Diese Seite wurde von der Cloud Translation API übersetzt.

CJIS-Kontrollpaket (Criminal Justice Information Systems)

Auf dieser Seite werden die Kontrollmechanismen beschrieben, die auf CJIS-Arbeitslasten in Assured Workloads angewendet werden. Sie enthält detaillierte Informationen zu Speicherort von Daten, unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen Einschränkungen für diese Produkte. Für CJIS gelten die folgenden zusätzlichen Informationen:

Datenstandort: Das CJIS-Kontrollpaket legt Steuerelemente für den Datenstandort fest, um nur Regionen in den USA zu unterstützen. Weitere Informationen finden Sie im Abschnitt Einschränkungen fürGoogle Cloud-weite Organisationsrichtlinien.
Support: Technische Supportdienste für CJIS-Arbeitslasten sind mit erweiterten oder Premium-Abos von Cloud Customer Care verfügbar. Supportanfragen zu CJIS-Arbeitslasten werden an in den USA ansässige US-Personen weitergeleitet, die CJIS-Zuverlässigkeitsüberprüfungen absolviert haben. Weitere Informationen finden Sie unter Support.
Preise: Das CJIS-Kontrollpaket ist in der Premium-Stufe von Assured Workloads enthalten. Für diese Stufe fällt eine zusätzliche Gebühr in Höhe von 20% an. Weitere Informationen finden Sie unter Preise für Assured Workloads.

Vorbereitung

Damit Sie als Nutzer des CJIS-Kontrollpakets weiterhin konform sind, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:

Erstellen Sie mit Assured Workloads einen CJIS-Ordner und stellen Sie Ihre CJIS-Arbeitslasten nur in diesem Ordner bereit.
Aktivieren und verwenden Sie nur CJIS-Dienste im Geltungsbereich für CJIS-Arbeitslasten.
Ändern Sie die Standardwerte für die Einschränkungen von Organisationsrichtlinien nur, wenn Sie die damit verbundenen Risiken für den Datenspeicherort kennen und bereit sind, sie in Kauf zu nehmen.
Sie sollten die allgemeinen Best Practices für die Sicherheit im Google Cloud Center für Sicherheits-Best-Practices berücksichtigen.
Wenn Sie auf die Google Cloud -Konsole zugreifen, können Sie die Google Cloud -Konsole für Gerichtsbarkeiten verwenden. Sie müssen die Google Cloud Console für die Rechtsprechung nicht für CJIS verwenden. Sie können über eine der folgenden URLs darauf zugreifen:
- console.us.cloud.google.com
- console.us.cloud.google für Nutzer mit föderierter Identität

Unterstützte Produkte und API-Endpunkte

Sofern nicht anders angegeben, können Nutzer über die Google Cloud -Konsole auf alle unterstützten Produkte zugreifen. In der folgenden Tabelle sind Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derjenigen, die durch Einschränkungen für Organisationsrichtlinien erzwungen werden, aufgeführt.

Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und erfüllt nicht die Kontrollanforderungen für CJIS. Die Verwendung von nicht unterstützten Produkten wird ohne sorgfältige Prüfung und ohne umfassendes Verständnis Ihrer Verantwortlichkeiten im Rahmen des Modells der geteilten Verantwortung nicht empfohlen. Bevor Sie ein nicht unterstütztes Produkt verwenden, müssen Sie sich über die damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf die Datenspeicherung oder Datensouveränität.

Unterstütztes Produkt	API-Endpunkte	Einschränkungen
Access Context Manager	`accesscontextmanager.googleapis.com`	Keine
Access Transparency	`accessapproval.googleapis.com`	Keine
AlloyDB for PostgreSQL	`alloydb.googleapis.com`	Keine
Apigee	`apigee.googleapis.com`	Keine
Artifact Registry	`artifactregistry.googleapis.com`	Keine
BigQuery	`bigquery.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Betroffene Funktionen
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Keine
Certificate Authority Service	`privateca.googleapis.com`	Keine
Cloud Build	`cloudbuild.googleapis.com`	Keine
Cloud Composer	`composer.googleapis.com`	Keine
Cloud DNS	`dns.googleapis.com`	Betroffene Funktionen
Cloud Data Fusion	`datafusion.googleapis.com`	Keine
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Keine
Cloud HSM	`cloudkms.googleapis.com`	Keine
Cloud Identity	`cloudidentity.googleapis.com`	Keine
Cloud Interconnect	`compute.googleapis.com`	Betroffene Funktionen
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Einschränkungen für Organisationsrichtlinien
Cloud Load Balancing	`compute.googleapis.com`	Betroffene Funktionen
Cloud Logging	`logging.googleapis.com`	Betroffene Funktionen
Cloud Monitoring	`monitoring.googleapis.com`	Betroffene Funktionen
Cloud NAT	`compute.googleapis.com`	Betroffene Funktionen
Cloud OS Login API	`oslogin.googleapis.com`	Keine
Cloud Router	`compute.googleapis.com`	Betroffene Funktionen
Cloud Run	`run.googleapis.com`	Betroffene Funktionen
Cloud SQL	`sqladmin.googleapis.com`	Keine
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	Keine
Cloud Storage	`storage.googleapis.com`	Keine
Cloud Tasks	`cloudtasks.googleapis.com`	Keine
Cloud VPN	`compute.googleapis.com`	Betroffene Funktionen
Cloud Vision API	`vision.googleapis.com`	Keine
Cloud Workstations	`workstations.googleapis.com`	Keine
Compute Engine	`compute.googleapis.com`	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Connect	`gkeconnect.googleapis.com`	Keine
Sensitive Data Protection	`dlp.googleapis.com`	Keine
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Keine
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Keine
Eventarc	`eventarc.googleapis.com`	Keine
Filestore	`file.googleapis.com`	Keine
Firebase-Sicherheitsregeln	`firebaserules.googleapis.com`	Keine
Firestore	`firestore.googleapis.com`	Keine
GKE Hub	`gkehub.googleapis.com`	Keine
GKE Identity Service	`anthosidentityservice.googleapis.com`	Keine
Generative KI in Vertex AI	`aiplatform.googleapis.com`	Keine
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	Betroffene Funktionen
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Keine
Google Admin-Konsole	`N/A`	Keine
Identitäts- und Zugriffsverwaltung	`iam.googleapis.com`	Keine
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Keine
Memorystore for Redis	`redis.googleapis.com`	Keine
Network Connectivity Center	`networkconnectivity.googleapis.com`	Betroffene Funktionen
Persistent Disk	`compute.googleapis.com`	Keine
Pub/Sub	`pubsub.googleapis.com`	Keine
Resource Manager	`cloudresourcemanager.googleapis.com`	Keine
Secret Manager	`secretmanager.googleapis.com`	Keine
Spanner	`spanner.googleapis.com`	Einschränkungen für Organisationsrichtlinien
Speech-to-Text	`speech.googleapis.com`	Betroffene Funktionen
Storage Transfer Service	`storagetransfer.googleapis.com`	Keine
Text-to-Speech	`texttospeech.googleapis.com`	Keine
VPC Service Controls	`accesscontextmanager.googleapis.com`	Keine
Vertex AI Search	`discoveryengine.googleapis.com`	Betroffene Funktionen
Vertex AI Workbench	`notebooks.googleapis.com`	Keine
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Keine

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit CJIS-Dateien festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.

Google Cloudbreit

Betroffene Google Cloud-weite Funktionen

Funktion	Beschreibung
Google Cloud console	Wenn Sie das CJIS-Kontrollpaket verwenden, können Sie für den Zugriff auf die Google Cloud Konsole die Konsole für Gerichtsbarkeiten Google Cloud verwenden. Die Google Cloud Jurisdictional Console ist für CJIS nicht erforderlich. Sie können über eine der folgenden URLs darauf zugreifen: console.us.cloud.google.com console.us.cloud.google für Nutzer mit föderierter Identität Weitere Informationen finden Sie auf der Seite Jurisdictional Console Google Cloud .

Funktion

Beschreibung

Google Cloud console

Wenn Sie das CJIS-Kontrollpaket verwenden, können Sie für den Zugriff auf die Google Cloud Konsole die Konsole für Gerichtsbarkeiten Google Cloud verwenden. Die Google Cloud Jurisdictional Console ist für CJIS nicht erforderlich. Sie können über eine der folgenden URLs darauf zugreifen:

console.us.cloud.google.com
console.us.cloud.google für Nutzer mit föderierter Identität

Weitere Informationen finden Sie auf der Seite Jurisdictional Console Google Cloud .

Einschränkungen fürGoogle Cloud-weite Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.

Einschränkung der Organisationsrichtlinie	Beschreibung
`gcp.resourceLocations`	Legen Sie in der Liste `allowedValues` die folgenden Standorte fest: `us-locations` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die ausgewählten Werte. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Eine Liste der Ressourcen, die durch die Einschränkung der Organisationsrichtlinie „Ressourcenstandorte“ eingeschränkt werden können, finden Sie unter Unterstützte Dienste für Ressourcenstandorte. Einige Ressourcen fallen möglicherweise nicht in den Geltungsbereich und können nicht eingeschränkt werden. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen.
`gcp.restrictCmekCryptoKeyProjects`	Legen Sie `under:organizations/your-organization-name` fest, die Assured Workloads-Organisation. Sie können diesen Wert weiter einschränken, indem Sie ein Projekt oder einen Ordner angeben. Beschränkt den Bereich genehmigter Ordner oder Projekte, die Cloud KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `bigquery.googleapis.com` `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten bleiben mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictServiceUsage`	Legen Sie fest, dass alle unterstützten Produkte und API-Endpunkte zugelassen werden. Bestimmt, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.
`gcp.restrictTLSVersion`	Legen Sie fest, dass die folgenden TLS-Versionen abgelehnt werden: `TLS_1_0` `TLS_1_1` Weitere Informationen finden Sie auf der Seite TLS-Versionen einschränken.

BigQuery

Betroffene BigQuery-Funktionen

Funktion	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu „Assured Workloads“ Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen. Überprüfen Sie im Bereich Zugelassene Dienste die Dienste, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen. Wenn BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt sind, wenden Sie sich an den Cloud Customer Care. Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Features werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Sie sind dafür verantwortlich, sie nicht in BigQuery für Assured Workloads zu verwenden. Interaktion mit Remote-Datenquellen Äußerlich trainierte BQML-Modelle werden nicht unterstützt. Intern trainierte BQML-Modelle werden unterstützt. Dynamische Datenmaskierung GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Notebooks werden in BigQuery Studio nicht unterstützt. Gemini in BigQuery wird nicht unterstützt.
BigQuery-Befehlszeile	Die BigQuery-Befehlszeile wird unterstützt.
Google Cloud SDK	Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um Garantien für die Datenregionalisierung für technische Daten aufrechtzuerhalten. Führen Sie `gcloud --version` und dann `gcloud components update` aus, um die aktuelle Google Cloud SDK-Version zu prüfen und auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren	In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Ordners für gesicherte Arbeitslasten können eine nicht unterstützte API jedoch aktivieren. In diesem Fall werden Sie über das Dashboard für das Assured Workloads-Monitoring über potenzielle Nichteinhaltung informiert.
Daten laden	BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Sie sind dafür verantwortlich, BigQuery Data Transfer Service-Connectors nicht für CJIS-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen	BigQuery prüft nicht, ob Drittanbieter-Übertragungen für den BigQuery Data Transfer Service unterstützt werden. Sie sind dafür verantwortlich, den Support zu prüfen, wenn Sie eine Übertragung von Drittanbietern für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle	Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs	Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden.
Abfragen zu Datensätzen in anderen Projekten	In BigQuery wird nicht verhindert, dass Assured Workloads-Datasets von Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Achten Sie darauf, dass alle Abfragen, die Lese- oder Join-Vorgänge auf Assured Workloads-Daten umfassen, in einem Assured Workloads-Ordner abgelegt werden. Sie können mit `projectname.dataset.table` in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging	BigQuery verwendet Cloud Logging für einige Ihrer Protokolldaten. Sie sollten Ihre `_default`-Logging-Buckets deaktivieren oder `_default`-Buckets auf die entsprechenden Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Weitere Informationen finden Sie unter Logs regionalisieren.

Compute Engine

Betroffene Compute Engine-Funktionen

Funktion	Beschreibung
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Im Abschnitt oben finden Sie die Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`. Dort erfahren Sie, welche Auswirkungen die Aktivierung dieser Funktion auf die Datensouveränität und den Datenspeicherort hat.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Im Abschnitt oben finden Sie die Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`. Dort erfahren Sie, welche Auswirkungen die Aktivierung dieser Funktion auf die Datensouveränität und den Datenspeicherort hat.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration werden Updates für diese Software möglicherweise standardmäßig installiert. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Bilder oder Kundenservicemitarbeiter auswählen und optional die Organisationsrichtlinieneinschränkung `compute.trustedImageProjects` verwenden. Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
`instances.getSerialPortOutput()`	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
`instances.getScreenshot()`	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`compute.disableGlobalCloudArmorPolicy`	Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen, Beschreiben oder Auflisten globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
`compute.disableInstanceDataAccessApis`	Auf True festlegen. Deaktiviert global die APIs `instances.getSerialPortOutput()` und `instances.getScreenshot()`. Wenn Sie diese Einschränkung aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten möchten, gehen Sie so vor: Aktivieren Sie SSH für Windows-VMs. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Replace the following: `VM_NAME`: Der Name der VM, für die Sie das Passwort festlegen. `USERNAME`: Der Nutzername des Nutzers, für den Sie das Passwort festlegen. `PASSWORD`: Das neue Passwort.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Weitere Informationen finden Sie in der Dokumentation zu Confidential VMs.
`compute.trustedImageProjects`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Cloud Interconnect

Betroffene Cloud Interconnect-Funktionen

Funktion	Beschreibung
Hochverfügbarkeits-VPN	Sie müssen die VPN-Funktion mit Hochverfügbarkeit (HA) aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die Verschlüsselungs- und Regionalisierungsanforderungen einhalten, die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführt sind.

Cloud KMS

Einschränkungen der Cloud KMS-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`cloudkms.allowedProtectionLevels`	Legen Sie fest, dass Cloud Key Management Service-CryptoKeys mit den folgenden Schutzebenen erstellt werden dürfen: `SOFTWARE` `HSM` `EXTERNAL` `EXTERNAL_VPC` Weitere Informationen finden Sie unter Schutzniveaus.

Cloud Logging

Betroffene Cloud Logging-Funktionen

Funktion	Beschreibung
Logsenken	Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge	Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.

Cloud Monitoring

Betroffene Cloud Monitoring-Funktionen

Funktion	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnosen	Die Funktion ist deaktiviert.
Logbereich-Widgets in Dashboards	Die Funktion ist deaktiviert. Sie können einem Dashboard kein Protokollfeld hinzufügen.
Widgets für den Bereich „Error Reporting“ in Dashboards	Die Funktion ist deaktiviert. Sie können einem Dashboard kein Steuerfeld für Fehlerberichte hinzufügen.
In `EventAnnotation` nach Dashboards filtern	Die Funktion ist deaktiviert. Der Filter für `EventAnnotation` kann nicht in einem Dashboard festgelegt werden.
`SqlCondition` in `alertPolicies`	Die Funktion ist deaktiviert. Sie können einem `alertPolicy` kein `SqlCondition` hinzufügen.

Cloud Run

Betroffene Cloud Run-Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Cloud Run-Funktionen werden nicht unterstützt: Cloud Trace-Einbindung Cloud Run Functions Eventarc-Trigger

Cloud VPN

Betroffene Cloud VPN-Funktionen

Funktion	Beschreibung
VPN-Endpunkte	Sie dürfen nur in den USA befindliche Cloud VPN-Endpunkte verwenden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer US-Region konfiguriert ist.

Google Cloud Armor

Betroffene Google Cloud Armor-Funktionen

Funktion	Beschreibung
Globale Sicherheitsrichtlinien	Diese Funktion ist aufgrund der Einschränkung der `compute.disableGlobalCloudArmorPolicy`-Richtlinie deaktiviert.

Spanner

Einschränkungen für Spanner-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Auf True festlegen. Deaktiviert die Möglichkeit, multiregionale Spanner-Instanzen zu erstellen, um den Datenstandort und die Datenhoheit zu erzwingen.

Speech-to-Text

Betroffene Speech-to-Text-Funktionen

Funktion	Beschreibung
Benutzerdefinierte Speech-to-Text-Modelle	Sie sind dafür verantwortlich, keine benutzerdefinierten Modelle für die Spracherkennung zu verwenden, da diese nicht den CJIS-Anforderungen entsprechen.

Vertex AI Search

Betroffene Vertex AI Search-Funktionen

Funktion	Beschreibung
Suche optimieren	Sie sind dafür verantwortlich, die Suchoptimierungsfunktion von Vertex AI Search nicht zu verwenden, da sie nicht CJIS-konform ist.
Allgemeine Empfehlungen	Sie sind dafür verantwortlich, die Funktion „Allgemeine Empfehlungen“ von Vertex AI Search nicht zu verwenden, da sie nicht den CJIS-Anforderungen entspricht.
Empfehlungen für Medien	Sie sind dafür verantwortlich, die Funktion „Medienempfehlungen“ in Vertex AI Search nicht zu verwenden, da sie nicht CJIS-konform ist.