影响级别 2 (IL2) 的数据边界
本页面介绍了在 Assured Workloads 中针对 IL2 工作负载应用的数据边界控制措施。其中详细介绍了数据留存位置、支持的 Google Cloud 产品及其 API 端点,以及这些产品适用的任何限制。以下附加信息适用于 IL2 的数据边界:
- 数据驻留:IL2 控制软件包的数据边界将数据位置控制设置为仅支持美国区域。如需了解详情,请参阅Google Cloud范围的组织政策限制条件部分。
- 支持:对于 IL2 工作负载,如果订阅了增强型或高级 Cloud Customer Care,则可获得数据边界技术支持服务。IL2 工作负载支持案例的数据边界是美国,因此这些案例会分配给位于美国的美国人。如需了解详情,请参阅获取支持。
- 价格:IL2 控制软件包的数据边界包含在 Assured Workloads 的专业版中,需要额外支付 20% 的费用。如需了解详情,请参阅 Assured Workloads 价格。
前提条件
如需使用 IL2 控制软件包的数据边界,您必须满足以下前提条件,才能保持合规性:
- 使用 Assured Workloads 为 IL2 文件夹创建数据边界,并仅在该文件夹中部署 IL2 工作负载。
- 仅为 IL2 工作负载的数据边界启用和使用适用范围内的服务。
- 除非您了解并愿意接受可能发生的数据驻留风险,否则请勿更改默认的组织政策限制条件值。
- 对于 IL2 数据边界文件夹中使用的所有服务,请勿在以下用户定义或安全配置信息类型中存储技术数据:
- 错误消息
- 控制台输出
- 属性数据
- 服务配置数据
- 网络数据包标头
- 资源标识符
- 数据标签
- 不妨采纳Google Cloud 安全最佳实践中心提供的一般安全最佳实践。
- 如需详细了解如何在Google Cloud中部署 IL2 工作负载,请参阅美国国防部 (DoD) 临时授权页面。
- 访问 Google Cloud 控制台时,您可以选择使用管辖区 Google Cloud 控制台。对于 IL2 的数据边界,您无需使用管辖区级 Google Cloud 控制台。您可以通过以下网址之一访问该文件:
支持的产品和 API 端点
除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。 下表列出了影响受支持产品的功能的限制,包括通过组织政策限制条件设置强制执行的限制。
如果未列出某个产品,则表示该产品不受支持,并且未达到 IL2 的数据边界控制要求。在未尽到合理注意义务且未充分了解您在责任共担模型中的责任之前,不建议使用不受支持的产品。在使用不受支持的产品之前,请确保您了解并愿意接受任何相关风险,例如对数据留存或数据主权产生负面影响。 此外,在接受风险之前,请先与授权机构一起审核任何不受支持的产品的使用情况。
| 支持的产品 | API 端点 | 限制或局限 |
|---|---|---|
| Access Context Manager |
accesscontextmanager.googleapis.com |
无 |
| 客服助手 |
dialogflow.googleapis.com |
无 |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
无 |
| 配置管理 |
anthosconfigmanagement.googleapis.com |
无 |
| API 密钥 |
apikeys.googleapis.com |
无 |
| Apigee |
apigee.googleapis.com |
无 |
| App Engine |
appengine.googleapis.com |
无 |
| 应用集成 |
integrations.googleapis.com |
无 |
| Artifact Analysis |
containeranalysis.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| 有保障的开源软件 (Assured OSS) |
assuredoss.googleapis.com |
无 |
| Backup for GKE |
gkebackup.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
受影响的功能 和组织政策限制条件 |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
无 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
无 |
| Binary Authorization |
binaryauthorization.googleapis.com |
无 |
| Certificate Authority Service |
privateca.googleapis.com |
无 |
| Certificate Manager |
certificatemanager.googleapis.com |
无 |
| Google Cloud Armor |
compute.googleapis.com |
无 |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
无 |
| Cloud Billing API |
billingbudgets.googleapis.comcloudbilling.googleapis.com |
无 |
| Cloud Build |
cloudbuild.googleapis.com |
无 |
| Cloud Composer |
composer.googleapis.com |
无 |
| Cloud DNS |
dns.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Cloud Deploy |
clouddeploy.googleapis.com |
无 |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
无 |
| Cloud Run functions |
cloudfunctions.googleapis.com |
组织政策限制条件 |
| Cloud HSM |
cloudkms.googleapis.com |
无 |
| Cloud Identity |
cloudidentity.googleapis.com |
无 |
| Cloud Interconnect |
compute.googleapis.com |
受影响的功能 |
| Cloud Intrusion Detection System |
ids.googleapis.com |
无 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
无 |
| Cloud Load Balancing |
compute.googleapis.com |
无 |
| Cloud Logging |
logging.googleapis.com |
受影响的功能 |
| Cloud Monitoring |
monitoring.googleapis.com |
受影响的功能 |
| Cloud NAT |
compute.googleapis.com |
无 |
| Cloud 新一代防火墙基本功能版 |
compute.googleapis.comnetworksecurity.googleapis.com |
无 |
| Cloud 新一代防火墙标准版 |
compute.googleapis.comnetworksecurity.googleapis.com |
无 |
| Cloud Router |
compute.googleapis.com |
无 |
| Cloud Run |
run.googleapis.com |
受影响的功能 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud Translation |
translation.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
受影响的功能 |
| Cloud Vision API |
vision.googleapis.com |
无 |
| Cloud Workstations |
workstations.googleapis.com |
受影响的功能 |
| Compute Engine |
compute.googleapis.com |
受影响的功能 和组织政策限制条件 |
| Connect |
connectgateway.googleapis.comgkeconnect.googleapis.com |
无 |
| Dialogflow CX |
dialogflow.googleapis.com |
无 |
| 客户体验分析洞见 |
contactcenterinsights.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
无 |
| Dataform |
dataform.googleapis.com |
无 |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
受影响的功能 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
无 |
| Document AI |
documentai.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Firebase 规则 |
firebaserules.googleapis.com |
无 |
| Firestore |
firestore.googleapis.com |
无 |
| GKE Hub |
gkehub.googleapis.com |
无 |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
无 |
| Vertex AI 上的生成式 AI |
aiplatform.googleapis.com |
无 |
| Google Cloud Marketplace |
N/A |
无 |
| Google Cloud 应用 |
N/A |
无 |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
无 |
| Google Security Operations SIEM |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
无 |
| Google Security Operations SOAR |
N/A |
无 |
| Google 管理控制台 |
N/A |
无 |
| 身份和访问权限管理 (IAM) |
iam.googleapis.compolicytroubleshooter.googleapis.com |
无 |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
无 |
| Infrastructure Manager |
config.googleapis.com |
无 |
| 集成连接器 |
connectors.googleapis.com |
无 |
| Looker (Google Cloud Core) |
looker.googleapis.com |
无 |
| Memorystore |
redis.googleapis.com |
无 |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
无 |
| Network Intelligence Center |
networkmanagement.googleapis.com |
无 |
| 组织政策服务 |
orgpolicy.googleapis.com |
无 |
| Persistent Disk |
compute.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
组织政策限制条件 |
| Resource Manager |
cloudresourcemanager.googleapis.com |
无 |
| Secret Manager |
secretmanager.googleapis.com |
无 |
| Secure Source Manager |
securesourcemanager.googleapis.com |
无 |
| 安全 Web 代理 |
networkservices.googleapis.comnetworksecurity.googleapis.com |
无 |
| Security Command Center |
containerthreatdetection.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.comsecurityposture.googleapis.comwebsecurityscanner.googleapis.com |
无 |
| 敏感数据保护 |
dlp.googleapis.com |
无 |
| 无服务器 VPC 访问通道 |
vpcaccess.googleapis.com |
无 |
| Service Directory |
servicedirectory.googleapis.com |
无 |
| Spanner |
spanner.googleapis.com |
无 |
| Speech-to-Text |
speech.googleapis.com |
无 |
| Text-to-Speech |
texttospeech.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
| Vertex AI Model Registry |
aiplatform.googleapis.com |
无 |
| Vertex AI Search |
discoveryengine.googleapis.com |
无 |
| Vertex AI Vector Search |
aiplatform.googleapis.com |
无 |
| Vertex AI Workbench |
aiplatform.googleapis.comnotebooks.googleapis.com |
无 |
| Vertex AI 批量预测 |
aiplatform.googleapis.com |
无 |
| Vertex ML Metadata |
aiplatform.googleapis.com |
无 |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
无 |
| Vertex AI 在线预测 |
aiplatform.googleapis.com |
无 |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
无 |
| Vertex AI 结构化数据 |
aiplatform.googleapis.com |
无 |
| Vertex AI Training |
aiplatform.googleapis.com |
无 |
| Video Intelligence API |
videointelligence.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
| Web Risk |
webrisk.googleapis.com |
无 |
| 工作负载身份联合 |
iam.googleapis.comsts.googleapis.com |
无 |
限制和局限
以下部分介绍了功能方面的 Google Cloud范围或产品特定限制,包括默认在 IL2 文件夹的数据边界上设置的任何组织政策限制条件。其他适用的组织政策限制条件(即使默认设置未设置)可以提供额外的深度防御,以进一步保护贵组织的 Google Cloud 资源。
Google Cloud宽
Google Cloud范围的组织政策限制条件
以下组织政策限制条件适用于 Google Cloud。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 allowedValues 列表中的以下位置:
如果更改此值,则允许在合规的数据边界之外创建或存储数据,从而可能破坏数据驻留。 |
gcp.restrictCmekCryptoKeyProjects |
设置为 under:organizations/your-organization-name,即您的 Assured Workloads 组织。您可以通过指定项目或文件夹来进一步限制此值。限制已获批准的文件夹或项目的范围(这些文件夹或项目可提供 Cloud KMS 密钥用于使用 CMEK 加密静态数据)。此限制条件可防止未批准的文件夹或项目提供加密密钥,从而有助于保证范围内服务的静态数据的数据主权。 |
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 使用您管理的密钥(而不是 Google 的默认加密机制)加密静态数据。 如果通过从列表中移除一个或多个范围内的服务来更改此值,则可能会破坏数据主权,因为系统会使用 Google 自己的密钥(而不是您自己的密钥)自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。 |
gcp.restrictServiceUsage |
设置为允许所有受支持的产品和 API 端点。 通过限制对资源进行运行时访问,确定哪些服务可以使用。如需了解详情,请参阅限制资源使用。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
BigQuery
受影响的 BigQuery 功能
| 功能 | 说明 |
|---|---|
| 在新文件夹中启用 BigQuery | BigQuery 受支持,但由于内部配置流程,在您创建新的 Assured Workloads 文件夹时,系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery,请完成以下步骤:
启用流程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。 Assured Workloads 不支持 Gemini in BigQuery。 |
| 不受支持的功能 | 以下 BigQuery 功能不受支持,不应在 BigQuery CLI 中使用。您有责任不在 BigQuery for Assured Workloads 中使用它们。
|
| BigQuery CLI | 支持 BigQuery CLI。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。
|
| 管理员控制功能 | BigQuery 会停用不受支持的 API,但有足够权限创建 Assured Workloads 文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您将通过 Assured Workloads 监控信息中心收到有关可能不合规的通知。 |
| 正在加载数据 | 不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于 IL2 工作负载的数据边界。 |
| 第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移作业来执行 BigQuery Data Transfer Service 时,您有责任验证支持情况。 |
| 不合规的 BQML 模型 | 不支持外部训练的 BQML 模型。 |
| 查询作业 | 查询作业应仅在 Assured Workloads 文件夹中创建。 |
| 针对其他项目中的数据集的查询 | BigQuery 不会阻止从非 Assured Workloads 项目查询 Assured Workloads 数据集。您应确保任何读取或联接 Assured Workloads 数据的查询都位于 Assured Workloads 文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为查询结果指定完全限定的表名称。
|
| Cloud Logging | BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 _default 日志存储分区或将 _default 存储分区限制为仅限使用适用范围内的区域,以确保合规性。为此,请使用以下命令:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
如需了解详情,请参阅区域化存储日志。 |
Cloud Interconnect
受影响的 Cloud Interconnect 功能
| 功能 | 说明 |
|---|---|
| 高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。 |
Cloud Logging
受影响的 Cloud Logging 功能
| 功能 | 说明 |
|---|---|
| 日志接收器 | 过滤条件不应包含客户数据。 日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。 |
| Live Tailing 日志条目 | 过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。 |
Cloud Monitoring
受影响的 Cloud Monitoring 功能
| 功能 | 说明 |
|---|---|
| 合成监控工具 | 此功能处于禁用状态。 |
| 拨测 | 此功能处于禁用状态。 |
Cloud Run
受影响的 Cloud Run 功能
| 功能 | 说明 |
|---|---|
| 不受支持的功能 | 不支持以下 Cloud Run 功能: |
Cloud VPN
受影响的 Cloud VPN 功能
| 功能 | 说明 |
|---|---|
| VPN 端点 | 您必须仅使用位于适用范围内的区域中的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在适用区域中使用。 |
Cloud Workstations
受影响的 Cloud Workstations 功能
| 功能 | 说明 |
|---|---|
| 创建工作站集群 | 创建工作站集群时,您有责任以以下方式对其进行配置,以确保数据驻留:
|
Compute Engine
受影响的 Compute Engine 功能
| 功能 | 说明 |
|---|---|
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。 请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。
|
| 本地 SSD | 此功能处于禁用状态。 无法创建具有本地 SSD 的实例,因为它们无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。 |
| 将实例组添加到全球负载均衡器 | 您无法将实例组添加到全局负载均衡器。 此功能已因 compute.disableGlobalLoadBalancing 组织政策限制而被停用。
|
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间无法使用 CMEK 加密。 此功能已因 gcp.restrictNonCmekServices组织政策限制而被停用。
|
| 本地 SSD | 此功能处于禁用状态。 无法创建具有本地 SSD 的实例,因为它们无法使用 CMEK 进行加密。 此功能已因 gcp.restrictNonCmekServices组织政策限制而被停用。
|
| 客机环境 | 客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您需要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。如需了解详情,请参阅构建自定义映像。 |
| 虚拟机管理器中的操作系统政策 |
操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。请勿在这些文件中包含任何敏感信息。不妨考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情,请参阅操作系统政策示例。 如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源,请启用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 组织政策限制条件。如需了解详情,请参阅 OS Config 的限制。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建新的 Google Cloud Armor 安全政策,以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。 |
compute.disableGlobalLoadBalancing |
设置为 True。 禁止创建全球负载均衡产品。 更改此值可能会影响工作负载的数据驻留或数据主权。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.trustedImageProjects |
(可选)不设置值。设置此值可提供额外的深度防御。
设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。 |
Dataplex Universal Catalog
Dataplex Universal Catalog 功能
| 功能 | 说明 |
|---|---|
| Attribute Store | 此功能已弃用并已停用。 |
| Data Catalog | 此功能已弃用并已停用。您无法在 Data Catalog 中搜索或管理元数据。 |
| 湖泊和可用区 | 此功能处于停用状态。您无法管理数据湖、区域和任务。 |
Pub/Sub
Pub/Sub 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
pubsub.managed.disableSubscriptionMessageTransforms |
设置为 True。 禁止为 Pub/Sub 订阅设置单条消息转换 (SMT)。 更改此值可能会影响工作负载的数据驻留或数据主权。 |
pubsub.managed.disableTopicMessageTransforms |
设置为 True。 禁止为 Pub/Sub 主题设置单条消息转换 (SMT)。 更改此值可能会影响工作负载的数据驻留或数据主权。 |