影響等級 5 (IL5) 資料邊界
本頁面說明在 Assured Workloads 中,針對 IL5 工作負載套用資料邊界的一組控管措施。這份文件詳細說明資料所在地、支援的產品 Google Cloud 及其 API 端點,以及這些產品適用的限制。以下額外資訊適用於 IL5 資料邊界:
- 資料落地:IL5 控制項套裝組合的資料邊界會設定資料位置控制項,以便僅支援美國的區域。詳情請參閱「Google Cloud全機構適用的組織政策限制」一節。
- 支援:如要取得 IL5 工作負載的資料邊界技術支援服務,請訂閱 Enhanced 或 Premium Cloud Customer Care。IL5 工作負載的支援案件會轉送給位於美國的美國自然人/法人。詳情請參閱「取得支援」一文。
- 價格:IL5 控制套裝組合的資料邊界包含在 Assured Workloads 的進階層級中,因此會產生額外 20% 的費用。詳情請參閱 Assured Workloads 定價。
必要條件
如要繼續遵守 IL5 控制措施套件的資料邊界規定,請確認您符合並遵守下列必要條件:
- 使用 Assured Workloads 為 IL5 資料夾建立資料邊界,並僅在該資料夾中部署 IL5 工作負載。
- 針對 IL5 工作負載的資料邊界,僅啟用並使用適用範圍內的服務。
- 除非您瞭解並願意承擔可能發生的資料落地風險,否則請勿變更機構政策限制的預設值。
- 對於 IL5 資料邊界資料夾中使用的所有服務,請勿在下列使用者定義或安全設定資訊類型中儲存技術資料:
- 錯誤訊息
- 控制台輸出內容
- 屬性資料
- 服務設定資料
- 網路封包標頭
- 資源 ID
- 資料標籤
- 建議採用Google Cloud 安全性最佳做法中心提供的一般安全性最佳做法。
- 如要進一步瞭解如何在Google Cloud中部署 IL5 工作負載,請參閱「美國國防部 (DoD) 暫時性授權」頁面。
- 存取 Google Cloud 控制台時,您可以選擇使用管轄區 Google Cloud 控制台。您不必使用管轄區 Google Cloud 控制台,即可為 IL5 設定資料邊界。可透過下列其中一個網址存取:
- console.us.cloud.google.com
- console.us.cloud.google (適用於同盟身分使用者)
支援的產品和 API 端點
除非另有說明,否則使用者可以透過 Google Cloud 控制台存取所有支援的產品。 下表列出會影響支援產品功能的限制,包括透過機構政策限制設定強制執行的限制。
如果產品未列出,表示該產品不受支援,且不符合 IL5 資料邊界控制項規定。如未盡到應盡的責任,並充分瞭解共同責任模式中您的責任,建議不要使用不受支援的產品。使用不支援的產品前,請務必瞭解並願意承擔相關風險,例如對資料落地或資料主權造成負面影響。 此外,接受風險前,請先與授權機構確認是否使用任何不支援的產品。
| 支援的產品 | API 端點 | 限制 |
|---|---|---|
| Artifact Registry |
artifactregistry.googleapis.com |
無 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
受影響的功能 和機構政策限制 |
| 憑證授權單位服務 |
privateca.googleapis.com |
無 |
| Cloud Build |
cloudbuild.googleapis.com |
無 |
| Cloud Composer |
composer.googleapis.com |
無 |
| Cloud DNS |
dns.googleapis.com |
無 |
| Cloud Data Fusion |
datafusion.googleapis.com |
無 |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
無 |
| Cloud HSM |
cloudkms.googleapis.com |
無 |
| Cloud Identity |
cloudidentity.googleapis.com |
無 |
| Cloud Interconnect |
compute.googleapis.com |
無 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
組織政策限制 |
| Cloud Logging |
logging.googleapis.com |
無 |
| Cloud Monitoring |
monitoring.googleapis.com |
無 |
| Cloud NAT |
compute.googleapis.com |
無 |
| Cloud Router |
compute.googleapis.com |
無 |
| Cloud Run |
run.googleapis.com |
受影響的功能 |
| Cloud SQL |
sqladmin.googleapis.com |
無 |
| Cloud Storage |
storage.googleapis.com |
無 |
| Cloud Tasks |
cloudtasks.googleapis.com |
無 |
| Cloud VPN |
compute.googleapis.com |
無 |
| Cloud Vision API |
us-vision.googleapis.com |
受影響的功能 |
| Cloud Workstations |
workstations.googleapis.com |
受影響的功能 |
| Compute Engine |
compute.googleapis.com |
受影響的功能 和機構政策限制 |
| 連結代理程式 |
gkeconnect.googleapis.com |
無 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
無 |
| Dataproc |
dataproc.googleapis.comdataproc-control.googleapis.com |
無 |
| Eventarc |
eventarc.googleapis.com |
無 |
| 外部直通式網路負載平衡器 |
compute.googleapis.com |
無 |
| GKE Hub |
gkehub.googleapis.com |
無 |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
無 |
| Vertex AI 生成式 AI |
aiplatform.googleapis.com |
無 |
| Gemini Enterprise |
discoveryengine.googleapis.com |
無 |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
無 |
| Google 管理控制台 |
N/A |
無 |
| 身分與存取權管理 (IAM) |
iam.googleapis.com |
組織政策限制 |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
無 |
| 內部直通式網路負載平衡器 |
compute.googleapis.com |
無 |
| Memorystore for Redis |
redis.googleapis.com |
無 |
| Persistent Disk |
compute.googleapis.com |
無 |
| Pub/Sub |
pubsub.googleapis.com |
組織政策限制 |
| 區域性外部應用程式負載平衡器 |
compute.googleapis.com |
無 |
| 區域性外部 Proxy 網路負載平衡器 |
compute.googleapis.com |
無 |
| 區域性內部應用程式負載平衡器 |
compute.googleapis.com |
無 |
| 區域性內部 Proxy 網路負載平衡器 |
compute.googleapis.com |
無 |
| Secret Manager |
secretmanager.googleapis.com |
無 |
| Sensitive Data Protection |
dlp.googleapis.com |
無 |
| Spanner |
spanner.googleapis.com |
無 |
| Speech-to-Text |
speech.googleapis.com |
受影響的功能 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
無 |
| Vertex AI 批次預測 |
aiplatform.googleapis.com |
無 |
| Vertex AI 模型監控 |
aiplatform.googleapis.com |
無 |
| Vertex AI Model Registry |
aiplatform.googleapis.com |
無 |
| Vertex AI 線上預測 |
aiplatform.googleapis.com |
無 |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
無 |
| Vertex AI Search |
discoveryengine.googleapis.com |
無 |
| Vertex AI Training |
aiplatform.googleapis.com |
無 |
| 虛擬私有雲 (VPC) |
compute.googleapis.com |
無 |
規定與限制
以下各節說明功能 Google Cloud層級或產品專屬的限制,包括在 IL5 資料夾的資料邊界中預設設定的機構政策限制。其他適用的機構政策限制 (即使不是預設設定) 可提供額外的縱深防禦措施,進一步保護機構的 Google Cloud 資源。
Google Cloud-wide
受影響的 Google Cloud功能
| 功能 | 說明 |
|---|---|
| Google Cloud 控制台 | 使用 IL5 控制套件的資料邊界時,您可以選擇使用管轄區 Google Cloud 控制台存取 Google Cloud 控制台。IL5 資料邊界不需要管轄區 Google Cloud 控制台,您可以使用下列網址存取: |
Google Cloud全機構適用的組織政策限制
下列機構政策限制適用於 Google Cloud。
| 機構政策限制 | 說明 |
|---|---|
gcp.resourceLocations |
在 allowedValues 清單中設定下列位置:
如果變更這個值,放寬限制,可能會允許在符合規定的資料邊界外建立或儲存資料,進而破壞資料落地設定。 |
gcp.restrictCmekCryptoKeyProjects |
設為 under:organizations/your-organization-name,也就是您的 Assured Workloads 機構。您可以指定專案或資料夾,進一步限制這個值。限制可提供 Cloud KMS 金鑰的核准資料夾或專案範圍,確保只有這些金鑰可用於透過 CMEK 加密靜態資料。這項限制可防止未獲核准的資料夾或專案提供加密金鑰,因此有助於確保適用範圍內服務的靜態資料主權。 |
gcp.restrictNonCmekServices |
設定為所有適用範圍內API 服務名稱的清單,包括:
清單中的每項服務都必須使用客戶自行管理的加密金鑰 (CMEK)。CMEK 會使用您管理的金鑰加密靜態資料,而非 Google 的預設加密機制。 從清單中移除一或多個適用服務來變更這個值,可能會損害資料主權,因為系統會使用 Google 專屬金鑰,而非您的金鑰,自動加密新的靜態資料。現有的靜態資料仍會以您提供的金鑰加密。 |
gcp.restrictServiceUsage |
設為允許所有支援的產品和 API 端點。 限制對資源的執行階段存取權,決定可使用的服務。詳情請參閱「限制資源用量」。 |
gcp.restrictTLSVersion |
設為拒絕下列 TLS 版本:
|
BigQuery
受影響的 BigQuery 功能
| 功能 | 說明 |
|---|---|
| 在新資料夾中啟用 BigQuery | 系統支援 BigQuery,但由於內部設定程序,建立新的 Assured Workloads 資料夾時不會自動啟用。這項程序通常會在十分鐘內完成,但在某些情況下可能需要更多時間。如要檢查程序是否完成並啟用 BigQuery,請完成下列步驟:
啟用程序完成後,您就可以在 Assured Workloads 資料夾中使用 BigQuery。 Assured Workloads 不支援 Gemini in BigQuery。 |
| 符合規範的 BigQuery API | 下列 BigQuery API 符合 IL5 規範: |
| 區域 | BigQuery 美國多區域以外的所有 BigQuery 美國區域,都符合 IL5 標準。如果資料集是在美國多地區、非美國區域或非美國多地區建立,則無法保證符合 IL5 標準。建立 BigQuery 資料集時,您有責任指定符合 IL5 規範的區域。 |
| 從非 IL5 專案查詢 IL5 資料集 | BigQuery 不會禁止從非 IL5 專案查詢 IL5 資料集。請確保對 IL5 技術資料執行讀取或聯結作業的任何查詢,都位於符合 IL5 規範的資料夾中。 |
| 連線至外部資料來源 | Google 的法規遵循責任僅限於 BigQuery Connection API 功能。您有責任確保與 BigQuery Connection API 搭配使用的來源產品符合規定。 |
| 不支援的功能 | BigQuery CLI 不支援下列 BigQuery 功能,請勿使用。您有責任確保不會在 BigQuery 中使用這些模型處理受控工作負載。
|
| BigQuery CLI | 支援 BigQuery CLI。
|
| Google Cloud SDK | 您必須使用 Google Cloud SDK 403.0.0 以上版本,才能確保技術資料的資料區域化。如要確認目前的 Google Cloud SDK 版本,請執行 gcloud --version,然後執行 gcloud components update,更新至最新版本。 |
| 管理員控制項 | BigQuery 會停用不支援的 API,但如果管理員具備建立 Assured Workloads 資料夾的足夠權限,就能啟用不支援的 API。如果發生這種情況,您會透過 Assured Workloads 監控資訊主頁收到潛在不符規定的通知。 |
| 正在載入資料 | 不支援 Google 軟體即服務 (SaaS) 應用程式、外部雲端儲存空間供應商和資料倉儲的 BigQuery 資料移轉服務連接器。您有責任不使用 BigQuery 資料移轉服務連接器,為 IL5 工作負載的資料邊界連線。 |
| 第三方轉移 | BigQuery 不會驗證 BigQuery 資料移轉服務是否支援第三方轉移。使用任何第三方移轉服務搭配 BigQuery 資料移轉服務時,您有責任確認支援情況。 |
| 不符規定的 BQML 模型 | 不支援外部訓練的 BQML 模型。 |
| 查詢工作 | 查詢作業只能在 Assured Workloads 資料夾中建立。 |
| 查詢其他專案中的資料集 | BigQuery 不會禁止從非 Assured Workloads 專案查詢 Assured Workloads 資料集。請務必將任何讀取或聯結 Assured Workloads 資料的查詢,放在 Assured Workloads 資料夾中。您可以在 BigQuery CLI 中使用 projectname.dataset.table,為查詢結果指定完整格式的資料表名稱。 |
| Cloud Logging | BigQuery 會使用 Cloud Logging 處理部分記錄檔資料。您應停用 _default 記錄 bucket,或將 _default bucket 限制在適用範圍內的區域,以使用下列指令維持法規遵循狀態:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
詳情請參閱「將記錄檔區域化」。 |
Cloud Interconnect
受影響的 Cloud Interconnect 功能
| 功能 | 說明 |
|---|---|
| 高可用性 (HA) VPN | 使用 Cloud Interconnect 和 Cloud VPN 時,必須啟用高可用性 (HA) VPN 功能。此外,您必須遵守「受影響的 Cloud VPN 功能」一節列出的加密和區域化規定。 |
Cloud KMS
Cloud KMS 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
cloudkms.allowedProtectionLevels |
設定為允許建立具有下列保護層級的 Cloud Key Management Service 加密編譯金鑰:
|
Cloud Logging
受影響的 Cloud Logging 功能
| 功能 | 說明 |
|---|---|
| 記錄接收器 | 篩選器不得包含客戶資料。 記錄接收器包含篩選條件,這些篩選條件會儲存為設定。請勿建立含有顧客資料的篩選器。 |
| 即時追蹤記錄項目 | 篩選器不得包含客戶資料。 即時追蹤工作階段包含篩選器,並以設定的形式儲存。追蹤記錄本身不會儲存任何記錄項目資料,但可以跨區域查詢及傳輸資料。請勿建立含有顧客資料的篩選器。 |
Cloud Monitoring
受影響的 Cloud Monitoring 功能
| 功能 | 說明 |
|---|---|
| 綜合監控項目 | 這項功能已停用。 |
| 運作時間檢查 | 這項功能已停用。 |
Cloud Run
受影響的 Cloud Run 功能
| 功能 | 說明 |
|---|---|
| 不支援的功能 | 系統不支援下列 Cloud Run 功能: |
Cloud Vision API
受影響的 Cloud Vision API 功能
| 功能 | 說明 |
|---|---|
| 符合 IL5 規範的 Cloud Vision API 端點 | 您有責任僅使用美國區域 API 端點 (us-vision.googleapis.com) 存取 Cloud Vision API。全域端點 (vision.googleapis.com) 不符合 IL5 規範,使用該端點可能會影響工作負載的資料落地。 |
Cloud VPN
受影響的 Cloud VPN 功能
| 功能 | 說明 |
|---|---|
| VPN 端點 | 您只能使用位於適用區域的 Cloud VPN 端點。請確保 VPN 閘道僅在適用範圍內的區域設定使用。 |
Cloud Workstations
受影響的 Cloud Workstations 功能
| 功能 | 說明 |
|---|---|
| 建立工作站叢集 | 建立工作站叢集時,您有責任按照下列方式設定,確保資料落地:
|
Compute Engine
受影響的 Compute Engine 功能
| 功能 | 說明 |
|---|---|
| 暫停及重新啟用 VM 執行個體 | 這項功能已停用。 暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間,且用於儲存暫停 VM 狀態的永久磁碟儲存空間目前無法使用 CMEK 加密。 請參閱上方章節中的 gcp.restrictNonCmekServices組織政策限制,瞭解啟用這項功能對資料主權和資料駐留的影響。 |
| 本機 SSD | 這項功能已停用。 您無法建立具有本機 SSD 的執行個體,因為本機 SSD 無法使用 CMEK 加密。請參閱上方章節中的 gcp.restrictNonCmekServices組織政策限制,瞭解啟用這項功能對資料主權和資料駐留的影響。 |
| 將執行個體群組新增至全域負載平衡器 | 您無法將執行個體群組新增至全域負載平衡器。 這項功能已遭 compute.disableGlobalLoadBalancing機構政策限制停用。
|
| 暫停及重新啟用 VM 執行個體 | 這項功能已停用。 暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間,且用於儲存暫停 VM 狀態的永久磁碟儲存空間無法使用 CMEK 加密。 這項功能已遭 gcp.restrictNonCmekServices機構政策
限制停用。
|
| 本機 SSD | 這項功能已停用。 您無法建立具有本機 SSD 的執行個體,因為本機 SSD 無法使用 CMEK 加密。 這項功能已遭 gcp.restrictNonCmekServices機構政策
限制停用。
|
| 訪客環境 | 訪客環境隨附的指令碼、常駐程式和二進位檔可能會存取未加密的靜態和使用中資料。視 VM 設定而定,系統可能會預設安裝這類軟體的更新。如要瞭解各套件的內容、原始碼等具體資訊,請參閱「訪客環境」。 這些元件可透過內部安全控管和程序,協助您符合資料主權規定。不過,如要進一步控管,您也可以自行管理圖片或代理程式,並視需要使用 compute.trustedImageProjects 組織政策限制。詳情請參閱「建構自訂映像檔」。 |
| VM 管理員中的 OS 政策 |
作業系統政策檔案中的內嵌指令碼和二進位輸出檔案,不會使用客戶自行管理的加密金鑰 (CMEK) 加密。請勿在這些檔案中加入任何私密資訊。建議將這些指令碼和輸出檔案儲存在 Cloud Storage 值區中。詳情請參閱「範例 OS 政策」。 如要限制建立或修改使用內嵌指令碼或二進位輸出檔案的 OS 政策資源,請啟用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 組織政策限制。詳情請參閱「OS Config 的限制」。 |
instances.getSerialPortOutput()
|
這個 API 已停用。您將無法使用這個 API,從指定執行個體取得序列埠輸出內容。 將 compute.disableInstanceDataAccessApis 機構政策限制值變更為 False,即可啟用這項 API。您也可以按照「啟用專案的存取權」一文中的操作說明,啟用及使用互動式序列埠。 |
instances.getScreenshot() |
這個 API 已停用。您將無法使用這個 API,從指定執行個體取得螢幕截圖。 將 compute.disableInstanceDataAccessApis 機構政策限制值變更為 False,即可啟用這項 API。您也可以按照「啟用專案的存取權」一文中的操作說明,啟用及使用互動式序列埠。 |
Compute Engine 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
設為 True。 禁止建立新的全域 Google Cloud Armor 安全性政策,以及禁止在現有的全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制不會禁止移除規則,也不會禁止移除或變更全域 Google Cloud Armor 安全性政策的說明和清單。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。 |
compute.disableGlobalLoadBalancing |
設為 True。 停用全球性負載平衡產品的建立功能。 變更這個值可能會影響工作負載的資料落地或資料主權。 |
compute.disableInstanceDataAccessApis
| 設為 True。 全域停用 instances.getSerialPortOutput() 和
instances.getScreenshot() API。啟用這項限制後,您就無法在 Windows Server VM 上產生憑證。 如要管理 Windows VM 的使用者名稱和密碼,請按照下列步驟操作:
|
compute.setNewProjectDefaultToZonalDNSOnly
| 設為 True。 將新專案的 DNS 設定設為僅限可用區 DNS。區域性 DNS 可降低跨區域服務中斷的風險,並提升 Compute Engine 專案的整體可靠性。 |
compute.skipDefaultNetworkCreation
| 設為 True。 在新專案建立時,停用預設網路及其支援資源的建立作業。 |
compute.restrictNonConfidentialComputing |
(選用) 未設定值。請設定這個值,提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件。 |
compute.trustedImageProjects |
(選用) 未設定值。設定這個值,提供額外的縱深防禦。
設定這個值後,映像檔儲存空間和磁碟執行個體化作業就會限制在指定的專案清單中。這個值會禁止使用任何未經授權的圖片或代理程式,進而影響資料主權。 |
IAM
IAM 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
iam.automaticIamGrantsForDefaultServiceAccounts |
設為 True。 停用自動將編輯者 ( roles/editor) 舊版基本
角色授予預設服務帳戶的功能。這項限制不會阻止日後授予預設服務帳戶舊版基本角色。如要避免這種情況,您可以在 Assured Workloads 資料夾中設定 iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts 限制。 |
iam.disableServiceAccountKeyCreation |
設為 True。 禁止建立新的服務帳戶金鑰和 Cloud Storage HMAC 金鑰。 如果工作負載需要服務帳戶金鑰,請務必先閱讀「管理服務帳戶金鑰的最佳做法」頁面,再變更這項限制的值。 |
Pub/Sub
Pub/Sub 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
pubsub.managed.disableTopicMessageTransforms |
設為 True。 禁止 Pub/Sub 主題設定單一訊息轉換 (SMT)。 變更這個值可能會影響工作負載的資料落地或資料主權。 |
pubsub.managed.disableSubscriptionMessageTransforms |
設為 True。 禁止 Pub/Sub 訂閱項目設定單一訊息轉換 (SMT)。 變更這個值可能會影響工作負載的資料落地或資料主權。 |
pubsub.managed.disableTopicMessageTransforms |
設為 True。 禁止 Pub/Sub 主題設定單一訊息轉換 (SMT)。 變更這個值可能會影響工作負載的資料落地或資料主權。 |
Speech-to-Text
受影響的 Speech-to-Text 功能
| 功能 | 說明 |
|---|---|
| 自訂語音轉文字模型 | 您有責任不使用 Custom Speech-to-Text 模型,因為這類模型不符合 IL5 的資料邊界規定。 |