含存取依據的沙烏地阿拉伯王國資料邊界

本頁面說明在 Assured Workloads 中，對 KSA 資料邊界套用存取理由工作負載時，會使用的控管措施。這份文件詳細說明資料所在地、支援的 Google Cloud 產品及其 API 端點，以及這些產品適用的限制。

以下附加資訊適用於含存取依據的沙烏地阿拉伯資料邊界：

• 資料落地：沙烏地阿拉伯王國資料邊界與存取依據控制項套件會設定資料位置控制項，僅支援沙烏地阿拉伯王國區域。詳情請參閱「Google Cloud全組織政策限制」一節。
• 支援：如要取得 KSA 資料邊界與存取理由工作負載的技術支援服務，請訂閱 Standard、Enhanced 或 Premium Cloud Customer Care。含存取依據的沙烏地阿拉伯王國資料邊界工作負載支援案件，會轉送給全球支援人員。詳情請參閱「取得支援」一文。
• 價格：KSA 資料邊界 (含存取理由) 控制套件包含在 Assured Workloads 的免費方案中，不會產生額外費用。詳情請參閱 Assured Workloads 定價。

必要條件

確認您符合並完成下列先決條件，再將工作負載部署至 KSA 資料邊界，並使用存取理由：

• 使用 Assured Workloads 建立具有存取依據的 KSA 資料邊界資料夾，並只在該資料夾中部署工作負載。
• 除非您瞭解並願意接受可能發生的資料落地風險，否則請勿變更機構政策限制的預設值。
• 如要存取 KSA 資料邊界控制台，並使用「存取理由」工作負載，請務必使用下列 KSA 專屬的管轄區 Google Cloud 控制台網址：
  Google Cloud
  • console.sa.cloud.google.com
  • console.sa.cloud.google (適用於同盟身分使用者)
• 如果服務提供指定區域端點，請務必使用這些端點。詳情請參閱「適用於沙烏地阿拉伯資料邊界且須提供存取理由的服務」。
• 建議採用Google Cloud 安全性最佳做法中心提供的一般安全性最佳做法。

支援的產品和 API 端點

除非另有說明，否則使用者可以透過 Google Cloud 控制台存取所有支援的產品。 下表列出會影響支援產品功能的限制，包括透過機構政策限制設定強制執行的限制。

如果產品未列出，表示該產品不支援，且未符合沙烏地阿拉伯資料邊界與存取理由的控制項規定。如未盡到應有的注意義務，並充分瞭解共同責任模式中的責任，建議不要使用不受支援的產品。使用不支援的產品前，請務必瞭解並願意承擔相關風險，例如對資料落地或資料主權造成負面影響。

規定與限制

以下各節說明功能 Google Cloud層級或產品專屬的限制，包括在設有存取理由資料夾的 KSA 資料邊界中，預設設定的任何機構政策限制。其他適用的機構政策限制 (即使不是預設設定) 可提供額外的縱深防禦，進一步保護機構的 Google Cloud 資源。

Google Cloud-wide

受影響的 Google Cloud功能

功能	說明
Google Cloud 控制台	使用沙烏地阿拉伯王國資料邊界和存取依據控制套件時，如要存取 Google Cloud 控制台，請使用下列網址： console.me.cloud.google.com console.me.cloud.google 適用於聯盟身分使用者 詳情請參閱管轄區 Google Cloud 控制台頁面。

Google Cloud全機構適用的機構政策限制

下列機構政策限制適用於整個 Google Cloud。

機構政策限制	說明
gcp.resourceLocations	在 allowedValues 清單中設定下列位置： me-central2 這個值會將新資源的建立作業限制在所選值。設定後，您就無法在所選區域、多區域或位置以外的任何位置建立資源。如要查看可透過「資源位置」機構政策限制的資源清單，請參閱「資源位置支援的服務」，因為部分資源可能超出範圍，無法限制。 如果變更這個值，放寬限制，可能會允許在符合規定的資料邊界外建立或儲存資料，進而破壞資料落地設定。
gcp.restrictNonCmekServices	設定為所有適用範圍內的 API 服務名稱清單，包括： bigquerydatatransfer.googleapis.com 上述各項服務的部分功能可能會受到影響。 清單中的每項服務都必須使用客戶自行管理的加密金鑰 (CMEK)。CMEK 可讓您使用自己管理的金鑰，而非 Google 的預設加密機制，加密靜態資料。 從清單中移除一或多項適用服務來變更這個值，可能會損害資料主權，因為系統會使用 Google 專屬金鑰而非您的金鑰，自動加密新的靜態資料。現有的靜態資料仍會以您提供的金鑰加密。
gcp.restrictServiceUsage	設為允許所有支援的產品和 API 端點。 限制對資源的執行階段存取權，決定可使用的服務。詳情請參閱「限制資源用量」。
gcp.restrictTLSVersion	設為拒絕下列 TLS 版本： TLS_1_0 TLS_1_1 詳情請參閱「限制傳輸層安全標準 (TLS) 版本」 頁面。

Bigtable

受影響的 Bigtable 功能

功能	說明
Data Boost	這項功能已停用。

Cloud Interconnect

受影響的 Cloud Interconnect 功能

功能	說明
高可用性 (HA) VPN	使用 Cloud Interconnect 和 Cloud VPN 時，必須啟用高可用性 (HA) VPN 功能。此外，您必須遵守「受影響的 Cloud VPN 功能」一節列出的加密和區域化規定。

Cloud Monitoring

受影響的 Cloud Monitoring 功能

功能	說明
綜合監控項目	這項功能已停用。
運作時間檢查	這項功能已停用。
記錄面板小工具，位於資訊主頁	這項功能已停用。 您無法在資訊主頁中新增記錄面板。
錯誤報告面板小工具 位於「資訊主頁」	這項功能已停用。 您無法在資訊主頁中新增錯誤報告面板。
篩選「EventAnnotation」中的「資訊主頁」	這項功能已停用。 無法在資訊主頁中設定 EventAnnotation 篩選器。
SqlCondition 在 alertPolicies	這項功能已停用。 您無法將 SqlCondition 新增至 alertPolicy。

Cloud Run

受影響的 Cloud Run 功能

功能	說明
不支援的功能	系統不支援下列 Cloud Run 功能： Cloud Trace 整合 Cloud Run functions Eventarc 觸發條件

Cloud SQL

Cloud SQL 機構政策限制

機構政策限制	說明
sql.restrictNoncompliantDiagnosticDataAccess	設為 True。 對 Cloud SQL 資源套用額外的資料主權和支援性控制項。 變更這個值可能會影響工作負載的資料駐留或資料主權。
sql.restrictNoncompliantResourceCreation	設為 True。 套用額外的資料主權控制項，防止建立不符規定的 Cloud SQL 資源。 變更這個值可能會影響工作負載的資料駐留或資料主權。

Cloud Storage

受影響的 Cloud Storage 功能

功能	說明
Google Cloud 控制台	您有責任使用管轄區 Google Cloud 控制台，為沙烏地阿拉伯王國資料邊界設定存取依據。Jurisdictional 控制台會禁止上傳及下載 Cloud Storage 物件。如要上傳及下載 Cloud Storage 物件，請參閱下方的「符合規範的 API 端點」列。
符合規範的 API 端點	您有責任搭配 Cloud Storage 使用其中一個適用範圍內的區域端點。詳情請參閱 Cloud Storage 位置。

Cloud Storage 組織政策限制

機構政策限制	說明
storage.restrictAuthTypes	設定為防止使用雜湊式訊息驗證碼 (HMAC) 進行驗證。這個限制值會指定下列類型： USER_ACCOUNT_HMAC_SIGNED_REQUESTS SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS 根據預設，系統會禁止 HMAC 金鑰驗證 KSA 資料邊界，以及具有存取理由的工作負載，以存取 Cloud Storage 資源。HMAC 金鑰會影響資料主權，因為有心人士可利用這類金鑰存取顧客資料，且顧客不會知情。請參閱 Cloud Storage 說明文件中的 HMAC 金鑰。 變更這個值可能會影響工作負載中的資料主權，因此強烈建議保留設定值。
storage.uniformBucketLevelAccess	設為 True。 新值區的存取權是透過 IAM 政策管理，而非 Cloud Storage 存取控制清單 (ACL)。 這項限制可為 bucket 及其內容提供精細的權限。 如果啟用這項限制時建立值區，就無法再使用 ACL 管理值區存取權。換句話說，值區的存取權控管方法會永久設定為使用 IAM 政策，而非 Cloud Storage ACL。

Cloud VPN

受影響的 Cloud VPN 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud VPN 功能。請改用 API 或 Google Cloud CLI。
VPN 端點	您只能使用位於適用區域的 Cloud VPN 端點。請確認 VPN 閘道已設定為僅在適用範圍內的區域使用。

Compute Engine

受影響的 Compute Engine 功能

功能	說明
暫停及重新啟用 VM 執行個體	這項功能已停用。 暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間，且用於儲存暫停 VM 狀態的永久磁碟儲存空間目前無法使用 CMEK 加密。 請參閱上方章節中的gcp.restrictNonCmekServices機構政策限制，瞭解啟用這項功能對資料主權和資料駐留的影響。
本機 SSD	這項功能已停用。 您將無法建立具有本機 SSD 的執行個體，因為目前無法使用 CMEK 加密本機 SSD。請參閱上方章節中的gcp.restrictNonCmekServices機構政策限制，瞭解啟用這項功能對資料主權和資料駐留的影響。
Google Cloud 控制台	Google Cloud 控制台不支援下列 Compute Engine 功能。請改用 API 或 Google Cloud CLI： 安全狀態檢查 網路端點群組
將執行個體群組新增至全域負載平衡器	您無法將執行個體群組新增至全域負載平衡器。 這項功能已遭compute.disableGlobalLoadBalancing機構組織 政策限制停用。
暫停及重新啟用 VM 執行個體	這項功能已停用。 暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間，且用於儲存暫停 VM 狀態的永久磁碟儲存空間無法使用 CMEK 加密。 這項功能已遭gcp.restrictNonCmekServices機構政策 限制停用。
本機 SSD	這項功能已停用。 您無法建立具有本機 SSD 的執行個體，因為本機 SSD 無法使用 CMEK 加密。 這項功能已遭gcp.restrictNonCmekServices機構政策 限制停用。
訪客環境	訪客環境隨附的指令碼、常駐程式和二進位檔可能會存取未加密的靜態和使用中資料。視 VM 設定而定，系統可能會預設安裝這類軟體的更新。如要瞭解各套件的內容、原始碼等具體資訊，請參閱「訪客環境」。 這些元件可透過內部安全控管和程序，協助您符合資料主權規定。不過，如要進一步控管，您也可以自行管理圖片或代理程式，並視需要使用 compute.trustedImageProjects 機構政策限制。 詳情請參閱「建構自訂映像檔」頁面。
VM 管理員中的 OS 政策	作業系統政策檔案中的內嵌指令碼和二進位輸出檔案，不會使用客戶自行管理的加密金鑰 (CMEK) 加密。請勿在這些檔案中加入任何私密資訊。建議將這些指令碼和輸出檔案儲存在 Cloud Storage 值區中。詳情請參閱作業系統政策範例。 如要限制建立或修改下列項目，請啟用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 組織政策限制：使用內嵌指令碼或二進位輸出檔案的 OS 政策資源。 詳情請參閱「OS Config 的限制」。
instances.getSerialPortOutput()	這個 API 已停用，您將無法使用這個 API 從指定執行個體取得序列埠輸出內容。 將compute.disableInstanceDataAccessApis機構政策限制值變更為 False，即可啟用這項 API。您也可以按照「啟用專案的存取權」一文中的操作說明，啟用及使用互動式序列埠。
instances.getScreenshot()	這個 API 已停用，您無法使用這個 API 從指定執行個體擷取螢幕截圖。 將compute.disableInstanceDataAccessApis機構政策限制值變更為 False，即可啟用這項 API。您也可以按照「啟用專案的存取權」一文中的操作說明，啟用及使用互動式序列埠。

Compute Engine 機構政策限制

機構政策限制	說明
compute.enableComplianceMemoryProtection	設為 True。 停用部分內部診斷功能，在發生基礎架構錯誤時，提供額外的記憶體內容保護措施。 變更這個值可能會影響工作負載的資料駐留或資料主權。
compute.disableGlobalCloudArmorPolicy	設為 True。 禁止建立新的全域 Google Cloud Armor 安全性政策，以及禁止在現有的全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制未禁止移除規則，或者移除或變更全域 Google Cloud Armor 安全性政策的說明和清單。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。
compute.disableGlobalLoadBalancing	設為 True。 停用全球性負載平衡產品的建立功能。 變更這個值可能會影響工作負載的資料駐留或資料主權。
compute.disableInstanceDataAccessApis	設為 True。 全域停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。 啟用這項限制後，您就無法在 Windows Server VM 上產生憑證。 如要管理 Windows VM 的使用者名稱和密碼，請按照下列步驟操作： 為 Windows VM 啟用 SSH。 執行下列指令來變更 VM 的密碼： gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" 取代下列項目： VM_NAME：要設定密碼的 VM 名稱。 USERNAME：要設定密碼的使用者名稱。 PASSWORD：新密碼。
compute.disableSshInBrowser	設為 True。 針對使用 OS 登入和 App Engine 彈性環境的 VM，停用 Google Cloud 控制台中透過瀏覽器建立 SSH 連線的工具。 變更這個值可能會影響工作負載的資料駐留或資料主權。
compute.restrictNonConfidentialComputing	(選用) 未設定值。請設定這個值，提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件。
compute.trustedImageProjects	(選用) 未設定值。設定這個值，提供額外的縱深防禦。 設定這個值後，映像檔儲存空間和磁碟執行個體化作業就會限制在指定的專案清單中。這個值會禁止使用任何未經授權的圖片或代理程式，進而影響資料主權。

Dataplex Universal Catalog

Dataplex Universal Catalog 功能

功能	說明
切面和詞彙表的中繼資料	系統不支援「方面」和「詞彙」。您無法搜尋或管理切面和詞彙表，也無法匯入自訂中繼資料。
屬性存放區	這項功能已淘汰並停用。
Data Catalog	這項功能已淘汰並停用。您無法在 Data Catalog 中搜尋或管理中繼資料。
資料品質和資料剖析掃描	不支援匯出資料品質掃描結果。
探索	這項功能已停用。您無法執行探索掃描，從資料中擷取中繼資料。
資料湖泊與可用區	這項功能已停用。您無法管理湖泊、區域和工作。

Google Cloud Armor

受影響的 Google Cloud Armor 功能

功能	說明
全域範圍的安全性政策	這項功能已遭compute.disableGlobalCloudArmorPolicy機構政策限制停用。

Google Kubernetes Engine

Google Kubernetes Engine 機構政策限制

機構政策限制	說明
container.restrictNoncompliantDiagnosticDataAccess	設為 True。 停用核心問題的匯總分析，這是維持工作負載主權控制權的必要條件。 變更這個值可能會影響工作負載的資料駐留或資料主權。

Pub/Sub

Pub/Sub 機構政策限制

機構政策限制	說明
pubsub.enforceInTransitRegions	設為 True。 確保客戶資料僅在允許的區域內傳輸。該區域是在 Pub/Sub 主題的訊息儲存空間政策中指定。 變更這個值可能會影響工作負載的資料駐留或資料主權。
pubsub.managed.disableTopicMessageTransforms	設為 True。 禁止 Pub/Sub 主題設定單一訊息轉換 (SMT)。 變更這個值可能會影響工作負載的資料駐留或資料主權。
pubsub.managed.disableSubscriptionMessageTransforms	設為 True。 禁止 Pub/Sub 訂閱項目設定單一訊息轉換 (SMT)。 變更這個值可能會影響工作負載的資料駐留或資料主權。

Spanner

Spanner 機構政策限制

機構政策限制	說明
spanner.assuredWorkloadsAdvancedServiceControls	設為 True。 對 Spanner 資源套用額外的資料主權和支援性控制項。
spanner.disableMultiRegionInstanceIfNoLocationSelected	設為 True。 禁止建立多區域 Spanner 執行個體，以強制執行資料落地權和資料主權。

後續步驟

• 瞭解如何建立 Assured Workloads 資料夾
• 瞭解 Assured Workloads 定價