Confine per i dati per Impact Level 5 (IL5)
Questa pagina descrive l'insieme di controlli applicati al confine dei dati per i carichi di lavoro IL5 in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, prodotti Google Cloud supportati e i relativi endpoint API, nonché eventuali restrizioni o limitazioni applicabili a questi prodotti. Le seguenti informazioni aggiuntive si applicano al confine per i dati per IL5:
- Residenza dei dati: il pacchetto di controlli Data Boundary per IL5 imposta i controlli della località dei dati in modo da supportare solo le regioni degli Stati Uniti. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
- Assistenza: i servizi di assistenza tecnica per il limite dei dati per i carichi di lavoro IL5 sono disponibili con gli abbonamenti Cloud Customer Care Premium o Enhanced. I casi di assistenza per i carichi di lavoro IL5 con limite di dati vengono indirizzati a soggetti statunitensi che si trovano negli Stati Uniti. Per ulteriori informazioni, vedi Richiedere assistenza.
- Prezzi: il pacchetto di controlli Data Boundary per IL5 è incluso nel livello Premium di Assured Workloads, che comporta un costo aggiuntivo del 20%. Per ulteriori informazioni, consulta i prezzi di Assured Workloads.
Prerequisiti
Per rimanere conforme come utente del pacchetto di controlli del perimetro dei dati per IL5, verifica di soddisfare e rispettare i seguenti prerequisiti:
- Crea una cartella Data Boundary per IL5 utilizzando Assured Workloads e implementa i tuoi workload IL5 solo in questa cartella.
- Attiva e utilizza solo i servizi inclusi nell'ambito per il confine dei dati per i carichi di lavoro IL5.
- Non modificare i valori predefiniti del vincolo dei criteri dell'organizzazione, a meno che tu non comprenda e non voglia accettare i rischi di residenza dei dati che potrebbero verificarsi.
- Per tutti i servizi utilizzati in una cartella Data Boundary per IL5, non archiviare
dati tecnici nei seguenti tipi di informazioni di configurazione di sicurezza o definiti dall'utente:
- Messaggi di errore
- Output console
- Dati degli attributi
- Dati di configurazione del servizio
- Intestazioni dei pacchetti di rete
- Identificatori di risorse
- Etichette dati
- Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Google Cloud Centro best practice per la sicurezza.
- Per ulteriori informazioni sul deployment dei carichi di lavoro IL5 in Google Cloud, consulta la pagina Autorizzazione provvisoria del Dipartimento della Difesa (DoD) degli Stati Uniti.
- Quando accedi alla console Google Cloud , puoi utilizzare la console giurisdizionale Google Cloud .
Non è necessario utilizzare la console giurisdizionale Google Cloud per
il confine dei dati per IL5. È possibile accedervi a uno dei seguenti URL:
- console.us.cloud.google.com
- console.us.cloud.google per gli utenti con identità federata
Prodotti ed endpoint API supportati
Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.
Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per il confine dei dati per IL5. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, come impatti negativi sulla residenza o sulla sovranità dei dati. Inoltre, rivedi qualsiasi utilizzo di un prodotto non supportato con l'agenzia autorizzatrice prima di accettare il rischio.
| Prodotto supportato | Endpoint API | Restrizioni o limitazioni |
|---|---|---|
| Artifact Registry |
artifactregistry.googleapis.com |
Nessuno |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Certificate Authority Service |
privateca.googleapis.com |
Nessuno |
| Cloud Build |
cloudbuild.googleapis.com |
Nessuno |
| Cloud Composer |
composer.googleapis.com |
Nessuno |
| Cloud DNS |
dns.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Nessuno |
| Cloud HSM |
cloudkms.googleapis.com |
Nessuno |
| Cloud Identity |
cloudidentity.googleapis.com |
Nessuno |
| Cloud Interconnect |
compute.googleapis.com |
Nessuno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Vincoli delle policy dell'organizzazione |
| Cloud Logging |
logging.googleapis.com |
Nessuno |
| Cloud Monitoring |
monitoring.googleapis.com |
Nessuno |
| Cloud NAT |
compute.googleapis.com |
Nessuno |
| Cloud Router |
compute.googleapis.com |
Nessuno |
| Cloud Run |
run.googleapis.com |
Funzionalità interessate |
| Cloud SQL |
sqladmin.googleapis.com |
Nessuno |
| Cloud Storage |
storage.googleapis.com |
Nessuno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nessuno |
| Cloud VPN |
compute.googleapis.com |
Nessuno |
| API Cloud Vision |
us-vision.googleapis.com |
Funzionalità interessate |
| Cloud Workstations |
workstations.googleapis.com |
Funzionalità interessate |
| Compute Engine |
compute.googleapis.com |
Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Connect Agent |
gkeconnect.googleapis.com |
Nessuno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Nessuno |
| Dataproc |
dataproc.googleapis.comdataproc-control.googleapis.com |
Nessuno |
| Eventarc |
eventarc.googleapis.com |
Nessuno |
| Bilanciatore del carico di rete passthrough esterno |
compute.googleapis.com |
Nessuno |
| GKE Hub |
gkehub.googleapis.com |
Nessuno |
| Servizio di identità GKE |
anthosidentityservice.googleapis.com |
Nessuno |
| AI generativa su Vertex AI |
aiplatform.googleapis.com |
Nessuno |
| Gemini Enterprise |
discoveryengine.googleapis.com |
Nessuno |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Nessuno |
| Console di amministrazione Google |
N/A |
Nessuno |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Vincoli delle policy dell'organizzazione |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Nessuno |
| Bilanciatore del carico di rete passthrough interno |
compute.googleapis.com |
Nessuno |
| Memorystore for Redis |
redis.googleapis.com |
Nessuno |
| Persistent Disk |
compute.googleapis.com |
Nessuno |
| Pub/Sub |
pubsub.googleapis.com |
Vincoli delle policy dell'organizzazione |
| Bilanciatore del carico delle applicazioni esterno regionale |
compute.googleapis.com |
Nessuno |
| Bilanciatore del carico di rete proxy esterno regionale |
compute.googleapis.com |
Nessuno |
| Bilanciatore del carico delle applicazioni interno regionale |
compute.googleapis.com |
Nessuno |
| Bilanciatore del carico di rete proxy interno regionale |
compute.googleapis.com |
Nessuno |
| Secret Manager |
secretmanager.googleapis.com |
Nessuno |
| Sensitive Data Protection |
dlp.googleapis.com |
Nessuno |
| Spanner |
spanner.googleapis.com |
Nessuno |
| Speech-to-Text |
speech.googleapis.com |
Funzionalità interessate |
| Controlli di servizio VPC |
accesscontextmanager.googleapis.com |
Nessuno |
| Previsione batch di Vertex AI |
aiplatform.googleapis.com |
Nessuno |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
Nessuno |
| Vertex AI Model Registry |
aiplatform.googleapis.com |
Nessuno |
| Previsione online di Vertex AI |
aiplatform.googleapis.com |
Nessuno |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
Nessuno |
| Vertex AI Search |
discoveryengine.googleapis.com |
Nessuno |
| Vertex AI Training |
aiplatform.googleapis.com |
Nessuno |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Nessuno |
Limitazioni e restrizioni
Le sezioni seguenti descrivono le limitazioni o restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi eventuali vincoli delle policy dell'organizzazione impostati per impostazione predefinita nei limiti dei dati per le cartelle IL5. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse della tua organizzazione. Google Cloud
Google Cloud-wide
Funzionalità interessate Google Cloud
| Funzionalità | Descrizione |
|---|---|
| ConsoleGoogle Cloud | Per accedere alla console Google Cloud quando utilizzi il pacchetto di controlli Data Boundary per IL5,
puoi utilizzare la
console giurisdizionale Google Cloud .
La console Google Cloud giurisdizionale non è necessaria per il confine per i dati per IL5 e può essere
accessibile utilizzando uno dei seguenti URL:
|
Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a Google Cloud.
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta le seguenti località nell'elenco allowedValues:
La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione dei dati al di fuori di un confine dei dati conforme. |
gcp.restrictCmekCryptoKeyProjects |
Impostato su under:organizations/your-organization-name, che è la tua
organizzazione Assured Workloads. Puoi limitare ulteriormente questo valore specificando un progetto o una cartella.Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi Cloud KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce a progetti o cartelle non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i dati inattivi dei servizi inclusi nell'ambito. |
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i
nomi di servizio API inclusi nell'ambito, tra cui:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK cripta i dati inattivi con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito. |
gcp.restrictServiceUsage |
Imposta l'opzione per consentire tutti gli endpoint API e prodotti supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, consulta Limitazione dell'utilizzo delle risorse. |
gcp.restrictTLSVersion |
Imposta il rifiuto delle seguenti versioni TLS:
|
BigQuery
Funzionalità di BigQuery interessate
| Funzionalità | Descrizione |
|---|---|
| Abilitazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente
termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è terminato e per abilitare BigQuery, completa i seguenti passaggi:
Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads. |
| API BigQuery conformi | Le seguenti API BigQuery sono conformi a IL5: |
| Regioni | BigQuery è conforme a IL5 per tutte le regioni BigQuery degli Stati Uniti, ad eccezione della regione multiregionale degli Stati Uniti. La conformità a IL5 non può essere garantita se un set di dati viene creato in una multiregione statunitense, in una regione non statunitense o in una multiregione non statunitense. È tua responsabilità specificare una regione conforme a IL5 quando crei set di dati BigQuery. |
| Query sui set di dati IL5 da progetti non IL5 | BigQuery non impedisce l'esecuzione di query sui set di dati IL5 da progetti non IL5. Assicurati che qualsiasi query che utilizzi un'operazione di lettura o di join sui dati tecnici IL5 si trovi in una cartella conforme a IL5. |
| Connessioni a origini dati esterne | La responsabilità di conformità di Google è limitata alla funzionalità dell'API BigQuery Connection. È tua responsabilità garantire la conformità dei prodotti di origine utilizzati con l'API BigQuery Connection. |
| Funzionalità non supportate | Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella
CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per
Assured Workloads.
|
| CLI BigQuery | L'interfaccia a riga di comando BigQuery è supportata.
|
| Google Cloud SDK | Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati
per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui
gcloud --version e poi gcloud components update per eseguire l'aggiornamento
alla versione più recente.
|
| Controlli per gli amministratori | BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads. |
| Caricamento di dati | I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per il confine dei dati per i carichi di lavoro IL5. |
| Trasferimenti di terze parti | BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
| Job di query | I job di query devono essere creati solo all'interno delle cartelle Assured Workloads. |
| Query sui set di dati in altri progetti | BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads
da progetti non Assured Workloads. Devi assicurarti che qualsiasi query che abbia una
lettura o un join sui dati di Assured Workloads venga inserita in una
cartella Assured Workloads. Puoi specificare un nome di tabella completo per il risultato della query utilizzando projectname.dataset.table nella CLI BigQuery.
|
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare
i bucket di logging _default o limitare i bucket _default alle
regioni incluse nell'ambito utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Per saperne di più, consulta Regionalizzare i log. |
Cloud Interconnect
Funzionalità Cloud Interconnect interessate
| Funzionalità | Descrizione |
|---|---|
| VPN ad alta disponibilità | Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate. |
Cloud KMS
Vincoli dei criteri dell'organizzazione Cloud KMS
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
cloudkms.allowedProtectionLevels |
Impostato per consentire la creazione di chiavi di crittografia Cloud Key Management Service con i seguenti livelli di protezione:
|
Cloud Logging
Funzionalità di Cloud Logging interessate
| Funzionalità | Descrizione |
|---|---|
| Sink di log | I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti. |
| Voci di log di coda in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti. |
Cloud Monitoring
Funzionalità di Cloud Monitoring interessate
| Funzionalità | Descrizione |
|---|---|
| Monitoraggio sintetico | Questa funzionalità è disattivata. |
| Controlli di uptime | Questa funzionalità è disattivata. |
Cloud Run
Funzionalità di Cloud Run interessate
| Funzionalità | Descrizione |
|---|---|
| Funzionalità non supportate | Le seguenti funzionalità di Cloud Run non sono supportate: |
API Cloud Vision
Funzionalità dell'API Cloud Vision interessate
| Funzionalità | Descrizione |
|---|---|
| Endpoint API Cloud Vision conformi a IL5 | È tua responsabilità utilizzare solo l'endpoint API della regione Stati Uniti
(us-vision.googleapis.com) per l'API Cloud Vision. L'endpoint globale
(vision.googleapis.com) non è conforme a IL5 e
il suo utilizzo potrebbe compromettere la residenza dei dati del tuo workload.
|
Cloud VPN
Funzionalità Cloud VPN interessate
| Funzionalità | Descrizione |
|---|---|
| Endpoint VPN | Devi utilizzare solo endpoint Cloud VPN che si trovano in una regione inclusa nell'ambito. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione inclusa nell'ambito. |
Cloud Workstations
Funzionalità di Cloud Workstations interessate
| Funzionalità | Descrizione |
|---|---|
| Creazione di un cluster di workstation | Quando crei un cluster di workstation, è tua responsabilità configurarlo nel seguente modo per garantire la residenza dei dati:
|
Compute Engine
Funzionalità di Compute Engine interessate
| Funzionalità | Descrizione |
|---|---|
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo delle policy dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Consulta il vincolo gcp.restrictNonCmekServices delle policy dell'organizzazione
nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati
dell'attivazione di questa funzionalità.
|
| Aggiunta di un gruppo di istanze a un bilanciatore del carico globale | Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalLoadBalancing.
|
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere criptata utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
|
| Ambiente guest | È possibile che script, daemon e file binari inclusi nell'ambiente
guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta
Ambiente guest per informazioni
specifiche su contenuti, codice sorgente e altro di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o agenti e, facoltativamente, utilizzare il vincolo della policy dell'organizzazione compute.trustedImageProjects.
Per saperne di più, vedi Creare un'immagine personalizzata. |
| Policy del sistema operativo in VM Manager |
Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando
chiavi di crittografia gestite dal cliente (CMEK). Non includere informazioni sensibili in
questi file. Valuta la possibilità di archiviare questi script e file di output in
bucket Cloud Storage. Per saperne di più, consulta
Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse di policy del sistema operativo che utilizzano script in linea o file di output binari, abilita il vincolo della policy dell'organizzazione constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Per saperne di più, consulta Vincoli per OS Config. |
instances.getSerialPortOutput()
|
Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata
utilizzando questa API. Modifica il valore del vincolo di policy dell'organizzazione compute.disableInstanceDataAccessApis
impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva
seguendo le istruzioni riportate in
Abilitare l'accesso per un progetto.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata
utilizzando questa API. Modifica il valore del vincolo di policy dell'organizzazione compute.disableInstanceDataAccessApis
impostandolo su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva
seguendo le istruzioni riportate in
Abilitare l'accesso per un progetto.
|
Vincoli dei criteri dell'organizzazione Compute Engine
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Imposta su True. Disabilita la creazione di nuove policy di sicurezza Google Cloud Armor e l'aggiunta o la modifica di regole alle policy di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sulle policy di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore. |
compute.disableGlobalLoadBalancing |
Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
compute.disableInstanceDataAccessApis
| Imposta su True. Disabilita a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot().L'attivazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo:
|
compute.setNewProjectDefaultToZonalDNSOnly
| Imposta su True. Configura l'impostazione DNS per i nuovi progetti in modo che utilizzino solo il DNS di zona. Il DNS di zona riduce il rischio di interruzioni tra regioni e migliora l'affidabilità complessiva dei progetti su Compute Engine. |
compute.skipDefaultNetworkCreation
| Imposta su True. Disabilita la creazione di una rete predefinita e delle relative risorse di supporto quando viene creato un nuovo progetto. |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per maggiori informazioni, consulta la documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva.
L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati. |
IAM
Vincoli dei criteri dell'organizzazione IAM
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
iam.automaticIamGrantsForDefaultServiceAccounts |
Imposta su True. Disabilita la concessione automatica agli account di servizio predefiniti del ruolo Editor ( roles/editor) base legacy.Questo vincolo non impedisce che in futuro vengano concessi ruoli di base legacy agli account di servizio predefiniti. Per evitare questo comportamento, puoi impostare il vincolo iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts
nella cartella Assured Workloads.
|
iam.disableServiceAccountKeyCreation |
Imposta su True. Disabilita la creazione di nuove chiavi del account di servizio e di chiavi HMAC di Cloud Storage. Se per il tuo workload sono necessarie chiavi account di servizio, assicurati di aver letto la pagina Best practice per la gestione delle account di servizio account prima di modificare il valore di questo vincolo. |
Pub/Sub
Vincoli dei criteri dell'organizzazione Pub/Sub
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
pubsub.managed.disableTopicMessageTransforms |
Imposta su True. Impedisce l'impostazione di argomenti Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
pubsub.managed.disableSubscriptionMessageTransforms |
Imposta su True. Disabilita l'impostazione delle sottoscrizioni Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
pubsub.managed.disableTopicMessageTransforms |
Imposta su True. Impedisce l'impostazione di argomenti Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
Speech-to-Text
Funzionalità di Speech-to-Text interessate
| Funzionalità | Descrizione |
|---|---|
| Modelli Speech-to-Text personalizzati | È tua responsabilità non utilizzare i modelli personalizzati di Speech-to-Text perché non sono conformi al limite dei dati per IL5. |
Passaggi successivi
- Scopri come creare una cartella Assured Workloads
- Informazioni sui prezzi di Assured Workloads