Batas Data Prancis oleh S3NS

Halaman ini menjelaskan serangkaian kontrol yang diterapkan pada folder France Data Boundary oleh S3NS di Sovereign Controls by Partners. Dokumen ini memberikan informasi mendetail tentang produk yang didukung dan endpoint API-nya, serta batasan atau batasan yang berlaku pada produk tersebut. Google Cloud

Untuk mengetahui informasi selengkapnya tentang penawaran ini, lihat situs S3NS.

Produk dan endpoint API yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua produk yang didukung melalui konsol Google Cloud . Pembatasan atau batasan yang memengaruhi fitur produk yang didukung, termasuk yang diterapkan melalui setelan batasan kebijakan organisasi, tercantum dalam tabel berikut.

Jika produk tidak tercantum, produk tersebut tidak didukung dan belum memenuhi persyaratan kontrol untuk Batas Data Prancis oleh S3NS. Produk yang tidak didukung tidak direkomendasikan untuk digunakan tanpa uji tuntas dan pemahaman menyeluruh tentang tanggung jawab Anda dalam model tanggung jawab bersama. Sebelum menggunakan produk yang tidak didukung, pastikan Anda mengetahui dan bersedia menerima risiko terkait yang mungkin timbul, seperti dampak negatif terhadap residensi data atau kedaulatan data.

Produk yang didukung	endpoint API	Batasan atau pembatasan
Access Context Manager	`accesscontextmanager.googleapis.com`	Tidak ada
Transparansi Akses	`accessapproval.googleapis.com`	Tidak ada
Artifact Registry	`artifactregistry.googleapis.com`	Tidak ada
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Fitur yang terpengaruh
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Fitur yang terpengaruh
Certificate Authority Service	`privateca.googleapis.com`	Tidak ada
Cloud Composer	`composer.googleapis.com`	Tidak ada
Compute Engine	`compute.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Connect	`gkeconnect.googleapis.com` `connectgateway.googleapis.com`	Tidak ada
Sensitive Data Protection	`dlp.googleapis.com`	Tidak ada
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Tidak ada
Dataplex Universal Catalog	`dataplex.googleapis.com` `datalineage.googleapis.com`	Fitur yang terpengaruh
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Fitur yang terpengaruh
Cloud DNS	`dns.googleapis.com`	Tidak ada
Filestore	`file.googleapis.com`	Tidak ada
GKE Identity Service	`anthosidentityservice.googleapis.com`	Tidak ada
GKE Hub	`gkehub.googleapis.com`	Tidak ada
Google Cloud Armor	`compute.googleapis.com`	Fitur yang terpengaruh
Identity and Access Management (IAM)	`iam.googleapis.com`	Tidak ada
Identity-Aware Proxy	`iap.googleapis.com`	Tidak ada
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Batasan kebijakan organisasi.
Cloud HSM	`cloudkms.googleapis.com`	Tidak ada
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Tidak ada
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Cloud Load Balancing	`compute.googleapis.com`	Fitur yang terpengaruh
Cloud Logging	`logging.googleapis.com`	Fitur yang terpengaruh
Cloud Monitoring	`monitoring.googleapis.com`	Fitur yang terpengaruh
Memorystore for Redis	`redis.googleapis.com`	Tidak ada
Network Connectivity Center	`networkconnectivity.googleapis.com`	Tidak ada
Cloud NAT	`networkconnectivity.googleapis.com`	Tidak ada
Cloud Router	`networkconnectivity.googleapis.com`	Tidak ada
Cloud Service Mesh	`mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.google.com`	Tidak ada
Cloud Interconnect	`networkconnectivity.googleapis.com`	Fitur yang terpengaruh
Organization Policy Service	`orgpolicy.googleapis.com`	Tidak ada
Persistent Disk	`compute.googleapis.com`	Tidak ada
Pub/Sub	`pubsub.googleapis.com`	Tidak ada
Resource Manager	`cloudresourcemanager.googleapis.com`	Tidak ada
Cloud Run	`run.googleapis.com`	Fitur yang terpengaruh
Secret Manager	`secretmanager.googleapis.com`	Tidak ada
Direktori Layanan	`servicedirectory.googleapis.com`	Tidak ada
Spanner	`spanner.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Speech-to-Text	`speech.googleapis.com`	Tidak ada
Cloud SQL	`sqladmin.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Cloud Storage	`storage.googleapis.com`	Batasan kebijakan organisasi.
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Tidak ada
Kontrol Layanan VPC	`accesscontextmanager.googleapis.com`	Tidak ada
Cloud VPN	`compute.googleapis.com`	Tidak ada
Pencadangan untuk GKE	`gkebackup.googleapis.com`	Tidak ada
Cloud Build	`cloudbuild.googleapis.com`	Fitur yang terpengaruh
Cloud Workstations	`workstations.googleapis.com`	Tidak ada
Aturan Keamanan Firebase	`firebaserules.googleapis.com`	Tidak ada
Firestore	`firestore.googleapis.com`	Tidak ada
Secure Source Manager	`securesourcemanager.googleapis.com`	Tidak ada

Batas dan pembatasan

Bagian berikut menjelaskan batasan atau pembatasan di seluruh cloud atau khusus produk untuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default di folder S3NS Batas Data Prancis.

Google Cloud-lebar

Batasan kebijakan organisasi di seluruhGoogle Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh Google Cloud.

Batasan kebijakan organisasi	Deskripsi
`gcp.resourceLocations`	Setel ke lokasi berikut dalam daftar `allowedValues`: `europe-west1` `europe-west4` `europe-west9` Nilai ini membatasi pembuatan resource baru ke nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Lihat Layanan yang didukung lokasi resource untuk mengetahui daftar resource yang dapat dibatasi oleh batasan kebijakan organisasi Lokasi Resource, karena beberapa resource mungkin di luar cakupan dan tidak dapat dibatasi. Mengubah nilai ini dengan membuatnya kurang ketat berpotensi merusak residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data yang sesuai.
`gcp.restrictCmekCryptoKeyProjects`	Disetel ke `under:organizations/your-organization-name`, yang merupakan organisasi Sovereign Controls by Partners Anda. Anda dapat membatasi lebih lanjut nilai ini dengan menentukan project atau folder. Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci Cloud KMS untuk mengenkripsi data saat istirahat menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data saat istirahat layanan dalam cakupan.
`gcp.restrictNonCmekServices`	Disetel ke daftar semua nama layanan API dalam cakupan, termasuk: `aiplatform.googleapis.com` `artifactregistry.googleapis.com` `bigquery.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigtable.googleapis.com` `cloudfunctions.googleapis.com` `composer.googleapis.com` `compute.googleapis.com` `container.googleapis.com` `dataflow.googleapis.com` `dataproc.googleapis.com` `documentai.googleapis.com` `integrations.googleapis.com` `logging.googleapis.com` `notebooks.googleapis.com` `pubsub.googleapis.com` `run.googleapis.com` `secretmanager.googleapis.com` `spanner.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` `workstations.googleapis.com` Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK mengenkripsi data saat istirahat dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan dalam cakupan dari daftar dapat merusak kedaulatan data, karena data baru saat istirahat akan dienkripsi secara otomatis menggunakan kunci milik Google, bukan milik Anda. Data istirahat yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
`gcp.restrictServiceUsage`	Disetel untuk mengizinkan semua produk dan endpoint API yang didukung. Menentukan layanan mana yang dapat digunakan dengan membatasi akses runtime ke resource-nya. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource.
`gcp.restrictTLSVersion`	Disetel untuk menolak versi TLS berikut: `TLS_1_0` `TLS_1_1` Untuk mengetahui informasi selengkapnya, lihat Membatasi versi TLS.

BigQuery

Fitur BigQuery yang terpengaruh

Fitur	Deskripsi
Mengaktifkan BigQuery di folder baru	BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Assured Workloads baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dapat memakan waktu lebih lama dalam beberapa keadaan. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut: Di konsol Google Cloud , buka halaman Assured Workloads. Buka Assured Workloads Pilih folder Assured Workloads baru Anda dari daftar. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates. Di panel Allowed services, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Pembatasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya. Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care. Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Assured Workloads Anda. Gemini di BigQuery tidak didukung oleh Assured Workloads.
Fitur yang tidak didukung	Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di BigQuery CLI. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Sovereign Controls by Partners. Interaksi dengan sumber data jarak jauh Model BQML yang dilatih secara eksternal tidak didukung. Model BQML yang dilatih secara internal didukung. Penyamaran data dinamis Ekspor GDrive Fungsi jarak jauh Kueri tersimpan Penjadwalan alur kerja Untuk BigQuery Studio, notebook tidak didukung. Gemini di BigQuery tidak didukung.
Integrasi yang tidak didukung	Integrasi BigQuery berikut tidak didukung. Anda bertanggung jawab untuk tidak menggunakannya dengan BigQuery untuk Kontrol Berdaulat oleh Partner. Metode API `CreateTag`, `SearchCatalog`, `Bulk tagging`, dan `Business Glossary` dari Data Catalog API memproses dan menyimpan data teknis dengan cara yang tidak didukung. Anda bertanggung jawab untuk tidak menggunakan metode tersebut untuk Sovereign Controls oleh Partner.
BigQuery API yang didukung	BigQuery API berikut didukung: Set data Pekerjaan Model Projects Pemesanan Rutinitas Kebijakan Akses Baris Storage Read Storage Write Tables Data Tabel Reservations API tidak diaktifkan secara default. Anda dapat mengaktifkan API menggunakan petunjuk di Mengaktifkan API di project Google Cloud Anda.
Region	BigQuery didukung untuk semua region Uni Eropa BigQuery, kecuali multi-region Uni Eropa. Kepatuhan tidak dapat dijamin jika set data dibuat di multi-region Uni Eropa, region non-Uni Eropa, atau multi-region non-Uni Eropa. Anda bertanggung jawab untuk menentukan region yang mematuhi kebijakan saat membuat set data BigQuery. Jika permintaan daftar data tabel dikirim menggunakan satu region Uni Eropa, tetapi set data dibuat di region Uni Eropa lain, BigQuery tidak dapat menyimpulkan region yang Anda maksud dan operasi akan gagal dengan pesan error "set data tidak ditemukan".
CLI BigQuery	BigQuery CLI didukung.
Google Cloud SDK	Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data bagi data teknis. Untuk memverifikasi versi Google Cloud SDK Anda saat ini, jalankan `gcloud --version`, lalu `gcloud components update` untuk mengupdate ke versi terbaru.
Kontrol administrator	BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Kontrol Berdaulat oleh Partner dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data	Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk beban kerja S3NS France Data Boundary.
Transfer pihak ketiga	BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga bagi BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service.
Model BQML yang tidak sesuai	Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri	Tugas kueri hanya boleh dibuat dalam folder Sovereign Controls oleh Partners.
Kueri pada set data di project lain	BigQuery tidak mencegah set data Kontrol Berdaulat oleh Partner dikueri dari project non-Kontrol Berdaulat oleh Partner. Anda harus memastikan bahwa setiap kueri yang memiliki operasi baca atau gabung pada data Sovereign Controls oleh Partners ditempatkan di folder Sovereign Controls oleh Partners. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kuerinya menggunakan `projectname.dataset.table` di BigQuery CLI.
Cloud Logging	BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging `_default` atau membatasi bucket `_default` ke wilayah yang tercakup untuk mempertahankan kepatuhan menggunakan perintah berikut: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Untuk mengetahui informasi selengkapnya, lihat Membuat log Anda menjadi regional.

Bigtable

Fitur Bigtable yang terpengaruh

Fitur	Deskripsi
Data Boost	Fitur ini dinonaktifkan.
Membagi batas	Bigtable menggunakan subset kecil kunci baris untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Bigtable menunjukkan lokasi tempat rentang baris yang berdekatan dalam tabel dibagi menjadi tablet. Batas pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan penelusuran masalah, dan tidak tunduk pada kontrol data akses administratif di Kontrol Berdaulat oleh Partner.

Fitur

Deskripsi

Data Boost

Fitur ini dinonaktifkan.

Membagi batas

Bigtable menggunakan subset kecil kunci baris untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Bigtable menunjukkan lokasi tempat rentang baris yang berdekatan dalam tabel dibagi menjadi tablet.

Batas pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan penelusuran masalah, dan tidak tunduk pada kontrol data akses administratif di Kontrol Berdaulat oleh Partner.

Cloud Build

Fitur Cloud Build yang terpengaruh

Fitur	Deskripsi
Membuat provenance build	Fitur ini tidak didukung dan tidak boleh digunakan dengan Batas Data Prancis oleh S3NS. Build yang dikonfigurasi dengan `options.requestedVerifyOption: VERIFIED` dapat gagal karena dependensi yang tidak didukung. Untuk mencegah kegagalan build, hapus opsi ini dari konfigurasi Cloud Build Anda.

Cloud Interconnect

Fitur Cloud Interconnect yang terpengaruh

Fitur	Deskripsi
VPN ketersediaan tinggi (HA)	Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian Fitur Cloud VPN yang terpengaruh.

Cloud KMS

Batasan kebijakan organisasi Cloud KMS

Batasan kebijakan organisasi	Deskripsi
`cloudkms.allowedProtectionLevels`	Disetel untuk mengizinkan pembuatan CryptoKey Cloud Key Management Service dengan tingkat perlindungan berikut: `EXTERNAL` `EXTERNAL_VPC` Lihat Tingkat perlindungan untuk mengetahui informasi selengkapnya.

Cloud Load Balancing

Fitur Cloud Load Balancing yang terpengaruh

Fitur	Deskripsi
KonsolGoogle Cloud	Fitur Cloud Load Balancing tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.
Load balancer regional	Anda hanya boleh menggunakan load balancer regional dengan France Data Boundary oleh S3NS. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi load balancer regional, lihat halaman berikut: Load Balancer Aplikasi internal Load Balancer Aplikasi eksternal regional Load Balancer Jaringan passthrough internal Load Balancer Jaringan passthrough eksternal

Cloud Logging

Fitur Cloud Logging yang terpengaruh

Fitur	Deskripsi
Sink log	Filter tidak boleh berisi Data Pelanggan. Sink log mencakup filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Mengikuti entri log secara langsung	Filter tidak boleh berisi Data Pelanggan. Sesi tailing langsung mencakup filter yang disimpan sebagai konfigurasi. Mengikuti log tidak menyimpan data entri log apa pun, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.
Pemberitahuan berbasis log	Fitur ini dinonaktifkan. Anda tidak dapat membuat pemberitahuan berbasis log di konsol Google Cloud .
URL yang dipersingkat untuk kueri Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat membuat URL kueri yang dipendek di konsol Google Cloud .
Menyimpan kueri di Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat menyimpan kueri apa pun di konsol Google Cloud .
Log Analytics menggunakan BigQuery	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur Log Analytics.
Kebijakan pemberitahuan berbasis SQL	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur kebijakan pemberitahuan berbasis SQL.

Cloud Monitoring

Fitur Cloud Monitoring yang terpengaruh

Fitur	Deskripsi
Monitor Sintetis	Fitur ini dinonaktifkan.
Cek uptime	Fitur ini dinonaktifkan.
Widget panel log di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di `EventAnnotation` untuk Dasbor	Fitur ini dinonaktifkan. Filter `EventAnnotation` tidak dapat ditetapkan di dasbor.
`SqlCondition` di `alertPolicies`	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan `SqlCondition` ke `alertPolicy`.

Cloud Run

Fitur Cloud Run yang terpengaruh

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur Cloud Run berikut tidak didukung: Integrasi Cloud Trace Cloud Run Functions Pemicu Eventarc

Cloud SQL

Fitur Cloud SQL yang terpengaruh

Fitur	Deskripsi
Insight kueri	Saat men-deploy instance Cloud SQL, Query Insight hanya dapat digunakan jika tag aplikasi tidak diaktifkan. Jika tag aplikasi diaktifkan, Anda akan menerima pesan error saat mencoba menggunakan Insight kueri.

Batasan kebijakan organisasi Cloud SQL

Batasan kebijakan organisasi	Deskripsi
`sql.restrictNoncompliantDiagnosticDataAccess`	Tetapkan ke True. Menerapkan kontrol kedaulatan dan dukungan data tambahan ke resource Cloud SQL. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`sql.restrictNoncompliantResourceCreation`	Tetapkan ke True. Menerapkan kontrol kedaulatan data tambahan untuk mencegah pembuatan resource Cloud SQL yang tidak mematuhi kebijakan. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Cloud Storage

Fitur Cloud Storage yang terpengaruh

Fitur	Deskripsi
KonsolGoogle Cloud	Untuk mempertahankan kepatuhan terhadap ITAR, Anda bertanggung jawab untuk menggunakan konsol Yurisdiksi Google Cloud . Konsol Jurisdiksi mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Endpoint API yang sesuai di bagian ini.
Endpoint API yang sesuai	Anda harus menggunakan salah satu endpoint regional yang mematuhi ITAR dengan Cloud Storage. Lihat Endpoint regional Cloud Storage dan Lokasi Cloud Storage untuk mengetahui informasi selengkapnya.
Pembatasan	Anda harus menggunakan endpoint regional Cloud Storage agar mematuhi ITAR. Untuk mengetahui informasi selengkapnya tentang endpoint regional Cloud Storage untuk ITAR, lihat Endpoint regional Cloud Storage. Operasi berikut tidak didukung oleh endpoint regional. Namun, operasi ini tidak membawa Data Pelanggan sebagaimana didefinisikan dalam persyaratan layanan residensi data. Oleh karena itu, Anda dapat menggunakan endpoint global untuk operasi ini sesuai kebutuhan tanpa melanggar kepatuhan ITAR: Operasi kunci HMAC Operasi akun layanan IAM Notifikasi Pub/Sub Notifikasi perubahan objek Jika pengguna mencoba melakukan operasi yang tidak didukung menggunakan endpoint regional, Cloud Storage akan menampilkan kode error HTTP 400 dengan pesan error: `This endpoint does not implement this operation. Please use the global endpoint.`
Menyalin dan menulis ulang untuk objek	Operasi penyalinan dan penulisan ulang untuk objek didukung oleh endpoint regional jika bucket sumber dan tujuan berada di region yang ditentukan di endpoint. Namun, Anda tidak dapat menggunakan endpoint regional untuk menyalin atau menulis ulang objek dari satu bucket ke bucket lain jika bucket ada di lokasi yang berbeda. Titik akhir global dapat digunakan untuk menyalin atau menulis ulang di berbagai lokasi, tetapi kami tidak merekomendasikannya karena dapat melanggar kepatuhan ITAR.

Batasan kebijakan organisasi Cloud Storage

Batasan kebijakan organisasi Deskripsi

Batasan kebijakan organisasi	Deskripsi
`storage.restrictAuthTypes`	Disetel untuk mencegah autentikasi menggunakan hash-based message authentication code (HMAC). Jenis berikut ditentukan dalam nilai batasan ini: `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` Secara default, kunci HMAC dicegah untuk mengautentikasi ke resource Cloud Storage untuk workload France Data Boundary by S3NS. Kunci HMAC memengaruhi kedaulatan data karena dapat digunakan untuk mengakses data pelanggan tanpa sepengetahuan pelanggan. Lihat Kunci HMAC di dokumen Cloud Storage. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.
`storage.uniformBucketLevelAccess`	Tetapkan ke True. Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin mendetail untuk bucket dan isinya. Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak akan pernah dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen ke menggunakan kebijakan IAM, bukan ACL Cloud Storage.

storage.restrictAuthTypes

Disetel untuk mencegah autentikasi menggunakan hash-based message authentication code (HMAC). Jenis berikut ditentukan dalam nilai batasan ini:

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

Secara default, kunci HMAC dicegah untuk mengautentikasi ke resource Cloud Storage untuk workload France Data Boundary by S3NS. Kunci HMAC memengaruhi kedaulatan data karena dapat digunakan untuk mengakses data pelanggan tanpa sepengetahuan pelanggan. Lihat Kunci HMAC di dokumen Cloud Storage.

Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.

storage.uniformBucketLevelAccess Tetapkan ke True.

Akses ke bucket baru dikelola menggunakan kebijakan IAM, bukan Daftar kontrol akses (ACL) Cloud Storage. Batasan ini memberikan izin mendetail untuk bucket dan isinya.

Jika bucket dibuat saat batasan ini diaktifkan, akses ke bucket tersebut tidak akan pernah dapat dikelola menggunakan ACL. Dengan kata lain, metode kontrol akses untuk bucket ditetapkan secara permanen ke menggunakan kebijakan IAM, bukan ACL Cloud Storage.

Compute Engine

Fitur Compute Engine yang terpengaruh

Fitur	Deskripsi
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data jika fitur ini diaktifkan.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena SSD tersebut tidak dapat dienkripsi dengan menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data jika fitur ini diaktifkan.
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan tidak dapat dienkripsi menggunakan CMEK. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `gcp.restrictNonCmekServices`.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena SSD tersebut tidak dapat dienkripsi menggunakan CMEK. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `gcp.restrictNonCmekServices`.
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data yang tidak dienkripsi saat istirahat dan saat digunakan. Bergantung pada konfigurasi VM Anda, update software ini mungkin diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi `compute.trustedImageProjects`. Untuk mengetahui informasi selengkapnya, lihat Membangun image kustom.
Kebijakan OS di VM Manager	Skrip inline dan file output biner dalam file kebijakan OS tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Jangan sertakan informasi sensitif apa pun dalam file ini. Sebaiknya simpan skrip dan file output ini di bucket Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Contoh kebijakan OS. Jika Anda ingin membatasi pembuatan atau modifikasi resource kebijakan OS yang menggunakan skrip inline atau file output biner, aktifkan batasan kebijakan organisasi `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Untuk mengetahui informasi selengkapnya, lihat Batasan untuk Konfigurasi OS.
`instances.getSerialPortOutput()`	API ini dinonaktifkan. Anda tidak akan dapat memperoleh output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.
`instances.getScreenshot()`	API ini dinonaktifkan. Anda tidak akan dapat mengambil screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
`compute.enableComplianceMemoryProtection`	Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kesalahan infrastruktur. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`compute.disableGlobalCloudArmorPolicy`	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru dan penambahan atau modifikasi aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan daftar kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum pemberlakuan batasan ini tetap berlaku.
`compute.disableInstanceDataAccessApis`	Tetapkan ke True. Menonaktifkan `instances.getSerialPortOutput()` dan `instances.getScreenshot()` API secara global. Mengaktifkan batasan ini akan mencegah Anda membuat kredensial di VM Windows Server. Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan tindakan berikut: Aktifkan SSH untuk VM Windows. Jalankan perintah berikut untuk mengubah sandi VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Ganti kode berikut: `VM_NAME`: Nama VM yang sandinya sedang Anda tetapkan. `USERNAME`: Nama pengguna pengguna yang sandinya Anda tetapkan. `PASSWORD`: Sandi baru.
`compute.disableSshInBrowser`	Tetapkan ke True. Menonaktifkan alat SSH di browser di konsol Google Cloud untuk VM yang menggunakan Login OS dan VM lingkungan fleksibel App Engine. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
`compute.restrictNonConfidentialComputing`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Untuk informasi selengkapnya, lihat dokumentasi Confidential VM.
`compute.trustedImageProjects`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Menetapkan nilai ini akan membatasi penyimpanan image dan instansiasi disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Dataplex Universal Catalog

Fitur Dataplex Universal Catalog

Fitur	Deskripsi
Attribute Store	Fitur ini tidak digunakan lagi dan dinonaktifkan.
Data Catalog	Fitur ini tidak digunakan lagi dan dinonaktifkan. Anda tidak dapat menelusuri atau mengelola metadata di Data Catalog.
Danau dan Zona	Fitur ini dinonaktifkan. Anda tidak dapat mengelola danau, zona, dan tugas.

Dataproc

Fitur Dataproc yang terpengaruh

Fitur	Deskripsi
KonsolGoogle Cloud	Saat ini, Dataproc tidak mendukung Jurisdictional Google Cloud console. Untuk menerapkan residensi data, pastikan Anda menggunakan Google Cloud CLI atau API saat menggunakan Dataproc.

Google Cloud Armor

Fitur Google Cloud Armor yang terpengaruh

Fitur	Deskripsi
Kebijakan keamanan dengan cakupan global	Fitur ini dinonaktifkan oleh batasan kebijakan organisasi.`compute.disableGlobalCloudArmorPolicy`

Google Kubernetes Engine

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan kebijakan organisasi	Deskripsi
`container.restrictNoncompliantDiagnosticDataAccess`	Tetapkan ke True. Menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol berdaulat atas workload. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Spanner

Fitur Spanner yang terpengaruh

Fitur	Deskripsi
Membagi batas	Spanner menggunakan subset kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil. Batas pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan penelusuran masalah, dan tidak tunduk pada kontrol data akses administratif di Kontrol Berdaulat oleh Partner.