Die Namen einiger Assured Workloads-Kontrollpakete haben sich geändert. Weitere Informationen zur Namensänderung finden Sie unter Hinweis zur Umbenennung von Kontrollpaketen.

Datengrenze für Impact Level 2 (IL2)

Auf dieser Seite werden die Kontrollmechanismen beschrieben, die auf die Datengrenze für IL2-Workloads in Assured Workloads angewendet werden. Sie enthält detaillierte Informationen zum Datenstandort, zu den unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen anwendbaren Einschränkungen für diese Produkte. Die folgenden zusätzlichen Informationen gelten für die Datengrenze für IL2:

Datenstandort: Das IL2-Kontrollpaket für die Data Boundary legt die Steuerelemente für den Datenstandort so fest, dass nur Regionen in den USA unterstützt werden. Weitere Informationen finden Sie im Abschnitt Einschränkungen für organisationsweiteGoogle Cloud-Organisationsrichtlinien.
Support: Technische Supportdienste für Datengrenzen für IL2-Arbeitslasten sind mit Abos für erweiterten oder Premium-Cloud Customer Care verfügbar. Datenbegrenzung für IL2-Arbeitslasten: Supportfälle werden an in den USA ansässige Personen weitergeleitet. Weitere Informationen finden Sie unter Support.
Preise: Das Kontrollpaket „Data Boundary for IL2“ ist in der Premium-Stufe von Assured Workloads enthalten, für die eine zusätzliche Gebühr von 20 % anfällt. Weitere Informationen finden Sie unter Assured Workloads-Preise.

Vorbereitung

Wenn Sie das Data Boundary for IL2-Kontrollpaket verwenden möchten, müssen Sie die folgenden Voraussetzungen erfüllen, um die Compliance aufrechtzuerhalten:

Erstellen Sie mit Assured Workloads eine Datengrenze für den IL2-Ordner und stellen Sie Ihre IL2-Arbeitslasten nur in diesem Ordner bereit.
Aktivieren und verwenden Sie nur Dienste, die in den Anwendungsbereich fallen, für die Datengrenze für IL2-Arbeitslasten.
Ändern Sie die Standardwerte für die Einschränkung der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenspeicherort verstehen und bereit sind, diese zu akzeptieren.
Speichern Sie für alle Dienste, die in einem Ordner mit Datenstandort für IL2 verwendet werden, keine technischen Daten in den folgenden benutzerdefinierten oder sicherheitsbezogenen Konfigurationsinformationstypen:
- Fehlermeldungen
- Console-Ausgabe
- Attributdaten
- Daten zur Dienstkonfiguration
- Header von Netzwerkpaketen
- Ressourcenkennzeichnungen
- Datenlabels
Wir empfehlen, die allgemeinen Best Practices für die Sicherheit zu übernehmen, die im Google Cloud Center für Sicherheits-Best-Practices bereitgestellt werden.
Weitere Informationen zum Bereitstellen von IL2-Arbeitslasten inGoogle Cloudfinden Sie auf der Seite Vorläufige Zulassung des US-Verteidigungsministeriums (Department of Defense, DoD).
Wenn Sie auf die Google Cloud Console zugreifen, können Sie die Jurisdictional Google Cloud Console verwenden. Sie müssen die Google Cloud -Console für die Gerichtsbarkeit nicht für die Data Boundary für IL2 verwenden. Sie können über eine der folgenden URLs darauf zugreifen:
- console.us.cloud.google.com
- console.us.cloud.google für Nutzer mit föderierten Identitäten

Unterstützte Produkte und API-Endpunkte

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Produkte zugreifen. Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derer, die durch Einschränkungseinstellungen für Organisationsrichtlinien erzwungen werden, sind in der folgenden Tabelle aufgeführt.

Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und hat die Kontrollanforderungen für die Datengrenze für IL2 nicht erfüllt. Die Verwendung nicht unterstützter Produkte wird nicht empfohlen, ohne dass Sie Ihre Verantwortlichkeiten im Modell der geteilten Verantwortung sorgfältig geprüft und verstanden haben. Bevor Sie ein nicht unterstütztes Produkt verwenden, sollten Sie sich über alle damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf den Speicherort oder die Souveränität von Daten. Außerdem sollten Sie die Verwendung eines nicht unterstützten Produkts mit der zuständigen Behörde besprechen, bevor Sie das Risiko akzeptieren.

Unterstütztes Produkt	API-Endpunkte	Einschränkungen oder Beschränkungen
Access Context Manager	`accesscontextmanager.googleapis.com`	Keine
Agent Assist	`dialogflow.googleapis.com`	Keine
AlloyDB for PostgreSQL	`alloydb.googleapis.com`	Keine
Config Management	`anthosconfigmanagement.googleapis.com`	Keine
API-Schlüssel	`apikeys.googleapis.com`	Keine
Apigee	`apigee.googleapis.com`	Keine
App Engine	`appengine.googleapis.com`	Keine
Application Integration	`integrations.googleapis.com`	Keine
Artefaktanalyse	`containeranalysis.googleapis.com`	Keine
Artifact Registry	`artifactregistry.googleapis.com`	Keine
Assured Open Source Software (Assured OSS)	`assuredoss.googleapis.com`	Keine
Sicherung für GKE	`gkebackup.googleapis.com`	Keine
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com`	Keine
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Keine
Binärautorisierung	`binaryauthorization.googleapis.com`	Keine
Certificate Authority Service	`privateca.googleapis.com`	Keine
Zertifikatmanager	`certificatemanager.googleapis.com`	Keine
Google Cloud Armor	`compute.googleapis.com`	Keine
Cloud Asset Inventory	`cloudasset.googleapis.com`	Keine
Cloud Billing API	`billingbudgets.googleapis.com` `cloudbilling.googleapis.com`	Keine
Cloud Build	`cloudbuild.googleapis.com`	Keine
Cloud Composer	`composer.googleapis.com`	Keine
Cloud DNS	`dns.googleapis.com`	Keine
Cloud Data Fusion	`datafusion.googleapis.com`	Keine
Cloud Deploy	`clouddeploy.googleapis.com`	Keine
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Keine
Cloud Run Functions	`cloudfunctions.googleapis.com`	Einschränkungen für Organisationsrichtlinien
Cloud HSM	`cloudkms.googleapis.com`	Keine
Cloud Identity	`cloudidentity.googleapis.com`	Keine
Cloud Interconnect	`compute.googleapis.com`	Betroffene Funktionen
Cloud Intrusion Detection System	`ids.googleapis.com`	Keine
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Keine
Cloud Load Balancing	`compute.googleapis.com`	Keine
Cloud Logging	`logging.googleapis.com`	Betroffene Funktionen
Cloud Monitoring	`monitoring.googleapis.com`	Betroffene Funktionen
Cloud NAT	`compute.googleapis.com`	Keine
Cloud Next Generation Firewall Essentials	`compute.googleapis.com` `networksecurity.googleapis.com`	Keine
Cloud Next Generation Firewall Standard	`compute.googleapis.com` `networksecurity.googleapis.com`	Keine
Cloud Router	`compute.googleapis.com`	Keine
Cloud Run	`run.googleapis.com`	Betroffene Funktionen
Cloud SQL	`sqladmin.googleapis.com`	Keine
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com`	Keine
Cloud Storage	`storage.googleapis.com`	Keine
Cloud Tasks	`cloudtasks.googleapis.com`	Keine
Cloud Translation	`translation.googleapis.com`	Keine
Cloud VPN	`compute.googleapis.com`	Betroffene Funktionen
Cloud Vision API	`vision.googleapis.com`	Keine
Cloud Workstations	`workstations.googleapis.com`	Betroffene Funktionen
Compute Engine	`compute.googleapis.com`	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Connect	`connectgateway.googleapis.com` `gkeconnect.googleapis.com`	Keine
Dialogflow CX	`dialogflow.googleapis.com`	Keine
Informationen zur Kundenerfahrung	`contactcenterinsights.googleapis.com`	Keine
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Keine
Dataform	`dataform.googleapis.com`	Keine
Dataplex Universal Catalog	`dataplex.googleapis.com` `datalineage.googleapis.com`	Betroffene Funktionen
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Keine
Document AI	`documentai.googleapis.com`	Keine
Eventarc	`eventarc.googleapis.com`	Keine
Filestore	`file.googleapis.com`	Keine
Firebase-Regeln	`firebaserules.googleapis.com`	Keine
Firestore	`firestore.googleapis.com`	Keine
GKE Hub	`gkehub.googleapis.com`	Keine
GKE Identity Service	`anthosidentityservice.googleapis.com`	Keine
Generative KI in Vertex AI	`aiplatform.googleapis.com`	Keine
Google Cloud Marketplace	`N/A`	Keine
Google Cloud App	`N/A`	Keine
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Keine
Google Security Operations SIEM	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	Keine
Google Security Operations SOAR	`N/A`	Keine
Google Admin-Konsole	`N/A`	Keine
Identitäts- und Zugriffsverwaltung	`iam.googleapis.com` `policytroubleshooter.googleapis.com`	Keine
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Keine
Infrastructure Manager	`config.googleapis.com`	Keine
Integration Connectors	`connectors.googleapis.com`	Keine
Looker (Google Cloud Core)	`looker.googleapis.com`	Keine
Memorystore	`redis.googleapis.com`	Keine
Network Connectivity Center	`networkconnectivity.googleapis.com`	Keine
Network Intelligence Center	`networkmanagement.googleapis.com`	Keine
Organisationsrichtliniendienst	`orgpolicy.googleapis.com`	Keine
Persistent Disk	`compute.googleapis.com`	Keine
Pub/Sub	`pubsub.googleapis.com`	Einschränkungen für Organisationsrichtlinien
Resource Manager	`cloudresourcemanager.googleapis.com`	Keine
Secret Manager	`secretmanager.googleapis.com`	Keine
Secure Source Manager	`securesourcemanager.googleapis.com`	Keine
Sicherer Web-Proxy	`networkservices.googleapis.com` `networksecurity.googleapis.com`	Keine
Security Command Center	`containerthreatdetection.googleapis.com` `securitycenter.googleapis.com` `securitycentermanagement.googleapis.com` `securityposture.googleapis.com` `websecurityscanner.googleapis.com`	Keine
Sensitive Data Protection	`dlp.googleapis.com`	Keine
Serverless VPC Access	`vpcaccess.googleapis.com`	Keine
Service Directory	`servicedirectory.googleapis.com`	Keine
Spanner	`spanner.googleapis.com`	Keine
Speech-to-Text	`speech.googleapis.com`	Keine
Text-to-Speech	`texttospeech.googleapis.com`	Keine
VPC Service Controls	`accesscontextmanager.googleapis.com`	Keine
Vertex AI Model Registry	`aiplatform.googleapis.com`	Keine
Vertex AI Search	`discoveryengine.googleapis.com`	Keine
Vertex AI Vektorsuche	`aiplatform.googleapis.com`	Keine
Vertex AI Workbench	`aiplatform.googleapis.com` `notebooks.googleapis.com`	Keine
Vertex AI-Batchvorhersage	`aiplatform.googleapis.com`	Keine
Vertex ML Metadata	`aiplatform.googleapis.com`	Keine
Vertex AI Model Monitoring	`aiplatform.googleapis.com`	Keine
Vertex AI-Onlinevorhersage	`aiplatform.googleapis.com`	Keine
Vertex AI Pipelines	`aiplatform.googleapis.com`	Keine
Vertex AI Structured Data	`aiplatform.googleapis.com`	Keine
Vertex AI Training	`aiplatform.googleapis.com`	Keine
Video Intelligence API	`videointelligence.googleapis.com`	Keine
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Keine
Web Risk	`webrisk.googleapis.com`	Keine
Identitätsföderation von Arbeitslasten	`iam.googleapis.com` `sts.googleapis.com`	Keine

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit Datenstandort für IL2 festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche gestaffelte Sicherheitsebene bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.

Wir empfehlen dringend, die Werte der erforderlichen Einschränkungen für Organisationsrichtlinien, die in den folgenden Abschnitten aufgeführt sind, nicht zu ändern. Dies kann den Datenstandort untergraben. Wenn eine solche Änderung vorgenommen wurde, sind die Auswirkungen der Änderung schwierig oder unmöglich rückgängig zu machen. Machen Sie sich mit den Auswirkungen von Änderungen des Werts einer Einschränkung für Organisationsrichtlinien vertraut, bevor Sie fortfahren, und besprechen Sie alle Änderungen dieser Art mit Ihrer Genehmigungsbehörde, bevor Sie sie vornehmen.

Achten Sie außerdem darauf, dass alle automatisierten Mechanismen, mit denen Ihre Organisation Organisationsrichtlinien verwaltet, aktualisiert werden, um zu verhindern, dass diese Werte unbeabsichtigt geändert werden.

Google Cloud × Google Cloud

Google Cloud-weite Einschränkungen für Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.

Einschränkung der Organisationsrichtlinie	Beschreibung
`gcp.resourceLocations`	Legen Sie die folgenden Standorte in der Liste `allowedValues` fest: `us` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die ausgewählten Werte. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Eine Liste der Ressourcen, die durch die Organisationsrichtlinieneinschränkung „Ressourcenstandorte“ eingeschränkt werden können, finden Sie unter Unterstützte Dienste für Ressourcenstandorte. Einige Ressourcen sind möglicherweise nicht abgedeckt und können nicht eingeschränkt werden. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen.
`gcp.restrictCmekCryptoKeyProjects`	Auf `under:organizations/your-organization-name` festgelegt, Ihre Assured Workloads-Organisation. Sie können diesen Wert weiter einschränken, indem Sie ein Projekt oder einen Ordner angeben. Beschränkt den Bereich genehmigter Ordner oder Projekte, die Cloud KMS-Schlüssel für die Verschlüsselung von Daten im Ruhezustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `bigquerydatatransfer.googleapis.com` Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Für jeden aufgeführten Dienst sind kundenverwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK werden inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictServiceUsage`	Legen Sie fest, dass alle unterstützten Produkte und API-Endpunkte zugelassen werden. Bestimmt, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.
`gcp.restrictTLSVersion`	Auf „Verweigern“ setzen für die folgenden TLS-Versionen: `TLS_1_0` `TLS_1_1` Weitere Informationen finden Sie unter TLS-Versionen einschränken.

BigQuery

Betroffene BigQuery-Funktionen

Funktion	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, ist aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Das liegt an einem internen Konfigurationsprozess. Dieser Vorgang dauert normalerweise zehn Minuten, kann unter Umständen aber auch länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu Assured Workloads Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Aktualisierungen prüfen. Sehen Sie sich im Bereich Zugelassene Dienste die Dienste an, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Allow Services (Dienste zulassen), um sie hinzuzufügen. Wenn die BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgeführt werden, wenden Sie sich an den Cloud Customer Care. Nachdem der Aktivierungsprozess abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Funktionen werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in Ihrer Verantwortung, sie nicht in BigQuery für Assured Workloads zu verwenden. Interaktion mit Remote-Datenquellen Extern trainierte BQML-Modelle werden nicht unterstützt. Intern trainierte BQML-Modelle werden unterstützt. Dynamische Datenmaskierung GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Für BigQuery Studio werden Notebooks nicht unterstützt. Gemini in BigQuery wird nicht unterstützt.
BigQuery-Befehlszeile	Die BigQuery-Befehlszeile wird unterstützt.
Google Cloud SDK	Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um die Regionalisierung von technischen Daten zu gewährleisten. Führen Sie `gcloud --version` aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann `gcloud components update`, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren	In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können jedoch eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Assured Workloads-Monitoring-Dashboard über potenzielle Compliance-Verstöße benachrichtigt.
Daten laden	BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service (SaaS)), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, BigQuery Data Transfer Service-Connectors nicht für IL2-Arbeitslasten in der Data Boundary zu verwenden.
Drittanbieter-Übertragungen	BigQuery überprüft nicht, ob Drittanbieterübertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, den Support zu prüfen, wenn Sie eine Drittanbieterübertragung für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle	Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs	Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden.
Abfragen für Datasets in anderen Projekten	BigQuery verhindert nicht, dass Assured Workloads-Datasets aus Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Alle Abfragen, die Daten aus Assured Workloads lesen oder mit Daten aus Assured Workloads verknüpfen, sollten in einem Assured Workloads-Ordner platziert werden. Sie können mit `projectname.dataset.table` in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging	BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten Ihre `_default`-Logging-Buckets deaktivieren oder `_default`-Buckets auf die entsprechenden Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Weitere Informationen finden Sie unter Logs regionalisieren.

Cloud Interconnect

Betroffene Cloud Interconnect-Funktionen

Funktion	Beschreibung
Hochverfügbarkeits-VPN	Sie müssen die HA VPN-Funktion aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten.

Cloud Logging

Betroffene Cloud Logging-Funktionen

Funktion	Beschreibung
Logsenken	Filter sollten keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge	Filter sollten keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.

Cloud Monitoring

Betroffene Cloud Monitoring-Funktionen

Funktion	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnosen	Die Funktion ist deaktiviert.

Cloud Run

Betroffene Cloud Run-Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Cloud Run-Funktionen werden nicht unterstützt: Cloud Trace-Integration Cloud Run Functions Eventarc-Trigger

Cloud VPN

Betroffene Cloud VPN-Funktionen

Funktion	Beschreibung
VPN-Endpunkte	Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in einer Region befinden, die in den Anwendungsbereich fällt. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region konfiguriert ist, die in den Anwendungsbereich fällt.

Cloud Workstations

Betroffene Cloud Workstations-Funktionen

Funktion	Beschreibung
Workstation-Cluster erstellen	Wenn Sie einen Workstation-Cluster erstellen, liegt es in Ihrer Verantwortung, ihn so zu konfigurieren, dass der Datenstandort eingehalten wird: Wählen Sie beim Erstellen eines Workstation-Clusters nur ein privates Gateway aus. Durch die Verwendung eines privaten Gateways wird der Datenstandort während der Übertragung sichergestellt. Verwenden Sie nur einen regionalen externen Application Load Balancer, wenn Sie eine benutzerdefinierte Domain einrichten. Wenn Sie einen regionalen externen Application Load Balancer verwenden, werden Daten während der Übertragung regional gespeichert.

Funktion

Beschreibung

Workstation-Cluster erstellen

Wenn Sie einen Workstation-Cluster erstellen, liegt es in Ihrer Verantwortung, ihn so zu konfigurieren, dass der Datenstandort eingehalten wird:

Wählen Sie beim Erstellen eines Workstation-Clusters nur ein privates Gateway aus. Durch die Verwendung eines privaten Gateways wird der Datenstandort während der Übertragung sichergestellt.
Verwenden Sie nur einen regionalen externen Application Load Balancer, wenn Sie eine benutzerdefinierte Domain einrichten. Wenn Sie einen regionalen externen Application Load Balancer verwenden, werden Daten während der Übertragung regional gespeichert.

Compute Engine

Betroffene Compute Engine-Funktionen

Funktion	Beschreibung
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`.
Instanzgruppe einem globalen Load-Balancer hinzufügen	Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen. Diese Funktion ist aufgrund der Einschränkung der `compute.disableGlobalLoadBalancing`-Organisationsrichtlinie deaktiviert.
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Diese Funktion ist durch die Einschränkung der `gcp.restrictNonCmekServices`-Organisationsrichtlinie deaktiviert.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Diese Funktion ist durch die Einschränkung der `gcp.restrictNonCmekServices`-Organisationsrichtlinie deaktiviert.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung `compute.trustedImageProjects` verwenden. Weitere Informationen finden Sie unter Benutzerdefiniertes Image erstellen.
Betriebssystemrichtlinien in VM Manager	Inline-Scripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Diese Dateien dürfen keine vertraulichen Informationen enthalten. Es empfiehlt sich, diese Skripts und Ausgabedateien in Cloud Storage-Buckets zu speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien. Wenn Sie die Erstellung oder Änderung von Betriebssystemrichtlinien-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die Einschränkung `constraints/osconfig.restrictInlineScriptAndOutputFileUsage` der Organisationsrichtlinie. Weitere Informationen finden Sie unter Einschränkungen für die Betriebssystemkonfiguration.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`compute.disableGlobalCloudArmorPolicy`	Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
`compute.disableGlobalLoadBalancing`	Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.trustedImageProjects`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Dataplex Universal Catalog

Funktionen von Dataplex Universal Catalog

Funktion	Beschreibung
Attributspeicher	Diese Funktion ist veraltet und deaktiviert.
Data Catalog	Diese Funktion ist veraltet und deaktiviert. Sie können Ihre Metadaten nicht in Data Catalog durchsuchen oder verwalten.
Lakes und Zonen	Die Funktion ist deaktiviert. Sie können keine Lakes, Zonen und Aufgaben verwalten.

Pub/Sub

Einschränkungen für Organisationsrichtlinien für Pub/Sub

Einschränkung der Organisationsrichtlinie	Beschreibung
`pubsub.managed.disableSubscriptionMessageTransforms`	Auf True festlegen. Verhindert, dass für Pub/Sub-Abos Single Message Transforms (SMTs) festgelegt werden. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
`pubsub.managed.disableTopicMessageTransforms`	Auf True festlegen. Verhindert, dass für Pub/Sub-Themen Single Message Transforms (SMTs) festgelegt werden. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.