이 페이지에서는 파트너용 주권 요구사항 제어의 PSN 폴더에서 이탈리아 데이터 경계에 적용되는 컨트롤 집합을 설명합니다. 지원되는 Google Cloud 제품과 해당 API 엔드포인트, 해당 제품에 적용되는 제한사항 또는 제한에 관한 자세한 정보를 제공합니다.
이 제품에 대한 자세한 내용은 PSN 사이트 PSN의 이탈리아 데이터 경계를 참고하세요.
지원되는 제품 및 API 엔드포인트
달리 명시되지 않는 한 사용자는 Google Cloud 콘솔을 통해 지원되는 모든 제품에 액세스할 수 있습니다. 조직 정책 제약 조건 설정을 통해 적용되는 제한사항을 비롯하여 지원되는 제품의 기능에 영향을 미치는 제한사항은 다음 표에 나열되어 있습니다.
제품이 나열되지 않은 경우 해당 제품은 지원되지 않으며 PSN의 이탈리아 데이터 경계에 대한 제어 요구사항을 충족하지 않은 것입니다. 지원되지 않는 제품은 실사 및 공유 책임 모델에 따른 책임에 대한 철저한 이해 없이 사용하지 않는 것이 좋습니다. 지원되지 않는 제품을 사용하기 전에 데이터 상주 또는 데이터 주권에 미치는 부정적인 영향과 같은 관련 위험을 알고 있으며 이를 수용할 의향이 있는지 확인하세요.
| 지원되는 제품 | API 엔드포인트 | 제한 또는 한도 |
|---|---|---|
| Access Context Manager |
accesscontextmanager.googleapis.com |
없음 |
| 액세스 투명성 |
accessapproval.googleapis.com |
없음 |
| Artifact Registry |
artifactregistry.googleapis.com |
없음 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
영향을 받는 기능 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
영향을 받는 기능 |
| Certificate Authority Service |
privateca.googleapis.com |
없음 |
| Cloud Composer |
composer.googleapis.com |
없음 |
| Compute Engine |
compute.googleapis.com |
영향을 받는 기능 및 조직 정책 제약조건 |
| Connect |
gkeconnect.googleapis.comconnectgateway.googleapis.com |
없음 |
| Sensitive Data Protection |
dlp.googleapis.com |
없음 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
없음 |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
영향을 받는 기능 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
영향을 받는 기능 |
| Cloud DNS |
dns.googleapis.com |
없음 |
| Filestore |
file.googleapis.com |
없음 |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
없음 |
| GKE 허브 |
gkehub.googleapis.com |
없음 |
| Google Cloud Armor |
compute.googleapis.com |
영향을 받는 기능 |
| Identity and Access Management(IAM) |
iam.googleapis.com |
없음 |
| IAP(Identity-Aware Proxy) |
iap.googleapis.com |
없음 |
| Cloud Key Management Service(Cloud KMS) |
cloudkms.googleapis.com |
조직 정책 제약조건 |
| Cloud HSM |
cloudkms.googleapis.com |
없음 |
| Cloud 외부 키 관리자(Cloud EKM) |
cloudkms.googleapis.com |
없음 |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
영향을 받는 기능 및 조직 정책 제약조건 |
| Cloud Load Balancing |
compute.googleapis.com |
영향을 받는 기능 |
| Cloud Logging |
logging.googleapis.com |
영향을 받는 기능 |
| Cloud Monitoring |
monitoring.googleapis.com |
영향을 받는 기능 |
| Memorystore for Redis |
redis.googleapis.com |
없음 |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
없음 |
| Cloud NAT |
networkconnectivity.googleapis.com |
없음 |
| Cloud Router |
networkconnectivity.googleapis.com |
없음 |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
영향을 받는 기능 |
| 조직 정책 서비스 |
orgpolicy.googleapis.com |
없음 |
| Persistent Disk |
compute.googleapis.com |
없음 |
| Pub/Sub |
pubsub.googleapis.com |
없음 |
| Resource Manager |
cloudresourcemanager.googleapis.com |
없음 |
| Cloud Run |
run.googleapis.com |
영향을 받는 기능 |
| Cloud Service Mesh |
mesh.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.google.com |
없음 |
| Secret Manager |
secretmanager.googleapis.com |
없음 |
| 서비스 디렉터리 |
servicedirectory.googleapis.com |
없음 |
| Spanner |
spanner.googleapis.com |
영향을 받는 기능 및 조직 정책 제약조건 |
| Speech-to-Text |
speech.googleapis.com |
없음 |
| Cloud SQL |
sqladmin.googleapis.com |
영향을 받는 기능 및 조직 정책 제약조건 |
| Cloud Storage |
storage.googleapis.com |
조직 정책 제약조건 |
| Virtual Private Cloud(VPC) |
compute.googleapis.com |
없음 |
| VPC 서비스 제어 |
accesscontextmanager.googleapis.com |
없음 |
| Cloud VPN |
compute.googleapis.com |
없음 |
| Backup for GKE |
gkebackup.googleapis.com |
없음 |
| Cloud Build |
cloudbuild.googleapis.com |
영향을 받는 기능 |
| Cloud Workstations |
workstations.googleapis.com |
없음 |
| Firebase 보안 규칙 |
firebaserules.googleapis.com |
없음 |
| Firestore |
firestore.googleapis.com |
없음 |
| Secure Source Manager |
securesourcemanager.googleapis.com |
없음 |
제한 및 한도
다음 섹션에서는 PSN 폴더별 이탈리아 데이터 경계에 기본적으로 설정된 모든 조직 정책 제약 조건을 포함하여 클라우드 전체 또는 제품별 기능 제한 또는 한도에 대해 설명합니다.
Google Cloud너비
Google Cloud전체 조직 정책 제약 조건
다음 조직 정책 제약 조건은 Google Cloud에 적용됩니다.
| 조직 정책 제약조건 | 설명 |
|---|---|
gcp.resourceLocations |
allowedValues 목록의 다음 위치로 설정합니다.
이 값을 덜 제한적인 값으로 변경하면 데이터가 규정을 준수하는 데이터 경계 외부에서 생성되거나 저장될 수 있으므로 데이터 상주를 훼손할 수 있습니다. |
gcp.restrictCmekCryptoKeyProjects |
파트너용 주권 요구사항 제어 조직인 under:organizations/your-organization-name로 설정합니다. 프로젝트 또는 폴더를 지정하여 이 값을 추가로 제한할 수 있습니다.CMEK를 사용하여 저장 데이터를 암호화하기 위해 Cloud KMS 키를 제공할 수 있는 승인된 폴더 또는 프로젝트의 범위를 제한합니다. 이 제약조건은 승인되지 않은 폴더 또는 프로젝트가 암호화 키를 제공하지 못하게 하여 범위 내 서비스의 저장 데이터에 대한 데이터 주권을 보장하는 데 도움이 됩니다. |
gcp.restrictNonCmekServices |
다음을 포함한 모든 범위 내 API 서비스 이름 목록으로 설정합니다.
나열된 각 서비스에는 고객 관리 암호화 키 (CMEK)가 필요합니다. CMEK는 Google의 기본 암호화 메커니즘이 아닌 사용자가 관리하는 키로 저장 데이터를 암호화합니다. 목록에서 범위 내 서비스를 하나 이상 제거하여 이 값을 변경하면 새로운 저장 데이터가 사용자의 키 대신 Google의 자체 키를 사용하여 자동으로 암호화되므로 데이터 주권이 훼손될 수 있습니다. 기존 저장 데이터는 제공한 키를 통해 암호화 상태로 유지됩니다. |
gcp.restrictServiceUsage |
모든 지원되는 제품 및 API 엔드포인트를 허용하도록 설정합니다. 런타임 액세스를 리소스로 제한하여 사용할 수 있는 서비스를 결정합니다. 자세한 내용은 리소스 사용량 제한을 참고하세요. |
gcp.restrictTLSVersion |
다음 TLS 버전을 거부하도록 설정합니다.
|
BigQuery
영향을 받는 BigQuery 기능
| 기능 | 설명 |
|---|---|
| 새 폴더에서 BigQuery 사용 설정 | BigQuery가 지원되지만 내부 구성 프로세스로 인해 새 Assured Workloads 폴더를 만들 때 자동으로 사용 설정되지 않습니다. 일반적으로 이 프로세스는 10분 내에 완료되지만 상황에 따 더 오래 걸릴 수 있습니다. 프로세스가 완료되었는지 확인하고 BigQuery를 사용 설정하려면 다음 단계를 완료하세요.
사용 설정 프로세스가 완료되면 Assured Workloads 폴더에서 BigQuery를 사용할 수 있습니다. BigQuery의 Gemini는 Assured Workloads에서 지원되지 않습니다. |
| 지원되지 않는 기능 | 다음 BigQuery 기능은 지원되지 않으며 BigQuery CLI에서 사용되지 않습니다. 파트너의 주권 제어의 경우 BigQuery에서 해당 기능을 사용하지 않아야 합니다.
|
| 지원되지 않는 통합 | 다음 BigQuery 통합은 지원되지 않습니다. 파트너의 주권 제어에 BigQuery를 사용하지 않는 것은 사용자의 책임입니다.
|
| 지원되는 BigQuery API | 다음 BigQuery API가 지원됩니다. |
| 리전 | BigQuery는 EU 멀티 리전을 제외한 모든 BigQuery EU 리전에서 지원됩니다. 데이터 세트를 EU 멀티 리전, EU 외 리전 또는 EU 외 멀티 리전에 만든 경우에는 규정 준수를 보장할 수 없습니다. BigQuery 데이터 세트를 만들 때는 규정을 준수하는 리전을 지정해야 합니다. 하나의 EU 리전을 사용하여 테이블 데이터 목록 요청이 전송되었지만 데이터 세트가 다른 EU 리전에서 생성된 경우 BigQuery는 의도한 리전을 추론할 수 없으며 '데이터 세트를 찾을 수 없음' 오류 메시지가 표시되면서 작업이 실패합니다. |
| BigQuery CLI | BigQuery CLI가 지원됩니다.
|
| Google Cloud SDK | 기술 데이터에 대한 데이터 리전화 보장을 유지하려면 Google Cloud SDK 버전 403.0.0 이상을 사용해야 합니다. 현재 Google Cloud SDK 버전을 확인하려면 gcloud --version을 실행한 다음 gcloud components update을 실행하여 최신 버전으로 업데이트합니다.
|
| 관리자 제어 기능 | BigQuery는 지원되지 않는 API를 사용 중지하지만 파트너용 주권 요구사항 제어 폴더를 만들 수 있는 충분한 권한이 있는 관리자는 지원되지 않는 API를 사용 설정할 수 있습니다. 이 경우 Assured Workloads 모니터링 대시보드를 통해 규정을 준수하지 않을 가능성이 있는 고객에게 알림이 전송됩니다. |
| 데이터 로드 | Google Software as a Service (SaaS) 앱, 외부 클라우드 스토리지 제공업체, 데이터 웨어하우스용 BigQuery Data Transfer Service 커넥터는 지원되지 않습니다. PSN 워크로드의 이탈리아 데이터 경계에는 BigQuery Data Transfer Service 커넥터를 사용하지 않아야 합니다. |
| 타사 전송 | BigQuery는 BigQuery Data Transfer Service의 서드 파티 전송 지원을 확인하지 않습니다. BigQuery Data Transfer Service의 타사 전송을 사용할 때는 지원되는지 확인해야 합니다. |
| 규정 미준수 BQML 모델 | 외부에서 학습된 BQML 모델은 지원되지 않습니다. |
| 쿼리 작업 | 쿼리 작업은 파트너별 주권 통제 폴더 내에서만 만들어야 합니다. |
| 다른 프로젝트의 데이터 세트 쿼리 | BigQuery는 파트너의 주권 요구사항 제어 데이터 세트가 파트너의 비주권 요구사항 제어 프로젝트에서 쿼리되지 않도록 방지하지 않습니다. 파트너별 주권 통제 데이터에 대한 읽기 또는 조인이 있는 모든 쿼리는 파트너별 주권 통제 폴더에 배치되어야 합니다. BigQuery CLI에서 projectname.dataset.table을 사용하여 쿼리 결과에 대한 정규화된 테이블 이름을 지정할 수 있습니다.
|
| Cloud Logging | BigQuery는 일부 로그 데이터에 대해 Cloud Logging을 활용합니다. _default 로깅 버킷을 사용 중지하거나 다음 명령어를 사용하여 _default 버킷을 범위 내 리전으로 제한하여 규정 준수를 유지해야 합니다.gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
자세한 내용은 로그 리전화를 참고하세요. |
Bigtable
영향을 받는 Bigtable 기능
| 기능 | 설명 |
|---|---|
| Data Boost | 이 기능은 사용 중지되었습니다. |
| 분할 경계 | Bigtable은 row key의 소규모 하위 집합을 사용하여 고객 데이터 및 메타데이터를 포함할 수 있는 분할 경계를 정의합니다. Bigtable의 분할 경계는 테이블에서 연속된 행 범위가 태블릿으로 분할되는 위치를 나타냅니다. 이러한 분할 경계는 기술 지원 및 디버깅 목적으로 Google 직원이 액세스할 수 있으며 파트너의 주권 제어에 있는 관리 액세스 데이터 제어가 적용되지 않습니다. |
Cloud Build
영향을 받는 Cloud Build 기능
| 기능 | 설명 |
|---|---|
| 빌드 출처 생성 | 이 기능은 지원되지 않으며 PSN의 이탈리아 데이터 경계와 함께 사용해서는 안 됩니다. options.requestedVerifyOption: VERIFIED로 구성된 빌드는 지원되지 않는 종속 항목으로 인해 실패할 수 있습니다. 빌드 실패를 방지하려면 Cloud Build 구성에서 이 옵션을 삭제하세요.
|
Cloud Interconnect
영향을 받는 Cloud Interconnect 기능
| 기능 | 설명 |
|---|---|
| 고가용성(HA) VPN | Cloud VPN에서 Cloud Interconnect를 사용할 때 고가용성 (HA) VPN 기능을 사용 설정해야 합니다. 또한 영향을 받는 Cloud VPN 기능 섹션에 나열된 암호화 및 리전화 요구사항을 준수해야 합니다. |
Cloud KMS
Cloud KMS 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
cloudkms.allowedProtectionLevels |
다음 보호 수준으로 Cloud Key Management Service CryptoKey 생성을 허용하도록 설정됩니다.
|
Cloud Load Balancing
영향을 받는 Cloud Load Balancing 기능
| 기능 | 설명 |
|---|---|
| Google Cloud 콘솔 | Google Cloud 콘솔에서는 Cloud Load Balancing 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다. |
| 리전별 부하 분산기 | PSN의 이탈리아 데이터 경계를 사용하는 리전 부하 분산기만 사용해야 합니다. 리전 부하 분산기 구성에 대한 자세한 내용은 다음 페이지를 참고하세요. |
Cloud Logging
영향을 받는 Cloud Logging 기능
| 기능 | 설명 |
|---|---|
| 로그 싱크 | 필터에는 고객 데이터가 포함되지 않아야 합니다. 로그 싱크에는 구성으로 저장되는 필터가 포함됩니다. 고객 데이터가 포함된 필터를 만들지 마세요. |
| 로그 항목 실시간 테일링 | 필터에는 고객 데이터가 포함되지 않아야 합니다. 실시간 테일링 세션에는 구성으로 저장된 필터가 포함됩니다. 테일링 로그는 로그 항목 데이터 자체를 저장하지는 않지만 리전 간에 데이터를 쿼리하고 전송할 수 있습니다. 고객 데이터가 포함된 필터를 만들지 마세요. |
| 로그 기반 알림 | 이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 로그 기반 알림을 만들 수 없습니다. |
| 로그 탐색기 쿼리의 단축된 URL | 이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 쿼리의 단축된 URL을 만들 수 없습니다. |
| 로그 탐색기에 쿼리 저장 | 이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 쿼리를 저장할 수 없습니다. |
| BigQuery를 사용한 로그 애널리틱스 | 이 기능은 사용 중지되었습니다. 로그 분석 기능을 사용할 수 없습니다. |
| SQL 기반 알림 정책 | 이 기능은 사용 중지되었습니다. SQL 기반 알림 정책 기능을 사용할 수 없습니다. |
Cloud Monitoring
영향을 받는 Cloud Monitoring 기능
| 기능 | 설명 |
|---|---|
| 합성 모니터 | 이 기능은 사용 중지되었습니다. |
| 업타임 체크 | 이 기능은 사용 중지되었습니다. |
| 대시보드의 로그 패널 위젯 | 이 기능은 사용 중지되었습니다. 대시보드에 로그 패널을 추가할 수 없습니다. |
| 대시보드의 오류 보고 패널 위젯 | 이 기능은 사용 중지되었습니다. 대시보드에 오류 보고 패널을 추가할 수 없습니다. |
대시보드의 EventAnnotation 필터
|
이 기능은 사용 중지되었습니다.EventAnnotation 필터는 대시보드에서 설정할 수 없습니다.
|
alertPolicies의 SqlCondition
|
이 기능은 사용 중지되었습니다.alertPolicy에
SqlCondition을(를)
추가할 수 없습니다.
|
Cloud Run
영향을 받는 Cloud Run 기능
| 기능 | 설명 |
|---|---|
| 지원되지 않는 기능 | 다음 Cloud Run 기능은 지원되지 않습니다. |
Cloud SQL
영향을 받는 Cloud SQL 기능
| 기능 | 설명 |
|---|---|
| 쿼리 통계 | Cloud SQL 인스턴스를 배포할 때 애플리케이션 태그가 사용 설정되지 않은 경우에만 쿼리 통계를 사용할 수 있습니다. 애플리케이션 태그가 사용 설정된 경우 쿼리 통계를 사용하려고 하면 오류 메시지가 표시됩니다. |
Cloud SQL 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
sql.restrictNoncompliantDiagnosticDataAccess |
True로 설정합니다. 추가 데이터 주권 및 지원 제어를 Cloud SQL 리소스에 적용합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
sql.restrictNoncompliantResourceCreation |
True로 설정합니다. 규정을 준수하지 않는 Cloud SQL 리소스의 생성을 방지하기 위해 추가 데이터 주권 제어를 적용합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
Cloud Storage
영향을 받는 Cloud Storage 기능
| 기능 | 설명 |
|---|---|
| Google Cloud 콘솔 | ITAR 규정 준수를 유지하기 위해서는 관할권의 Google Cloud 콘솔을 사용할 책임이 있습니다. 관할권 콘솔은 Cloud Storage 객체 업로드 및 다운로드를 방지합니다. Cloud Storage 객체를 업로드 및 다운로드하려면 이 섹션의 규정 준수 API 엔드포인트 행을 참고하세요. |
| 규정을 준수하는 API 엔드포인트 | Cloud Storage에서 ITAR 준수 리전 엔드포인트 중 하나를 사용해야 합니다. 자세한 내용은 Cloud Storage 리전 엔드포인트 및 Cloud Storage 위치를 참고하세요. |
| 제한사항 | ITAR을 준수하려면 Cloud Storage 리전 엔드포인트를 사용해야 합니다. ITAR을 위한 Cloud Storage 리전 엔드포인트에 대한 자세한 내용은 Cloud Storage 리전 엔드포인트를 참고하세요. 다음 작업은 리전 엔드포인트에서 지원되지 않습니다. 하지만 이러한 작업은 데이터 상주 서비스 약관에 정의된 대로 고객 데이터를 포함하지 않습니다. 따라서 ITAR 규정 준수를 위반하지 않고 필요에 따라 이러한 작업에 전역 엔드포인트를 사용할 수 있습니다. |
| 객체 복사 및 재작성 | 소스 및 대상 버킷이 모두 엔드포인트에 지정된 리전에 있는 경우 객체의 복사 및 재작성 작업이 리전 엔드포인트에서 지원됩니다. 그러나 버킷이 다른 위치에 있는 경우 리전 엔드포인트를 사용하여 한 버킷에서 다른 버킷으로 객체를 복사하거나 다시 작성할 수 없습니다. 전역 엔드포인트를 사용하여 여러 위치에서 복사하거나 재작성할 수 있지만 권장하지 않으며, 이 경우 ITAR 규정 준수를 위반할 수 있습니다. |
Cloud Storage 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
storage.restrictAuthTypes |
해시 기반 메시지 인증 코드 (HMAC)를 사용한 인증을 방지하도록 설정합니다. 이 제약 조건 값에는 다음 유형이 지정됩니다.
이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다. |
storage.uniformBucketLevelAccess |
True로 설정합니다. 새 버킷에 대한 액세스는 Cloud Storage 액세스 제어 목록 (ACL) 대신 IAM 정책을 사용하여 관리됩니다. 이 제약 조건은 버킷 및 콘텐츠에 대해 세분화된 권한을 제공합니다. 이 제약조건이 사용 설정된 상태에서 버킷이 생성되면 이 버킷에 대한 액세스는 ACL을 사용하여 관리할 수 없습니다. 즉, 버킷에 대한 액세스 제어 방법이 Cloud Storage ACL 대신 IAM 정책을 사용하도록 영구 설정됩니다. |
Compute Engine
영향을 받는 Compute Engine 기능
| 기능 | 설명 |
|---|---|
| VM 인스턴스 정지 및 재개 | 이 기능은 사용 중지되었습니다. VM 인스턴스를 일시중지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시중지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 현재 CMEK를 사용하여 암호화할 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참고하세요.
|
| 로컬 SSD | 이 기능은 사용 중지되었습니다. 로컬 SSD는 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참고하세요.
|
| VM 인스턴스 정지 및 재개 | 이 기능은 사용 중지되었습니다. VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 CMEK를 사용하여 암호화할 수 없습니다. 이 기능은 gcp.restrictNonCmekServices 조직 정책 제약조건에 의해 사용 중지됩니다.
|
| 로컬 SSD | 이 기능은 사용 중지되었습니다. 로컬 SSD는 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능은 gcp.restrictNonCmekServices 조직 정책 제약조건에 의해 사용 중지됩니다.
|
| 게스트 환경 | 게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다. VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참고하세요. 이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 주권을 충족하는 데 도움이 됩니다. 하지만 추가 제어가 필요한 경우에는 자체 이미지 또는 에이전트를 조정하고 선택적으로 compute.trustedImageProjects 조직 정책 제약조건을 사용할 수 있습니다.
자세한 내용은 커스텀 이미지 빌드를 참고하세요. |
| VM Manager의 OS 정책 |
OS 정책 파일 내의 인라인 스크립트와 바이너리 출력 파일은 고객 관리 암호화 키 (CMEK)를 사용하여 암호화되지 않습니다. 이러한 파일에 민감한 정보를 포함하지 마세요. 이러한 스크립트와 출력 파일을 Cloud Storage 버킷에 저장하는 것이 좋습니다. 자세한 내용은 OS 정책 예시를 참고하세요. 인라인 스크립트 또는 바이너리 출력 파일을 사용하는 OS 정책 리소스의 생성 또는 수정을 제한하려면 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 조직 정책 제약 조건을 사용 설정하세요.자세한 내용은 OS 구성 제약 조건을 참고하세요. |
instances.getSerialPortOutput()
|
이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 직렬 포트 출력을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 프로젝트 액세스 사용 설정의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
|
instances.getScreenshot() |
이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 스크린샷을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 프로젝트 액세스 사용 설정의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
|
Compute Engine 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
compute.enableComplianceMemoryProtection |
True로 설정합니다. 인프라 오류 발생 시 메모리 콘텐츠를 추가로 보호하기 위해 일부 내부 진단 기능을 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
compute.disableGlobalCloudArmorPolicy |
True로 설정합니다. 새 전역 Google Cloud Armor 보안 정책의 생성과 기존 전역 Google Cloud Armor 보안 정책에 규칙을 추가하거나 수정하는 것을 사용 중지합니다. 이 제약 조건은 규칙의 삭제 또는 전역 Google Cloud Armor 보안 정책의 설명 및 목록을 삭제하거나 변경하는 기능을 제한하지 않습니다. 리전 Google Cloud Armor 보안 정책은 이 제약 조건의 영향을 받지 않습니다. 이 제약 조건이 적용되기 전에 이미 있던 모든 전역 및 리전 보안 정책은 계속 유효합니다. |
compute.disableInstanceDataAccessApis
| True로 설정합니다.instances.getSerialPortOutput() 및 instances.getScreenshot() API를 전역적으로 사용 중지합니다.이 제약 조건을 사용 설정하면 Windows Server VM에서 사용자 인증 정보를 생성할 수 없습니다. Windows VM에서 사용자 이름과 비밀번호를 관리해야 하는 경우 다음을 수행합니다.
|
compute.disableSshInBrowser
| True로 설정합니다. OS 로그인 및 App Engine 가변형 환경 VM을 사용하는 VM에 대해 Google Cloud 콘솔에서 브라우저에서 SSH를 통해 연결 도구를 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
compute.restrictNonConfidentialComputing |
(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 자세한 내용은 컨피덴셜 VM 문서를 참고하세요. |
compute.trustedImageProjects |
(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다.
이 값을 설정하면 지정된 프로젝트 목록에 대한 이미지 저장 및 디스크 인스턴스화가 제한됩니다. 이 값은 승인되지 않은 이미지 또는 에이전트의 사용을 방지하여 데이터 주권에 영향을 줍니다. |
Dataplex Universal Catalog
Dataplex Universal Catalog 기능
| 기능 | 설명 |
|---|---|
| 속성 저장소 | 이 기능은 지원이 중단되었으며 사용 중지되었습니다. |
| Data Catalog | 이 기능은 지원이 중단되었으며 사용 중지되었습니다. Data Catalog에서 메타데이터를 검색하거나 관리할 수 없습니다. |
| 레이크 및 영역 | 이 기능은 사용 중지되었습니다. 레이크, 영역, 태스크를 관리할 수 없습니다. |
Dataproc
영향을 받는 Dataproc 기능
| 기능 | 설명 |
|---|---|
| Google Cloud 콘솔 | Dataproc은 현재 관할권 Google Cloud 콘솔을 지원하지 않습니다. 데이터 상주를 적용하려면 Dataproc를 사용할 때 Google Cloud CLI 또는 API를 사용해야 합니다. |
Google Cloud Armor
영향을 받는 Google Cloud Armor 기능
| 기능 | 설명 |
|---|---|
| 전역 범위 보안 정책 | 이 기능은 compute.disableGlobalCloudArmorPolicy 조직 정책 제약 조건에 의해 사용 중지됩니다.
|
Google Kubernetes Engine
Google Kubernetes Engine 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
True로 설정합니다. 워크로드의 주권 제어를 유지하는 데 필요한 커널 문제의 집계 분석을 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
Spanner
영향을 받는 Spanner 기능
| 기능 | 설명 |
|---|---|
| 분할 경계 | Spanner는 기본 키와 색인이 생성된 열의 소규모 하위 집합을 사용하여 고객 데이터와 메타데이터를 포함할 수 있는 분할 경계를 정의합니다. Spanner의 분할 경계는 연속적인 행 범위가 더 작은 조각으로 분할되는 위치를 나타냅니다. 이러한 분할 경계는 기술 지원 및 디버깅 목적으로 Google 직원이 액세스할 수 있으며 파트너의 주권 제어에 있는 관리 액세스 데이터 제어가 적용되지 않습니다. |
Spanner 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
True로 설정합니다. 추가 데이터 주권 및 지원 제어를 Spanner 리소스에 적용합니다. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
True로 설정합니다. 데이터 상주 및 데이터 주권을 적용하기 위해 멀티 리전 Spanner 인스턴스를 만드는 기능을 사용 중지합니다. |