The names for some Assured Workloads control packages have changed. For information about the name change, see Control package renaming notice.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Data Boundary for Impact Level 5 (IL5)

בדף הזה מתואר אוסף אמצעי הבקרה שמוחלים על Data Boundary לעומסי עבודה ברמה IL5 ב-Assured Workloads. הוא כולל מידע מפורט על מיקום הנתונים, על מוצרים נתמכים Google Cloud ונקודות הקצה שלהם ב-API, ועל הגבלות או מגבלות שחלות על המוצרים האלה. המידע הנוסף הבא רלוונטי ל-Data Boundary for IL5:

מיקום הנתונים: Data Boundary של חבילת הבקרה IL5 מגדירים אמצעי בקרה למיקום הנתונים כדי לתמוך באזורים בארה"ב בלבד. מידע נוסף זמין בקטע אילוצים של מדיניות הארגון ברמתGoogle Cloud.
תמיכה: שירותי תמיכה טכנית בנושא Data Boundary לעומסי עבודה ברמה IL5 זמינים עם מינויים ל-Cloud Customer Care ברמה Enhanced או Premium. בקשות תמיכה בנושא עומסי עבודה ברמה IL5 מועברות לאנשים או ישויות שנמצאים בארה"ב. מידע נוסף זמין במאמר בנושא קבלת תמיכה.
תמחור: חבילת הבקרה Data Boundary for IL5 כלולה ברמת Premium של Assured Workloads, שכוללת חיוב נוסף של 20%. מידע נוסף זמין במאמר בנושא תמחור של Assured Workloads.

דרישות מוקדמות

כדי להמשיך לעמוד בדרישות כמשתמש ב-Data Boundary עבור חבילת הבקרה של IL5, צריך לוודא שאתם עומדים בדרישות המוקדמות הבאות:

יוצרים Data Boundary לתיקיית IL5 באמצעות Assured Workloads ומפריסים את עומסי העבודה של IL5 רק בתיקייה הזו.
צריך להפעיל ולהשתמש רק בשירותים שכלולים בהיקף של Data Boundary לעומסי עבודה ברמה IL5.
אל תשתמשו בשרתי Google Cloud MCP אלא אם צוין אחרת. ‫Data Boundary for IL5 לא מספק אמצעי בקרה על מיקום הנתונים לנתונים בשימוש ולנתונים במעבר עם שרתי Google Cloud MCP. כדי לחסום גישה לא רצויה לשרתי Google Cloud MCP, אפשר לעיין במאמר שליטה בשימוש בשרתי Google Cloud MCP באמצעות IAM.
אל תשנו את ערכי ברירת המחדל של האילוצים במדיניות הארגון, אלא אם אתם מבינים את הסיכונים של אחסון נתונים במדינה מסוימת שעלולים להתרחש ומוכנים לקבל אותם.
בכל השירותים שבהם נעשה שימוש בתיקייה עם Data Boundary ברמה IL5, אל תאחסנו נתונים טכניים בסוגי המידע הבאים של הגדרות אבטחה או הגדרות שהוגדרו על ידי המשתמש:
- הודעות שגיאה
- פלט המסוף
- נתוני מאפיינים
- נתוני הגדרת שירות
- כותרות של חבילות נתונים ברשת
- מזהי משאבים
- תוויות של נתונים
מומלץ לפעול לפי השיטות המומלצות הכלליות לאבטחה שמפורטות בGoogle Cloud מרכז השיטות המומלצות לאבטחה.
מידע נוסף על פריסת עומסי עבודה ברמה IL5 ב-Google Cloudזמין בדף אישור זמני של מחלקת ההגנה של ארה"ב (DoD).
כשניגשים למסוף Google Cloud , אפשר להשתמש במסוף Google Cloud לפי תחום שיפוט. לא צריך להשתמש במסוף Google Cloud השיפוט כדי להגדיר את גבולות הנתונים עבור IL5. אפשר לגשת אליו באחת מכתובות ה-URL הבאות:
- console.us.cloud.google.com
- ‫console.us.cloud.google למשתמשים עם זהויות מאוחדות

מוצרים נתמכים ונקודות קצה של API

אלא אם צוין אחרת, המשתמשים יכולים לגשת לכל המוצרים הנתמכים דרך מסוף Google Cloud . בטבלה הבאה מפורטות הגבלות שמשפיעות על התכונות של מוצר נתמך, כולל הגבלות שנאכפות באמצעות הגדרות של אילוצי מדיניות הארגון.

אם מוצר לא מופיע ברשימה, הוא לא נתמך ולא עומד בדרישות הבקרה של Data Boundary עבור IL5. לא מומלץ להשתמש במוצרים לא נתמכים בלי לבצע בדיקת נאותות ולהבין היטב את האחריות שלכם במסגרת מודל האחריות המשותפת. לפני שמשתמשים במוצר שלא נתמך, חשוב לוודא שאתם מודעים לסיכונים הכרוכים בכך ומוכנים לקבל אותם, כמו השפעות שליליות על מיקום הנתונים או על ריבונות הנתונים. בנוסף, לפני שמאשרים את הסיכון, צריך לבדוק עם הסוכנות המאשרת את כל השימושים במוצר שלא נתמך.

מוצר נתמך	נקודות קצה ל-API	הגבלות
Access Context Manager	`accesscontextmanager.googleapis.com`	ללא
‫AlloyDB ל-PostgreSQL	`alloydb.googleapis.com`	ללא
Artifact Registry	`artifactregistry.googleapis.com`	ללא
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	התכונות שיושפעו ומגבלות שקשורות למדיניות הארגון
Certificate Authority Service	`privateca.googleapis.com`	ללא
Cloud Build	`cloudbuild.googleapis.com`	ללא
Cloud DNS	`dns.googleapis.com`	ללא
Cloud Data Fusion	`datafusion.googleapis.com`	ללא
‫Cloud External Key Manager ‏ (Cloud EKM)	`cloudkms.googleapis.com`	ללא
Cloud HSM	`cloudkms.googleapis.com`	ללא
Cloud Identity	`cloudidentity.googleapis.com`	ללא
Cloud Interconnect	`compute.googleapis.com`	ללא
Cloud Key Management Service ‏(Cloud KMS)	`cloudkms.googleapis.com`	מגבלות שקשורות למדיניות הארגון
Cloud Logging	`logging.googleapis.com`	תכונות שהושפעו
Cloud Monitoring	`monitoring.googleapis.com`	ללא
Cloud NAT	`compute.googleapis.com`	ללא
Cloud Router	`compute.googleapis.com`	ללא
Cloud Run	`run.googleapis.com`	תכונות שהושפעו
Cloud SQL	`sqladmin.googleapis.com`	ללא
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com`	ללא
Cloud Storage	`storage.googleapis.com`	ללא
Cloud Tasks	`cloudtasks.googleapis.com`	ללא
‫Cloud VPN	`compute.googleapis.com`	תכונות שהושפעו
Cloud Vision API	`us-vision.googleapis.com`	תכונות שהושפעו
Cloud Workstations	`workstations.googleapis.com`	תכונות שהושפעו
Compute Engine	`compute.googleapis.com`	התכונות שיושפעו ומגבלות שקשורות למדיניות הארגון
Connect Agent	`gkeconnect.googleapis.com`	ללא
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	ללא
Eventarc	`eventarc.googleapis.com`	ללא
מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי	`compute.googleapis.com`	ללא
Filestore	`file.googleapis.com`	ללא
‫GKE Hub	`gkehub.googleapis.com`	ללא
‫GKE Identity Service	`anthosidentityservice.googleapis.com`	ללא
‫AI גנרטיבי ב-Vertex AI	`aiplatform.googleapis.com`	ללא
Google Cloud Armor	`compute.googleapis.com`	תכונות שהושפעו
Google Kubernetes Engine (GKE)‎	`container.googleapis.com` `containersecurity.googleapis.com`	ללא
Google Security Operations SOAR	`Not applicable`	ללא
מסוף Google Admin	`Not applicable`	ללא
ניהול זהויות והרשאות גישה (IAM)	`iam.googleapis.com`	מגבלות שקשורות למדיניות הארגון
שרת proxy לאימות זהויות (IAP)	`iap.googleapis.com`	תכונות שהושפעו
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי	`compute.googleapis.com`	ללא
Knowledge Catalog	`dataplex.googleapis.com` `datalineage.googleapis.com`	תכונות שהושפעו
Managed Service for Apache Airflow	`composer.googleapis.com`	ללא
‫Managed Service for Apache Spark	`dataproc.googleapis.com` `dataproc-control.googleapis.com`	ללא
‫Memorystore for Redis	`redis.googleapis.com`	ללא
Network Connectivity Center	`networkconnectivity.googleapis.com`	ללא
Persistent Disk	`compute.googleapis.com`	ללא
Pub/Sub	`pubsub.googleapis.com`	מגבלות שקשורות למדיניות הארגון
מאזן עומסים חיצוני אזורי של אפליקציות (ALB)	`compute.googleapis.com`	ללא
מאזן עומסי רשת אזורי חיצוני בשרת proxy	`compute.googleapis.com`	ללא
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	`compute.googleapis.com`	ללא
מאזן עומסי רשת פנימי אזורי בשרת proxy	`compute.googleapis.com`	ללא
Secret Manager	`secretmanager.googleapis.com`	ללא
Sensitive Data Protection	`dlp.googleapis.com`	ללא
Spanner	`spanner.googleapis.com`	ללא
המרת דיבור לטקסט (STT)	`speech.googleapis.com`	תכונות שהושפעו
VPC Service Controls	`accesscontextmanager.googleapis.com`	ללא
חיזוי של Vertex AI Batch	`aiplatform.googleapis.com`	ללא
Vertex AI Model Monitoring	`aiplatform.googleapis.com`	ללא
מרשם המודלים של Vertex AI	`aiplatform.googleapis.com`	ללא
חיזוי אונליין של Vertex AI	`aiplatform.googleapis.com`	ללא
Vertex AI Pipelines	`aiplatform.googleapis.com`	ללא
Vertex AI Training	`aiplatform.googleapis.com`	ללא
ענן וירטואלי פרטי (VPC)	`compute.googleapis.com`	ללא

הגבלות ומגבלות

בסעיפים הבאים מתוארות הגבלות או מגבלות שחלות על תכונות ברמת Google Cloudאו ברמת המוצר, כולל אילוצים של מדיניות הארגון שמוגדרים כברירת מחדל בתיקיות של IL5 ב-Data Boundary. אילוצים אחרים של מדיניות הארגון שרלוונטיים – גם אם הם לא מוגדרים כברירת מחדל – יכולים לספק הגנה נוספת כדי להגן על המשאבים של הארגון Google Cloud .

אנחנו ממליצים מאוד לא לשנות את הערכים של האילוצים הנדרשים של מדיניות הארגון שמפורטים בקטעים הבאים. הפעולה הזו עלולה לפגוע במיקום הנתונים. כששינוי כזה מתבצע, קשה או בלתי אפשרי לבטל את ההשפעות שלו. לפני שממשיכים, חשוב לוודא שמבינים את ההשלכות של שינוי הערך של הגבלה במדיניות הארגון, ולבדוק את השינויים האלה מול הסוכנות המאשרת לפני שמבצעים אותם.

בנוסף, חשוב לוודא שמנגנונים אוטומטיים שהארגון משתמש בהם כדי לנהל את מדיניות הארגון יעודכנו כדי למנוע שינוי לא מכוון של הערכים האלה.

Google Cloud-wide

תכונות שיושפעו Google Cloudבכל הארגון

תכונה	תיאור
מסוףGoogle Cloud	כדי לגשת למסוף Google Cloud כשמשתמשים ב-Data Boundary עבור חבילת הבקרה IL5, אפשר להשתמש במסוף Google Cloud השיפוט. אין צורך במסוף Google Cloud האזורי כדי להשתמש ב-Data Boundary ברמה IL5, ואפשר לגשת אליו באמצעות אחת מכתובות ה-URL הבאות: console.us.cloud.google.com ‫console.us.cloud.google למשתמשים עם זהות מאוחדת

תכונה

תיאור

מסוףGoogle Cloud

כדי לגשת למסוף Google Cloud כשמשתמשים ב-Data Boundary עבור חבילת הבקרה IL5, אפשר להשתמש במסוף Google Cloud השיפוט. אין צורך במסוף Google Cloud האזורי כדי להשתמש ב-Data Boundary ברמה IL5, ואפשר לגשת אליו באמצעות אחת מכתובות ה-URL הבאות:

console.us.cloud.google.com
‫console.us.cloud.google למשתמשים עם זהות מאוחדת

Google Cloudאילוצים של מדיניות הארגון

האילוצים הבאים של מדיניות הארגון חלים על כל Google Cloud.

אילוץ של מדיניות הארגון	תיאור
`gcp.resourceLocations`	מגדירים את המיקומים הבאים ברשימה `allowedValues`: `us` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` הערך הזה מגביל את יצירת המשאבים החדשים לערכים שנבחרו. אם המדיניות מוגדרת, אי אפשר ליצור משאבים באזורים אחרים, באזורים שכוללים מספר אזורים או במיקומים מחוץ לבחירה. במאמר בנושא שירותים שנתמכים על ידי מיקומי משאבים מפורטת רשימה של משאבים שאפשר להגביל באמצעות המגבלה של מדיניות הארגון בנושא מיקומי משאבים. יכול להיות שחלק מהמשאבים לא ייכללו בהיקף ולא ניתן יהיה להגביל אותם. שינוי הערך הזה כך שיהיה פחות מגביל עלול לפגוע במיקום הנתונים, כי הוא מאפשר ליצור או לאחסן נתונים מחוץ לגבולות נתונים תואמים.
`gcp.restrictCmekCryptoKeyProjects`	ההגדרה היא `under:organizations/your-organization-name`, שהוא הארגון שלכם ב-Assured Workloads. אפשר להגביל עוד יותר את הערך הזה על ידי ציון פרויקט או תיקייה. מגביל את היקף התיקיות או הפרויקטים שאושרו ויכולים לספק מפתחות Cloud KMS להצפנת נתונים במנוחה באמצעות CMEK. האילוץ הזה מונע מתיקיות או מפרויקטים לא מאושרים לספק מפתחות הצפנה, וכך עוזר להבטיח ריבונות הנתונים בשירותים שכלולים בהיקף ההגדרה, כשהם במנוחה.
`gcp.restrictNonCmekServices`	מוגדר לרשימה של כל שמות השירותים של ה-API שנכללים בהיקף, כולל: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` `sqladmin.googleapis.com` `bigquerydatatransfer.googleapis.com` יכול להיות שחלק מהתכונות יושפעו בכל אחד מהשירותים שמפורטים למעלה. כל שירות שמופיע ברשימה דורש מפתחות הצפנה בניהול הלקוח (CMEK). הצפנת CMEK מתבצעת על נתונים באחסון באמצעות מפתח שמנוהל על ידכם, ולא באמצעות מנגנוני ההצפנה שמוגדרים כברירת מחדל ב-Google. שינוי הערך הזה על ידי הסרת שירות אחד או יותר מהרשימה עלול לפגוע בריבונות הנתונים, כי נתונים חדשים במצב מנוחה יוצפנו באופן אוטומטי באמצעות המפתחות של Google ולא המפתחות שלכם. נתונים קיימים באחסון יישארו מוצפנים באמצעות המפתח שסיפקתם.
`gcp.restrictServiceUsage`	ההגדרה צריכה להיות 'אפשרות שמאפשרת שימוש בכל נקודות הקצה של מוצרי API נתמכים'. הגבלת הגישה בזמן הריצה למשאבים של שירותים מסוימים, כדי לקבוע באילו שירותים אפשר להשתמש. מידע נוסף זמין במאמר בנושא הגבלת השימוש במשאבים.
`gcp.restrictTLSVersion`	הגדרה לדחיית גרסאות ה-TLS הבאות: `TLS_1_0` `TLS_1_1` מידע נוסף זמין במאמר בנושא הגבלת גרסאות TLS.

BigQuery

תכונות BigQuery שמושפעות

תכונה	תיאור
הפעלת BigQuery בתיקייה חדשה	‫BigQuery נתמך, אבל הוא לא מופעל באופן אוטומטי כשיוצרים תיקייה חדשה של Assured Workloads בגלל תהליך הגדרה פנימי. בדרך כלל התהליך הזה מסתיים תוך עשר דקות, אבל בנסיבות מסוימות הוא יכול להימשך הרבה יותר זמן. כדי לבדוק אם התהליך הסתיים ולהפעיל את BigQuery, מבצעים את השלבים הבאים: נכנסים לדף Assured Workloads במסוף Google Cloud . מעבר אל Assured Workloads בוחרים את התיקייה החדשה של Assured Workloads מהרשימה. בדף פרטי התיקייה, בקטע שירותים מורשים, לוחצים על בדיקת עדכונים זמינים. בחלונית Allowed services (שירותים מותרים), בודקים את השירותים שרוצים להוסיף למדיניות הארגון Resource Usage Restriction (הגבלת השימוש במשאבים) של התיקייה. אם שירותי BigQuery מופיעים ברשימה, לוחצים על Allow Services (התרת שירותים) כדי להוסיף אותם. אם שירותי BigQuery לא מופיעים ברשימה, צריך לחכות עד שהתהליך הפנימי יסתיים. אם השירותים לא מופיעים תוך 12 שעות מיצירת התיקייה, צריך לפנות אל Cloud Customer Care. אחרי שתהליך ההפעלה יושלם, תוכלו להשתמש ב-BigQuery בתיקייה Assured Workloads. ‫Gemini ב-BigQuery לא נתמך על ידי Assured Workloads.
ממשקי API תואמים של BigQuery	ממשקי ה-API הבאים של BigQuery תואמים ל-IL5: `bigquery.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerymigration.googleapis.com` `bigquerystorage.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerydatatransfer.googleapis.com` ממשק ה-API של ההזמנות לא מופעל כברירת מחדל. מידע נוסף זמין במאמר הפעלת API בפרויקט ב- Google Cloud .
אזורים	‫BigQuery תואם ל-IL5 בכל האזורים בארה"ב של BigQuery, למעט האזור הגיאוגרפי בארה"ב שכולל מספר אזורים. אי אפשר להבטיח עמידה בדרישות IL5 אם מערך נתונים נוצר בארה"ב במספר אזורים, באזור שאינו בארה"ב או במספר אזורים שאינם בארה"ב. באחריותכם להגדיר אזור שעומד בדרישות של IL5 כשיוצרים מערכי נתונים ב-BigQuery.
שאילתות על מערכי נתונים ברמה IL5 מפרויקטים שאינם ברמה IL5	‫BigQuery לא מונע הפעלת שאילתות על מערכי נתונים ברמה IL5 מפרויקטים שאינם ברמה IL5. חשוב לוודא שכל שאילתה שמשתמשת בפעולת קריאה או בפעולת צירוף של נתונים טכניים ברמה IL5 נמצאת בתיקייה שתואמת לרמה IL5.
חיבורים למקורות נתונים חיצוניים	האחריות של Google לתאימות מוגבלת ליכולת של BigQuery Connection API. באחריותכם לוודא שהמוצרים במקור שבהם נעשה שימוש ב-BigQuery Connection API עומדים בדרישות.
תכונות שלא נתמכות	אין תמיכה בתכונות הבאות של BigQuery, ואסור להשתמש בהן בכלי BigQuery CLI. באחריותכם לא להשתמש בהם ב-BigQuery עבור Assured Workloads. אינטראקציה עם מקורות נתונים מרוחקים אין תמיכה ב מודלים של BQML שאומנו חיצונית. יש תמיכה במודלים של BQML שעברו אימון פנימי. אין תמיכה בהסתרת נתונים באמצעות תגי מדיניות. יש תמיכה בהסתרת נתונים באמצעות החלת מדיניות נתונים ישירות על עמודות. ייצוא ל-Google Drive פונקציות מרחוק שאילתות שמורות תזמון תהליך עבודה ב-BigQuery Studio,‏ notebooks לא נתמכים. ‫Gemini ב-BigQuery לא נתמך.
‫BigQuery CLI	יש תמיכה ב-BigQuery CLI.
Google Cloud SDK	כדי לשמור על ההתחייבויות בנוגע לאזוריות הנתונים של נתונים טכניים, צריך להשתמש בגרסה 403.0.0 ואילך של Google Cloud SDK. כדי לוודא מהי גרסת Google Cloud SDK הנוכחית, מריצים את הפקודה `gcloud --version` ואז את הפקודה `gcloud components update` כדי לעדכן לגרסה החדשה ביותר.
אמצעי בקרה לאדמינים	מערכת BigQuery תשבית ממשקי API שלא נתמכים, אבל אדמינים עם הרשאות מספיקות ליצירת תיקיות של Assured Workloads יכולים להפעיל ממשק API שלא נתמך. אם זה יקרה, תקבלו הודעה על אי-תאימות פוטנציאלית דרך לוח הבקרה של Assured Workloads.
טעינת נתונים	אין תמיכה במחברים של שירות העברת נתונים ל-BigQuery עבור אפליקציות של Google Software as a Service‏ (SaaS), ספקי אחסון בענן חיצוניים ומחסני נתונים. באחריותכם לא להשתמש במחברים של שירות העברת הנתונים ל-BigQuery עבור Data Boundary לעומסי עבודה ברמה IL5.
העברות לצד שלישי	‫BigQuery לא מאמת את התמיכה בהעברות של צד שלישי בשירות העברת הנתונים ל-BigQuery. באחריותכם לוודא שיש תמיכה כשמשתמשים בהעברה של צד שלישי בשירות העברת הנתונים ל-BigQuery.
מודלים של BQML שלא עומדים בדרישות	מודלים של BQML שאומנו חיצונית לא נתמכים.
משימות של השאילתה	צריך ליצור משימות של שאילתות רק בתיקיות Assured Workloads.
שאילתות במערכי נתונים בפרויקטים אחרים	‫BigQuery לא מונע הפעלת שאילתות על מערכי נתונים של Assured Workloads מפרויקטים שאינם Assured Workloads. חשוב לוודא שכל שאילתה שכוללת קריאה או צירוף של נתונים מ-Assured Workloads ממוקמת בתיקיות של Assured Workloads. אפשר לציין שם טבלה מלא לתוצאת השאילתה באמצעות `projectname.dataset.table` ב-BigQuery CLI.
Cloud Logging	חלק מנתוני היומן שלכם מועברים ל-BigQuery דרך Cloud Logging. כדי לשמור על תאימות, צריך להשבית את קטגוריות היומנים של `_default` או להגביל את הקטגוריות של `_default` לאזורים שכלולים בהיקף באמצעות הפקודה הבאה: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` מידע נוסף זמין במאמר בנושא הגדרת אזור ליומנים.

Cloud Interconnect

התכונות שיושפעו ב-Cloud Interconnect

תכונה	תיאור
VPN בזמינות גבוהה (HA)	כשמשתמשים ב-Cloud Interconnect עם Cloud VPN, צריך להפעיל את הפונקציונליות של VPN בזמינות גבוהה (HA). בנוסף, אתם צריכים לעמוד בדרישות ההצפנה והאזורים שמפורטות בקטע תכונות Cloud VPN שמושפעות.

Cloud KMS

אילוצים של מדיניות הארגון ב-Cloud KMS

אילוץ של מדיניות הארגון	תיאור
`cloudkms.allowedProtectionLevels`	ההגדרה מאפשרת ליצור מפתחות קריפטוגרפיים של Cloud Key Management Service עם רמות ההגנה הבאות: `SOFTWARE` `HSM` `EXTERNAL` `EXTERNAL_VPC` מידע נוסף זמין במאמר בנושא רמות הגנה.

Cloud Logging

התכונות שיושפעו ב-Cloud Logging

תכונה	תיאור
פריטי Sink ביומן	המסננים לא צריכים להכיל נתוני לקוחות. אובייקטי sink ביומן כוללים מסננים שמאוחסנים כהגדרות. אל תיצרו מסננים שמכילים נתוני לקוחות.
רישום ביומן בזמן אמת	המסננים לא צריכים להכיל נתוני לקוחות. סשן של מעקב בזמן אמת כולל מסנן שמאוחסן כתצורה. הפעלת tailing ביומנים לא מאחסנת נתוני רשומות ביומן, אבל יכולה לשלוח שאילתות ולהעביר נתונים בין אזורים. אל תיצרו מסננים שמכילים נתוני לקוחות.
מדיניות התראות שמבוססת על SQL	התכונה הזו מושבתת. אין לך אפשרות להשתמש בתכונה של מדיניות התראות מבוססת-SQL.

Cloud Monitoring

התכונות שיושפעו ב-Cloud Monitoring

תכונה	תיאור
Synthetic Monitor	התכונה הזו מושבתת.
בדיקת זמני פעילות	התכונה הזו מושבתת.

Cloud Run

תכונות Cloud Run שמושפעות

תכונה	תיאור
תכונות שלא נתמכות	התכונות הבאות של Cloud Run לא נתמכות: שילוב עם Cloud Trace פונקציות Cloud Run טריגרים של Eventarc

Cloud Vision API

התכונות המושפעות ב-Cloud Vision API

תכונה	תיאור
נקודות קצה של Cloud Vision API שתואמות ל-IL5	באחריותכם להשתמש רק בנקודת קצה ל-API באזור ארה"ב (`us-vision.googleapis.com`) עבור Cloud Vision API. נקודת הקצה הגלובלית (`vision.googleapis.com`) לא עומדת בדרישות של IL5, והשימוש בה עלול לפגוע במיקום הפיזי של הנתונים בעומס העבודה.

Cloud VPN

תכונות Cloud VPN שמושפעות

תכונה	תיאור
נקודות קצה של VPN	חובה להשתמש רק בנקודות קצה של Cloud VPN שנמצאות באזור שכלול בהיקף. מוודאים ששער ה-VPN מוגדר לשימוש רק באזור שכלול בהיקף.

תחנות עבודה בענן

התכונות שיושפעו ב-Cloud Workstations

תכונה	תיאור
יצירת אשכול של תחנות עבודה	כשיוצרים אשכול תחנות עבודה, אתם אחראים להגדיר אותו באופן הבא כדי להבטיח את מיקום הנתונים: כשיוצרים אשכול תחנות עבודה, בוחרים רק באפשרות Private gateway. שימוש בשער פרטי מספק מיקום של נתונים בהעברה. כשמגדירים דומיין מותאם אישית, צריך להשתמש רק במאזן עומסים חיצוני אזורי של אפליקציות (ALB). שימוש במאזן עומסים חיצוני אזורי של אפליקציות (ALB) מספק מיקום נתונים בהעברה.

תכונה

תיאור

יצירת אשכול של תחנות עבודה

כשיוצרים אשכול תחנות עבודה, אתם אחראים להגדיר אותו באופן הבא כדי להבטיח את מיקום הנתונים:

כשיוצרים אשכול תחנות עבודה, בוחרים רק באפשרות Private gateway. שימוש בשער פרטי מספק מיקום של נתונים בהעברה.
כשמגדירים דומיין מותאם אישית, צריך להשתמש רק במאזן עומסים חיצוני אזורי של אפליקציות (ALB). שימוש במאזן עומסים חיצוני אזורי של אפליקציות (ALB) מספק מיקום נתונים בהעברה.

Compute Engine

תכונות מושפעות של Compute Engine

תכונה	תיאור
השהיה וחידוש של מכונת VM	התכונה הזו מושבתת. השהיה והפעלה מחדש של מכונת VM דורשות אחסון בדיסק מתמיד, ובשלב הזה אי אפשר להצפין את האחסון בדיסק מתמיד שמשמש לאחסון מצב ה-VM המושהה באמצעות CMEK. כדי להבין את ההשלכות של הפעלת התכונה הזו על ריבונות הנתונים ועל מיקום הנתונים, אפשר לעיין במגבלת המדיניות של הארגון `gcp.restrictNonCmekServices` בקטע שלמעלה.
Local SSDs	התכונה הזו מושבתת. לא תוכלו ליצור מופע עם כונני SSD מקומיים כי אי אפשר להצפין אותם באמצעות CMEK. בקטע שלמעלה מוסבר על האילוץ של מדיניות הארגון `gcp.restrictNonCmekServices`, כדי להבין את ההשלכות של הפעלת התכונה הזו על ריבונות הנתונים ועל מיקום הנתונים.
הוספת קבוצת מופעים למאזן עומסים גלובלי	אי אפשר להוסיף קבוצת מופעים למאזן עומסים גלובלי. התכונה הזו מושבתת בגלל אילוץ המדיניות של ארגון `compute.disableGlobalLoadBalancing`.
סביבת אורח	יכול להיות שסקריפטים, תהליכי רקע וקבצים בינאריים שכלולים בסביבת האורח יוכלו לגשת לנתונים לא מוצפנים במנוחה ובשימוש. יכול להיות שעדכונים לתוכנה הזו יותקנו כברירת מחדל, בהתאם להגדרות של המכונה הווירטואלית. מידע ספציפי על התוכן, קוד המקור ועוד של כל חבילה זמין במאמר בנושא סביבת אורח. הרכיבים האלה עוזרים לכם לעמוד בדרישות של ריבונות נתונים באמצעות אמצעי בקרה ותהליכים פנימיים. עם זאת, אם אתם רוצים שליטה נוספת, אתם יכולים גם לבחור תמונות או סוכנים משלכם, ואם תרצו, תוכלו להשתמש באילוץ `compute.trustedImageProjects` של מדיניות הארגון. מידע נוסף זמין במאמר בנושא יצירת תמונה בהתאמה אישית.
OS policies in VM Manager	סקריפטים מוטבעים וקבצים בינאריים של פלט בקובצי מדיניות של מערכת ההפעלה לא מוצפנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK). אל תכללו מידע רגיש בקבצים האלה. מומלץ לאחסן את הסקריפטים האלה ואת קובצי הפלט בקטגוריות של Cloud Storage. דוגמאות למדיניות של מערכת הפעלה אם רוצים להגביל את היצירה או השינוי של משאבי מדיניות מערכת הפעלה שמשתמשים בסקריפטים מוטבעים או בקובצי פלט בינאריים, צריך להפעיל את אילוץ מדיניות הארגון `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. מידע נוסף זמין במאמר מגבלות של OS Config.
`instances.getSerialPortOutput()`	ממשק ה-API הזה מושבת. לא תהיה לכם אפשרות לקבל פלט של יציאה טורית מהמופע שצוין באמצעות ה-API הזה. כדי להפעיל את ה-API הזה, משנים את הערך של `compute.disableInstanceDataAccessApis` האילוץ של מדיניות הארגון ל-False. אפשר גם להפעיל ולהשתמש ביציאה הטורית האינטראקטיבית לפי ההוראות שבקטע הפעלת גישה לפרויקט.
`instances.getScreenshot()`	ממשק ה-API הזה מושבת. לא תהיה לך אפשרות לצלם צילום מסך מהמופע שצוין באמצעות ה-API הזה. כדי להפעיל את ה-API הזה, משנים את הערך של `compute.disableInstanceDataAccessApis` האילוץ של מדיניות הארגון ל-False. אפשר גם להפעיל ולהשתמש ביציאה הטורית האינטראקטיבית לפי ההוראות שבקטע הפעלת גישה לפרויקט.

מגבלות של מדיניות הארגון ב-Compute Engine

אילוץ של מדיניות הארגון	תיאור
`compute.disableGlobalCloudArmorPolicy`	מגדירים את הערך True. משבית את היצירה של כללי מדיניות גלובליים לאבטחה ב-Google Cloud Armor ואת ההוספה או השינוי של כללים בכללי מדיניות גלובליים קיימים לאבטחה ב-Google Cloud Armor. המגבלה הזו לא חלה על הסרת כללים או על היכולת להסיר או לשנות את התיאור ואת כרטיס המוצר של מדיניות אבטחה גלובלית של Google Cloud Armor. האילוץ הזה לא משפיע על כללי מדיניות האבטחה האזוריים של Google Cloud Armor. כל כללי המדיניות הגלובליים והאזוריים לאבטחה שקיימים לפני האכיפה של ההגבלה הזו יישארו בתוקף.
`compute.disableGlobalLoadBalancing`	מגדירים את הערך True. משבית את היצירה של מוצרים גלובליים לאיזון עומסים. שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.
`compute.disableInstanceDataAccessApis`	מגדירים את הערך True. משבית את ממשקי ה-API של `instances.getSerialPortOutput()` ושל `instances.getScreenshot()` בכל העולם. הפעלת האילוץ הזה מונעת יצירת פרטי כניסה במכונות וירטואליות של Windows Server. אם אתם צריכים לנהל שם משתמש וסיסמה במכונת VM של Windows, אתם יכולים לפעול לפי השלבים הבאים: הפעלת SSH למכונות וירטואליות של Windows. מריצים את הפקודה הבאה כדי לשנות את הסיסמה של מכונת ה-VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" מחליפים את מה שכתוב בשדות הבאים: ‫`VM_NAME`: השם של המכונה הווירטואלית שאתם מגדירים לה סיסמה. ‫`USERNAME`: שם המשתמש של המשתמש שרוצים להגדיר לו סיסמה. `PASSWORD`: הסיסמה החדשה.
`compute.setNewProjectDefaultToZonalDNSOnly`	מגדירים את הערך True.‫ מגדיר את הגדרת ה-DNS לפרויקטים חדשים לערך zonal DNS only. מערכת DNS אזורית מצמצמת את הסיכון להפסקות שירות חוצות אזורים, ומשפרת את האמינות הכוללת של הפרויקטים ב-Compute Engine.
`compute.skipDefaultNetworkCreation`	מגדירים את הערך True. משבית את היצירה של רשת ברירת מחדל ושל המשאבים שתומכים בה כשיוצרים פרויקט חדש.
`compute.restrictNonConfidentialComputing`	(אופציונלי) לא הוגדר ערך. כדאי להגדיר את הערך הזה כדי לספק הגנה נוספת. מידע נוסף זמין במאמרי העזרה בנושא מכונות וירטואליות חסויות.
`compute.trustedImageProjects`	(אופציונלי) לא הוגדר ערך. כדאי להגדיר את הערך הזה כדי לספק הגנה נוספת. הגדרת הערך הזה מגבילה את אחסון התמונות ואת יצירת המופעים של הדיסקים לרשימה שצוינה של פרויקטים. הערך הזה משפיע על ריבונות הנתונים, כי הוא מונע שימוש בתמונות או בסוכנים לא מורשים.

Knowledge Catalog

תכונות של Knowledge Catalog

תכונה	תיאור
Attribute Store	התכונה הזו יצאה משימוש והיא מושבתת.
Data Catalog	התכונה הזו יצאה משימוש והיא מושבתת. אי אפשר לחפש את המטא-נתונים או לנהל אותם בקטלוג הנתונים.
אגמים ואזורים	התכונה הזו מושבתת. אין לכם אפשרות לנהל אגמים, אזורים ומשימות.

Google Cloud Armor

התכונות של Google Cloud Armor שהושפעו

תכונה	תיאור
כללי מדיניות גלובליים לאבטחה	התכונה הזו מושבתת בגלל הגבלת המדיניות של הארגון `compute.disableGlobalCloudArmorPolicy`.

IAM

מגבלות של מדיניות הארגון ב-IAM

אילוץ של מדיניות הארגון תיאור

iam.automaticIamGrantsForDefaultServiceAccounts מגדירים את הערך True.

האילוץ הזה משבית את ההקצאה האוטומטית של התפקיד 'עריכה' (roles/editor) הבסיסי מדור קודם לחשבונות שירות שמוגדרים כברירת מחדל.

האילוץ הזה לא מונע מחשבונות שירות שהוגדרו כברירת מחדל לקבל בעתיד תפקידים בסיסיים מדור קודם. כדי למנוע את ההתנהגות הזו, אפשר להגדיר את האילוץ iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts בתיקיית Assured Workloads.

iam.disableServiceAccountKeyCreation מגדירים את הערך True.

משבית את היצירה של מפתחות חדשים לחשבונות שירות ושל מפתחות HMAC של Cloud Storage.

אם נדרשים מפתחות לחשבונות שירות לצורך העומס שלכם, חשוב לקרוא את הדף שיטות מומלצות לניהול מפתחות לחשבונות שירות לפני שמשנים את הערך של המגבלה הזו.

אילוץ של מדיניות הארגון	תיאור
`iam.automaticIamGrantsForDefaultServiceAccounts`	מגדירים את הערך True. האילוץ הזה משבית את ההקצאה האוטומטית של התפקיד 'עריכה' (`roles/editor`) הבסיסי מדור קודם לחשבונות שירות שמוגדרים כברירת מחדל. האילוץ הזה לא מונע מחשבונות שירות שהוגדרו כברירת מחדל לקבל בעתיד תפקידים בסיסיים מדור קודם. כדי למנוע את ההתנהגות הזו, אפשר להגדיר את האילוץ `iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts` בתיקיית Assured Workloads.
`iam.disableServiceAccountKeyCreation`	מגדירים את הערך True. משבית את היצירה של מפתחות חדשים לחשבונות שירות ושל מפתחות HMAC של Cloud Storage. אם נדרשים מפתחות לחשבונות שירות לצורך העומס שלכם, חשוב לקרוא את הדף שיטות מומלצות לניהול מפתחות לחשבונות שירות לפני שמשנים את הערך של המגבלה הזו.

שרת proxy לאימות זהויות (IAP)

התכונות שיושפעו בשרת proxy לאימות זהויות (IAP)

תכונה	תיאור
שימוש ב-IAP להעברת TCP	באחריותכם לא להשתמש ב-IAP להעברת TCP כי הוא לא עומד בדרישות של Data Boundary עבור IL5.

Pub/Sub

אילוצים של מדיניות הארגון ב-Pub/Sub

אילוץ של מדיניות הארגון	תיאור
`pubsub.managed.disableSubscriptionMessageTransforms`	מגדירים את הערך True. משבית את האפשרות להגדיר מינויים ל-Pub/Sub עם Single Message Transforms (SMTs). שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.
`pubsub.managed.disableTopicMessageTransforms`	מגדירים את הערך True. ההגדרה הזו משביתה את האפשרות להגדיר Single Message Transforms (SMTs) בנושאים של Pub/Sub. שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.

המרת דיבור לטקסט (STT)

התכונות של המרת דיבור לטקסט שיושפעו

תכונה	תיאור
מודלים מותאמים אישית של המרת דיבור לטקסט (STT)	באחריותכם לא להשתמש במודלים מותאמים אישית של המרת דיבור לטקסט, כי הם לא עומדים בדרישות של Data Boundary ברמה IL5.