Spanner 是全代管的多模型資料庫服務,支援範圍遍及全球,專為高可用性和極大規模而設計。做為 Google Cloud上的代管服務,安全性和營運韌性責任由您和 Google 共同分擔。
這份文件說明責任劃分,確保 Spanner 執行個體和資料的安全、法規遵循和運作。
共責式安全性模型總覽
在共同責任模式中,Google 負責管理 Spanner 服務、基礎架構和底層全球網路的安全,而客戶則負責管理 Spanner 執行個體內的安全,包括資料、應用程式存取權和設定。
| 責任範圍 | Google Cloud | 您 |
|---|---|---|
| 基礎架構 | 負責人 | Not Responsible |
| 服務設定與安全性 | 共用 | 共用 |
| 資料和應用程式存取權 | Not Responsible | 負責人 |
Google 的責任
Google 負責保護執行 Spanner 服務的基礎架構。包括實體、硬體、網路和作業元件。
基礎架構和全球可用性
實體安全:保護 Spanner 基礎架構所在的全球區域、可用區和實體資料中心。
網路:提供安全可靠的網路,確保 Spanner 的全球一致性和複製作業。
硬體和軟體:管理硬體、主機作業系統和 Spanner 服務軟體本身。包括自動修補、維護和更新。
服務管理和韌性
高可用性和擴充性:自動管理區域和可用區的擴充、複製和容錯移轉作業,確保多區域設定的服務水準協議達到 99.999%。Spanner 的設計目標是實現零計畫停機時間。如果使用者控制的設定導致服務中斷,Spanner 執行個體可能會排除在 Spanner 服務水準協議 (SLA) 之外。如要查看這些設定,請參閱 Spanner 操作指南。
耐久性:確保資料 (包括儲存在 Spanner 系統中的備份資料) 的耐久性。
資料庫軟體完整性:建構、維護及更新 Spanner 軟體。
法規遵循與資料保護
靜態資料和傳輸中的資料加密:確保資料預設會加密。
資料落地:可讓您管理特定區域或設定 (例如雙區域、多區域) 內的資料放置位置。
Google Cloud Dedicated 作業:對於 Google Cloud Dedicated 部署作業,Google 會提供基礎架構、軟體建構和更新,而我們在當地的合作夥伴則會負責營運及支援雲端服務。Google 可能會提供第二層級的協助,協助合作夥伴執行維護作業及解決問題。
您的責任
使用 Spanner 時,您可以全權掌控資料、設定、存取權管理和應用程式開發。
資料和結構定義管理
資料內容和安全性:負責儲存在 Spanner 中的資料內容,包括機密程度、法規遵循情形和完整性。
結構定義設計與最佳化:定義及管理資料庫結構定義,包括建立資料表、索引,以及管理交錯資料表以提升效能。
查詢最佳化:設計效率卓越的查詢,確保效能並管理資源分配。舉例來說,管理交易範圍和瞭解鎖定行為至關重要。
存取權與身分管理
IAM 設定:定義及管理主體 (使用者和服務帳戶) 的 Identity and Access Management (IAM) 角色和權限,以存取 Spanner 執行個體和資料庫。
精細的存取控管機制 (FGAC):如果導入這項機制,客戶須負責定義、管理及重新授予資料庫角色和權限的存取權。
稽核記錄:監控及分析 Cloud 稽核記錄,追蹤對 Spanner 執行個體和資料執行的存取和動作。
作業韌性和災難復原
設定管理:管理 Spanner 執行個體設定、節點計數和區域部署。
備份和災難復原服務:實作災難復原策略,包括將資料儲存在 Spanner 執行個體以外的位置 (例如在其他區域、執行個體或外部儲存空間),以防範執行個體遭意外刪除或資料損毀等情況。
(選用) 變更串流整合: 設定及管理 Dataflow 工作或其他取用者,這些取用者會使用 Spanner 變更串流進行事件串流。
安全性設定
客戶自行管理的加密金鑰 (CMEK):如果使用這類金鑰,則管理用於加密 Spanner 資料的 Cloud Key Management Service (Cloud KMS) 金鑰和權限。
要求和交易標記:在查詢和交易中套用標記,提升可觀測性及成效監控。
監控和快訊:設定及調整自訂監控、匯出指標,以及設定快訊,以便偵測效能降低或安全性異常。
責任摘要
下表列出特定作業和安全元件的共責項目:
| 元件 | 我們的責任 | 您的責任 |
|---|---|---|
| 資料和使用者存取權 | 底層儲存空間的實體隔離和保護。 | IAM 和 FGAC 管理。定義資料庫角色和權限。 |
| 網路安全 | Spanner 服務基礎架構的網路路徑、防火牆和區隔。 | 設定虛擬私有雲 (VPC)、Private Service Connect 和用戶端網路規則。 |
| 備份和災難復原服務 | 多區域複製功能,以及 99.999% 的服務可用性。時間點復原 (PITR) 功能。 | 實作災難復原解決方案,將資料儲存在主要 Spanner 執行個體以外的位置,並管理應用程式容錯移轉至新資料庫。 |
| 加密 | 預設加密靜態和傳輸中的資料。 | 管理及輪換 CMEK 金鑰 (如使用)。 |
| 備份 | 管理備份服務基礎架構,並確保備份資料的耐久性。 | 定義備份排程、管理及存取備份,以及將備份複製到其他執行個體/區域。 |
| Spanner 執行個體 | 佈建及管理底層基礎架構。 | 設定節點數量和位置。 |
| 可觀測性 | 提供系統表格 (例如 SPANNER_SYS) 以供診斷。 |
實作自訂監控、運用要求/交易標記,以及與外部監控工具 (例如 Prometheus 和 Grafana) 整合。 |
| 用戶端應用程式 | 提供 Spanner 用戶端程式庫和 API。 | 開發、部署及保護與資料庫互動的所有用戶端應用程式。 |
| 設定管理 | 根據配額檢查用量,並視需要提出要求。使用 Terraform 等工具管理資料庫和執行個體資源。 |