美國資料邊界
本頁面說明在 Assured Workloads 中,套用至美國資料邊界工作負載的一組控制項。這份文件詳細說明資料所在地、支援的產品 Google Cloud 及其 API 端點,以及這些產品適用的限制。以下額外資訊適用於美國資料邊界:
- 資料落地:美國資料邊界控制項套件會設定資料位置控制項,以便僅支援美國區域。詳情請參閱「Google Cloud-wide organization policy constraints」一節。
- 支援:如要取得美國資料邊界工作負載的技術支援服務,請訂閱 Standard、Enhanced 或 Premium Cloud Customer Care。美國資料邊界工作負載支援案件會轉送給全球支援人員。如果需要更嚴格的支援人員控制選項,請改用美國資料邊界和支援控制套件。
- 價格:美國資料邊界控制套件包含在 Assured Workloads 的免費層級中,不會產生額外費用。 詳情請參閱 Assured Workloads 定價。
支援的產品和 API 端點
除非另有說明,否則使用者可以透過 Google Cloud 控制台存取所有支援的產品。 下表列出會影響支援產品功能的限制,包括透過機構政策限制設定強制執行的限制。
如果產品未列出,表示該產品不受支援,且不符合美國資料邊界控制項規定。如未盡到應有的注意義務,並充分瞭解共同責任模式中的責任,建議不要使用不受支援的產品。使用不支援的產品前,請務必瞭解並願意承擔相關風險,例如對資料落地或資料主權造成負面影響。
| 支援的產品 | API 端點 | 限制 | 
|---|---|---|
| 存取權核准 | accessapproval.googleapis.com | 無 | 
| Access Context Manager | accesscontextmanager.googleapis.com | 無 | 
| 資料存取透明化控管機制 | accessapproval.googleapis.com | 無 | 
| PostgreSQL 適用的 AlloyDB | alloydb.googleapis.com | 無 | 
| Cloud Service Mesh | mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com | 無 | 
| Apigee | apigee.googleapis.com | 無 | 
| Artifact Registry | artifactregistry.googleapis.com | 無 | 
| GKE 備份 | gkebackup.googleapis.com | 無 | 
| BigQuery | bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com | 受影響的功能 | 
| Bigtable | bigtable.googleapis.combigtableadmin.googleapis.com | 無 | 
| 二進位授權 | binaryauthorization.googleapis.com | 無 | 
| 憑證授權單位服務 | privateca.googleapis.com | 無 | 
| Cloud Asset Inventory | cloudasset.googleapis.com | 無 | 
| Cloud Build | cloudbuild.googleapis.com | 無 | 
| Cloud Composer | composer.googleapis.com | 無 | 
| Cloud DNS | dns.googleapis.com | 無 | 
| Cloud Data Fusion | datafusion.googleapis.com | 無 | 
| Cloud External Key Manager (Cloud EKM) | cloudkms.googleapis.com | 無 | 
| Cloud HSM | cloudkms.googleapis.com | 無 | 
| Cloud Interconnect | compute.googleapis.com | 無 | 
| Cloud Key Management Service (Cloud KMS) | cloudkms.googleapis.com | 無 | 
| Cloud Load Balancing | compute.googleapis.com | 無 | 
| Cloud Logging | logging.googleapis.com | 受影響的功能 | 
| Cloud Monitoring | monitoring.googleapis.com | 無 | 
| Cloud NAT | compute.googleapis.com | 無 | 
| Cloud OS Login API | oslogin.googleapis.com | 無 | 
| Cloud Router | compute.googleapis.com | 無 | 
| Cloud Run | run.googleapis.com | 受影響的功能 | 
| Cloud Run functions | run.googleapis.com | 無 | 
| Cloud SQL | sqladmin.googleapis.com | 無 | 
| PostgreSQL 適用的 Cloud SQL | sqladmin.googleapis.com | 無 | 
| Cloud Storage | storage.googleapis.com | 無 | 
| Cloud Tasks | cloudtasks.googleapis.com | 無 | 
| Cloud VPN | compute.googleapis.com | 無 | 
| Cloud Vision API | vision.googleapis.com | 無 | 
| Cloud Workstations | workstations.googleapis.com | 無 | 
| Compute Engine | compute.googleapis.com | 受影響的功能 和機構政策限制 | 
| Config Sync | anthosconfigmanagement.googleapis.com | 無 | 
| 連結 | gkeconnect.googleapis.com | 無 | 
| Sensitive Data Protection | dlp.googleapis.com | 無 | 
| 資料庫中心 | Not applicable | 無 | 
| Dataflow | dataflow.googleapis.comdatapipelines.googleapis.com | 無 | 
| Dataform | dataform.googleapis.com | 無 | 
| Dataplex Universal Catalog | dataplex.googleapis.comdatalineage.googleapis.com | 無 | 
| Dataproc | dataproc-control.googleapis.comdataproc.googleapis.com | 無 | 
| Document AI | documentai.googleapis.com | 無 | 
| 重要聯絡人 | essentialcontacts.googleapis.com | 無 | 
| Eventarc | eventarc.googleapis.com | 無 | 
| Filestore | file.googleapis.com | 無 | 
| Firebase 安全性規則 | firebaserules.googleapis.com | 無 | 
| Firestore | firestore.googleapis.com | 無 | 
| GKE Hub | gkehub.googleapis.com | 無 | 
| GKE Identity Service | anthosidentityservice.googleapis.com | 無 | 
| Vertex AI 生成式 AI | aiplatform.googleapis.com | 無 | 
| Google Agentspace | discoveryengine.googleapis.com | 無 | 
| Google Cloud Armor | compute.googleapis.comnetworksecurity.googleapis.com | 受影響的功能 | 
| Google Cloud NetApp Volumes | netapp.googleapis.com | 受影響的功能 | 
| Google Kubernetes Engine (GKE) | container.googleapis.comcontainersecurity.googleapis.com | 無 | 
| Google Security Operations SIEM | chronicle.googleapis.comchronicleservicemanager.googleapis.com | 無 | 
| Google Security Operations SOAR | Not applicable | 無 | 
| 身分與存取權管理 (IAM) | iam.googleapis.com | 無 | 
| Identity-Aware Proxy (IAP) | iap.googleapis.com | 無 | 
| Infrastructure Manager | config.googleapis.com | 無 | 
| Looker (Google Cloud Core) | looker.googleapis.com | 無 | 
| Memorystore for Redis | redis.googleapis.com | 無 | 
| Model Armor | modelarmor.googleapis.com | 無 | 
| Network Connectivity Center | networkconnectivity.googleapis.com | 無 | 
| 機構政策服務 | orgpolicy.googleapis.com | 無 | 
| Persistent Disk | compute.googleapis.com | 無 | 
| Personalized Service Health | servicehealth.googleapis.com | 無 | 
| Pub/Sub | pubsub.googleapis.com | 無 | 
| Resource Manager | cloudresourcemanager.googleapis.com | 無 | 
| Secure Source Manager | securesourcemanager.googleapis.com | 無 | 
| 無伺服器虛擬私有雲存取 | vpcaccess.googleapis.com | 無 | 
| Speech-to-Text | speech.googleapis.com | 無 | 
| Storage 移轉服務 | storagetransfer.googleapis.com | 無 | 
| Text-to-Speech | texttospeech.googleapis.com | 無 | 
| Cloud Service Mesh | trafficdirector.googleapis.com | 無 | 
| VPC Service Controls | accesscontextmanager.googleapis.com | 無 | 
| Vertex AI 批次預測 | aiplatform.googleapis.com | 無 | 
| Vertex AI 模型監控 | aiplatform.googleapis.com | 無 | 
| Vertex AI Model Registry | aiplatform.googleapis.com | 無 | 
| Vertex AI 線上預測 | aiplatform.googleapis.com | 無 | 
| Vertex AI Pipelines | aiplatform.googleapis.com | 無 | 
| Vertex AI Search | discoveryengine.googleapis.com | 無 | 
| Vertex AI Training | aiplatform.googleapis.com | 無 | 
| 虛擬私有雲 (VPC) | compute.googleapis.com | 無 | 
| Web Risk | webrisk.googleapis.com | 無 | 
規定與限制
以下各節說明功能 Google Cloud層級或產品專屬的限制,包括美國資料邊界資料夾預設設定的機構政策限制。其他適用的機構政策限制 (即使不是預設設定) 可提供額外的縱深防禦,進一步保護機構的 Google Cloud 資源。
Google Cloud-wide
Google Cloud全機構適用的機構政策限制
下列機構政策限制適用於整個 Google Cloud。
| 機構政策限制 | 說明 | 
|---|---|
| gcp.resourceLocations | 在 allowedValues清單中設定下列位置:
 如果變更這個值,放寬限制,可能會允許在符合規定的資料邊界外建立或儲存資料,進而破壞資料落地設定。 | 
| gcp.restrictServiceUsage | 設為允許所有支援的產品和 API 端點。 限制對資源的執行階段存取權,決定可使用的服務。詳情請參閱「限制資源用量」。 | 
| gcp.restrictTLSVersion | 設為拒絕下列 TLS 版本: 
 | 
BigQuery
受影響的 BigQuery 功能
| 功能 | 說明 | 
|---|---|
| 在新資料夾中啟用 BigQuery | 系統支援 BigQuery,但由於內部設定程序,建立新的 Assured Workloads 資料夾時不會自動啟用。這項程序通常會在十分鐘內完成,但在某些情況下可能需要更多時間。如要檢查程序是否完成並啟用 BigQuery,請完成下列步驟: 
 啟用程序完成後,您就可以在 Assured Workloads 資料夾中使用 BigQuery。 Assured Workloads 不支援 Gemini in BigQuery。 | 
| 不支援的功能 | BigQuery CLI 不支援下列 BigQuery 功能,請勿使用。您有責任確保不會在 BigQuery 中使用這些模型處理受控工作負載。 
 | 
| BigQuery CLI | 支援 BigQuery CLI。 | 
| Google Cloud SDK | 您必須使用 Google Cloud SDK 403.0.0 以上版本,才能確保技術資料的資料區域化。如要確認目前的 Google Cloud SDK 版本,請執行 gcloud --version,然後執行gcloud components update,更新至最新版本。 | 
| 管理員控制項 | BigQuery 會停用不支援的 API,但管理員只要具備建立 Assured Workloads 資料夾的足夠權限,就能啟用不支援的 API。如果發生這種情況,您會透過 Assured Workloads 監控資訊主頁收到潛在不符規定的通知。 | 
| 正在載入資料 | 不支援 Google 軟體即服務 (SaaS) 應用程式、外部雲端儲存空間供應商和資料倉儲的 BigQuery 資料移轉服務連接器。您有責任確保不使用 BigQuery 資料移轉服務連接器處理美國資料邊界工作負載。 | 
| 第三方轉移 | BigQuery 不會驗證 BigQuery 資料移轉服務是否支援第三方轉移。使用任何第三方移轉服務搭配 BigQuery 資料移轉服務時,您有責任確認支援情況。 | 
| 不符規定的 BQML 模型 | 不支援外部訓練的 BQML 模型。 | 
| 查詢工作 | 查詢作業只能在 Assured Workloads 資料夾中建立。 | 
| 查詢其他專案中的資料集 | BigQuery 不會禁止從非 Assured Workloads 專案查詢 Assured Workloads 資料集。請務必將任何讀取或聯結 Assured Workloads 資料的查詢,放在 Assured Workloads 資料夾中。您可以在 BigQuery CLI 中使用 projectname.dataset.table,為查詢結果指定完整格式的資料表名稱。 | 
| Cloud Logging | BigQuery 會使用 Cloud Logging 處理部分記錄檔資料。您應停用 _default記錄檔值區,或將_default值區限制在適用範圍內的區域,以使用下列指令維持法規遵循狀態:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink詳情請參閱「將記錄檔區域化」。 | 
Compute Engine
受影響的 Compute Engine 功能
| 功能 | 說明 | 
|---|---|
| 訪客環境 | 訪客環境隨附的指令碼、常駐程式和二進位檔可能會存取未加密的靜態和使用中資料。視 VM 設定而定,系統可能會預設安裝這類軟體的更新。如要瞭解各套件的內容、原始碼等具體資訊,請參閱「訪客環境」。 這些元件可透過內部安全控管和程序,協助您符合資料主權規定。不過,如要進一步控管,您也可以自行管理圖片或代理程式,並視需要使用 compute.trustedImageProjects機構政策限制。詳情請參閱「建構自訂映像檔」頁面。 | 
| VM 管理員中的 OS 政策 | 作業系統政策檔案中的內嵌指令碼和二進位輸出檔案,不會使用客戶自行管理的加密金鑰 (CMEK) 加密。請勿在這些檔案中加入任何私密資訊。建議將這些指令碼和輸出檔案儲存在 Cloud Storage 值區中。詳情請參閱作業系統政策範例。 如要限制建立或修改下列項目,請啟用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage組織政策限制:使用內嵌指令碼或二進位輸出檔案的 OS 政策資源。詳情請參閱「OS Config 的限制」。 | 
Compute Engine 機構政策限制
| 機構政策限制 | 說明 | 
|---|---|
| compute.disableGlobalCloudArmorPolicy | 設為 True。 禁止建立新的全域 Google Cloud Armor 安全性政策,以及禁止在現有的全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制未禁止移除規則,或者移除或變更全域 Google Cloud Armor 安全性政策的說明和清單。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。 | 
| compute.restrictNonConfidentialComputing | (選用) 未設定值。請設定這個值,提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件。 | 
| compute.trustedImageProjects | (選用) 未設定值。設定這個值,提供額外的縱深防禦。 設定這個值後,映像檔儲存空間和磁碟執行個體化作業就會限制在指定的專案清單中。這個值會禁止使用任何未經授權的圖片或代理程式,進而影響資料主權。 | 
Cloud Logging
受影響的 Cloud Logging 功能
| 功能 | 說明 | 
|---|---|
| 記錄接收器 | 篩選器不得包含客戶資料。 記錄接收器包含篩選器,篩選器會儲存為設定。請勿建立含有顧客資料的篩選器。 | 
| 即時追蹤記錄項目 | 篩選器不得包含客戶資料。 即時追蹤工作階段包含篩選器,並儲存為設定。追蹤記錄本身不會儲存任何記錄項目資料,但可以跨區域查詢及傳輸資料。請勿建立含有顧客資料的篩選器。 | 
Google Cloud NetApp Volumes
受影響的 Google Cloud NetApp Volumes 功能
| 功能 | 說明 | 
|---|---|
| 彈性服務層級 | 美國資料邊界控制套件不支援 Flex 服務等級。 | 
後續步驟
- 瞭解如何建立 Assured Workloads 資料夾
- 瞭解美國資料邊界與支援控制項套裝方案
- 瞭解 Assured Workloads 定價