Datengrenze für Impact Level 5 (IL5)

Auf dieser Seite werden die Kontrollmechanismen beschrieben, die auf die Data Boundary für IL5-Arbeitslasten in Assured Workloads angewendet werden. Es enthält detaillierte Informationen zu Datenspeicherort, unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen anwendbaren Einschränkungen für diese Produkte. Für die Datengrenze für IL5 gelten die folgenden zusätzlichen Informationen:

  • Datenstandort: Das Kontrollpaket „Data Boundary for IL5“ legt die Steuerelemente für den Datenstandort so fest, dass nur Regionen in den USA unterstützt werden. Weitere Informationen finden Sie im Abschnitt Einschränkungen für organisationsweiteGoogle Cloud-Organisationsrichtlinien.
  • Support: Technischer Support für die Datenbegrenzung für IL5-Arbeitslasten ist mit Abos für erweiterten oder Premium-Cloud Customer Care verfügbar. Supportfälle für IL5-Arbeitslasten werden an US-amerikanische Personen in den USA weitergeleitet. Weitere Informationen finden Sie unter Support.
  • Preise: Das Data Boundary for IL5-Kontrollpaket ist in der Premium-Stufe von Assured Workloads enthalten, für die eine zusätzliche Gebühr von 20 % anfällt. Weitere Informationen finden Sie unter Assured Workloads-Preise.

Vorbereitung

Damit Sie als Nutzer des Kontrollpakets „Data Boundary for IL5“ die Compliance einhalten, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:

  • Erstellen Sie mit Assured Workloads eine Data Boundary für den IL5-Ordner und stellen Sie Ihre IL5-Arbeitslasten nur in diesem Ordner bereit.
  • Aktivieren und verwenden Sie nur Dienste im Geltungsbereich für die Datengrenze für IL5-Arbeitslasten.
  • Ändern Sie die Standardwerte für die Einschränkung der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenspeicherort verstehen und bereit sind, diese zu akzeptieren.
  • Speichern Sie für alle Dienste, die in einem IL5-Ordner für Datenstandort verwendet werden, keine technischen Daten in den folgenden benutzerdefinierten oder sicherheitsbezogenen Konfigurationsinformationstypen:
    • Fehlermeldungen
    • Console-Ausgabe
    • Attributdaten
    • Daten zur Dienstkonfiguration
    • Header von Netzwerkpaketen
    • Ressourcen-IDs
    • Datenlabels
  • Wir empfehlen Ihnen, die allgemeinen Best Practices für die Sicherheit zu übernehmen, die im Google Cloud Center für Sicherheits-Best-Practices beschrieben werden.
  • Weitere Informationen zum Bereitstellen von IL5-Arbeitslasten inGoogle Cloudfinden Sie auf der Seite Vorläufige Zulassung des US-Verteidigungsministeriums (Department of Defense, DoD).
  • Wenn Sie auf die Google Cloud Console zugreifen, können Sie die Jurisdictional Google Cloud Console verwenden. Sie müssen die Google Cloud -Console für die Gerichtsbarkeit nicht für die Datengrenze für IL5 verwenden. Sie können über eine der folgenden URLs darauf zugreifen:

Unterstützte Produkte und API-Endpunkte

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Produkte zugreifen. Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derer, die durch Einschränkungseinstellungen für Organisationsrichtlinien erzwungen werden, sind in der folgenden Tabelle aufgeführt.

Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und hat die Kontrollanforderungen für die Datengrenze für IL5 nicht erfüllt. Die Verwendung nicht unterstützter Produkte wird nicht empfohlen, ohne dass Sie Ihre Verantwortlichkeiten im Modell der geteilten Verantwortung sorgfältig geprüft und verstanden haben. Bevor Sie ein nicht unterstütztes Produkt verwenden, sollten Sie sich über alle damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf den Speicherort oder die Souveränität von Daten. Außerdem sollten Sie die Verwendung eines nicht unterstützten Produkts mit der zuständigen Behörde besprechen, bevor Sie das Risiko akzeptieren.

Unterstütztes Produkt API-Endpunkte Einschränkungen oder Beschränkungen
Artifact Registry artifactregistry.googleapis.com
 Keine
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerymigration.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
 Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Certificate Authority Service privateca.googleapis.com
 Keine
Cloud Build cloudbuild.googleapis.com
 Keine
Cloud Composer composer.googleapis.com
 Keine
Cloud DNS dns.googleapis.com
 Keine
Cloud Data Fusion datafusion.googleapis.com
 Keine
Cloud External Key Manager (Cloud EKM) cloudkms.googleapis.com
 Keine
Cloud HSM cloudkms.googleapis.com
 Keine
Cloud Identity cloudidentity.googleapis.com
 Keine
Cloud Interconnect compute.googleapis.com
 Keine
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
 Einschränkungen für Organisationsrichtlinien
Cloud Logging logging.googleapis.com
 Keine
Cloud Monitoring monitoring.googleapis.com
 Keine
Cloud NAT compute.googleapis.com
 Keine
Cloud Router compute.googleapis.com
 Keine
Cloud Run run.googleapis.com
 Betroffene Funktionen
Cloud SQL sqladmin.googleapis.com
 Keine
Cloud Storage storage.googleapis.com
 Keine
Cloud Tasks cloudtasks.googleapis.com
 Keine
Cloud VPN compute.googleapis.com
 Keine
Cloud Vision API us-vision.googleapis.com
 Betroffene Funktionen
Cloud Workstations workstations.googleapis.com
 Betroffene Funktionen
Compute Engine compute.googleapis.com
 Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Connect Agent gkeconnect.googleapis.com
 Keine
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
 Keine
Dataproc dataproc.googleapis.com
dataproc-control.googleapis.com
 Keine
Eventarc eventarc.googleapis.com
 Keine
Externer Passthrough-Network Load Balancer compute.googleapis.com
 Keine
GKE Hub gkehub.googleapis.com
 Keine
GKE Identity Service anthosidentityservice.googleapis.com
 Keine
Generative KI in Vertex AI aiplatform.googleapis.com
 Keine
Gemini Enterprise discoveryengine.googleapis.com
 Keine
Google Kubernetes Engine (GKE) container.googleapis.com
containersecurity.googleapis.com
 Keine
Google Admin-Konsole N/A
 Keine
Identitäts- und Zugriffsverwaltung iam.googleapis.com
 Einschränkungen für Organisationsrichtlinien
Identity-Aware Proxy (IAP) iap.googleapis.com
 Keine
Interner Passthrough-Network Load Balancer compute.googleapis.com
 Keine
Memorystore for Redis redis.googleapis.com
 Keine
Persistent Disk compute.googleapis.com
 Keine
Pub/Sub pubsub.googleapis.com
 Einschränkungen für Organisationsrichtlinien
Regionaler externer Application Load Balancer compute.googleapis.com
 Keine
Regionaler externer Proxy-Network Load Balancer compute.googleapis.com
 Keine
Regionaler interner Application Load Balancer compute.googleapis.com
 Keine
Regionaler interner Proxy-Network Load Balancer compute.googleapis.com
 Keine
Secret Manager secretmanager.googleapis.com
 Keine
Sensitive Data Protection dlp.googleapis.com
 Keine
Spanner spanner.googleapis.com
 Keine
Speech-to-Text speech.googleapis.com
 Betroffene Funktionen
VPC Service Controls accesscontextmanager.googleapis.com
 Keine
Vertex AI Batch Prediction aiplatform.googleapis.com
 Keine
Vertex AI Model Monitoring aiplatform.googleapis.com
 Keine
Vertex AI Model Registry aiplatform.googleapis.com
 Keine
Vertex AI Online Prediction aiplatform.googleapis.com
 Keine
Vertex AI Pipelines aiplatform.googleapis.com
 Keine
Vertex AI Search discoveryengine.googleapis.com
 Keine
Vertex AI Training aiplatform.googleapis.com
 Keine
Virtual Private Cloud (VPC) compute.googleapis.com
 Keine

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit IL5-Datengrenzen festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche gestaffelte Sicherheitsebene bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.

Google Cloudbreit

Betroffene Google Cloud-weite Funktionen

Funktion Beschreibung
Google Cloud Console Wenn Sie das Data Boundary for IL5-Kontrollpaket verwenden, können Sie über die Jurisdictional Google Cloud -Konsole auf die Google Cloud -Konsole zugreifen. Die Jurisdictional Google Cloud -Konsole ist für Data Boundary für IL5 nicht erforderlich und kann über eine der folgenden URLs aufgerufen werden:

Google Cloud-weite Einschränkungen für Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.

Einschränkung der Organisationsrichtlinie Beschreibung
gcp.resourceLocations Legen Sie die folgenden Standorte in der Liste allowedValues fest:
  • us
  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4
Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die ausgewählten Werte. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Eine Liste der Ressourcen, die durch die Einschränkung der Organisationsrichtlinie „Ressourcenstandorte“ eingeschränkt werden können, finden Sie unter Unterstützte Dienste für Ressourcenstandorte. Einige Ressourcen sind möglicherweise nicht abgedeckt und können nicht eingeschränkt werden.

Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, da Daten außerhalb einer konformen Datengrenze erstellt oder gespeichert werden können.
gcp.restrictCmekCryptoKeyProjects Auf under:organizations/your-organization-name festgelegt, Ihre Assured Workloads-Organisation. Sie können diesen Wert weiter einschränken, indem Sie ein Projekt oder einen Ordner angeben.

Beschränkt den Bereich genehmigter Ordner oder Projekte, die Cloud KMS-Schlüssel für die Verschlüsselung von Daten im Ruhezustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
gcp.restrictNonCmekServices Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
  • sqladmin.googleapis.com
  • bigquerydatatransfer.googleapis.com
Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein.

Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK werden inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt, nicht mit den Standardverschlüsselungsmechanismen von Google.

Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
gcp.restrictServiceUsage Legen Sie fest, dass alle unterstützten Produkte und API-Endpunkte zugelassen werden.

Bestimmt, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.
gcp.restrictTLSVersion Auf „Verweigern“ setzen für die folgenden TLS-Versionen:
  • TLS_1_0
  • TLS_1_1
Weitere Informationen finden Sie unter TLS-Versionen einschränken.

BigQuery

Betroffene BigQuery-Funktionen

Funktion Beschreibung
BigQuery für einen neuen Ordner aktivieren BigQuery wird unterstützt, ist aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Das liegt an einem internen Konfigurationsprozess. Dieser Vorgang dauert normalerweise zehn Minuten, kann unter Umständen aber auch länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu Assured Workloads

  2. Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Aktualisierungen prüfen.
  4. Sehen Sie sich im Bereich Zugelassene Dienste die Dienste an, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Allow Services (Dienste zulassen), um sie hinzuzufügen.

    Wenn BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgeführt werden, wenden Sie sich an den Cloud Customer Care.

Nachdem der Aktivierungsprozess abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Konforme BigQuery-APIs Die folgenden BigQuery APIs sind IL5-konform:
Regionen BigQuery entspricht IL5 für alle BigQuery-Regionen in den USA mit Ausnahme der multiregionalen US-Region. Die IL5-Compliance kann nicht garantiert werden, wenn ein Dataset in einer US-Multiregion, einer Nicht-US-Region oder einer Nicht-US-Multiregion erstellt wird. Es liegt in Ihrer Verantwortung, beim Erstellen von BigQuery-Datasets eine IL5-konforme Region anzugeben.
Abfragen von IL5-Datasets aus Nicht-IL5-Projekten In BigQuery wird nicht verhindert, dass IL5-Datasets aus Nicht-IL5-Projekten abgefragt werden. Achten Sie darauf, dass jede Abfrage, die einen Lese- oder Join-Vorgang für technische Daten der IL5-Klassifizierung verwendet, in einem IL5-konformen Ordner enthalten ist.
Verbindungen zu externen Datenquellen herstellen Die Compliance-Verantwortung von Google beschränkt sich auf die Funktion der BigQuery Connection API. Es liegt in Ihrer Verantwortung, die Einhaltung der Vorschriften für die Quellprodukte sicherzustellen, die mit der BigQuery Connection API verwendet werden.
Nicht unterstützte Funktionen Die folgenden BigQuery-Funktionen werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in Ihrer Verantwortung, sie nicht in BigQuery für Assured Workloads zu verwenden.
BigQuery-Befehlszeile Die BigQuery-Befehlszeile wird unterstützt.

Google Cloud SDK Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um die Regionalisierung von technischen Daten zu gewährleisten. Führen Sie gcloud --version aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann gcloud components update, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können jedoch eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Assured Workloads-Monitoring-Dashboard über potenzielle Compliance-Verstöße benachrichtigt.
Daten laden BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service (SaaS)), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, keine BigQuery Data Transfer Service-Connectors für die Data Boundary für IL5-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen BigQuery überprüft nicht, ob Drittanbieterübertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, den Support zu prüfen, wenn Sie einen Drittanbieter-Transfer für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden.
Abfragen für Datasets in anderen Projekten BigQuery verhindert nicht, dass Assured Workloads-Datasets aus Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Alle Abfragen, die Daten aus Assured Workloads lesen oder mit ihnen verknüpfen, sollten in einem Assured Workloads-Ordner platziert werden. Sie können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten Ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf die entsprechenden Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Weitere Informationen finden Sie unter Logs regionalisieren.

Cloud Interconnect

Betroffene Cloud Interconnect-Funktionen

Funktion Beschreibung
Hochverfügbarkeits-VPN Sie müssen die HA VPN-Funktion aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführten Anforderungen zur Verschlüsselung und Regionalisierung einhalten.

Cloud KMS

Einschränkungen für Cloud KMS-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung
cloudkms.allowedProtectionLevels Eingestellt, um die Erstellung von Cloud Key Management Service-CryptoKeys mit den folgenden Schutzstufen zu ermöglichen:
  • SOFTWARE
  • HSM
  • EXTERNAL
  • EXTERNAL_VPC
Weitere Informationen finden Sie unter Schutzniveaus.

Cloud Logging

Betroffene Cloud Logging-Funktionen

Funktion Beschreibung
Logsenken Filter dürfen keine Kundendaten enthalten.

Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge Filter dürfen keine Kundendaten enthalten.

Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.

Cloud Monitoring

Betroffene Cloud Monitoring-Funktionen

Funktion Beschreibung
Synthetischer Monitor Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnosen Die Funktion ist deaktiviert.

Cloud Run

Betroffene Cloud Run-Funktionen

Funktion Beschreibung
Nicht unterstützte Funktionen Die folgenden Cloud Run-Funktionen werden nicht unterstützt:

Cloud Vision API

Betroffene Cloud Vision API-Funktionen

Funktion Beschreibung
IL5-konforme Cloud Vision API-Endpunkte Es liegt in Ihrer Verantwortung, für die Cloud Vision API nur den API-Endpunkt für die US-Region (us-vision.googleapis.com) zu verwenden. Der globale Endpunkt (vision.googleapis.com) entspricht nicht IL5 und die Verwendung kann den Datenstandort Ihrer Arbeitslast beeinträchtigen.

Cloud VPN

Betroffene Cloud VPN-Funktionen

Funktion Beschreibung
VPN-Endpunkte Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in einer Region befinden, die in den Anwendungsbereich fällt. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region konfiguriert ist, die in den Anwendungsbereich fällt.

Cloud Workstations

Betroffene Cloud Workstations-Funktionen

Funktion Beschreibung
Workstation-Cluster erstellen

Beim Erstellen eines Workstation-Clusters liegt es in Ihrer Verantwortung, ihn so zu konfigurieren, dass der Datenstandort eingehalten wird:

  • Wählen Sie beim Erstellen eines Workstation-Clusters nur ein privates Gateway aus. Wenn Sie ein privates Gateway verwenden, werden Daten während der Übertragung am gewünschten Standort gespeichert.
  • Verwenden Sie nur einen regionalen externen Application Load Balancer, wenn Sie eine benutzerdefinierte Domain einrichten. Wenn Sie einen regionalen externen Application Load Balancer verwenden, werden Daten während der Übertragung in der Region gespeichert.

Compute Engine

Betroffene Compute Engine-Funktionen

Funktion Beschreibung
VM-Instanz anhalten bzw. fortsetzen Die Funktion ist deaktiviert.

Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices.
Lokale SSDs Die Funktion ist deaktiviert.

Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices.
Instanzgruppe einem globalen Load-Balancer hinzufügen Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen.

Diese Funktion ist aufgrund der Einschränkung der compute.disableGlobalLoadBalancing-Organisationsrichtlinie deaktiviert.
VM-Instanz anhalten bzw. fortsetzen Die Funktion ist deaktiviert.

Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden.

Diese Funktion ist durch die Einschränkung der gcp.restrictNonCmekServices-Organisationsrichtlinie deaktiviert.
Lokale SSDs Die Funktion ist deaktiviert.

Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können.

Diese Funktion ist durch die Einschränkung der gcp.restrictNonCmekServices-Organisationsrichtlinie deaktiviert.
Gastumgebung Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung.

Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.

Weitere Informationen finden Sie unter Benutzerdefiniertes Image erstellen.
Betriebssystemrichtlinien in VM Manager Inline-Skripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Diese Dateien dürfen keine vertraulichen Informationen enthalten. Es empfiehlt sich, diese Skripts und Ausgabedateien in Cloud Storage-Buckets zu speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien.

Wenn Sie die Erstellung oder Änderung von Betriebssystemrichtlinien-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die Einschränkung constraints/osconfig.restrictInlineScriptAndOutputFileUsage der Organisationsrichtlinie.

Weitere Informationen finden Sie unter Einschränkungen für die Betriebssystemkonfiguration.
instances.getSerialPortOutput() Diese API ist deaktiviert. Mit dieser API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen.

Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
instances.getScreenshot() Diese API ist deaktiviert. Mit dieser API können Sie keinen Screenshot von der angegebenen Instanz erhalten.

Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung
compute.disableGlobalCloudArmorPolicy Auf True festlegen.

Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
compute.disableGlobalLoadBalancing Auf True festlegen.

Deaktiviert das Erstellen von globalen Load-Balancing-Produkten.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
compute.disableInstanceDataAccessApis Auf True festlegen.

Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().

Wenn Sie diese Einschränkung aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren.

Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor:
  1. SSH für Windows-VMs aktivieren
  2. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    Ersetzen Sie Folgendes:
    • VM_NAME: Der Name der VM, für die Sie das Passwort festlegen.
    • USERNAME: Der Nutzername des Nutzers, für den Sie das Passwort festlegen.
    • PASSWORD: Das neue Passwort.
compute.setNewProjectDefaultToZonalDNSOnly Auf True festlegen.

Legt die DNS-Einstellung für neue Projekte auf nur zonales DNS fest. Zonales DNS verringert das Risiko regionsübergreifender Ausfälle und verbessert die allgemeine Zuverlässigkeit Ihrer Projekte in Compute Engine.
compute.skipDefaultNetworkCreation Auf True festlegen.

Deaktiviert die Erstellung eines Standardnetzwerks und der zugehörigen Ressourcen beim Erstellen eines neuen Projekts.
compute.restrictNonConfidentialComputing

 (Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Defense-in-Depth-Maßnahmen zu ergreifen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
compute.trustedImageProjects

 (Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Defense-in-Depth-Maßnahmen zu ergreifen.

Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

IAM

Einschränkungen für IAM-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung
iam.automaticIamGrantsForDefaultServiceAccounts Auf True festlegen.

Deaktiviert die automatische Zuweisung der einfachen Rolle „Bearbeiter“ (roles/editor) an Standarddienstkonten.

Diese Einschränkung verhindert nicht, dass Standarddienstkonten in Zukunft Legacy-Basisrollen zugewiesen werden. Um dieses Verhalten zu verhindern, können Sie die Einschränkung iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts für Ihren Assured Workloads-Ordner festlegen.
iam.disableServiceAccountKeyCreation Auf True festlegen.

Deaktiviert das Erstellen neuer Dienstkontoschlüssel und HMAC-Schlüssel für Cloud Storage.

Wenn Dienstkontoschlüssel für Ihre Arbeitslast erforderlich sind, lesen Sie die Seite Best Practices für die Verwaltung von Dienstkontoschlüsseln, bevor Sie den Wert dieser Einschränkung ändern.

Pub/Sub

Einschränkungen für Organisationsrichtlinien für Pub/Sub

Einschränkung der Organisationsrichtlinie Beschreibung
pubsub.managed.disableTopicMessageTransforms Auf True festlegen.

Verhindert, dass für Pub/Sub-Themen Single Message Transforms (SMTs) festgelegt werden.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
pubsub.managed.disableSubscriptionMessageTransforms Auf True festlegen.

Verhindert, dass für Pub/Sub-Abos Single Message Transforms (SMTs) festgelegt werden.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
pubsub.managed.disableTopicMessageTransforms Auf True festlegen.

Verhindert, dass für Pub/Sub-Themen Single Message Transforms (SMTs) festgelegt werden.

Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.

Speech-to-Text

Betroffene Speech-to-Text-Funktionen

Funktion Beschreibung
Benutzerdefinierte Speech-to-Text-Modelle Es liegt in Ihrer Verantwortung, keine benutzerdefinierten Speech-to-Text-Modelle zu verwenden, da diese nicht der Data Boundary für IL5 entsprechen.

Nächste Schritte