Kontrollpaket für Regionen in Brasilien
Auf dieser Seite werden die Steuerelemente beschrieben, die in Assured Workloads auf Workloads in Brasilien angewendet werden. Sie enthält detaillierte Informationen zur Speicherung von Daten, zu unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen Einschränkungen für diese Produkte. Für Regionen in Brasilien gelten die folgenden zusätzlichen Informationen:
- Speicherort von Daten: Das Steuerpaket für Regionen in Brasilien legt Steuerelemente für den Datenstandort fest, um nur Regionen in Brasilien zu unterstützen. Weitere Informationen finden Sie im Abschnitt Einschränkungen fürGoogle Cloud-weite Organisationsrichtlinien.
- Support: Technische Supportdienste für Arbeitslasten in Brasilien sind mit Standard-, erweitertem oder Premium-Cloud Customer Care-Abos verfügbar. Supportanfragen zu Arbeitslasten in Brasilien werden an globale Supportmitarbeiter weitergeleitet.
- Preise: Das Kontrollpaket für Brasilien ist in der kostenlosen Stufe von Assured Workloads enthalten. Es fallen keine zusätzlichen Kosten an. Weitere Informationen finden Sie unter Preise für Assured Workloads.
Unterstützte Produkte und API-Endpunkte
Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Produkte zugreifen. In der folgenden Tabelle sind Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derjenigen, die über Einschränkungen für Organisationsrichtlinien erzwungen werden, aufgeführt.
Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und erfüllt nicht die Kontrollanforderungen für Regionen in Brasilien. Die Verwendung von nicht unterstützten Produkten wird ohne sorgfältige Prüfung und ohne umfassendes Verständnis Ihrer Verantwortlichkeiten im Rahmen des Modells der geteilten Verantwortung nicht empfohlen. Bevor Sie ein nicht unterstütztes Produkt verwenden, müssen Sie sich über die damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf die Datenspeicherung oder Datensouveränität.
| Unterstütztes Produkt | API-Endpunkte | Einschränkungen |
|---|---|---|
| Zugriffsgenehmigung |
accessapproval.googleapis.com |
Keine |
| Access Context Manager |
accesscontextmanager.googleapis.com |
Keine |
| Access Transparency |
accessapproval.googleapis.com |
Keine |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
Keine |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
Keine |
| Artifact Registry |
artifactregistry.googleapis.com |
Keine |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Betroffene Funktionen |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Keine |
| Certificate Authority Service |
privateca.googleapis.com |
Keine |
| Cloud Composer |
composer.googleapis.com |
Keine |
| Cloud DNS |
dns.googleapis.com |
Keine |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Keine |
| Cloud Run Functions |
cloudfunctions.googleapis.com |
Keine |
| Cloud HSM |
cloudkms.googleapis.com |
Keine |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
Keine |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Keine |
| Cloud Load Balancing |
compute.googleapis.com |
Keine |
| Cloud Logging |
logging.googleapis.com |
Betroffene Funktionen |
| Cloud Monitoring |
monitoring.googleapis.com |
Keine |
| Cloud NAT |
networkconnectivity.googleapis.com |
Keine |
| Cloud Router |
networkconnectivity.googleapis.com |
Keine |
| Cloud Run |
run.googleapis.com |
Keine |
| Cloud SQL |
sqladmin.googleapis.com |
Keine |
| Cloud Storage |
storage.googleapis.com |
Keine |
| Cloud Tasks |
cloudtasks.googleapis.com |
Keine |
| Cloud VPN |
compute.googleapis.com |
Keine |
| Cloud Vision API |
vision.googleapis.com |
Keine |
| Compute Engine |
compute.googleapis.com |
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Connect |
gkeconnect.googleapis.com |
Keine |
| Sensitive Data Protection |
dlp.googleapis.com |
Keine |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Keine |
| Dataform |
dataform.googleapis.com |
Keine |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Keine |
| Eventarc |
eventarc.googleapis.com |
Keine |
| Filestore |
file.googleapis.com |
Keine |
| Firestore |
firestore.googleapis.com |
Keine |
| GKE Hub |
gkehub.googleapis.com |
Keine |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
Keine |
| Generative KI in Vertex AI |
aiplatform.googleapis.com |
Keine |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Betroffene Funktionen |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Keine |
| Google Security Operations SIEM |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
Keine |
| Identitäts- und Zugriffsverwaltung |
iam.googleapis.com |
Keine |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Keine |
| Looker (Google Cloud Core) |
looker.googleapis.com |
Keine |
| Memorystore for Redis |
redis.googleapis.com |
Keine |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Keine |
| Persistent Disk |
compute.googleapis.com |
Keine |
| Pub/Sub |
pubsub.googleapis.com |
Keine |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Keine |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Keine |
| Speech-to-Text |
speech.googleapis.com |
Keine |
| Cloud Service Mesh |
trafficdirector.googleapis.com |
Keine |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Keine |
| Vertex AI Search |
discoveryengine.googleapis.com |
Keine |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Keine |
Limits und Einschränkungen
In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit Steuerelementen für Brasilien festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.
Google Cloudbreit
Einschränkungen fürGoogle Cloud-weite Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie in der Liste allowedValues die folgenden Standorte fest:
|
gcp.restrictServiceUsage |
Legen Sie fest, dass alle unterstützten Produkte und API-Endpunkte zugelassen werden. Bestimmt, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung einschränken. |
gcp.restrictTLSVersion |
Legen Sie fest, dass die folgenden TLS-Versionen abgelehnt werden sollen:
|
BigQuery
Betroffene BigQuery-Funktionen
| Funktion | Beschreibung |
|---|---|
| BigQuery für einen neuen Ordner aktivieren | BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt. |
| Nicht unterstützte Funktionen | Die folgenden BigQuery-Features werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Sie sind dafür verantwortlich, sie nicht in BigQuery für Assured Workloads zu verwenden.
|
| BigQuery-Befehlszeile | Die BigQuery-Befehlszeile wird unterstützt.
|
| Google Cloud SDK | Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um Garantien für die Datenregionalisierung für technische Daten aufrechtzuerhalten. Führen Sie gcloud --version und dann gcloud components update aus, um die aktuelle Google Cloud SDK-Version zu prüfen und auf die neueste Version zu aktualisieren.
|
| Steuerelemente für Administratoren | In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Ordners für gesicherte Arbeitslasten können eine nicht unterstützte API jedoch aktivieren. In diesem Fall werden Sie über das Dashboard für das Assured Workloads-Monitoring über potenzielle Nichteinhaltung informiert. |
| Daten laden | BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Sie sind dafür verantwortlich, BigQuery Data Transfer Service-Connectors nicht für Arbeitslasten in Brasilien zu verwenden. |
| Drittanbieter-Übertragungen | BigQuery prüft nicht, ob Drittanbieter-Übertragungen für den BigQuery Data Transfer Service unterstützt werden. Sie sind dafür verantwortlich, den Support zu prüfen, wenn Sie eine Übertragung von Drittanbietern für den BigQuery Data Transfer Service verwenden. |
| Nicht konforme BQML-Modelle | Extern trainierte BQML-Modelle werden nicht unterstützt. |
| Abfragejobs | Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden. |
| Abfragen zu Datensätzen in anderen Projekten | In BigQuery wird nicht verhindert, dass Assured Workloads-Datasets von Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Achten Sie darauf, dass alle Abfragen, die Lese- oder Join-Vorgänge auf Assured Workloads-Daten umfassen, in einem Assured Workloads-Ordner abgelegt werden. Sie können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
|
| Cloud Logging | BigQuery verwendet Cloud Logging für einige Ihrer Protokolldaten. Sie sollten Ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf die entsprechenden Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Weitere Informationen finden Sie unter Logs regionalisieren. |
Compute Engine
Betroffene Compute Engine-Funktionen
| Funktion | Beschreibung |
|---|---|
| Gastumgebung | Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Bilder oder Kundenservicemitarbeiter auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.
Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen. |
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen, Beschreiben oder Auflisten globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft. |
compute.restrictNonConfidentialComputing |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Weitere Informationen finden Sie in der Dokumentation zu Confidential VMs. |
compute.trustedImageProjects |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen.
Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden. |
Cloud Logging
Betroffene Cloud Logging-Funktionen
| Funktion | Beschreibung |
|---|---|
| Logsenken | Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten. |
| Live-Tailing-Logeinträge | Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten. |