サウジアラビア王国(KSA)のデータ境界と Access Justifications
このページでは、Assured Workloads のアクセス正当化ワークロードを含む KSA データ境界に適用される一連の制御について説明します。データ所在地、サポートされている Google Cloud プロダクトとその API エンドポイント、それらのプロダクトに適用される制限事項に関する詳細情報が提供されます。
Access Justifications に基づく KSA のデータ境界には、次の追加情報が適用されます。
- データ所在地: KSA データ境界とアクセス理由のコントロール パッケージは、KSA のみのリージョンをサポートするデータ ロケーション コントロールを設定します。詳細については、Google Cloud全体の組織のポリシーの制約をご覧ください。
- サポート: アクセス理由ワークロードを含む KSA データ境界のテクニカル サポート サービスは、スタンダード、エンハンスト、プレミアムの Cloud カスタマーケア サブスクリプションでご利用いただけます。Access Justifications を使用する KSA データ境界ワークロードのサポートケースは、グローバル サポート担当者に転送されます。詳細については、サポートの利用をご覧ください。
- 料金: KSA のデータ境界と Access Justifications のコントロール パッケージは、Assured Workloads の無料枠に含まれており、追加料金は発生しません。詳細については、Assured Workloads の料金をご覧ください。
前提条件
アクセス理由付きでワークロードを KSA データ境界にデプロイする前に、次の前提条件を満たしていることを確認してください。
- Assured Workloads を使用してアクセス正当性フォルダを含む KSA データ境界を作成し、そのフォルダにのみワークロードをデプロイします。
- 発生する可能性のあるデータ所在地のリスクを理解し、それを受け入れる意思がある場合を除き、デフォルトの組織のポリシーの制約値を変更しないでください。
- アクセス正当化ワークロードで KSA データ境界の Google Cloud コンソールにアクセスする場合は、次のいずれかの KSA 固有の管轄区域 Google Cloud コンソール URL を使用する必要があります。
- console.sa.cloud.google.com
- console.sa.cloud.google(フェデレーション ID ユーザーの場合)
- 指定されたリージョン エンドポイントは、それらを提供するサービスにのみ使用します。詳細については、アクセス正当性確認サービスを含む KSA データ境界の範囲内をご覧ください。
- Google Cloud セキュリティ ベスト プラクティス センターで提供されている一般的なセキュリティ ベスト プラクティスの採用を検討してください。
サポートされているプロダクトと API エンドポイント
特に明記されている場合を除き、ユーザーは Google Cloud コンソールからすべてのサポート対象プロダクトにアクセスできます。サポートされているプロダクトの機能に影響する制限事項は、次の表に記載されています。これには、組織のポリシーの制約設定を通じて適用される制限事項も含まれます。
製品がリストにない場合、その製品はサポートされておらず、KSA のデータ境界と Access Justifications の制御要件を満たしていません。デュー デリジェンスや責任共有モデルにおけるお客様の責任を十分に理解せずに、サポート対象外のプロダクトを使用することはおすすめしません。サポートされていないプロダクトを使用する前に、データ所在地やデータ主権への悪影響など、関連するリスクを認識し、受け入れることを確認してください。
| サポートされているサービス | API エンドポイント | 制限事項 |
|---|---|---|
| アクセス承認 |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Access Context Manager |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Artifact Registry |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| BigQuery |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Bigtable |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
| Certificate Authority Service |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud Build |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud DNS |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud HSM |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud Interconnect |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
| Cloud Key Management Service(Cloud KMS) |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud Load Balancing |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud Logging |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud Monitoring |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
| Cloud NAT |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud Router |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud Run |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
| Cloud SQL |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
組織ポリシーの制約 |
| Cloud Service Mesh |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Cloud Storage |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能と組織のポリシーの制約 |
| Cloud VPN |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
| Compute Engine |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能と組織のポリシーの制約 |
| Connect |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Dataflow |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Dataplex Universal Catalog |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
| Dataproc |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| 重要な連絡先 |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Filestore |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| GKE Hub |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| GKE Identity Service |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Google Cloud Armor |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
影響を受ける機能 |
| Google Cloud コンソール |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Google Kubernetes Engine |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
組織ポリシーの制約 |
| Identity and Access Management(IAM) |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Identity-Aware Proxy(IAP) |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Memorystore for Redis |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Network Connectivity Center |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| 組織ポリシー サービス |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Persistent Disk |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Pub/Sub |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
組織ポリシーの制約 |
| Resource Manager |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| リソースの設定 |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Secret Manager |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Sensitive Data Protection |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Service Directory |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Spanner |
リージョン API エンドポイント:
ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
組織ポリシーの制約 |
| VPC Service Controls |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
| Virtual Private Cloud(VPC) |
リージョン API エンドポイントはサポートされていません。 ロケーション API エンドポイントはサポートされていません。 グローバル API エンドポイント:
|
なし |
制限事項
以降のセクションでは、 Google Cloud全体またはプロダクト固有の制限、または機能の制限について説明します。これには、アクセス理由付き KSA データ境界フォルダにデフォルトで設定されている組織ポリシーの制約も含まれます。デフォルトで設定されていない場合でも、その他の適用可能な組織のポリシーの制約により、組織の Google Cloud リソースをさらに保護するための多層防御を追加できます。
Google Cloud-wide
影響を受ける Google Cloud全体の機能
| 機能 | 説明 |
|---|---|
| Google Cloud コンソール | KSA のデータ境界と Access Justifications のコントロール パッケージを使用するときに Google Cloud コンソールにアクセスするには、次のいずれかの URL を使用する必要があります。
|
Google Cloud全体の組織ポリシー制約
次の組織のポリシーの制約は、 Google Cloud全体に適用されます。
| 組織のポリシーの制約 | 説明 |
|---|---|
gcp.resourceLocations |
allowedValues リストの次のロケーションに設定します。
制限を緩くしてこの値を変更すると、準拠したデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。 |
gcp.restrictNonCmekServices |
対象範囲内のすべての API サービス名のリストに設定します。次に例を示します。
各サービスには、顧客管理の暗号鍵(CMEK)が必要です。CMEK を使用すると、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化できます。 リストから 1 つ以上の対象サービスを削除してこの値を変更すると、データ主権が損なわれる可能性があります。新しい保管中のデータは、ユーザーではなく Google 独自の鍵を使用して自動的に暗号化されます。既存の保存データは、指定した鍵によって暗号化されます。 |
gcp.restrictServiceUsage |
すべてのサポートされているプロダクトと API エンドポイントを許可するように設定します。 リソースへのランタイム アクセスを制限することで、使用できるサービスを決定します。詳細については、リソースの使用量の制限をご覧ください。 |
gcp.restrictTLSVersion |
次の TLS バージョンを拒否するように設定します。
|
Bigtable
影響を受ける Bigtable の機能
| 機能 | 説明 |
|---|---|
| Data Boost | この機能は無効になっています。 |
Cloud Interconnect
影響を受ける Cloud Interconnect の機能
| 機能 | 説明 |
|---|---|
| 高可用性(HA)VPN | Cloud VPN で Cloud Interconnect を使用する場合は、高可用性(HA)VPN 機能を有効にする必要があります。また、影響を受ける Cloud VPN の機能セクションに記載されている暗号化と地域化の要件にも準拠する必要があります。 |
Cloud Monitoring
影響を受ける Cloud Monitoring の機能
| 機能 | 説明 |
|---|---|
| 合成モニター | この機能は無効になっています。 |
| 稼働時間チェック | この機能は無効になっています。 |
| ダッシュボードのログパネル ウィジェット | この機能は無効になっています。 ダッシュボードにログパネルを追加することはできません。 |
| ダッシュボードの Error Reporting パネル ウィジェット | この機能は無効になっています。 ダッシュボードに Error Reporting パネルを追加することはできません。 |
ダッシュボードの EventAnnotation のフィルタ |
この機能は無効になっています。EventAnnotation のフィルタはダッシュボードで設定できません。 |
alertPolicies での SqlCondition |
この機能は無効になっています。SqlCondition を alertPolicy に追加することはできません。 |
Cloud Run
影響を受ける Cloud Run の機能
| 機能 | 説明 |
|---|---|
| サポートされていない機能 | 次の Cloud Run 機能はサポートされていません。 |
Cloud SQL
Cloud SQL の組織のポリシーに関する制約
| 組織のポリシーの制約 | 説明 |
|---|---|
sql.restrictNoncompliantDiagnosticDataAccess |
True に設定します。 Cloud SQL リソースに追加のデータ主権とサポート性の制御を適用します。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
sql.restrictNoncompliantResourceCreation |
True に設定します。 追加のデータ主権制御を適用して、非準拠の Cloud SQL リソースの作成を防ぎます。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
Cloud Storage
影響を受ける Cloud Storage の機能
| 機能 | 説明 |
|---|---|
| Google Cloud コンソール | アクセス正当化による KSA データ境界には、管轄区域の Google Cloud コンソールを使用する責任はお客様にあります。管轄地区のコンソールでは、Cloud Storage オブジェクトのアップロードとダウンロードがブロックされます。Cloud Storage オブジェクトをアップロードおよびダウンロードするには、次の準拠 API エンドポイントの行をご覧ください。 |
| 準拠した API エンドポイント | Cloud Storage で対象範囲内のリージョン エンドポイントのいずれかを使用することはお客様の責任です。詳細については、Cloud Storage のロケーションをご覧ください。 |
Cloud Storage の組織のポリシーに関する制約
| 組織のポリシーの制約 | 説明 |
|---|---|
storage.restrictAuthTypes |
ハッシュベースのメッセージ認証コード(HMAC)を使用した認証を防止するように設定します。この制約値には、次のタイプが指定されています。
この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することを強くおすすめします。 |
storage.uniformBucketLevelAccess |
True に設定します。 新しいバケットへのアクセスは、Cloud Storage アクセス制御リスト(ACL)ではなく、IAM ポリシーを使用して管理されます。この制約により、バケットとそのコンテンツに対してきめ細かい権限が付与されます。 この制約が有効になっているときにバケットを作成すると、そのバケットへのアクセスを ACL を使用して管理できなくなります。つまり、バケットのアクセス制御方法は、Cloud Storage ACL ではなく IAM ポリシーを使用するように永続的に設定されます。 |
Cloud VPN
影響を受ける Cloud VPN の機能
| 機能 | 説明 |
|---|---|
| Google Cloud コンソール | Cloud VPN の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。 |
| VPN エンドポイント | 対象範囲内のリージョンにある Cloud VPN エンドポイントのみを使用する必要があります。VPN ゲートウェイが対象範囲内のリージョンでのみ使用されるように構成されていることを確認します。 |
Compute Engine
影響を受ける Compute Engine の機能
| 機能 | 説明 |
|---|---|
| VM インスタンスの一時停止および再開 | この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスク ストレージは、現在、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。 |
| ローカル SSD | この機能は無効になっています。 現在、ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。 |
| Google Cloud コンソール | 次の Compute Engine 機能は、 Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用します。 |
| ロードバランサへのインスタンス グループの追加 | インスタンス グループをグローバル ロードバランサに追加することはできません。 この機能は、 compute.disableGlobalLoadBalancing 組織ポリシー制約によって無効になっています。 |
| VM インスタンスの一時停止と再開 | この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスク ストレージは、CMEK を使用して暗号化できません。 この機能は、 gcp.restrictNonCmekServices 組織ポリシー制約によって無効になっています。 |
| ローカル SSD | この機能は無効になっています。 ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。 この機能は、 gcp.restrictNonCmekServices 組織ポリシー制約によって無効になっています。 |
| ゲスト環境 | ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされることがあります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。 これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージまたはエージェントを選択して、 compute.trustedImageProjects 組織ポリシーの制約をオプションとして使用することもできます。詳細については、カスタム イメージのビルドのページをご覧ください。 |
| VM Manager の OS ポリシー |
OS ポリシー ファイル内のインライン スクリプトとバイナリ出力ファイルは、顧客管理の暗号鍵(CMEK)を使用して暗号化されません。これらのファイルに機密情報を含めないでください。これらのスクリプトと出力ファイルを Cloud Storage バケットに保存することを検討してください。詳細については、OS ポリシーの例をご覧ください。 インライン スクリプトまたはバイナリ出力ファイルを使用する OS ポリシー リソースの作成または変更を制限する場合は、 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 組織のポリシー制約を有効にします。詳細については、OS Config の制約をご覧ください。 |
instances.getSerialPortOutput()
|
この API は無効です。この API を使用して指定したインスタンスからシリアルポート出力を取得することはできません。 この API を有効にするには、 compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。プロジェクトのアクセスを有効にするの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。 |
instances.getScreenshot() |
この API は無効です。この API を使用して指定したインスタンスからスクリーンショットを取得することはできません。 この API を有効にするには、 compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。プロジェクトのアクセスを有効にするの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。 |
Compute Engine の組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
compute.enableComplianceMemoryProtection |
True に設定します。 インフラストラクチャ障害が発生したときにメモリ コンテンツを追加で保護するために、一部の内部診断機能を無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
compute.disableGlobalCloudArmorPolicy |
True に設定します。 新しいグローバル Google Cloud Armor セキュリティ ポリシーの作成と、既存のグローバル Google Cloud Armor セキュリティ ポリシーへのルールの追加または変更を無効にします。この制約は、ルールの削除や、グローバル Google Cloud Armor セキュリティ ポリシーの説明と一覧取得の削除または変更を制限するものではありません。リージョン Google Cloud Armor セキュリティ ポリシーは、この制約の影響を受けません。この制約の適用前から存在するグローバル セキュリティ ポリシーとリージョン セキュリティ ポリシーは引き続き有効です。 |
compute.disableGlobalLoadBalancing |
True に設定します。 グローバル ロード バランシング プロダクトの作成を無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
compute.disableInstanceDataAccessApis
| True に設定します。instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。この制約を有効にすると、Windows Server VM で認証情報を生成できなくなります。 Windows VM でユーザー名とパスワードを管理する必要がある場合は、次の操作を行います。
|
compute.disableSshInBrowser
| True に設定します。 OS Login と App Engine フレキシブル環境 VM を使用する VM で、 Google Cloud コンソールのブラウザでの SSH ツールを無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
compute.restrictNonConfidentialComputing |
(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。詳細については、Confidential VM のドキュメントをご覧ください。 |
compute.trustedImageProjects |
(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。 この値を設定すると、イメージ ストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。 |
Dataplex Universal Catalog
Dataplex Universal Catalog の機能
| 機能 | 説明 |
|---|---|
| アスペクトと用語集のメタデータ | アスペクトと用語集はサポートされていません。アスペクトと用語集の検索や管理はできません。また、カスタム メタデータをインポートすることもできません。 |
| Attribute Store | この機能は非推奨となり、無効になっています。 |
| Data Catalog | この機能は非推奨となり、無効になっています。Data Catalog でメタデータを検索したり、管理したりすることはできません。 |
| データ品質とデータ プロファイルのスキャン | データ品質スキャンの結果のエクスポートはサポートされていません。 |
| 発見 | この機能は無効になっています。検出スキャンを実行してデータからメタデータを抽出することはできません。 |
| レイクとゾーン | この機能は無効になっています。レイク、ゾーン、タスクを管理できません。 |
Google Cloud Armor
影響を受ける Google Cloud Armor の機能
| 機能 | 説明 |
|---|---|
| グローバル スコープのセキュリティ ポリシー | この機能は、compute.disableGlobalCloudArmorPolicy 組織のポリシーの制約によって無効になっています。 |
Google Kubernetes Engine
Google Kubernetes Engine の組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
True に設定します。 ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
Pub/Sub
Pub/Sub 組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
pubsub.enforceInTransitRegions |
True に設定します。 お客様のデータが、Pub/Sub トピックのメッセージ ストレージ ポリシーで指定された、許可されるリージョン内でのみ転送されるようにします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
pubsub.managed.disableTopicMessageTransforms |
True に設定します。 Pub/Sub トピックで 単一メッセージ変換(SMT)を設定できないようにします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
pubsub.managed.disableSubscriptionMessageTransforms |
True に設定します。 Pub/Sub サブスクリプションで単一メッセージ変換(SMT)を設定できないようにします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。 |
Spanner
Spanner の組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
True に設定します。 Spanner リソースに追加のデータ主権とサポート性の制御を適用します。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
True に設定します。 マルチリージョン Spanner インスタンスの作成機能を無効にして、データ所在地とデータ主権を適用します。 |
次のステップ
- Assured Workloads フォルダを作成する方法を学習する。
- Assured Workloads の料金について