Auf dieser Seite werden die Kontrollen beschrieben, die auf Ordner der Sovereign Controls by Partners-Lösung angewendet werden, die auf der Data Boundary Foundation von CNTXT für Saudi-Arabien basieren. Sie enthält detaillierte Informationen zu unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen anwendbaren Einschränkungen für diese Produkte.
Weitere Informationen zu diesem Angebot finden Sie auf der CNTXT-Website unter Kingdom of Saudi Arabia Data Boundary Foundation by CNTXT.
Unterstützte Produkte und API-Endpunkte
Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derer, die durch Einschränkungseinstellungen für Organisationsrichtlinien erzwungen werden, sind in der folgenden Tabelle aufgeführt. Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und hat die Kontrollanforderungen für die „Kingdom of Saudi Arabia Data Boundary Foundation by CNTXT“ nicht erfüllt. Die Verwendung nicht unterstützter Produkte wird nicht empfohlen, ohne dass Sie die erforderliche Sorgfalt walten lassen und Ihre Verantwortlichkeiten im Modell der geteilten Verantwortung genau kennen. Bevor Sie ein nicht unterstütztes Produkt verwenden, sollten Sie sich über alle damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf den Speicherort oder die Souveränität von Daten.
Dienste, die in ihren API-Vorgängen mit Kundendaten interagieren, stellen regionale API-Endpunkte bereit. Diese müssen anstelle des globalen API-Endpunkt des Dienstes in der Data Boundary Foundation für Saudi-Arabien von CNTXT verwendet werden. Für Dienste, deren API-Vorgänge nicht mit Kundendaten interagieren, ist die Verwendung globaler API-Endpunkte zulässig. Weitere Informationen finden Sie auf der Seite Datenstandort für Assured Workloads.
| Unterstütztes Produkt | API-Endpunkte | Einschränkungen |
|---|---|---|
| Access Transparency |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Artifact Registry |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Keine |
| BigQuery |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Betroffene Funktionen |
| Bigtable |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Betroffene Funktionen |
| Compute Engine |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Sensitive Data Protection |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Keine |
| Dataflow |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Keine |
| Dataplex Universal Catalog |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Betroffene Funktionen |
| Dataproc |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Betroffene Funktionen |
| Cloud DNS |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Wichtige Kontakte |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Filestore |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Firewall der nächsten Generation |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Google Cloud Armor |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
| Identitäts- und Zugriffsverwaltung |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Identity-Aware Proxy |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Cloud Key Management Service (Cloud KMS) |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Einschränkungen für Organisationsrichtlinien |
| Cloud HSM |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Keine |
| Cloud External Key Manager (Cloud EKM) |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Keine |
| Google Kubernetes Engine |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| GKE Hub |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Cloud Load Balancing |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
| Cloud Logging |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Betroffene Funktionen |
| Cloud Monitoring |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
| Network Connectivity Center |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Cloud NAT |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Cloud Router |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Cloud Interconnect |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
| Organisationsrichtliniendienst |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Persistent Disk |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Pub/Sub |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Keine |
| Resource Manager |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Cloud Run |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
| Secret Manager |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Keine |
| Service Directory |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Spanner |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Cloud SQL |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Cloud Storage |
Regionale API-Endpunkte:
Globale API-Endpunkte:
|
Einschränkungen für Organisationsrichtlinien |
| Virtual Private Cloud |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| VPC Service Controls |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Cloud VPN |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Firebase-Sicherheitsregeln |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Cloud Workstations |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
| Secure Source Manager |
Regionale API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Limits und Einschränkungen
In den folgenden Abschnitten werden cloudweite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit der Grundlage für die Datenhoheitsgrenze für Saudi-Arabien von CNTXT festgelegt sind.
Google Cloudbreit
Betroffene Google Cloud-weite Funktionen
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Wenn Sie über das Kontrollpaket „Grundlegende Datenhoheitskontrollen durch CNTXT für Saudi-Arabien“ auf die Google Cloud Console zugreifen möchten, müssen Sie eine der folgenden URLs verwenden:
|
Google Cloud-weite Einschränkungen für Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie die folgenden Standorte in der Liste allowedValues fest:
Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, da Daten außerhalb einer konformen Datengrenze erstellt oder gespeichert werden können. |
gcp.restrictNonCmekServices |
Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
Für jeden aufgeführten Dienst sind kundenverwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK werden inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt. |
gcp.restrictServiceUsage |
Auf „Alle unterstützten Produkte und API-Endpunkte zulassen“ festlegen. Bestimmt, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken. |
gcp.restrictTLSVersion |
Auf „Verweigern“ setzen für die folgenden TLS-Versionen:
|
BigQuery
Betroffene BigQuery-Funktionen
| Funktion | Beschreibung |
|---|---|
| BigQuery für einen neuen Ordner aktivieren | BigQuery wird unterstützt, ist aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Das liegt an einem internen Konfigurationsprozess. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber unter Umständen auch länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
Nachdem der Aktivierungsprozess abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt. |
| Nicht unterstützte Funktionen | Die folgenden BigQuery-Funktionen werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in Ihrer Verantwortung, sie in BigQuery nicht für die Datenhoheitskontrollen durch Partner zu verwenden.
|
| Nicht unterstützte Integrationen | Die folgenden BigQuery-Integrationen werden nicht unterstützt. Es liegt in Ihrer Verantwortung, sie nicht mit BigQuery für Sovereign Controls by Partners zu verwenden.
|
| Unterstützte BigQuery APIs | Die folgenden BigQuery APIs werden unterstützt: |
| BigQuery-Befehlszeile | Die BigQuery-Befehlszeile wird unterstützt.
|
| Google Cloud SDK | Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um die Regionalisierung von technischen Daten zu gewährleisten. Führen Sie gcloud --version aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann gcloud components update, um auf die neueste Version zu aktualisieren.
|
| Steuerelemente für Administratoren | In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen von Ordnern für die Kontrolle der Datenhoheit durch Partner können jedoch eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Assured Workloads-Monitoring-Dashboard über potenzielle Compliance-Verstöße benachrichtigt. |
| Daten laden | BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service (SaaS)), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, BigQuery Data Transfer Service-Connectors nicht für Arbeitslasten der Kingdom of Saudi Arabia Data Boundary Foundation by CNTXT zu verwenden. |
| Drittanbieter-Übertragungen | BigQuery überprüft nicht, ob Drittanbieterübertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, den Support zu prüfen, wenn Sie eine Drittanbieterübertragung für den BigQuery Data Transfer Service verwenden. |
| Nicht konforme BQML-Modelle | Extern trainierte BQML-Modelle werden nicht unterstützt. |
| Abfragejobs | Abfragejobs sollten nur in Ordnern für die Kontrolle der Datenhoheit durch Partner erstellt werden. |
| Abfragen für Datasets in anderen Projekten | BigQuery verhindert nicht, dass Datasets von Partnern für Datenhoheitskontrollen aus Projekten abgefragt werden, die nicht von Partnern für Datenhoheitskontrollen stammen. Alle Abfragen, die Daten aus „Kontrolle der Datenhoheit durch Partner“ lesen oder mit ihnen verknüpfen, müssen in Ordnern für „Kontrolle der Datenhoheit durch Partner“ platziert werden. Sie können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
|
| Cloud Logging | BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten Ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf die entsprechenden Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Weitere Informationen finden Sie unter Logs regionalisieren. |
Bigtable
Betroffene Bigtable-Funktionen
| Funktion | Beschreibung |
|---|---|
| Data Boost | Die Funktion ist deaktiviert. |
| Split-Grenzen | Bigtable verwendet eine kleine Teilmenge von Zeilenschlüsseln, um die Aufteilungsgrenzen zu definieren. Diese können Kundendaten und Metadaten enthalten. Eine Split-Grenze in Bigtable gibt an, an welcher Stelle zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden. Google-Mitarbeiter können auf diese geteilten Grenzen für technischen Support und Debugging-Zwecke zugreifen. Sie unterliegen nicht den Datenzugriffssteuerungen für den administrativen Zugriff in Sovereign Controls by Partners. |
Cloud Interconnect
Betroffene Cloud Interconnect-Funktionen
| Funktion | Beschreibung |
|---|---|
| Hochverfügbarkeits-VPN | Sie müssen die HA VPN-Funktion aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführten Anforderungen zur Verschlüsselung und Regionalisierung einhalten. |
Cloud KMS
Einschränkungen für Cloud KMS-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
cloudkms.allowedProtectionLevels |
Eingestellt, um die Erstellung von Cloud Key Management Service-CryptoKeys mit den folgenden Schutzstufen zu ermöglichen:
|
Cloud Load Balancing
Betroffene Cloud Load Balancing-Funktionen
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Cloud Load Balancing-Funktionen sind in der Google Cloud -Konsole nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
| Regionale Load Balancer | Sie dürfen nur regionale Load Balancer mit Kingdom of Saudi Arabia Data Boundary Foundation von CNTXT verwenden. Weitere Informationen zum Konfigurieren regionaler Load-Balancer finden Sie auf den folgenden Seiten: |
Cloud Logging
Betroffene Cloud Logging-Funktionen
| Funktion | Beschreibung |
|---|---|
| Logsenken | Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten. |
| Live-Tailing-Logeinträge | Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten. |
| Logbasierte Benachrichtigungen | Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden. |
| Gekürzte URLs für Log-Explorer-Abfragen | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen. |
| Abfragen im Log-Explorer speichern | Die Funktion ist deaktiviert. In der Google Cloud -Konsole können Sie keine Abfragen speichern. |
| Loganalysen mit BigQuery | Die Funktion ist deaktiviert. Das Feature „Loganalyse“ kann nicht verwendet werden. |
| SQL-basierte Benachrichtigungsrichtlinien | Die Funktion ist deaktiviert. Sie können das Feature für SQL-basierte Benachrichtigungsrichtlinien nicht verwenden. |
Cloud Monitoring
Betroffene Cloud Monitoring-Funktionen
| Funktion | Beschreibung |
|---|---|
| Synthetischer Monitor | Die Funktion ist deaktiviert. |
| Verfügbarkeitsdiagnosen | Die Funktion ist deaktiviert. |
| Widgets für das Log-Steuerfeld in Dashboards | Die Funktion ist deaktiviert. Sie können einem Dashboard kein Log-Feld hinzufügen. |
| Widgets für den Bereich „Error Reporting“ in Dashboards | Die Funktion ist deaktiviert. Ein Dashboard kann kein Fehlerberichtsfeld enthalten. |
Filtern Sie in EventAnnotation nach Dashboards.
|
Die Funktion ist deaktiviert. Filter von EventAnnotation
kann nicht in einem Dashboard festgelegt werden.
|
SqlCondition
in alertPolicies
|
Die Funktion ist deaktiviert. Sie können einem alertPolicy
kein
SqlCondition hinzufügen.
|
Cloud Run
Betroffene Cloud Run-Funktionen
| Funktion | Beschreibung |
|---|---|
| Nicht unterstützte Funktionen | Die folgenden Cloud Run-Funktionen werden nicht unterstützt: |
Cloud SQL
Betroffene Cloud SQL-Features
| Funktion | Beschreibung |
|---|---|
| Query Insights | Beim Bereitstellen einer Cloud SQL-Instanz können Query Insights nur verwendet werden, wenn keine Anwendungstags aktiviert sind. Wenn Anwendungstags aktiviert sind, wird beim Versuch, Query Insights zu verwenden, eine Fehlermeldung angezeigt. |
Einschränkungen für Cloud SQL-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
sql.restrictNoncompliantDiagnosticDataAccess |
Auf True festlegen. Wendet zusätzliche Kontrollen für Datenhoheit und Support auf Cloud SQL-Ressourcen an. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken. |
sql.restrictNoncompliantResourceCreation |
Auf True festlegen. Wendet zusätzliche Kontrollen für die Datenhoheit an, um die Erstellung nicht konformer Cloud SQL-Ressourcen zu verhindern. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken. |
Cloud Storage
Betroffene Cloud Storage-Funktionen
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Um die ITAR-Compliance aufrechtzuerhalten, sind Sie dafür verantwortlich, die Jurisdictional Google Cloud -Konsole zu verwenden. In der Gerichtsbarkeitskonsole können keine Cloud Storage-Objekte hoch- oder heruntergeladen werden. Informationen zum Hoch- und Herunterladen von Cloud Storage-Objekten finden Sie in diesem Abschnitt in der Zeile Konforme API-Endpunkte. |
| Konforme API-Endpunkte | Sie müssen einen der ITAR-konformen regionalen Endpunkte mit Cloud Storage verwenden. Weitere Informationen finden Sie unter Regionale Cloud Storage-Endpunkte und Cloud Storage-Standorte. |
| Beschränkungen | Sie müssen regionale Cloud Storage-Endpunkte verwenden, um ITAR-konform zu sein. Weitere Informationen zu regionalen Cloud Storage-Endpunkten für ITAR finden Sie unter Regionale Cloud Storage-Endpunkte. Die folgenden Vorgänge werden von regionalen Endpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten im Sinne der Nutzungsbedingungen für den Datenstandort übertragen. Daher können Sie globale Endpunkte für diese Vorgänge nach Bedarf verwenden, ohne gegen die ITAR-Compliance zu verstoßen: |
| Kopieren und Umschreiben für Objekte | Kopier- und Umschreibvorgänge für Objekte werden von regionalen Endpunkten unterstützt, wenn sich sowohl der Quell- als auch der Ziel-Bucket in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine regionalen Endpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zu verwenden, um standortübergreifend zu kopieren oder umzuschreiben. Wir empfehlen dies jedoch nicht, da es gegen die ITAR-Compliance verstoßen kann. |
Einschränkungen für Cloud Storage-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
storage.restrictAuthTypes |
Wird festgelegt, um die Authentifizierung mit einem Hash-basierten Nachrichten-Authentifizierungscode (HMAC) zu verhindern. Die folgenden Typen werden in diesem Einschränkungswert angegeben:
Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten. |
storage.uniformBucketLevelAccess |
Auf True festlegen. Der Zugriff auf neue Buckets wird mithilfe von IAM-Richtlinien anstelle von Cloud Storage-Zugriffssteuerungslisten (ACLs) verwaltet. Diese Einschränkung bietet detaillierte Berechtigungen für Buckets und deren Inhalte. Wenn ein Bucket erstellt wird, während diese Einschränkung aktiviert ist, kann der Zugriff darauf nicht über ACLs verwaltet werden. Die Zugriffssteuerungsmethode für einen Bucket ist also dauerhaft auf die Verwendung von IAM-Richtlinien anstelle von Cloud Storage-ACLs festgelegt. |
Compute Engine
Betroffene Compute Engine-Funktionen
| Funktion | Beschreibung |
|---|---|
| VM-Instanz anhalten bzw. fortsetzen | Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices.
|
| Lokale SSDs | Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices.
|
| Google Cloud Console | Die folgenden Compute Engine-Funktionen sind in der Google Cloud -Konsole nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI: |
| Instanzgruppe einem globalen Load-Balancer hinzufügen | Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen. Diese Funktion ist aufgrund der Einschränkung der compute.disableGlobalLoadBalancing-Organisationsrichtlinie deaktiviert.
|
| VM-Instanz anhalten bzw. fortsetzen | Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Diese Funktion ist aufgrund der Einschränkung der gcp.restrictNonCmekServices-Organisationsrichtlinie deaktiviert.
|
| Lokale SSDs | Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Diese Funktion ist aufgrund der Einschränkung der gcp.restrictNonCmekServices-Organisationsrichtlinie deaktiviert.
|
| Gastumgebung | Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.
Weitere Informationen finden Sie unter Benutzerdefiniertes Image erstellen. |
| Betriebssystemrichtlinien in VM Manager |
Inline-Scripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Geben Sie in diesen Dateien keine vertraulichen Informationen an. Es empfiehlt sich, diese Skripts und Ausgabedateien in Cloud Storage-Buckets zu speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien. Wenn Sie das Erstellen oder Ändern von Betriebssystemrichtlinien-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die Einschränkung der constraints/osconfig.restrictInlineScriptAndOutputFileUsage-Organisationsrichtlinie.Weitere Informationen finden Sie unter Einschränkungen für die Betriebssystemkonfiguration. |
instances.getSerialPortOutput()
|
Diese API ist deaktiviert. Mit dieser API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
|
instances.getScreenshot() |
Diese API ist deaktiviert. Mit dieser API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
|
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
compute.enableComplianceMemoryProtection |
Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken. |
compute.disableGlobalCloudArmorPolicy |
Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft. |
compute.disableGlobalLoadBalancing |
Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken. |
compute.disableInstanceDataAccessApis
| Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().Wenn Sie diese Einschränkung aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor:
|
compute.disableSshInBrowser
| Auf True festlegen. Deaktiviert das Tool „SSH im Browser“ in der Google Cloud Console für VMs, die OS Login verwenden, und für VMs, auf denen die flexible App Engine-Umgebung ausgeführt wird. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken. |
compute.restrictNonConfidentialComputing |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Defense-in-Depth-Maßnahmen zu ergreifen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation. |
compute.trustedImageProjects |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Defense-in-Depth-Maßnahmen zu ergreifen.
Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden. |
Dataplex Universal Catalog
Funktionen von Dataplex Universal Catalog
| Funktion | Beschreibung |
|---|---|
| Attributspeicher | Diese Funktion ist veraltet und deaktiviert. |
| Data Catalog | Diese Funktion ist veraltet und deaktiviert. Sie können Ihre Metadaten nicht in Data Catalog durchsuchen oder verwalten. |
| Lakes und Zonen | Die Funktion ist deaktiviert. Sie können keine Lakes, Zonen und Aufgaben verwalten. |
Dataproc
Betroffene Dataproc-Funktionen
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Dataproc unterstützt die Jurisdictional Google Cloud console derzeit nicht. Um den Datenstandort zu erzwingen, müssen Sie bei der Verwendung von Dataproc entweder die Google Cloud CLI oder die API verwenden. |
Google Cloud Armor
Betroffene Google Cloud Armor-Funktionen
| Funktion | Beschreibung |
|---|---|
| Globale Sicherheitsrichtlinien | Diese Funktion wurde durch die Einschränkung der compute.disableGlobalCloudArmorPolicy-Organisationsrichtlinie deaktiviert.
|
Google Kubernetes Engine
Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Auf True festlegen. Deaktiviert die aggregierte Analyse von Kernel-Problemen. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken. |
Spanner
Betroffene Spanner-Funktionen
| Funktion | Beschreibung |
|---|---|
| Split-Grenzen | Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Aufteilungsgrenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile aufgeteilt werden. Google-Mitarbeiter können auf diese geteilten Grenzen für technischen Support und Debugging-Zwecke zugreifen. Sie unterliegen nicht den Datenzugriffssteuerungen für den administrativen Zugriff in Sovereign Controls by Partners. |
Einschränkungen für Spanner-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Auf True festlegen. Wendet zusätzliche Kontrollen für Datenhoheit und Support auf Spanner-Ressourcen an. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Auf True festlegen. Deaktiviert die Möglichkeit, multiregionale Spanner-Instanzen zu erstellen, um den Datenstandort und die Datenhoheit zu erzwingen. |