Confine per i dati nell'UE con giustificazioni di accesso

Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro del confine per i dati nell'UE con giustificazioni di accesso in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, sui prodotti Google Cloud supportati e sui relativi endpoint API e su eventuali restrizioni o limitazioni applicabili a questi prodotti.

Le seguenti informazioni aggiuntive si applicano al confine per i dati nell'UE con giustificazioni di accesso:

  • Residenza dei dati: il pacchetto di controlli del confine per i dati nell'UE con giustificazioni di accesso imposta i controlli della località dei dati in modo da supportare le regioni solo UE. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
  • Assistenza: i servizi di assistenza tecnica per i carichi di lavoro del confine per i dati nell'UE con giustificazioni di accesso sono disponibili con gli abbonamenti all'assistenza clienti Google Cloud Premium o Avanzata. I casi di assistenza per i carichi di lavoro del confine per i dati nell'UE con giustificazioni di accesso vengono indirizzati al personale dell'UE che si trova nell'UE. Per ulteriori informazioni, vedi Richiedere assistenza.
  • Prezzi: il pacchetto di controlli del confine dei dati dell'UE con Key Access Justifications è incluso nel livello Premium di Assured Workloads, che comporta un costo aggiuntivo del 5%. Per ulteriori informazioni, consulta i prezzi di Assured Workloads.

Prerequisiti

Prima di eseguire il deployment dei carichi di lavoro nel confine per i dati nell'UE con giustificazioni di accesso, verifica di soddisfare e aver completato i seguenti prerequisiti:

  • Crea una cartella Confine per i dati nell'UE con giustificazioni di accesso utilizzando Assured Workloads ed esegui il deployment dei workload solo in questa cartella.
  • Non modificare i valori predefiniti del vincolo dei criteri dell'organizzazione a meno che tu non comprenda e non voglia accettare i rischi di residenza dei dati che potrebbero verificarsi.
  • Quando accedi alla console Google Cloud per i carichi di lavoro del confine per i dati nell'UE con giustificazioni di accesso, devi utilizzare uno dei seguenti URL della console giurisdizionale Google Cloud specifici per l'UE:
  • Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Google Cloud Centro best practice per la sicurezza.

Prodotti ed endpoint API supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.

Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per il confine per i dati nell'UE con giustificazioni di accesso. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, ad esempio impatti negativi sulla residenza o sulla sovranità dei dati.

Prodotto supportato Endpoint API Restrizioni o limitazioni
Gestore contesto accesso accesscontextmanager.googleapis.com
 Nessuno
Access Transparency accessapproval.googleapis.com
 Nessuno
Artifact Registry artifactregistry.googleapis.com
 Nessuno
Backup per GKE gkebackup.googleapis.com
 Nessuno
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerydatatransfer.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
 Funzionalità interessate
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
 Funzionalità interessate
Autorizzazione binaria binaryauthorization.googleapis.com
 Nessuno
Certificate Authority Service privateca.googleapis.com
 Nessuno
Cloud Build cloudbuild.googleapis.com
 Funzionalità interessate
Cloud Composer composer.googleapis.com
 Nessuno
Cloud DNS dns.googleapis.com
 Nessuno
Cloud HSM cloudkms.googleapis.com
 Nessuno
Cloud Interconnect compute.googleapis.com
 Funzionalità interessate
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
 Vincoli delle policy dell'organizzazione
Cloud Load Balancing compute.googleapis.com
 Nessuno
Cloud Logging logging.googleapis.com
 Funzionalità interessate
Cloud Monitoring monitoring.googleapis.com
 Funzionalità interessate
Cloud NAT compute.googleapis.com
 Nessuno
Router Cloud compute.googleapis.com
 Nessuno
Cloud Run run.googleapis.com
 Funzionalità interessate
Cloud SQL sqladmin.googleapis.com
 Vincoli delle policy dell'organizzazione
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
trafficdirector.googleapis.com
networkservices.google.com
 Nessuno
Cloud Storage storage.googleapis.com
 Funzionalità interessate e vincoli delle policy dell'organizzazione
Cloud VPN compute.googleapis.com
 Funzionalità interessate
Cloud Workstations workstations.googleapis.com
 Nessuno
Compute Engine compute.googleapis.com
 Funzionalità interessate e vincoli delle policy dell'organizzazione
Connect gkeconnect.googleapis.com
connectgateway.googleapis.com
 Nessuno
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
 Nessuno
Dataplex Universal Catalog dataplex.googleapis.com
datalineage.googleapis.com
 Funzionalità interessate
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
 Funzionalità interessate
Filestore file.googleapis.com
 Nessuno
Regole di sicurezza Firebase firebaserules.googleapis.com
 Nessuno
Firestore firestore.googleapis.com
 Nessuno
GKE Hub gkehub.googleapis.com
 Nessuno
Servizio di identità GKE anthosidentityservice.googleapis.com
 Nessuno
Google Cloud Armor compute.googleapis.com
networksecurity.googleapis.com
 Funzionalità interessate
Google Kubernetes Engine container.googleapis.com
containersecurity.googleapis.com
 Funzionalità interessate
Identity and Access Management (IAM) iam.googleapis.com
policytroubleshooter.googleapis.com
 Nessuno
Identity-Aware Proxy (IAP) iap.googleapis.com
 Nessuno
Memorystore for Redis redis.googleapis.com
 Nessuno
Network Connectivity Center networkconnectivity.googleapis.com
 Nessuno
Persistent Disk compute.googleapis.com
 Nessuno
Pub/Sub pubsub.googleapis.com
 Vincoli delle policy dell'organizzazione
Resource Manager cloudresourcemanager.googleapis.com
 Nessuno
Secret Manager secretmanager.googleapis.com
 Nessuno
Secure Source Manager securesourcemanager.googleapis.com
 Nessuno
Sensitive Data Protection dlp.googleapis.com
 Nessuno
Spanner spanner.googleapis.com
 Funzionalità interessate
Speech-to-Text speech.googleapis.com
 Nessuno
Controlli di servizio VPC accesscontextmanager.googleapis.com
 Nessuno
Virtual Private Cloud (VPC) compute.googleapis.com
 Nessuno

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi eventuali vincoli delle policy dell'organizzazione impostati per impostazione predefinita nelle cartelle del confine dei dati dell'UE con giustificazioni dell'accesso. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud dell'organizzazione.

Google Cloud-wide

Funzionalità interessate Google Cloud

Funzionalità Descrizione
ConsoleGoogle Cloud Per accedere alla console Google Cloud quando utilizzi il pacchetto di controlli del confine per i dati nell'UE con giustificazioni di accesso, devi utilizzare uno dei seguenti URL:

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli delle policy dell'organizzazione si applicano a Google Cloud.

Vincolo delle policy dell'organizzazione Descrizione
gcp.resourceLocations Imposta le seguenti località nell'elenco allowedValues:
  • europe-central2
  • europe-north1
  • europe-north2
  • europe-southwest1
  • europe-west1
  • europe-west10
  • europe-west12
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
Questo valore limita la creazione di nuove risorse ai valori selezionati. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero non rientrare nell'ambito e non possono essere limitate.

La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione dei dati al di fuori di un confine dei dati conforme.
gcp.restrictCmekCryptoKeyProjects Impostato su under:organizations/your-organization-name, che è la tua organizzazione Assured Workloads. Puoi limitare ulteriormente questo valore specificando un progetto o una cartella.

Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi Cloud KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce a progetti o cartelle non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i dati inattivi dei servizi inclusi nell'ambito.
gcp.restrictNonCmekServices Impostato su un elenco di tutti i nomi di servizio API inclusi nell'ambito, tra cui:
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • documentai.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • workstations.googleapis.com
Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra.

Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK cripta i dati inattivi con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google.

La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito.
gcp.restrictServiceUsage Imposta l'opzione per consentire tutti gli endpoint API e prodotti supportati.

Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, consulta Limitazione dell'utilizzo delle risorse.
gcp.restrictTLSVersion Imposta il rifiuto delle seguenti versioni TLS:
  • TLS_1_0
  • TLS_1_1
Per saperne di più, consulta Limitare le versioni TLS.

BigQuery

Funzionalità di BigQuery interessate

Funzionalità Descrizione
Abilitazione di BigQuery in una nuova cartella BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è terminato e per abilitare BigQuery, completa i seguenti passaggi:
  1. Nella console Google Cloud , vai alla pagina Assured Workloads.

    Vai ad Assured Workloads

  2. Seleziona la nuova cartella Assured Workloads dall'elenco.
  3. Nella pagina Dettagli cartella, nella sezione Servizi consentiti, fai clic su Controlla aggiornamenti disponibili.
  4. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione Limite di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli.

    Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud.

Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads.

Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per Assured Workloads.
CLI BigQuery L'interfaccia a riga di comando BigQuery è supportata.

Google Cloud SDK Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui gcloud --version e poi gcloud components update per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare cartelle Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads.
Caricamento di dati I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per i carichi di lavoro del confine dei dati dell'UE con le giustificazioni dell'accesso.
Trasferimenti di terze parti BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi I modelli BQML addestrati esternamente non sono supportati.
Job di query I job di query devono essere creati solo all'interno delle cartelle Assured Workloads.
Query sui set di dati in altri progetti BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads da progetti non-Assured Workloads. Devi assicurarti che qualsiasi query che esegue una lettura o un'unione sui dati di Assured Workloads venga inserita nelle cartelle Assured Workloads. Puoi specificare un nome di tabella completo per il risultato della query utilizzando projectname.dataset.table nella CLI BigQuery.
Cloud Logging BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare i bucket di logging _default o limitare i bucket _default alle regioni incluse nell'ambito utilizzando il seguente comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Per saperne di più, consulta Regionalizzare i log.

Bigtable

Funzionalità di Bigtable interessate

Funzionalità Descrizione
API non supportate

Le seguenti API non sono supportate dal confine per i dati nell'UE con giustificazioni di accesso:

  • Il metodo API ListHotTablets dell'API RPC Admin elabora e archivia i dati tecnici in modo non supportato. È tua responsabilità non utilizzare questo metodo per il confine per i dati nell'UE con giustificazioni di accesso.
  • Il metodo API hotTablets.list dell'API Rest Admin elabora e archivia i dati tecnici in modo non supportato. È tua responsabilità non utilizzare questo metodo per il confine per i dati nell'UE con giustificazioni di accesso.
Data Boost Questa funzionalità è disattivata.
Confini della suddivisione Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire confini della suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet.

Questi confini della suddivisione sono accessibili al personale di Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Assured Workloads.

Cloud Build

Funzionalità di Cloud Build interessate

Funzionalità Descrizione
Generazione della provenienza della build Questa funzionalità non è supportata e non deve essere utilizzata con il confine per i dati nell'UE con giustificazioni di accesso. Le build configurate con options.requestedVerifyOption: VERIFIED potrebbero non riuscire a causa di dipendenze non supportate. Per evitare errori di build, rimuovi questa opzione dalla configurazione Cloud Build.

Cloud Interconnect

Funzionalità Cloud Interconnect interessate

Funzionalità Descrizione
VPN ad alta disponibilità Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate.

Cloud KMS

Vincoli dei criteri dell'organizzazione Cloud KMS

Vincolo delle policy dell'organizzazione Descrizione
cloudkms.allowedProtectionLevels Impostato per consentire la creazione di chiavi di crittografia Cloud Key Management Service con i seguenti livelli di protezione:
  • EXTERNAL
  • EXTERNAL_VPC
Per ulteriori informazioni, consulta Livelli di protezione.

Cloud Logging

Funzionalità di Cloud Logging interessate

Funzionalità Descrizione
Sink di log I filtri non devono contenere dati dei clienti.

I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti.
Voci di log di coda in tempo reale I filtri non devono contenere dati dei clienti.

Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti.
Avvisi basati sui log Questa funzionalità è disattivata.

Non puoi creare avvisi basati su log nella console Google Cloud .
URL abbreviati per le query di Esplora log Questa funzionalità è disattivata.

Non puoi creare URL abbreviati delle query nella console Google Cloud .
Salvataggio delle query in Esplora log Questa funzionalità è disattivata.

Non puoi salvare query nella console Google Cloud .
Analisi dei log tramite BigQuery Questa funzionalità è disattivata.

Non puoi utilizzare la funzionalità Log Analytics.
Policy di avviso basate su SQL Questa funzionalità è disattivata.

Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL.

Cloud Monitoring

Funzionalità di Cloud Monitoring interessate

Funzionalità Descrizione
Monitoraggio sintetico Questa funzionalità è disattivata.
Controlli di uptime Questa funzionalità è disattivata.
Widget del pannello dei log in Dashboard Questa funzionalità è disattivata.

Non puoi aggiungere un pannello dei log a una dashboard.
Widget del riquadro di Error Reporting in Dashboard Questa funzionalità è disattivata.

Non puoi aggiungere un pannello di segnalazione errori a una dashboard.
Filtra in EventAnnotation per Dashboard Questa funzionalità è disattivata.

Il filtro di EventAnnotation non può essere impostato in una dashboard.
SqlCondition in alertPolicies Questa funzionalità è disattivata.

Non puoi aggiungere un SqlCondition a un alertPolicy.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità Descrizione
Funzionalità non supportate Le seguenti funzionalità di Cloud Run non sono supportate:

Cloud SQL

Vincoli dei criteri dell'organizzazione Cloud SQL

Vincolo delle policy dell'organizzazione Descrizione
sql.restrictNoncompliantDiagnosticDataAccess Imposta su True.

Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Cloud SQL.

La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
sql.restrictNoncompliantResourceCreation Imposta su True.

Applica controlli aggiuntivi di sovranità dei dati per impedire la creazione di risorse Cloud SQL non conformi.

La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Cloud Storage

Funzionalità di Cloud Storage interessate

Funzionalità Descrizione
ConsoleGoogle Cloud È tua responsabilità utilizzare la console giurisdizionale Google Cloud per il confine per i dati nell'UE con giustificazioni di accesso. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi È tua responsabilità utilizzare uno degli endpoint regionali inclusi nell'ambito con Cloud Storage. Per maggiori informazioni, consulta la pagina Località di Cloud Storage.

Vincoli dei criteri dell'organizzazione Cloud Storage

Vincolo delle policy dell'organizzazione Descrizione
storage.restrictAuthTypes

Impostato per impedire l'autenticazione tramite HMAC (Hash-based Message Authentication Code). I seguenti tipi sono specificati in questo valore di vincolo:

  • USER_ACCOUNT_HMAC_SIGNED_REQUESTS
  • SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS
Per impostazione predefinita, le chiavi HMAC non possono autenticarsi alle risorse Cloud Storage per i carichi di lavoro del confine per i dati nell'UE con giustificazioni di accesso. Le chiavi HMAC influiscono sulla sovranità dei dati perché possono essere utilizzate per accedere ai dati dei clienti senza che questi ne siano a conoscenza. Consulta Chiavi HMAC nella documentazione di Cloud Storage.

La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo workload. Ti consigliamo vivamente di mantenere il valore impostato.
storage.uniformBucketLevelAccess Imposta su True.

L'accesso ai nuovi bucket viene gestito utilizzando i criteri IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti.

Se viene creato un bucket mentre questo vincolo è attivo, l'accesso non potrà mai essere gestito utilizzando gli elenchi di controllo dell'accesso. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato in modo permanente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage.

Cloud VPN

Funzionalità Cloud VPN interessate

Funzionalità Descrizione
ConsoleGoogle Cloud Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.
Endpoint VPN Devi utilizzare solo endpoint Cloud VPN che si trovano in una regione inclusa nell'ambito. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione inclusa nell'ambito.

Compute Engine

Funzionalità di Compute Engine interessate

Funzionalità Descrizione
Sospensione e ripresa di un'istanza VM Questa funzionalità è disattivata.

La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo delle policy dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
SSD locali Questa funzionalità è disattivata.

Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
ConsoleGoogle Cloud

Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI:
Sospensione e ripresa di un'istanza VM Questa funzionalità è disattivata.

La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere criptata utilizzando CMEK.

Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
SSD locali Questa funzionalità è disattivata.

Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK.

Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
Ambiente guest È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto.

Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo della policy dell'organizzazione compute.trustedImageProjects.

Per saperne di più, vedi Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Non includere informazioni sensibili in questi file. Valuta la possibilità di archiviare questi script e file di output in bucket Cloud Storage. Per saperne di più, consulta Esempi di policy del sistema operativo.

Se vuoi limitare la creazione o la modifica di risorse policy del sistema operativo che utilizzano script in linea o file di output binari, attiva il vincolo della policy dell'organizzazione constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Per saperne di più, consulta Vincoli per OS Config.
instances.getSerialPortOutput() Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API.

Modifica il valore del vincolo della policy dell'organizzazione compute.disableInstanceDataAccessApis impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.
instances.getScreenshot() Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API.

Modifica il valore del vincolo della policy dell'organizzazione compute.disableInstanceDataAccessApis impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.

Vincoli dei criteri dell'organizzazione Compute Engine

Vincolo delle policy dell'organizzazione Descrizione
compute.enableComplianceMemoryProtection Imposta su True.

Disattiva alcune funzionalità di diagnostica interne per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un guasto all'infrastruttura.

La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
compute.disableGlobalCloudArmorPolicy Imposta su True.

Disabilita la creazione di nuove policy di sicurezza Google Cloud Armor globali e l'aggiunta o la modifica di regole alle policy di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sulle policy di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
compute.disableInstanceDataAccessApis Imposta su True.

Disabilita a livello globale le API instances.getSerialPortOutput() e instances.getScreenshot().

L'attivazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server.

Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo:
  1. Attiva SSH per le VM Windows.
  2. Esegui questo comando per modificare la password della VM: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    Sostituisci quanto segue:
    • VM_NAME: il nome della VM per cui stai impostando la password.
    • USERNAME: il nome utente dell'utente per cui stai impostando la password.
    • PASSWORD: la nuova password.
compute.disableSshInBrowser Imposta su True.

Disabilita lo strumento SSH nel browser nella console Google Cloud per le VM che utilizzano OS Login e le VM dell'ambiente flessibile di App Engine.

La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
compute.restrictNonConfidentialComputing

 (Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per maggiori informazioni, consulta la documentazione di Confidential VM.
compute.trustedImageProjects

 (Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva.

L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Dataplex Universal Catalog

Funzionalità di Dataplex Universal Catalog

Funzionalità Descrizione
Attribute Store Questa funzionalità è ritirata e disattivata.
Data Catalog Questa funzionalità è ritirata e disattivata. Non puoi cercare né gestire i tuoi metadati in Data Catalog.
Scansione della qualità dei dati e del profilo di dati L'esportazione dei risultati della scansione della qualità dei dati non è supportata.
Discovery Questa funzionalità è disattivata. Non puoi eseguire le scansioni di rilevamento per estrarre i metadati dai tuoi dati.
Informazioni basate sui dati Questa funzionalità è disattivata. Non puoi generare approfondimenti sui dati per i tuoi cataloghi.
Laghi e zone Questa funzionalità è disattivata. Non puoi gestire i lake, le zone e le attività.

Dataproc

Funzionalità di Dataproc interessate

Funzionalità Descrizione
ConsoleGoogle Cloud Al momento Dataproc non supporta la console giurisdizionale Google Cloud . Per applicare la residenza dei dati, assicurati di utilizzare Google Cloud CLI o l'API quando utilizzi Dataproc.

Google Cloud Armor

Funzionalità di Google Cloud Armor interessate

Funzionalità Descrizione
Policy di sicurezza con ambito globale Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalCloudArmorPolicy.

Google Kubernetes Engine

Funzionalità di Google Kubernetes Engine interessate

Funzionalità Descrizione
Limitazioni delle risorse cluster Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nel confine dei dati dell'UE con le giustificazioni di accesso. Ad esempio, la seguente configurazione non è valida perché richiede l'attivazione o l'utilizzo di un servizio non supportato:

set `binaryAuthorization.evaluationMode` to `enabled`

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo delle policy dell'organizzazione Descrizione
container.restrictNoncompliantDiagnosticDataAccess Imposta su True.

Disabilita l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un workload.

La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Pub/Sub

Vincoli delle policy dell'organizzazione Pub/Sub

Vincolo delle policy dell'organizzazione Descrizione
pubsub.managed.disableSubscriptionMessageTransforms Imposta su True.

Disabilita l'impostazione delle sottoscrizioni Pub/Sub con Single Message Transforms (SMT).

La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
pubsub.managed.disableTopicMessageTransforms Imposta su True.

Impedisce l'impostazione di argomenti Pub/Sub con Single Message Transforms (SMT).

La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Spanner

Funzionalità di Spanner interessate

Funzionalità Descrizione
Confini della suddivisione Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i limiti di suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole.

Questi confini della suddivisione sono accessibili al personale di Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Assured Workloads.

Vincoli dei criteri dell'organizzazione Spanner

Vincolo delle policy dell'organizzazione Descrizione
spanner.assuredWorkloadsAdvancedServiceControls Imposta su True.

Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Spanner.
spanner.disableMultiRegionInstanceIfNoLocationSelected Imposta su True.

Disabilita la possibilità di creare istanze Spanner multiregionali per applicare la residenza e la sovranità dei dati.

Passaggi successivi