במאמר הזה מוסבר מתי נאכפת שמירת הנתונים במיקום שבו הגנה מוגברת על המודל זמין. התכונה 'מיקום אחסון הנתונים' מאפשרת לכם לציין אזור גיאוגרפי שבו הנתונים שלכם מאוחסנים ומעובדים, וכך לוודא שהנתונים יישארו במיקום הזה. התכונה הגנה מוגברת על המודל עוזרת לכם לשלוט במיקום הטיפול בנתונים, ותומכת בתאימות לתקנות שונות.
Model Armor מעבד את סוגי הנתונים הבאים:
נתוני ליבה: הנתונים העיקריים ש-הגנה מוגברת על המודל מעבד, שהם הרלוונטיים ביותר למיקום אחסון הנתונים, כולל הנחיות, תגובות וקבצי קלט. Model Armor מעבד נתוני ליבה אבל לא מאחסן אותם במצב לא פעיל. מידע נוסף זמין במאמר בנושא טיפול בנתונים ואחסון.
נתוני הגדרה: הגדרות של תבניות ושל הגדרות אבטחה מינימליות, כמו כללים, מסננים וערכי סף, שמשמשים את הגנה מוגברת על המודל לסריקת הנחיות ותשובות. Model Armor מעבד ומאחסן נתוני תצורה במנוחה.
איך ומתי נאכף מיקום אחסון הנתונים
בטבלה הבאה מפורטים אמצעי הבקרה בנושא מיקום הנתונים שנאכפים על ידי הגנה מוגברת על המודל לכל Google Cloud מיקום נתמך.
הגנה מוגברת על המודל שומר על מיקום אחסון הנתונים ברמת תחום השיפוט, למשל מדינה ספציפית כמו הודו, או מספר אזורים כמו eu.
| אזור/מספר אזורים | סמכות שיפוט | במצב מנוחה | בשימוש | בנסיעה | תמיכה בתכונות |
|---|---|---|---|---|---|
asia-northeast1 |
יפן | כן | לא | לא | תמיכה מלאה |
asia-northeast3 |
קוריאה הדרומית | כן | לא | לא | תמיכה מלאה |
asia-south1 |
הודו | כן | כן | כן | תמיכה מוגבלת |
asia-southeast1 |
סינגפור | כן | כן | כן | תמיכה מוגבלת |
australia-southeast2 |
אוסטרליה | כן | לא | לא | תמיכה מלאה |
eu |
האיחוד האירופי | כן | כן | כן | תמיכה מלאה |
europe-southwest1 |
האיחוד האירופי | כן | כן | כן | תמיכה מלאה |
europe-west1 |
האיחוד האירופי | כן | כן | כן | תמיכה מלאה |
europe-west2 |
בריטניה | כן | לא | לא | תמיכה מלאה |
europe-west3 |
האיחוד האירופי | כן | כן | כן | תמיכה מלאה |
europe-west4 |
האיחוד האירופי | כן | כן | כן | תמיכה מלאה |
europe-west9 |
האיחוד האירופי | כן | כן | כן | תמיכה מלאה |
northamerica-northeast2 |
קנדה | כן | כן | כן | תמיכה מוגבלת |
us |
ארצות הברית | כן | כן | כן | תמיכה מלאה |
us-central1 |
ארצות הברית | כן | כן | כן | תמיכה מלאה |
us-east1 |
ארצות הברית | כן | כן | כן | תמיכה מלאה |
us-east4 |
ארצות הברית | כן | כן | כן | תמיכה מלאה |
us-west1 |
ארצות הברית | כן | כן | כן | תמיכה מלאה |
בעמודה Jurisdiction (סמכות שיפוט) מצוין הגבול הגיאוגרפי (לדוגמה, מדינה או אזור רב-אזורי כמו eu או us) שבתוכו Model Armor מבטיח תאימות של מיקום הנתונים למצבי הנתונים בשימוש ובמעבר.
בעמודה Region/multi-region מופיע המזהה הספציפי של Google Cloud האזור או של מספר האזורים.
כשמפעילים את התכונה 'מיקום אחסון הנתונים' באזור מסוים ב-הגנה מוגברת על המודל, היא עוזרת לוודא שהנתונים יישארו בתחום שיפוט מוגדר לפחות באחד מהמצבים הבאים:
במצב מנוחה: הנתונים נשארים באזור הספציפי Google Cloud שמופיע ברשימה.
בשימוש ובמעבר: האכיפה של מיקום אחסון הנתונים במצבים האלה בתחום השיפוט שצוין תלויה בערכים בעמודות בשימוש ובמעבר:
- כן: מיקום אחסון הנתונים נאכף במצבים בשימוש ובזמן ההעברה בסמכות השיפוט שמופיעה ברשימה. המשמעות היא שהנתונים נשארים בגבולות של סמכות השיפוט שמופיעה ברשימה בזמן העיבוד או ההעברה (לא בהכרח באותו אזור).
- לא: לא נאכף מיקום אחסון הנתונים במצבים בשימוש ובמעבר בסמכות השיפוט שצוינה. כלומר, יכול להיות שהנתונים יעובדו או יועברו מחוץ לתחום השיפוט.
נקודות קצה אזוריות
נקודות קצה אזוריות מספקות גישה למשאבים במיקום ספציפי. כשמשתמשים בנקודת קצה אזורית, הבקשה מנותבת ישירות למיקום של נקודת הקצה. אי אפשר להשתמש בנקודת קצה אזורית כדי לגשת למשאבים במיקומים אחרים.
שימוש בנקודת קצה אזורית עוזר לכם לאכוף אמצעי בקרה על מיקום אחסון הנתונים של המשאבים שלכם כשהם באחסון, בשימוש ובהעברה. כל נקודת קצה אזורית מבוססת על הפורמט הבא:
modelarmor.LOCATION.rep.googleapis.com
מחליפים את LOCATION במיקום נתמך. לרשימת המיקומים הנתמכים, אפשר לעיין במאמר בנושא מיקומים.
כדי לגשת לנקודות קצה אזוריות של הגנה מוגברת על המודל מתוך רשת VPC, צריך ליצור נקודת קצה של Private Service Connect לממשקי ה-API של הגנה מוגברת על המודל. הפעולה הזו נדרשת כדי למנוע שגיאות בתעודה כשניגשים לנקודות קצה אזוריות באמצעות גישה פרטית ל-Google או VPC Service Controls. מידע נוסף זמין במאמרים פתרון בעיות בהגנה מוגברת על המודל ומידע על גישה לנקודות קצה אזוריות דרך נקודות קצה של Private Service Connect.