Spanner 的安全性、隐私权、风险和合规性

本文档简要介绍了各种有助于确保 Spanner on Google Cloud 安全性的控制机制，并提供了有关如何配置 这些控制机制的更多信息的链接。网络安全选项、政策和访问管理等安全控制措施可以帮助您应对业务风险，并满足适用于您的业务的隐私权和监管要求。

Spanner 的安全性、隐私权、风险和合规性采用 责任共担 模式。例如，Google 会确保 Spanner 和 其他 Google Cloud 服务运行的基础架构安全无虞，并为您提供相关 功能，帮助您管理对服务和资源的访问权限。如需详细了解我们如何确保基础设施的安全，请参阅 Google 基础设施安全设计 概览。

预配的服务

开始使用 Spanner 时，您需要启用以下 API：

• https://spanner.googleapis.com

如需了解详情，请参阅 快速入门：使用 Google Cloud 控制台在 Spanner 中创建和查询数据库。

管理身份验证 Google Cloud

创建和管理 Spanner 实例的管理员和开发者必须 向 Google Cloud 进行身份验证，以验证其身份和访问权限。 您必须为每位用户设置一个由 Cloud Identity、Google Workspace 或您已与之建立联合身份的身份提供方管理的用户账号。如需了解详情，请参阅身份和访问权限管理概览。

创建用户账号后，请实施安全最佳实践，例如单点登录和两步验证。

资源访问身份验证 Google Cloud

员工身份联合让您可以使用 外部身份提供方 (IdP) 对员工用户进行身份验证，以便他们可以 访问 Google Cloud 资源。当用户需要以程序化方式访问您的 Google Cloud 资源，并且您将用户的凭据存储在支持 OpenID Connect (OIDC) 或安全断言标记语言 (SAML) 的 IdP 中时，请使用员工身份联合。

工作负载身份联合让您 可以使用外部 IdP 授予本地或多云工作负载对 Google Cloud 资源的访问权限，而无需使用服务帐号密钥。您可以将身份联合与 Amazon Web Services (AWS)、Microsoft Entra ID、GitHub 或 Okta 等 IdP 搭配使用。

如需详细了解 Spanner 对身份联合的支持， 请参阅支持联合身份的 服务。

如需详细了解 Google Cloud中的身份验证，请参阅身份验证。

Identity and Access Management

如需大规模管理管理员和 开发者的 Identity and Access Management (IAM) 角色，请考虑为各种用户角色和应用创建单独的 功能组 。向群组授予管理 Spanner 所需的 IAM 角色或权限。向群组分配角色时，请遵循最小权限原则和其他 IAM 安全最佳实践。如需了解 详情，请参阅使用 Google 群组的最佳实践。

如需详细了解如何设置 IAM，请参阅 IAM 概览。

Spanner 支持 IAM 精细访问权限控制，让您可以使用 IAM 主账号来控制对 Spanner 数据库、表、列和视图的访问权限。如需了解详情，请参阅精细访问权限控制简介。

Spanner 服务账号

启用 Spanner 后，Google 会为您创建服务账号。服务账号是一种特殊的 非互动式 Google 账号，通常供应用或计算工作负载（例如 Compute Engine 实例）而非个人使用。应用使用服务账号来 访问 Google API。

服务代理

为了让 Spanner 代表您访问 Google Cloud 上的资源，Google Cloud 会创建一个特殊的服务帐号，称为 服务代理。

启用 Spanner 后，系统会创建以下 Spanner 服务代理：

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Spanner 政策

适用于 Spanner 的预定义组织政策包括以下内容：

• 限制创建使用 Spanner 版本的实例 (constraints/spanner.managed.restrictCloudSpannerEditions)

如需详细了解政策，请参阅使用 组织政策来管理 Spanner。

您可以使用自定义组织政策在项目、文件夹或组织级层配置对 Spanner 的限制。如需了解详情，请参阅 创建 和管理自定义限制条件。

网络安全

默认情况下，Google 会对所有 Google Cloud 服务（包括在上运行的 Spanner 实例）传输中的数据应用默认保护 Google Cloud。如需详细了解 默认网络保护功能，请参阅传输中加密。

如果您的组织要求，则可以配置额外的安全控制机制 以进一步保护 Google Cloud 网络上的流量以及 网络与公司网络之间的流量。 Google Cloud 请考虑以下事项：

• Spanner 支持 VPC Service Controls。 借助 VPC Service Controls，您可以控制 Google 服务中数据的移动，并设置基于上下文的边界安全性。
• 在 Google Cloud中，请考虑将共享 VPC作为您的 网络拓扑。共享 VPC 提供集中式网络 配置管理，同时使环境保持分离。
• 使用 Cloud VPN 或 Cloud Interconnect 可最大限度地提高公司网络与 之间的连接的安全性和 Google Cloud可靠性。如需了解详情，请参阅选择 Network Connectivity 产品。

如需详细了解网络安全最佳实践，请参阅实现零信任和确定着陆区的 Google Cloud 网络设计。

应用连接

您可以使用以下方法保护应用与 Spanner 之间的连接：

• 无服务器 VPC 访问通道，用于将 Spanner 与 Cloud Run 直接连接。
• Private Service Connect，可使用 Spanner 专用 IP 地址连接到上另一个 VPC 中的 托管应用。 Google Cloud 使用此方法可将流量保留在内 Google Cloud。

如需详细了解如何设置与没有外部 IP 地址的服务的连接的选项，请参阅服务的专用访问通道选项。

客户端身份验证

Spanner 为客户端提供以下身份验证方法：

• IAM 身份验证

数据保护和隐私权

Spanner 使用 默认加密 对存储在 Google Cloud 中的数据进行加密。示例 数据包括以下内容：

• 表和列的名称
• 索引名称
• 数据库架构
• 存储在表中的数据

只有 Spanner 实例可以访问此类数据。

您可以启用 客户管理的加密密钥 (CMEK) 来 加密静态数据。借助 CMEK，密钥会以软件保护的密钥或硬件保护的密钥（通过 Cloud HSM）的形式存储在 Cloud Key Management Service (Cloud KMS) 中，但由您 管理。如需自动预配加密密钥，您可以启用 Cloud KMS Autokey。启用 Autokey 后，a 开发者可以向 Cloud KMS 请求密钥，服务代理会预配与开发者意图匹配的密钥 。借助 Cloud KMS Autokey，密钥可按 需使用、一致且遵循行业标准实践。

此外，Spanner 还支持 Cloud External Key Manager (Cloud EKM)，让您可以在之外的外部密钥管理器中存储密钥 Google Cloud。如需了解详情，请参阅 客户管理的加密密钥 (CMEK) 概览。

数据的处理地点

Spanner 支持对存储在上的数据进行数据驻留。 Google Cloud借助数据驻留，您可以使用资源位置限制政策限制条件选择要存储数据的区域。您可以使用 Cloud Asset Inventory 验证 Spanner 资源的位置。

如果您需要对使用中的数据进行数据驻留，可以配置 Assured Workloads。如需了解详情，请参阅 Assured Workloads and data residency。

数据隐私

为了帮助保护数据隐私权，Spanner 遵循通用隐私权 原则。

Spanner 充当客户数据的处理方。Google 还充当数据控制方，负责处理结算、账号管理和滥用 检测等信息。如需了解详情，请参阅Google Cloud 隐私权 声明。

审核日志记录

Spanner 会写入以下类型的审核日志：

• 管理员活动审核日志：包括写入元数据或配置信息的 ADMIN WRITE 操作。

• 数据访问审核日志：包括读取元数据或配置信息的 ADMIN READ 操作。此外，还包括读取或写入用户提供的数据的 DATA READ 和 DATA WRITE 操作。

• 系统事件审核日志：标识修改资源配置的自动 Google Cloud 操作。

如需了解详情，请参阅审核日志记录。

Access Transparency

您可以使用 Access Approval 和 Access Transparency 来控制 支持相应服务的 Google 人员对 Spanner 实例的访问权限。借助 Access Approval，您可以批准或拒绝 Google 员工的访问请求。当管理员访问资源时，Access Transparency 日志会提供近乎实时的洞见。 Google Cloud

监控和突发事件响应

您可以使用各种工具来帮助您监控 Spanner 的性能和安全性。 请考虑以下事项：

• Logs Explorer，用于查看和分析事件日志，并创建 自定义指标和提醒。
• 使用 Cloud Monitoring 信息中心监控 Spanner 的性能。如需了解详情，请参阅监控 Spanner。
• 在 Security Command Center 中部署 云控制机制和框架 ，以检测 Spanner 的漏洞和威胁（例如 提升权限）。您可以为安全运维中心 (SOC) 分析师设置提醒和 playbook，以便他们能够响应发现结果。

认证和合规性

满足监管要求是您与 Google 共同承担的shared 责任。

Spanner 已获得各种认证，包括以下认证：

• ISO 27001
• SOC 2
• HIPAA

如需详细了解如何遵守不同的 监管框架和认证，请访问合规性资源 中心。 Google Cloud

Spanner 还支持 Assured Workloads，这 让您可以对 Google 组织中的特定文件夹应用控制措施，以 满足监管、区域或主权要求。如需了解详情，请参阅按控制措施套餐支持的产品。

后续步骤

• 启用备份。
• 使用 Google Threat Intelligence 跟踪 适用于您的业务的外部威胁。
• 详细了解 Spanner 中的 Identity and Access Management。
• 详细了解 Spanner 中的 数据加密。