Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

建立合作夥伴管理的資料夾

本頁面會引導您為 Sovereign Controls by Partners 建立新資料夾。建立任何要搭配 Sovereign Controls by Partners 使用的資源前，請務必先建立這個資料夾。

事前準備

建立新資料夾前，請先確認已完成下列步驟：

已完成 Google Cloud 的入門程序，並收到電子郵件，指示您建立由合作夥伴管理的資料夾。
如果貴機構強制執行iam.allowedPolicyMemberDomains組織政策限制，您必須先允許下列額外網域 ID，才能建立合作夥伴主權控制資料夾：
- 合作夥伴的 Google Cloud 機構 ID 或 Google Workspace 客戶 ID
- Google 的客戶 ID，即 C02h8e9nw
允許這些 ID 後，合作夥伴和 Google 就能視需要授予您組織的 IAM 角色，以管理工作負載。如果合作夥伴在新手上路程序中未提供機構 ID 或客戶 ID，請向對方索取。如果您嘗試在允許這些 ID 之前建立資料夾，作業會失敗並顯示下列錯誤： One or more users named in the policy do not belong to a permitted customer.

如要進一步瞭解如何更新 iam.allowedPolicyMemberDomains 限制，請參閱「依照網域設定身分限制」頁面。
請務必瞭解合作夥伴提供的資料邊界相關限制。

建立新資料夾

前往 Google Cloud 控制台的「Assured Workloads」頁面。
前往 Assured Workloads
如果系統提示您選取機構，請依提示選取您的機構。
按一下「建立」，前往「建立 Assured Workloads 資料夾」頁面。
注意：由合作夥伴管理的主權控管機制是 Assured Workloads 服務，提供類似的功能和特色。
在「新增資料夾詳細資料」步驟中：
- 在「資料夾名稱」中，輸入資料夾的專屬名稱，例如 aw-my-folder-name。資料夾名稱長度必須介於 4 到 30 個字元，且只能包含英文字母、數字、空格和連字號。
  提示：為合作夥伴管理的主權控管機制命名 Assured Workloads 資料夾時，請注意以下事項：
  - 如要將資料夾識別為 Assured Workloads 資料夾，請在名稱中加入前置字元 (例如 aw-)。這個 ID 可協助您從其他資源的清單中找出資料夾。如果您有現有的 Assured Workloads 資料夾，請考慮使用其他命名慣例，將合作夥伴主權控制項資料夾與這些資料夾區分開來。
  - 請勿在資料夾名稱中加入機密資料或個人識別資訊 (PII)。
- 在「機構」中，選取要建立資料夾的機構。這個位置之後無法變更。
- 在「資料夾位置」中，選取要在資源階層結構中建立資料夾的位置。您可以將 Sovereign Controls by Partners 資料夾建立為機構或其他資料夾的子項。
- 點選「下一步」。
在「選擇控管機制套件選項」步驟中，選取「主權控管機制」。
從下拉式選單中選取合作夥伴管理的解決方案。
如果合作夥伴已為您建立子帳單帳戶，請選取該帳戶。
在「選取資源位置」中，選擇位置，資料夾的機構政策會強制執行資源建立和使用作業。
查看所選項目的詳細資料，然後點選「下一步」。
在「設定其他設定」步驟中，您必須為客戶自行管理的加密金鑰 (CMEK) 建立新專案和金鑰環。這個步驟不會建立任何金鑰，因為合作夥伴的自主控制項不會自動為您建立任何加密金鑰。
注意：建立金鑰管理專案後，請完成建立協調式外部金鑰的步驟。為 Cloud EKM 建立協調式外部金鑰時，請注意手動建立的金鑰版本不會自動設為主要金鑰版本。如要將其設為主要金鑰，請參閱輪替金鑰。
視您選擇的主權合作夥伴而定，您可能還需要執行額外的「管理合作夥伴權限」步驟。在這個步驟中，您可以選擇授予合作夥伴下列資料的存取權：
- 監控：包括查看資料夾的Assured Workloads 監控資訊權限。包括任何未解決或已解決的法規遵循違規事項，以及您針對這些違規事項授予的任何例外狀況。
- 資料存取透明化控管機制與緊急存取記錄：包括查看資料夾資料存取透明化控管機制記錄和緊急存取記錄的權限。
- 資料存取透明化控管機制支援案件詳細資料：包括在資料夾的資料存取透明化控管機制記錄中，將其他支援案件詳細資料做為存取原因的權限。您必須擁有資料存取透明化控管機制和緊急存取記錄的權限，這項權限才會生效。
- 存取權核准資訊：包括查看資料夾存取權核准記錄的權限。
如要進一步瞭解如何授予或撤銷這些權限，請參閱「合作夥伴權限」一節。
選取完畢後，按一下「下一步」。
在「查看並建立資料夾」步驟中，查看新的 Sovereign Controls by Partners 資料夾詳細資料，確保資料正確無誤。然後按一下「建立資料夾」。

完成這些步驟後，由合作夥伴管理的主權控管機制會建立下列資源：

合作夥伴提供的主權控管機制資料夾，可對支援的產品 Google Cloud 強制執行安全控管，確保符合合作夥伴產品的規定。這些控管措施包括設定機構政策，限制資源用量，只允許使用支援的產品，並只允許在允許的位置建立或使用資源。
包含已設定 CMEK 金鑰環的 CMEK 專案。
注意：建立資料夾時，系統不會自動為您建立金鑰。建立資料夾後，您必須先建立加密金鑰，才能新增資源。

合作夥伴權限

如果您選擇授予合作夥伴Assured Workloads 監控和存取記錄資料的存取權，隨時可以撤銷這項存取權。如要授予或撤銷所有類型資料的存取權，請完成下列步驟：

前往 Google Cloud 控制台的「Assured Workloads」頁面。

前往 Assured Workloads
按一下「合作夥伴主權控制項」資料夾的名稱，即可查看資料夾詳細資料。
在「Assured Workloads Folder Details」(Assured Workloads 資料夾詳細資料) 頁面中，按一下「Partner permissions」(合作夥伴權限) 資訊部分中的「Configure Partner Permissions」(設定合作夥伴權限) 按鈕。
在「設定合作夥伴權限」面板中，選取核取方塊，授予或撤銷每種資料類型的權限，然後按一下「儲存」。

系統會根據您的選擇，授予或撤銷合作夥伴對這項資料的存取權。

監控

如要讓合作夥伴存取資料夾的 Assured Workloads 監控資料，請將 Identity and Access Management (IAM) 角色授予 Cloud Controls 合作夥伴服務代理。與所有服務代理一樣，Cloud Controls Partner 服務代理會代表 Sovereign Controls by Partners 採取行動。這項 ID 會顯示在合作夥伴資料夾的 IAM 政策中，並採用下列電子郵件格式，其中 FOLDER_ID 是該資料夾的 ID：

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

服務代理會在您的資料夾中獲派「Cloud Controls Partner Monitoring Service Agent」(roles/cloudcontrolspartner.monitoringServiceAgent) IAM 角色。如要進一步瞭解這個角色和相關權限，請參閱 IAM 參考資料。

後續步驟

瞭解如何設定合作夥伴代管的 KMS