Périmètre de données pour le niveau d'impact 5 (IL5)
Cette page décrit l'ensemble des contrôles appliqués à la limite de données pour les charges de travail IL5 dans Assured Workloads. Il fournit des informations détaillées sur la résidence des données, les produits Google Cloud compatibles et leurs points de terminaison d'API, ainsi que les restrictions ou limites applicables à ces produits. Les informations supplémentaires suivantes s'appliquent au périmètre de données pour le niveau d'impact 5 :
- Résidence des données : le package de contrôles de la limite de données IL5 définit les contrôles d'emplacement des données pour n'accepter que les régions des États-Unis. Pour en savoir plus, consultez la section Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud.
- Assistance : les services d'assistance technique pour le périmètre de données des charges de travail IL5 sont disponibles avec les abonnements Cloud Customer Care Enhanced ou Premium. Les demandes d'assistance concernant les charges de travail IL5 sont traitées par des personnes résidant aux États-Unis. Pour en savoir plus, consultez Obtenir de l'aide.
- Tarification : le package de contrôles de la limite de données IL5 est inclus dans le niveau Premium d'Assured Workloads, qui entraîne des frais supplémentaires de 20 %. Pour en savoir plus, consultez Tarifs d'Assured Workloads.
Prérequis
Pour rester conforme en tant qu'utilisateur du package de contrôles "Limites de données pour IL5", vérifiez que vous remplissez les conditions préalables suivantes et que vous les respectez :
- Créez un périmètre de données pour le dossier IL5 à l'aide d'Assured Workloads, puis déployez vos charges de travail IL5 uniquement dans ce dossier.
- N'activez et n'utilisez que les services concernés pour la limite de données des charges de travail IL5.
- Ne modifiez pas les valeurs par défaut des contraintes de règles d'administration, sauf si vous comprenez et êtes prêt à accepter les risques liés à la résidence des données qui peuvent survenir.
- Pour tous les services utilisés dans un dossier de limite de données pour IL5, ne stockez pas de données techniques dans les types d'informations de configuration de sécurité ou définies par l'utilisateur suivants :
- Messages d'erreur
- Sortie vers la console
- Données d'attribut
- Données de configuration du service
- En-têtes de paquets réseau
- Identifiants de ressources
- Libellés de données
- Envisagez d'adopter les bonnes pratiques générales de sécurité fournies dans le centre des bonnes pratiques de sécurité Google Cloud .
- Consultez la page Autorisation provisoire du Département de la Défense des États-Unis pour en savoir plus sur le déploiement de charges de travail IL5 dansGoogle Cloud.
- Lorsque vous accédez à la console Google Cloud , vous avez la possibilité d'utiliser la console juridictionnelle Google Cloud .
Vous n'êtes pas obligé d'utiliser la console Google Cloud juridictionnelle pour la limite de données IL5. Vous pouvez y accéder à l'une des URL suivantes :
- console.us.cloud.google.com
- console.us.cloud.google pour les utilisateurs de l'identité fédérée
Produits et points de terminaison d'API compatibles
Sauf indication contraire, les utilisateurs peuvent accéder à tous les produits compatibles via la console Google Cloud . Les restrictions ou les limites qui affectent les fonctionnalités d'un produit compatible, y compris celles qui sont appliquées par le biais des paramètres de contrainte des règles d'administration, sont listées dans le tableau suivant.
Si un produit n'est pas listé, cela signifie qu'il n'est pas pris en charge et qu'il ne répond pas aux exigences de contrôle de la limite de données pour le niveau IL5. Il n'est pas recommandé d'utiliser des produits non compatibles sans faire preuve de diligence raisonnable et sans bien comprendre vos responsabilités dans le modèle de responsabilité partagée. Avant d'utiliser un produit non compatible, assurez-vous d'être conscient des risques associés et de les accepter, comme les impacts négatifs sur la résidence ou la souveraineté des données. De plus, vérifiez toute utilisation d'un produit non pris en charge auprès de votre organisme d'autorisation avant d'accepter le risque.
| Produit concerné | points de terminaison de l'API | Restrictions ou limites |
|---|---|---|
| Artifact Registry |
artifactregistry.googleapis.com |
Aucun |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Certificate Authority Service |
privateca.googleapis.com |
Aucun |
| Cloud Build |
cloudbuild.googleapis.com |
Aucun |
| Cloud Composer |
composer.googleapis.com |
Aucun |
| Cloud DNS |
dns.googleapis.com |
Aucun |
| Cloud Data Fusion |
datafusion.googleapis.com |
Aucun |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Aucun |
| Cloud HSM |
cloudkms.googleapis.com |
Aucun |
| Cloud Identity |
cloudidentity.googleapis.com |
Aucun |
| Cloud Interconnect |
compute.googleapis.com |
Aucun |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Contraintes liées aux règles d'administration |
| Cloud Logging |
logging.googleapis.com |
Aucun |
| Cloud Monitoring |
monitoring.googleapis.com |
Aucun |
| Cloud NAT |
compute.googleapis.com |
Aucun |
| Cloud Router |
compute.googleapis.com |
Aucun |
| Cloud Run |
run.googleapis.com |
Fonctionnalités concernées |
| Cloud SQL |
sqladmin.googleapis.com |
Aucun |
| Cloud Storage |
storage.googleapis.com |
Aucun |
| Cloud Tasks |
cloudtasks.googleapis.com |
Aucun |
| Cloud VPN |
compute.googleapis.com |
Aucun |
| API Cloud Vision |
us-vision.googleapis.com |
Fonctionnalités concernées |
| Cloud Workstations |
workstations.googleapis.com |
Fonctionnalités concernées |
| Compute Engine |
compute.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Agent Connect |
gkeconnect.googleapis.com |
Aucun |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Aucun |
| Dataproc |
dataproc.googleapis.comdataproc-control.googleapis.com |
Aucun |
| Eventarc |
eventarc.googleapis.com |
Aucun |
| Équilibreur de charge réseau passthrough externe |
compute.googleapis.com |
Aucun |
| GKE Hub |
gkehub.googleapis.com |
Aucun |
| Service d'identité GKE |
anthosidentityservice.googleapis.com |
Aucun |
| IA générative sur Vertex AI |
aiplatform.googleapis.com |
Aucun |
| Gemini Enterprise |
discoveryengine.googleapis.com |
Aucun |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Aucun |
| Console d'administration Google |
N/A |
Aucun |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Contraintes liées aux règles d'administration |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Aucun |
| Équilibreur de charge réseau passthrough interne |
compute.googleapis.com |
Aucun |
| Memorystore pour Redis |
redis.googleapis.com |
Aucun |
| Persistent Disk |
compute.googleapis.com |
Aucun |
| Pub/Sub |
pubsub.googleapis.com |
Contraintes liées aux règles d'administration |
| Équilibreur de charge d'application externe régional |
compute.googleapis.com |
Aucun |
| Équilibreur de charge réseau proxy externe régional |
compute.googleapis.com |
Aucun |
| Équilibreur de charge d'application interne régional |
compute.googleapis.com |
Aucun |
| Équilibreur de charge réseau proxy interne régional |
compute.googleapis.com |
Aucun |
| Secret Manager |
secretmanager.googleapis.com |
Aucun |
| Sensitive Data Protection |
dlp.googleapis.com |
Aucun |
| Spanner |
spanner.googleapis.com |
Aucun |
| Speech-to-Text |
speech.googleapis.com |
Fonctionnalités concernées |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Aucun |
| Vertex AI Batch Prediction |
aiplatform.googleapis.com |
Aucun |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
Aucun |
| Vertex AI Model Registry |
aiplatform.googleapis.com |
Aucun |
| Prédiction en ligne Vertex AI |
aiplatform.googleapis.com |
Aucun |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
Aucun |
| Vertex AI Search |
discoveryengine.googleapis.com |
Aucun |
| Vertex AI Training |
aiplatform.googleapis.com |
Aucun |
| Cloud privé virtuel (VPC) |
compute.googleapis.com |
Aucun |
Restrictions et limitations
Les sections suivantes décrivent les restrictions ou limites Google Cloud-wide ou spécifiques aux produits pour les fonctionnalités, y compris les contraintes liées aux règles d'administration qui sont définies par défaut sur la limite de données pour les dossiers IL5. D'autres contraintes de règles d'administration applicables, même si elles ne sont pas définies par défaut, peuvent fournir une défense en profondeur supplémentaire pour mieux protéger les ressources de votre organisation Google Cloud .
Google Cloudde large
Fonctionnalités concernées Google Cloud
| Fonctionnalité | Description |
|---|---|
| ConsoleGoogle Cloud | Pour accéder à la console Google Cloud lorsque vous utilisez le package de contrôles de la limite de données pour IL5, vous pouvez utiliser la console juridictionnelle Google Cloud .
La console Jurisdictional Google Cloud n'est pas requise pour la limite de données IL5. Vous pouvez y accéder à l'aide de l'une des URL suivantes :
|
Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud
Les contraintes de règles d'administration suivantes s'appliquent à Google Cloud.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez les emplacements suivants dans la liste allowedValues :
Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme. |
gcp.restrictCmekCryptoKeyProjects |
Définissez la valeur sur under:organizations/your-organization-name, qui correspond à votre organisation Assured Workloads. Vous pouvez restreindre davantage cette valeur en spécifiant un projet ou un dossier.Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés Cloud KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou projets non approuvés de fournir des clés de chiffrement, ce qui permet de garantir la souveraineté des données au repos pour les services concernés. |
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). CMEK chiffre les données au repos à l'aide d'une clé que vous gérez, et non à l'aide des mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées avec la clé que vous avez fournie. |
gcp.restrictServiceUsage |
Définissez-le pour autoriser tous les produits et points de terminaison d'API compatibles. Détermine les services pouvant être utilisés en limitant l'accès du runtime à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources. |
gcp.restrictTLSVersion |
Définissez les versions TLS suivantes sur "Refuser" :
|
BigQuery
Fonctionnalités BigQuery concernées
| Fonctionnalité | Description |
|---|---|
| Activer BigQuery dans un nouveau dossier | BigQuery est compatible, mais n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Cette opération prend normalement dix minutes, mais peut durer beaucoup plus longtemps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit :
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. Gemini dans BigQuery n'est pas compatible avec Assured Workloads. |
| API BigQuery conformes | Les API BigQuery suivantes sont conformes au niveau d'impact IL5 : |
| Régions | BigQuery est conforme au niveau d'impact 5 (IL5) pour toutes les régions BigQuery aux États-Unis, à l'exception de la région multirégionale des États-Unis. La conformité IL5 ne peut pas être garantie si un ensemble de données est créé dans une région multirégionale des États-Unis, dans une région non américaine ou dans une région multirégionale non américaine. Il vous incombe de spécifier une région conforme à IL5 lorsque vous créez des ensembles de données BigQuery. |
| Requêtes sur des ensembles de données IL5 à partir de projets non IL5 | BigQuery n'empêche pas d'interroger les ensembles de données IL5 à partir de projets non IL5. Assurez-vous que toute requête qui utilise une opération de lecture ou de jointure sur des données techniques IL5 se trouve dans un dossier conforme à IL5. |
| Connexions à des sources de données externes | La responsabilité de Google en matière de conformité se limite à la fonctionnalité de l'API BigQuery Connection. Il vous incombe de vous assurer de la conformité des produits sources utilisés avec l'API BigQuery Connection. |
| Fonctionnalités non compatibles | Les fonctionnalités BigQuery suivantes ne sont pas compatibles et ne doivent pas être utilisées dans la CLI BigQuery. Il vous incombe de ne pas les utiliser dans BigQuery pour Assured Workloads.
|
| CLI BigQuery | L'interface de ligne de commande BigQuery est compatible.
|
| SDK Google Cloud | Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour garantir la régionalisation des données techniques. Pour vérifier votre version actuelle de Google Cloud SDK, exécutez gcloud --version, puis gcloud components update pour passer à la version la plus récente.
|
| Commandes d'administration | BigQuery désactivera les API non compatibles, mais les administrateurs disposant des autorisations suffisantes pour créer un dossier Assured Workloads peuvent activer une API non compatible. Si cela se produit, vous serez informé d'un éventuel non-respect des règles via le tableau de bord de surveillance Assured Workloads. |
| Charger des données | Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) de Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas compatibles. Il vous incombe de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour le périmètre de données des charges de travail IL5. |
| Transferts tiers | BigQuery ne vérifie pas la compatibilité des transferts tiers avec le service de transfert de données BigQuery. Il vous incombe de vérifier la compatibilité lorsque vous utilisez un transfert tiers pour le service de transfert de données BigQuery. |
| Modèles BQML non conformes | Les modèles BQML entraînés en externe ne sont pas acceptés. |
| Tâches de requête | Les jobs de requête ne doivent être créés que dans des dossiers Assured Workloads. |
| Requêtes sur les ensembles de données dans d'autres projets | BigQuery n'empêche pas d'interroger les ensembles de données Assured Workloads à partir de projets non Assured Workloads. Assurez-vous que toute requête comportant une lecture ou une jointure sur des données Assured Workloads est placée dans un dossier Assured Workloads. Vous pouvez spécifier un nom de table complet pour le résultat de la requête à l'aide de projectname.dataset.table dans la CLI BigQuery.
|
| Cloud Logging | BigQuery utilise Cloud Logging pour certaines de vos données de journaux. Vous devez désactiver vos buckets de journaux _default ou limiter les buckets _default aux régions concernées pour rester conforme. Pour ce faire, utilisez la commande suivante :gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Pour en savoir plus, consultez Régionaliser vos journaux. |
Cloud Interconnect
Fonctionnalités Cloud Interconnect concernées
| Fonctionnalité | Description |
|---|---|
| VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation listées dans la section Fonctionnalités Cloud VPN concernées. |
Cloud KMS
Contraintes applicables aux règles d'administration Cloud KMS
| Contrainte liée aux règles d'administration | Description |
|---|---|
cloudkms.allowedProtectionLevels |
Définissez cette option pour autoriser la création de clés CryptoKeys Cloud Key Management Service avec les niveaux de protection suivants :
|
Cloud Logging
Fonctionnalités Cloud Logging concernées
| Fonctionnalité | Description |
|---|---|
| Récepteurs de journaux | Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres stockés en tant que configuration. Ne créez pas de filtres contenant des données client. |
| Affichage en direct des dernières lignes des entrées de journal | Les filtres ne doivent pas contenir de données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. La lecture des journaux en temps réel ne stocke aucune donnée d'entrée de journal, mais peut interroger et transmettre des données entre les régions. Ne créez pas de filtres contenant des données client. |
Cloud Monitoring
Fonctionnalités Cloud Monitoring concernées
| Fonctionnalité | Description |
|---|---|
| Surveillance synthétique | Cette fonctionnalité est désactivée. |
| Tests de disponibilité | Cette fonctionnalité est désactivée. |
Cloud Run
Fonctionnalités Cloud Run concernées
| Fonctionnalité | Description |
|---|---|
| Fonctionnalités non compatibles | Les fonctionnalités Cloud Run suivantes ne sont pas prises en charge : |
API Cloud Vision
Fonctionnalités de l'API Cloud Vision concernées
| Fonctionnalité | Description |
|---|---|
| Points de terminaison de l'API Cloud Vision conformes au niveau d'impact 5 | Il vous incombe d'utiliser uniquement le point de terminaison de l'API pour la région des États-Unis (us-vision.googleapis.com) pour l'API Cloud Vision. Le point de terminaison mondial (vision.googleapis.com) n'est pas conforme au niveau d'impact 5 (IL5). Son utilisation peut compromettre la résidence des données de votre charge de travail.
|
Cloud VPN
Fonctionnalités Cloud VPN concernées
| Fonctionnalité | Description |
|---|---|
| Points de terminaison VPN | Vous ne devez utiliser que des points de terminaison Cloud VPN situés dans une région concernée. Assurez-vous que votre passerelle VPN est configurée pour être utilisée uniquement dans une région concernée. |
Cloud Workstations
Fonctionnalités Cloud Workstations concernées
| Fonctionnalité | Description |
|---|---|
| Créer un cluster de stations de travail | Lorsque vous créez un cluster de postes de travail, il est de votre responsabilité de le configurer de la manière suivante pour assurer la résidence des données :
|
Compute Engine
Fonctionnalités Compute Engine concernées
| Fonctionnalité | Description |
|---|---|
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
|
| Ajouter un groupe d'instances à un équilibreur de charge global | Vous ne pouvez pas ajouter de groupe d'instances à un équilibreur de charge global. Cette fonctionnalité est désactivée par la contrainte liée aux règles de l'organisation compute.disableGlobalLoadBalancing.
|
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut pas être chiffré avec CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
|
| Environnement invité | Il est possible que les scripts, les daemons et les binaires inclus dans l'environnement invité accèdent aux données non chiffrées au repos et en cours d'utilisation. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et d'autres informations spécifiques à chaque package, consultez Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et processus de sécurité internes. Toutefois, si vous souhaitez exercer un contrôle supplémentaire, vous pouvez également organiser vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects.
Pour en savoir plus, consultez Créer une image personnalisée. |
| Règles d'OS dans VM Manager |
Les scripts intégrés et les fichiers de sortie binaires dans les fichiers de règles d'OS ne sont pas chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). N'incluez aucune information sensible dans ces fichiers. Envisagez de stocker ces scripts et fichiers de sortie dans des buckets Cloud Storage. Pour en savoir plus, consultez Exemples de règles d'OS. Si vous souhaitez limiter la création ou la modification de ressources de règles d'OS qui utilisent des scripts intégrés ou des fichiers de sortie binaires, activez la contrainte de règle d'administration constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Pour en savoir plus, consultez Contraintes pour OS Config. |
instances.getSerialPortOutput()
|
Cette API est désactivée. Vous ne pourrez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.
|
instances.getScreenshot() |
Cette API est désactivée. Vous ne pourrez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.
|
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles dans les stratégies de sécurité Google Cloud Armor globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la suppression ou la modification de la description et de la liste des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les règles de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur. |
compute.disableGlobalLoadBalancing |
Défini sur True. Désactive la création de produits d'équilibrage de charge mondiaux. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
compute.disableInstanceDataAccessApis
| Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et
instances.getScreenshot().L'activation de cette contrainte vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit :
|
compute.setNewProjectDefaultToZonalDNSOnly
| Défini sur True. Définit le paramètre DNS des nouveaux projets sur DNS zonal uniquement. Le DNS zonal réduit les risques de pannes interrégionales et améliore la fiabilité globale de vos projets sur Compute Engine. |
compute.skipDefaultNetworkCreation
| Défini sur True. Désactive la création d'un réseau par défaut et de ses ressources associées lors de la création d'un projet. |
compute.restrictNonConfidentialComputing |
(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur Confidential VM. |
compute.trustedImageProjects |
(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur.
La définition de cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés. |
IAM
Contraintes liées aux règles d'administration IAM
| Contrainte liée aux règles d'administration | Description |
|---|---|
iam.automaticIamGrantsForDefaultServiceAccounts |
Défini sur True. Désactive l'attribution automatique du rôle de base Éditeur ( roles/editor) aux comptes de service par défaut.Cette contrainte n'empêche pas l'attribution de rôles de base anciens aux comptes de service par défaut à l'avenir. Pour éviter ce comportement, vous pouvez définir la contrainte iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts sur votre dossier Assured Workloads.
|
iam.disableServiceAccountKeyCreation |
Défini sur True. Désactive la création de clés de compte de service et de clés HMAC Cloud Storage. Si des clés de compte de service sont requises pour votre charge de travail, assurez-vous d'avoir lu la page Bonnes pratiques pour gérer les clés de compte de service avant de modifier la valeur de cette contrainte. |
Pub/Sub
Contraintes liées aux règles d'administration Pub/Sub
| Contrainte liée aux règles d'administration | Description |
|---|---|
pubsub.managed.disableTopicMessageTransforms |
Défini sur True. Empêche la définition de transformations de message unique (SMT) pour les sujets Pub/Sub. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
pubsub.managed.disableSubscriptionMessageTransforms |
Défini sur True. Empêche la définition d'abonnements Pub/Sub avec des transformations de message unique (SMT). La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
pubsub.managed.disableTopicMessageTransforms |
Défini sur True. Empêche la définition de transformations de message unique (SMT) pour les sujets Pub/Sub. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
Speech-to-Text
Fonctionnalités Speech-to-Text concernées
| Fonctionnalité | Description |
|---|---|
| Modèles Speech-to-Text personnalisés | Il vous incombe de ne pas utiliser de modèles Speech-to-Text personnalisés, car ils ne sont pas conformes à la limite de données pour IL5. |
Étapes suivantes
- Découvrez comment créer un dossier Assured Workloads.
- Comprendre les tarifs Assured Workloads