישה לפרויקט.
`instances.getScreenshot()`	ממשק ה-API הזה מושבת. לא תהיה לך אפשרות לצלם צילום מסך מהמופע שצוין באמצעות ה-API הזה. כדי להפעיל את ה-API הזה, משנים את הערך של `compute.disableInstanceDataAccessApis` האילוץ של מדיניות הארגון ל-False. אפשר גם להפעיל ולהשתמש ביציאה הטורית האינטראקטיבית לפי ההוראות שבקטע הפעלת גישה לפרויקט.

מגבלות של מדיניות הארגון ב-Compute Engine

אילוץ של מדיניות הארגון	תיאור
`compute.disableGlobalCloudArmorPolicy`	מגדירים את הערך True. משבית את היצירה של כללי מדיניות גלובליים לאבטחה ב-Google Cloud Armor ואת ההוספה או השינוי של כללים בכללי מדיניות גלובליים קיימים לאבטחה ב-Google Cloud Armor. המגבלה הזו לא חלה על הסרת כללים או על היכולת להסיר או לשנות את התיאור ואת כרטיס המוצר של מדיניות אבטחה גלובלית של Google Cloud Armor. האילוץ הזה לא משפיע על כללי מדיניות האבטחה האזוריים של Google Cloud Armor. כל כללי המדיניות הגלובליים והאזוריים לאבטחה שקיימים לפני האכיפה של ההגבלה הזו יישארו בתוקף.
`compute.disableInstanceDataAccessApis`	מגדירים את הערך True. משבית את ממשקי ה-API של `instances.getSerialPortOutput()` ושל `instances.getScreenshot()` בכל העולם. הפעלת האילוץ הזה מונעת יצירת פרטי כניסה במכונות וירטואליות של Windows Server. אם אתם צריכים לנהל שם משתמש וסיסמה במכונת VM של Windows, אתם יכולים לפעול לפי השלבים הבאים: הפעלת SSH למכונות וירטואליות של Windows. מריצים את הפקודה הבאה כדי לשנות את הסיסמה של מכונת ה-VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" מחליפים את מה שכתוב בשדות הבאים: ‫`VM_NAME`: השם של המכונה הווירטואלית שאתם מגדירים לה סיסמה. ‫`USERNAME`: שם המשתמש של המשתמש שרוצים להגדיר לו סיסמה. `PASSWORD`: הסיסמה החדשה.
`compute.restrictNonConfidentialComputing`	(אופציונלי) לא הוגדר ערך. כדאי להגדיר את הערך הזה כדי לספק הגנה נוספת. מידע נוסף זמין במאמרי העזרה בנושא מכונות וירטואליות חסויות.
`compute.trustedImageProjects`	(אופציונלי) לא הוגדר ערך. כדאי להגדיר את הערך הזה כדי לספק הגנה נוספת. הגדרת הערך הזה מגבילה את אחסון התמונות ואת יצירת המופעים של הדיסקים לרשימה שצוינה של פרויקטים. הערך הזה משפיע על ריבונות הנתונים, כי הוא מונע שימוש בתמונות או בסוכנים לא מורשים.

תובנות לגבי חוויית הלקוח

התכונות שיושפעו ב-Customer Experience Insights

תכונה	תיאור
AI איכותי עם שיחות לדוגמה	האחריות שלכם היא לא להשתמש בתכונה הזו, כי היא לא עומדת בדרישות של CJIS.

Dataform

התכונות המושפעות ב-Dataform

תכונה	תיאור
תכונות	באחריותכם לא להשתמש במוצר Vertex Colab Enterprise או בתכונות שלו, כי הוא לא עומד בדרישות של CJIS.

Knowledge Catalog

תכונות של Knowledge Catalog

תכונה	תיאור
Attribute Store	התכונה הזו יצאה משימוש והיא מושבתת.
Data Catalog	התכונה הזו יצאה משימוש והיא מושבתת. אי אפשר לחפש את המטא-נתונים או לנהל אותם בקטלוג הנתונים.
אגמים ואזורים	התכונה הזו מושבתת. אין לכם אפשרות לנהל אגמים, אזורים ומשימות.

Gemini Enterprise

תכונות של Gemini Enterprise

תכונה	תיאור
עיגון בנתונים מהאינטרנט לארגונים	‫Gemini Enterprise כולל תמיכה בתכונה Web Grounding for Enterprise. מידע נוסף זמין בדף הנחיות לפריסה של Gemini for Government.

Google Cloud Armor

התכונות של Google Cloud Armor שהושפעו

תכונה	תיאור
כללי מדיניות גלובליים לאבטחה	התכונה הזו מושבתת בגלל הגבלת המדיניות של הארגון `compute.disableGlobalCloudArmorPolicy`.

Spanner

התכונות שיושפעו ב-Spanner

תכונה	תיאור
פיצול גבולות	‫Spanner משתמש בקבוצת משנה קטנה של מפתחות ראשיים ועמודות עם אינדקס כדי להגדיר גבולות פיצול, שעשויים לכלול נתוני לקוחות ומטא-נתונים. גבול פיצול ב-Spanner מציין את המיקום שבו טווחים רציפים של שורות מפולחים לחלקים קטנים יותר. אנשי צוות של Google יכולים לגשת לגבולות המפוצלים האלה למטרות תמיכה טכנית וניפוי באגים, והם לא כפופים לאמצעי בקרה על גישה לנתונים אדמיניסטרטיביים ב-Assured Workloads.