影響レベル 5(IL5)のデータ境界
このページでは、Assured Workloads の IL5 ワークロードのデータ境界に適用される一連の制御について説明します。データ所在地、サポートされている Google Cloud プロダクトとその API エンドポイント、それらのプロダクトに適用される制限事項に関する詳細情報が提供されます。IL5 のデータ境界には、次の追加情報が適用されます。
- データ所在地: IL5 コントロール パッケージのデータ境界は、米国のみのリージョンをサポートするデータ ロケーション コントロールを設定します。詳細については、Google Cloud全体の組織のポリシーの制約をご覧ください。
- サポート: IL5 ワークロードのデータ境界のテクニカル サポート サービスは、エンハンストまたはプレミアムの Cloud カスタマーケア サブスクリプションでご利用いただけます。IL5 ワークロードのサポートケースのデータ境界は、米国に拠点を置く米国人に転送されます。詳細については、サポートの利用をご覧ください。
- 料金: IL5 制御パッケージのデータ境界は、Assured Workloads のプレミアム ティアに含まれており、20% の追加料金が発生します。詳細については、Assured Workloads の料金をご覧ください。
前提条件
IL5 コントロール パッケージのデータ境界のユーザーとしてコンプライアンスを維持するには、次の前提条件を満たし、遵守していることを確認してください。
- Assured Workloads を使用して IL5 フォルダのデータ境界を作成し、そのフォルダにのみ IL5 ワークロードをデプロイします。
- IL5 ワークロードのデータ境界では、対象サービスのみを有効にして使用します。
- 発生する可能性のあるデータ所在地のリスクを理解し、それを受け入れる意思がある場合を除き、デフォルトの組織のポリシーの制約値を変更しないでください。
- IL5 フォルダのデータ境界で使用されるすべてのサービスでは、次のユーザー定義またはセキュリティ構成情報タイプに技術データを保存しないでください。
- エラー メッセージ
- コンソール出力
- 属性データ
- サービス構成データ
- ネットワーク パケット ヘッダー
- リソース識別子
- データラベル
- Google Cloud セキュリティ ベスト プラクティス センターで提供されている一般的なセキュリティ ベスト プラクティスの採用を検討してください。
- Google Cloudで IL5 ワークロードをデプロイする方法については、米国国防総省(DoD)暫定認証のページをご覧ください。
- Google Cloud コンソールにアクセスする際に、法域の Google Cloud コンソールを使用できます。IL5 のデータ境界に法域の Google Cloud コンソールを使用する必要はありません。次のいずれかの URL でアクセスできます。
- console.us.cloud.google.com
- console.us.cloud.google(フェデレーション ID ユーザーの場合)
サポートされているプロダクトと API エンドポイント
特に明記されている場合を除き、ユーザーは Google Cloud コンソールからすべてのサポート対象プロダクトにアクセスできます。サポートされているプロダクトの機能に影響する制限事項は、次の表に記載されています。これには、組織のポリシーの制約設定によって適用される制限事項も含まれます。
商品が表示されない場合、その商品はサポートされておらず、IL5 のデータ境界の制御要件を満たしていません。デュー デリジェンスと責任共有モデルにおけるお客様の責任を十分に理解していない場合は、サポート対象外のプロダクトを使用することをおすすめしません。サポートされていないプロダクトを使用する前に、データ所在地やデータ主権への悪影響など、関連するリスクを認識し、受け入れることを確認してください。また、リスクを受け入れる前に、承認機関とサポートされていないプロダクトの使用状況を確認してください。
| サポートされているサービス | API エンドポイント | 制限事項 |
|---|---|---|
| Artifact Registry |
artifactregistry.googleapis.com |
なし |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
影響を受ける機能と組織のポリシーの制約 |
| Certificate Authority Service |
privateca.googleapis.com |
なし |
| Cloud Build |
cloudbuild.googleapis.com |
なし |
| Cloud Composer |
composer.googleapis.com |
なし |
| Cloud DNS |
dns.googleapis.com |
なし |
| Cloud Data Fusion |
datafusion.googleapis.com |
なし |
| Cloud External Key Manager(Cloud EKM) |
cloudkms.googleapis.com |
なし |
| Cloud HSM |
cloudkms.googleapis.com |
なし |
| Cloud Identity |
cloudidentity.googleapis.com |
なし |
| Cloud Interconnect |
compute.googleapis.com |
なし |
| Cloud Key Management Service(Cloud KMS) |
cloudkms.googleapis.com |
組織ポリシーの制約 |
| Cloud Logging |
logging.googleapis.com |
なし |
| Cloud Monitoring |
monitoring.googleapis.com |
なし |
| Cloud NAT |
compute.googleapis.com |
なし |
| Cloud Router |
compute.googleapis.com |
なし |
| Cloud Run |
run.googleapis.com |
影響を受ける機能 |
| Cloud SQL |
sqladmin.googleapis.com |
なし |
| Cloud Storage |
storage.googleapis.com |
なし |
| Cloud Tasks |
cloudtasks.googleapis.com |
なし |
| Cloud VPN |
compute.googleapis.com |
なし |
| Cloud Vision API |
us-vision.googleapis.com |
影響を受ける機能 |
| Cloud Workstations |
workstations.googleapis.com |
影響を受ける機能 |
| Compute Engine |
compute.googleapis.com |
影響を受ける機能と組織のポリシーの制約 |
| Connect Agent |
gkeconnect.googleapis.com |
なし |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
なし |
| Dataproc |
dataproc.googleapis.comdataproc-control.googleapis.com |
なし |
| Eventarc |
eventarc.googleapis.com |
なし |
| 外部パススルー ネットワーク ロードバランサ |
compute.googleapis.com |
なし |
| GKE Hub |
gkehub.googleapis.com |
なし |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
なし |
| Vertex AI の生成 AI |
aiplatform.googleapis.com |
なし |
| Gemini Enterprise |
discoveryengine.googleapis.com |
なし |
| Google Kubernetes Engine(GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
なし |
| Google 管理コンソール |
N/A |
なし |
| Identity and Access Management(IAM) |
iam.googleapis.com |
組織ポリシーの制約 |
| Identity-Aware Proxy(IAP) |
iap.googleapis.com |
なし |
| 内部パススルー ネットワーク ロードバランサ |
compute.googleapis.com |
なし |
| Memorystore for Redis |
redis.googleapis.com |
なし |
| Persistent Disk |
compute.googleapis.com |
なし |
| Pub/Sub |
pubsub.googleapis.com |
組織ポリシーの制約 |
| リージョン外部アプリケーション ロードバランサ |
compute.googleapis.com |
なし |
| リージョン外部プロキシ ネットワーク ロードバランサ |
compute.googleapis.com |
なし |
| リージョン内部アプリケーション ロードバランサ |
compute.googleapis.com |
なし |
| リージョン内部プロキシ ネットワーク ロードバランサ |
compute.googleapis.com |
なし |
| Secret Manager |
secretmanager.googleapis.com |
なし |
| Sensitive Data Protection |
dlp.googleapis.com |
なし |
| Spanner |
spanner.googleapis.com |
なし |
| Speech-to-Text |
speech.googleapis.com |
影響を受ける機能 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
なし |
| Vertex AI Batch prediction |
aiplatform.googleapis.com |
なし |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
なし |
| Vertex AI Model Registry |
aiplatform.googleapis.com |
なし |
| Vertex AI オンライン予測 |
aiplatform.googleapis.com |
なし |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
なし |
| Vertex AI Search |
discoveryengine.googleapis.com |
なし |
| Vertex AI Training |
aiplatform.googleapis.com |
なし |
| Virtual Private Cloud(VPC) |
compute.googleapis.com |
なし |
制限事項
以降のセクションでは、 Google Cloud全体またはプロダクト固有の制限、または機能の制限について説明します。これには、IL5 フォルダのデータ境界にデフォルトで設定されている組織ポリシーの制約も含まれます。デフォルトで設定されていない場合でも、その他の適用可能な組織のポリシーの制約により、組織の Google Cloud リソースをさらに保護するための多層防御を追加できます。
Google Cloud-wide
影響を受ける Google Cloud全体の機能
| 機能 | 説明 |
|---|---|
| Google Cloud コンソール | IL5 コントロール パッケージのデータ境界を使用しているときに Google Cloud コンソールにアクセスするには、管轄区域の Google Cloud コンソールを使用できます。Jurisdictional Google Cloud コンソールは IL5 のデータ境界には必要ありません。次のいずれかの URL を使用してアクセスできます。
|
Google Cloud全体の組織ポリシー制約
次の組織のポリシーの制約は、 Google Cloud全体に適用されます。
| 組織のポリシーの制約 | 説明 |
|---|---|
gcp.resourceLocations |
allowedValues リストの次の場所に設定します。
制限を緩くしてこの値を変更すると、準拠したデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。 |
gcp.restrictCmekCryptoKeyProjects |
Assured Workloads 組織である under:organizations/your-organization-name に設定します。プロジェクトまたはフォルダを指定することで、この値をさらに制限できます。CMEK を使用して保管中のデータを暗号化するために Cloud KMS 鍵を提供できる承認済みフォルダまたはプロジェクトの範囲を制限します。この制約により、承認されていないフォルダまたはプロジェクトが暗号鍵を提供できなくなるため、対象範囲内のサービスの保管中のデータのデータ主権を保証できます。 |
gcp.restrictNonCmekServices |
対象範囲内のすべての API サービス名のリストに設定します。次に例を示します。
各サービスには、顧客管理の暗号鍵(CMEK)が必要です。CMEK は、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化します。 リストから 1 つ以上の対象サービスを削除してこの値を変更すると、データ主権が損なわれる可能性があります。新しい保管中のデータは、ユーザーではなく Google 独自の鍵を使用して自動的に暗号化されるためです。既存の保存データは、指定した鍵によって暗号化されます。 |
gcp.restrictServiceUsage |
すべてのサポートされているプロダクトと API エンドポイントを許可するように設定します。 リソースへのランタイム アクセスを制限することで、使用できるサービスを決定します。詳細については、リソース使用量の制限をご覧ください。 |
gcp.restrictTLSVersion |
次の TLS バージョンを拒否するように設定します。
|
BigQuery
影響を受ける BigQuery の機能
| 機能 | 説明 |
|---|---|
| 新しいフォルダで BigQuery を有効にする | BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の操作を行います。
有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。 Gemini in BigQuery は Assured Workloads ではサポートされていません。 |
| 準拠している BigQuery API | 次の BigQuery API は IL5 に準拠しています。 |
| リージョン | BigQuery は、米国のマルチリージョンを除くすべての BigQuery 米国リージョンで IL5 に準拠しています。データセットが米国のマルチリージョン、米国以外のリージョン、米国以外のマルチリージョンに作成されている場合、IL5 への準拠は保証されません。BigQuery データセットを作成する際に IL5 に準拠するリージョンを指定する責任はお客様にあります。 |
| IL5 以外のプロジェクトからの IL5 データセットに対するクエリ | BigQuery では、IL5 以外のプロジェクトから IL5 データセットへのクエリを防ぐことはできません。IL5 技術データの読み取りまたは結合オペレーションを使用するクエリが、IL5 準拠のフォルダにあることを確認します。 |
| 外部データソースへの接続 | Google のコンプライアンス責任は、BigQuery Connection API の機能に限定されます。BigQuery Connection API で使用されるソースプロダクトのコンプライアンスを確保するのは、お客様の責任です。 |
| 対応していない機能 | 次の BigQuery 機能はサポートされていないため、BigQuery CLI では使用しないでください。Assured Workloads に対して、これらを BigQuery で使用しないようにすることはお客様の責任です。
|
| BigQuery CLI | BigQuery CLI がサポートされています。
|
| Google Cloud SDK | テクニカル データのデータリージョン指定の保証を維持するには、Google Cloud SDK バージョン 403.0.0 以降を使用する必要があります。現在の Google Cloud SDK のバージョンを確認するには、gcloud --version を実行してから gcloud components update を実行し、最新バージョンに更新します。 |
| 管理機能 | BigQuery はサポートされていない API を無効にしますが、Assured Workloads フォルダを作成するのに十分な権限を持つ管理者は、サポートされていない API を有効にできます。この場合、Assured Workloads モニタリング ダッシュボードで、コンプライアンス違反の可能性がある旨が通知されます。 |
| データの読み込み | Google Software as a Service(SaaS)アプリ、外部クラウド ストレージ プロバイダ、データ ウェアハウス用の BigQuery Data Transfer Service コネクタはサポートされていません。IL5 ワークロードのデータ境界に対して、BigQuery Data Transfer Service コネクタを使用しないようにすることは、お客様の責任です。 |
| サードパーティ転送 | BigQuery は、BigQuery Data Transfer Service のサードパーティ転送のサポートを検証しません。BigQuery Data Transfer Service のサードパーティ転送を使用する際のサポート確認は、お客様の責任です。 |
| 非準拠 BQML モデル | 外部でトレーニングされた BQML モデルはサポートされていません。 |
| クエリジョブ | クエリジョブは、Assured Workloads フォルダ内でのみ作成する必要があります。 |
| 他のプロジェクトのデータセットに対するクエリ | BigQuery では、Assured Workloads 以外のプロジェクトから Assured Workloads データセットへのクエリを防ぐことはできません。Assured Workloads データに対して読み取りや結合を行うクエリはすべて、Assured Workloads フォルダに配置する必要があります。ユーザーは、BigQuery CLI で projectname.dataset.table を使用して、クエリ結果の完全修飾されたテーブル名を指定できます。 |
| Cloud Logging | BigQuery は、一部のログデータに対して Cloud Logging を利用します。コンプライアンスを維持するには、_default ロギング バケットを無効にするか、次のコマンドを使用して _default バケットを対象範囲内のリージョンに制限する必要があります。gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
詳細については、ログをリージョン化するをご覧ください。 |
Cloud Interconnect
影響を受ける Cloud Interconnect の機能
| 機能 | 説明 |
|---|---|
| 高可用性(HA)VPN | Cloud VPN で Cloud Interconnect を使用する場合は、高可用性(HA)VPN 機能を有効にする必要があります。また、影響を受ける Cloud VPN の機能セクションに記載されている暗号化と地域化の要件にも準拠する必要があります。 |
Cloud KMS
Cloud KMS の組織のポリシーに関する制約
| 組織のポリシーの制約 | 説明 |
|---|---|
cloudkms.allowedProtectionLevels |
次の保護レベルの Cloud Key Management Service CryptoKey の作成を許可するように設定します。
|
Cloud Logging
影響を受ける Cloud Logging の機能
| 機能 | 説明 |
|---|---|
| ログシンク | フィルタに顧客データを含めないでください。 ログシンクには、構成として格納されるフィルタが含まれます。顧客データを含むフィルタは作成しないでください。 |
| ライブ テーリング ログエントリ | フィルタに顧客データを含めないでください。 ライブ テーリング セッションには、構成として格納されたフィルタが含まれます。テーリングログによって、ログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして送信できます。顧客データを含むフィルタは作成しないでください。 |
Cloud Monitoring
影響を受ける Cloud Monitoring の機能
| 機能 | 説明 |
|---|---|
| 合成モニター | この機能は無効になっています。 |
| 稼働時間チェック | この機能は無効になっています。 |
Cloud Run
影響を受ける Cloud Run の機能
| 機能 | 説明 |
|---|---|
| サポートされていない機能 | 次の Cloud Run 機能はサポートされていません。 |
Cloud Vision API
影響を受ける Cloud Vision API の機能
| 機能 | 説明 |
|---|---|
| IL5 準拠の Cloud Vision API エンドポイント | Cloud Vision API には、米国リージョンの API エンドポイント(us-vision.googleapis.com)のみを使用する必要があります。グローバル エンドポイント(vision.googleapis.com)は IL5 に準拠していません。これを使用すると、ワークロードのデータ所在地が損なわれる可能性があります。 |
Cloud VPN
影響を受ける Cloud VPN の機能
| 機能 | 説明 |
|---|---|
| VPN エンドポイント | 対象範囲内のリージョンにある Cloud VPN エンドポイントのみを使用する必要があります。VPN ゲートウェイが対象範囲内のリージョンでのみ使用されるように構成されていることを確認します。 |
Cloud Workstations
影響を受ける Cloud Workstations の機能
| 機能 | 説明 |
|---|---|
| ワークステーション クラスタの作成 | ワークステーション クラスタを作成する場合は、データ所在地を確保するために、次の方法で構成する必要があります。
|
Compute Engine
影響を受ける Compute Engine の機能
| 機能 | 説明 |
|---|---|
| VM インスタンスの一時停止および再開 | この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスク ストレージは、現在、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。 |
| ローカル SSD | この機能は無効になっています。 ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。 |
| ロードバランサへのインスタンス グループの追加 | インスタンス グループをグローバル ロードバランサに追加することはできません。 この機能は、 compute.disableGlobalLoadBalancing 組織ポリシー制約によって無効になっています。 |
| VM インスタンスの一時停止と再開 | この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスク ストレージは、CMEK を使用して暗号化できません。 この機能は、 gcp.restrictNonCmekServices 組織ポリシー制約によって無効になっています。 |
| ローカル SSD | この機能は無効になっています。 ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。 この機能は、 gcp.restrictNonCmekServices 組織ポリシー制約によって無効になっています。 |
| ゲスト環境 | ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされることがあります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。 これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージまたはエージェントを選択して、 compute.trustedImageProjects 組織ポリシーの制約をオプションとして使用することもできます。詳細については、カスタム イメージのビルドをご覧ください。 |
| VM Manager の OS ポリシー |
OS ポリシー ファイル内のインライン スクリプトとバイナリ出力ファイルは、顧客管理の暗号鍵(CMEK)を使用して暗号化されません。これらのファイルに機密情報を含めないでください。これらのスクリプトと出力ファイルを Cloud Storage バケットに保存することを検討してください。詳細については、OS ポリシーの例をご覧ください。 インライン スクリプトまたはバイナリ出力ファイルを使用する OS ポリシー リソースの作成または変更を制限する場合は、 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 組織のポリシー制約を有効にします。詳細については、OS Config の制約をご覧ください。 |
instances.getSerialPortOutput()
|
この API は無効になっています。この API を使用して、指定したインスタンスからシリアルポート出力を取得することはできません。 この API を有効にするには、 compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。プロジェクトのアクセスを有効にするの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。 |
instances.getScreenshot() |
この API は無効になっています。この API を使用して、指定したインスタンスからスクリーンショットを取得することはできません。 この API を有効にするには、 compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。プロジェクトのアクセスを有効にするの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。 |
Compute Engine の組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
True に設定します。 新しいグローバル Google Cloud Armor セキュリティ ポリシーの作成と、既存のグローバル Google Cloud Armor セキュリティ ポリシーへのルールの追加または変更を無効にします。この制約は、ルールの削除や、グローバル Google Cloud Armor セキュリティ ポリシーの説明と一覧取得の削除または変更を制限するものではありません。リージョン Google Cloud Armor セキュリティ ポリシーは、この制約の影響を受けません。この制約の適用前から存在するグローバル セキュリティ ポリシーとリージョン セキュリティ ポリシーは引き続き有効です。 |
compute.disableGlobalLoadBalancing |
True に設定します。 グローバル ロード バランシング プロダクトの作成を無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
compute.disableInstanceDataAccessApis
| True に設定します。instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。この制約を有効にすると、Windows Server VM で認証情報を生成できなくなります。 Windows VM でユーザー名とパスワードを管理する必要がある場合は、次の操作を行います。
|
compute.setNewProjectDefaultToZonalDNSOnly
| True に設定します。 新しいプロジェクトの DNS 設定をゾーン DNS のみに設定します。ゾーン DNS は、複数リージョンにまたがる障害のリスクを軽減し、Compute Engine のプロジェクトの全体的な信頼性を向上させます。 |
compute.skipDefaultNetworkCreation
| True に設定します。 新しいプロジェクトの作成時に、デフォルト ネットワークとその補助的リソースの作成を無効にします。 |
compute.restrictNonConfidentialComputing |
(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。詳細については、Confidential VM のドキュメントをご覧ください。 |
compute.trustedImageProjects |
(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。 この値を設定すると、イメージ ストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。 |
IAM
IAM 組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
iam.automaticIamGrantsForDefaultServiceAccounts |
True に設定します。 デフォルトのサービス アカウントに編集者( roles/editor)の以前の基本ロールが自動的に付与されないようにします。この制約により、デフォルトのサービス アカウントに今後以前の基本ロールが付与されなくなることはありません。この動作を防ぐには、Assured Workloads フォルダに iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts 制約を設定します。 |
iam.disableServiceAccountKeyCreation |
True に設定します。 新しいサービス アカウント キーと Cloud Storage HMAC キーの作成を無効にします。 ワークロードにサービス アカウント キーが必要な場合は、この制約の値を変更する前に、サービス アカウント キーの管理に関するベスト プラクティスのページを必ずお読みください。 |
Pub/Sub
Pub/Sub 組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
pubsub.managed.disableTopicMessageTransforms |
True に設定します。 Pub/Sub トピックで 単一メッセージ変換(SMT)を設定できないようにします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
pubsub.managed.disableSubscriptionMessageTransforms |
True に設定します。 Pub/Sub サブスクリプションで単一メッセージ変換(SMT)を設定できないようにします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
pubsub.managed.disableTopicMessageTransforms |
True に設定します。 Pub/Sub トピックで 単一メッセージ変換(SMT)を設定できないようにします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
Speech-to-Text
影響を受ける Speech-to-Text の機能
| 機能 | 説明 |
|---|---|
| カスタム Speech-to-Text モデル | カスタム音声文字変換モデルは IL5 のデータ境界に準拠していないため、カスタム音声文字変換モデルを使用しないようにすることはお客様の責任です。 |
次のステップ
- Assured Workloads フォルダを作成する方法を学習する。
- Assured Workloads の料金について