Spanner 共同責任模式

Spanner 是全代管的多模型資料庫服務,支援範圍遍及全球,專為高可用性和極大規模而設計。做為 Google Cloud上的代管服務,安全性和營運韌性責任由您和 Google 共同分擔。

這份文件說明責任劃分,確保 Spanner 執行個體和資料的安全、法規遵循和運作。

共責式安全性模型總覽

在共同責任模式中,Google 負責管理 Spanner 服務、基礎架構和底層全球網路的安全,而客戶則負責管理 Spanner 執行個體的安全,包括資料、應用程式存取權和設定。

責任範圍 Google Cloud
基礎架構 負責人 Not Responsible
服務設定與安全性 共用 共用
資料和應用程式存取權 Not Responsible 負責人

Google 的責任

Google 負責保護執行 Spanner 服務的基礎架構。包括實體、硬體、網路和作業元件。

基礎架構和全球可用性

  • 實體安全:保護 Spanner 基礎架構所在的全球區域、可用區和實體資料中心。

  • 網路:提供安全可靠的網路,確保 Spanner 的全球一致性和複製作業。

  • 硬體和軟體:管理硬體、主機作業系統和 Spanner 服務軟體本身。包括自動修補、維護和更新。

服務管理和韌性

  • 高可用性和擴充性:自動管理區域和可用區的擴充、複製和容錯移轉作業,確保多區域設定的服務水準協議達到 99.999%。Spanner 的設計目標是實現零計畫停機時間。如果使用者控制的設定導致服務中斷,Spanner 執行個體可能會排除在 Spanner 服務水準協議 (SLA) 之外。如要查看這些設定,請參閱 Spanner 操作指南

  • 耐久性:確保資料 (包括儲存在 Spanner 系統中的備份資料) 的耐久性。

  • 資料庫軟體完整性:建構、維護及更新 Spanner 軟體。

法規遵循與資料保護

  • 靜態資料和傳輸中的資料加密:確保資料預設會加密。

  • 資料落地:可讓您管理特定區域或設定 (例如雙區域、多區域) 內的資料放置位置。

  • Google Cloud Dedicated 作業:對於 Google Cloud Dedicated 部署作業,Google 會提供基礎架構、軟體建構和更新,而我們在當地的合作夥伴則會負責營運及支援雲端服務。Google 可能會提供第二層級的協助,協助合作夥伴執行維護作業及解決問題。

您的責任

使用 Spanner 時,您可以全權掌控資料、設定、存取權管理和應用程式開發。

資料和結構定義管理

  • 資料內容和安全性:負責儲存在 Spanner 中的資料內容,包括機密程度、法規遵循情形和完整性。

  • 結構定義設計與最佳化:定義及管理資料庫結構定義,包括建立資料表、索引,以及管理交錯資料表以提升效能。

  • 查詢最佳化:設計效率卓越的查詢,確保效能並管理資源分配。舉例來說,管理交易範圍和瞭解鎖定行為至關重要。

存取權與身分管理

  • IAM 設定定義及管理主體 (使用者和服務帳戶) 的 Identity and Access Management (IAM) 角色和權限,以存取 Spanner 執行個體和資料庫。

  • 精細的存取控管機制 (FGAC)如果導入這項機制,客戶須負責定義、管理及重新授予資料庫角色和權限的存取權。

  • 稽核記錄監控及分析 Cloud 稽核記錄,追蹤對 Spanner 執行個體和資料執行的存取和動作。

作業韌性和災難復原

  • 設定管理:管理 Spanner 執行個體設定、節點計數和區域部署。

  • 備份和災難復原服務實作災難復原策略,包括將資料儲存在 Spanner 執行個體以外的位置 (例如在其他區域、執行個體或外部儲存空間),以防範執行個體遭意外刪除或資料損毀等情況。

  • (選用) 變更串流整合 設定及管理 Dataflow 工作或其他取用者,這些取用者會使用 Spanner 變更串流進行事件串流。

安全性設定

  • 客戶自行管理的加密金鑰 (CMEK)如果使用這類金鑰,則管理用於加密 Spanner 資料的 Cloud Key Management Service (Cloud KMS) 金鑰和權限。

  • 要求和交易標記在查詢和交易中套用標記,提升可觀測性及成效監控。

  • 監控和快訊設定及調整自訂監控、匯出指標,以及設定快訊,以便偵測效能降低或安全性異常。

責任摘要

下表列出特定作業和安全元件的共責項目:

元件 我們的責任 您的責任
資料和使用者存取權 底層儲存空間的實體隔離和保護。 IAM 和 FGAC 管理。定義資料庫角色和權限。
網路安全 Spanner 服務基礎架構的網路路徑、防火牆和區隔。 設定虛擬私有雲 (VPC)、Private Service Connect 和用戶端網路規則。
備份和災難復原服務 多區域複製功能,以及 99.999% 的服務可用性。時間點復原 (PITR) 功能。 實作災難復原解決方案,將資料儲存在主要 Spanner 執行個體以外的位置,並管理應用程式容錯移轉至新資料庫。
加密 預設加密靜態和傳輸中的資料。 管理及輪換 CMEK 金鑰 (如使用)。
備份 管理備份服務基礎架構,並確保備份資料的耐久性。 定義備份排程、管理及存取備份,以及將備份複製到其他執行個體/區域。
Spanner 執行個體 佈建及管理底層基礎架構。 設定節點數量和位置。
可觀測性 提供系統表格 (例如 SPANNER_SYS) 以供診斷。 實作自訂監控、運用要求/交易標記,以及與外部監控工具 (例如 Prometheus 和 Grafana) 整合。
用戶端應用程式 提供 Spanner 用戶端程式庫和 API。 開發、部署及保護與資料庫互動的所有用戶端應用程式。
設定管理 根據配額檢查用量,並視需要提出要求。使用 Terraform 等工具管理資料庫和執行個體資源。