Datengrenze für Criminal Justice Information Systems (CJIS)
Auf dieser Seite werden die Kontrollmechanismen beschrieben, die auf CJIS-Arbeitslasten in Assured Workloads angewendet werden. Es enthält detaillierte Informationen zu Datenspeicherort, unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen anwendbaren Einschränkungen für diese Produkte. Für CJIS gelten die folgenden zusätzlichen Informationen:
- Datenstandort: Das CJIS-Kontrollpaket legt die Standortkontrollen für Daten so fest, dass nur Regionen in den USA unterstützt werden. Weitere Informationen finden Sie im Abschnitt Google Cloud-weite Einschränkungen für Organisationsrichtlinien.
- Support: Technische Supportdienste für CJIS-Arbeitslasten sind mit Abos für den erweiterten oder Premium-Cloud Customer Care-Support verfügbar. Supportfälle für CJIS-Arbeitslasten werden an US-Bürger in den USA weitergeleitet, die CJIS-Zuverlässigkeitsüberprüfungen absolviert haben. Weitere Informationen finden Sie unter Support.
- Preise: Das CJIS-Kontrollpaket ist in der Premium-Version von Assured Workloads enthalten, für die eine zusätzliche Gebühr von 20% anfällt. Weitere Informationen finden Sie unter Preise für Assured Workloads.
Vorbereitung
Damit Sie als Nutzer des CJIS-Kontrollpakets die Compliance-Anforderungen erfüllen, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:
- Erstellen Sie einen CJIS-Ordner mit Assured Workloads und stellen Sie Ihre CJIS-Arbeitslasten nur in diesem Ordner bereit.
- Aktivieren und verwenden Sie nur CJIS-Dienste, die in den Anwendungsbereich fallen, für CJIS-Arbeitslasten.
- Ändern Sie die Standardwerte für die Einschränkung der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenspeicherort verstehen und bereit sind, diese zu akzeptieren.
- Wir empfehlen Ihnen, die allgemeinen Best Practices für die Sicherheit zu übernehmen, die im Google Cloud Center für Sicherheits-Best-Practices beschrieben werden.
- Wenn Sie auf die Google Cloud Konsole zugreifen, können Sie die Jurisdictional Google Cloud Konsole verwenden.
Sie müssen die Google Cloud Console für die Gerichtsbarkeit nicht für CJIS verwenden. Sie können über eine der folgenden URLs darauf zugreifen:
- console.us.cloud.google.com
- console.us.cloud.google für Nutzer mit föderierten Identitäten
Unterstützte Produkte und API-Endpunkte
Sofern nicht anders angegeben, können Nutzer über die Google Cloud Konsole auf alle unterstützten Produkte zugreifen. Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derer, die durch Einschränkungseinstellungen für Organisationsrichtlinien erzwungen werden, sind in der folgenden Tabelle aufgeführt.
Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und hat die Kontrollanforderungen für CJIS nicht erfüllt. Die Verwendung nicht unterstützter Produkte wird nicht empfohlen, ohne dass Sie Ihre Verantwortlichkeiten im Modell der geteilten Verantwortung sorgfältig geprüft und verstanden haben. Bevor Sie ein nicht unterstütztes Produkt verwenden, sollten Sie sich über alle damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf den Speicherort oder die Souveränität von Daten.
| Unterstütztes Produkt | API-Endpunkte | Einschränkungen oder Beschränkungen |
|---|---|---|
| Access Context Manager |
accesscontextmanager.googleapis.com |
Keine |
| Access Transparency |
accessapproval.googleapis.com |
Keine |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
Keine |
| Apigee |
apigee.googleapis.com |
Keine |
| Artifact Registry |
artifactregistry.googleapis.com |
Keine |
| Sicherung für GKE |
gkebackup.googleapis.com |
Keine |
| BigQuery |
bigquery.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Betroffene Funktionen |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Keine |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Keine |
| Certificate Authority Service |
privateca.googleapis.com |
Keine |
| Cloud Build |
cloudbuild.googleapis.com |
Keine |
| Cloud Composer |
composer.googleapis.com |
Keine |
| Cloud DNS |
dns.googleapis.com |
Betroffene Funktionen |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Keine |
| Cloud Run Functions |
run.googleapis.com |
Keine |
| Cloud HSM |
cloudkms.googleapis.com |
Keine |
| Cloud Identity |
cloudidentity.googleapis.com |
Keine |
| Cloud Interconnect |
compute.googleapis.com |
Betroffene Funktionen |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Einschränkungen für Organisationsrichtlinien |
| Cloud Load Balancing |
compute.googleapis.com |
Betroffene Funktionen |
| Cloud Logging |
logging.googleapis.com |
Betroffene Funktionen |
| Cloud Monitoring |
monitoring.googleapis.com |
Betroffene Funktionen |
| Cloud NAT |
compute.googleapis.com |
Betroffene Funktionen |
| Cloud OS Login API |
oslogin.googleapis.com |
Keine |
| Cloud Router |
compute.googleapis.com |
Betroffene Funktionen |
| Cloud Run |
run.googleapis.com |
Betroffene Funktionen |
| Cloud SQL |
sqladmin.googleapis.com |
Keine |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
Keine |
| Cloud Storage |
storage.googleapis.com |
Keine |
| Cloud Tasks |
cloudtasks.googleapis.com |
Keine |
| Cloud VPN |
compute.googleapis.com |
Betroffene Funktionen |
| Cloud Vision API |
vision.googleapis.com |
Keine |
| Cloud Workstations |
workstations.googleapis.com |
Keine |
| Compute Engine |
compute.googleapis.com |
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Connect |
gkeconnect.googleapis.com |
Keine |
| Dialogflow CX |
dialogflow.googleapis.com |
Keine |
| Sensitive Data Protection |
dlp.googleapis.com |
Keine |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Keine |
| Dataform |
dataform.googleapis.com |
Betroffene Funktionen |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Keine |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Keine |
| Document AI |
documentai.googleapis.com |
Keine |
| Wichtige Kontakte |
essentialcontacts.googleapis.com |
Keine |
| Eventarc |
eventarc.googleapis.com |
Keine |
| Filestore |
file.googleapis.com |
Keine |
| Firebase-Sicherheitsregeln |
firebaserules.googleapis.com |
Keine |
| Firestore |
firestore.googleapis.com |
Keine |
| GKE Hub |
gkehub.googleapis.com |
Keine |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
Keine |
| Generative KI in Vertex AI |
aiplatform.googleapis.com |
Keine |
| Google Agentspace |
discoveryengine.googleapis.com |
Keine |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Betroffene Funktionen |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Keine |
| Google Admin-Konsole |
N/A |
Keine |
| Identitäts- und Zugriffsverwaltung |
iam.googleapis.com |
Keine |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Keine |
| Infrastructure Manager |
config.googleapis.com |
Keine |
| Looker (Google Cloud Core) |
looker.googleapis.com |
Keine |
| Memorystore for Redis |
redis.googleapis.com |
Keine |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Betroffene Funktionen |
| Organisationsrichtliniendienst |
orgpolicy.googleapis.com |
Keine |
| Persistent Disk |
compute.googleapis.com |
Keine |
| Pub/Sub |
pubsub.googleapis.com |
Keine |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Keine |
| Secret Manager |
secretmanager.googleapis.com |
Keine |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Keine |
| Spanner |
spanner.googleapis.com |
Einschränkungen für Organisationsrichtlinien |
| Speech-to-Text |
speech.googleapis.com |
Betroffene Funktionen |
| Storage Transfer Service |
storagetransfer.googleapis.com |
Keine |
| Text-to-Speech |
texttospeech.googleapis.com |
Keine |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Keine |
| Vertex AI Search |
discoveryengine.googleapis.com |
Betroffene Funktionen |
| Vertex AI Workbench |
notebooks.googleapis.com |
Keine |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Keine |
| Web Risk |
webrisk.googleapis.com |
Keine |
Limits und Einschränkungen
In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für CJIS-Ordner festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche gestaffelte Sicherheitsebene bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.
Google Cloud – breit
Betroffene Google Cloud-weite Funktionen
| Funktion | Beschreibung |
|---|---|
| Google Cloud console | Wenn Sie das CJIS-Kontrollpaket verwenden, können Sie über die Jurisdictional Google Cloud -Konsole auf die Google Cloud -Konsole zugreifen. Die Google Cloud -Konsole ist für CJIS nicht erforderlich und kann über eine der folgenden URLs aufgerufen werden:
|
Google Cloud-weite Einschränkungen für Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie die folgenden Standorte in der Liste allowedValues fest:
Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen. |
gcp.restrictCmekCryptoKeyProjects |
Auf under:organizations/your-organization-name festgelegt, Ihre Assured Workloads-Organisation. Sie können diesen Wert weiter einschränken, indem Sie ein Projekt oder einen Ordner angeben.Beschränkt den Bereich genehmigter Ordner oder Projekte, die Cloud KMS-Schlüssel für die Verschlüsselung von Daten im Ruhezustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs. |
gcp.restrictNonCmekServices |
Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt. |
gcp.restrictServiceUsage |
Auf „Alle unterstützten Produkte und API-Endpunkte zulassen“ festlegen. Legt fest, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken. |
gcp.restrictTLSVersion |
Auf „Verweigern“ setzen für die folgenden TLS-Versionen:
|
BigQuery
Betroffene BigQuery-Funktionen
| Funktion | Beschreibung |
|---|---|
| BigQuery für einen neuen Ordner aktivieren | BigQuery wird unterstützt, ist aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Das liegt an einem internen Konfigurationsprozess. Dieser Vorgang dauert normalerweise zehn Minuten, kann unter Umständen aber auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
Nachdem der Aktivierungsprozess abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt. |
| Nicht unterstützte Funktionen | Die folgenden BigQuery-Funktionen werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in Ihrer Verantwortung, sie nicht in BigQuery für Assured Workloads zu verwenden.
|
| BigQuery-Befehlszeile | Die BigQuery-Befehlszeile wird unterstützt.
|
| Google Cloud SDK | Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um die Regionalisierungsgarantien für technische Daten aufrechtzuerhalten. Führen Sie gcloud --version aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann gcloud components update, um auf die neueste Version zu aktualisieren.
|
| Steuerelemente für Administratoren | In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können jedoch eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Assured Workloads-Monitoring-Dashboard über potenzielle Compliance-Verstöße benachrichtigt. |
| Daten laden | BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service (SaaS)), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, BigQuery Data Transfer Service-Connectors nicht für CJIS-Arbeitslasten zu verwenden. |
| Drittanbieter-Übertragungen | BigQuery überprüft nicht, ob Drittanbieterübertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, den Support zu prüfen, wenn Sie einen Drittanbieter-Transfer für den BigQuery Data Transfer Service verwenden. |
| Nicht konforme BQML-Modelle | Extern trainierte BQML-Modelle werden nicht unterstützt. |
| Abfragejobs | Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden. |
| Abfragen für Datasets in anderen Projekten | BigQuery verhindert nicht, dass Assured Workloads-Datasets aus Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Alle Abfragen, die Daten aus Assured Workloads lesen oder mit ihnen verknüpfen, sollten in einem Assured Workloads-Ordner platziert werden. Sie können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
|
| Cloud Logging | BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten die Protokollierungs-Buckets für _default deaktivieren oder _default-Buckets auf Regionen beschränken, die den Anforderungen entsprechen. Verwenden Sie dazu den folgenden Befehl:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Weitere Informationen finden Sie unter Logs regionalisieren. |
Compute Engine
Betroffene Compute Engine-Funktionen
| Funktion | Beschreibung |
|---|---|
| VM-Instanz anhalten bzw. fortsetzen | Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices.
|
| Lokale SSDs | Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices.
|
| Gastumgebung | Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und ‑prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.
Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen. |
| Betriebssystemrichtlinien in VM Manager |
Inline-Skripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt.
Daher sollten Sie in diesen Dateien keine vertraulichen Informationen angeben.
Alternativ können Sie diese Skripts und Ausgabedateien in Cloud Storage-Buckets speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien. Wenn Sie das Erstellen oder Ändern von OS Policy-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die constraints/osconfig.restrictInlineScriptAndOutputFileUsage-Organisationsrichtlinieneinschränkung.Weitere Informationen finden Sie unter Einschränkungen für OS Config. |
instances.getSerialPortOutput()
|
Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
|
instances.getScreenshot() |
Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
|
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft. |
compute.disableInstanceDataAccessApis
| Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().Wenn Sie diese Einschränkung aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor:
|
compute.restrictNonConfidentialComputing |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Weitere Informationen finden Sie in der Confidential VM-Dokumentation. |
compute.trustedImageProjects |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten.
Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden. |
Dataform
Betroffene Dataform-Funktionen
| Funktion | Beschreibung |
|---|---|
| Features | Es liegt in Ihrer Verantwortung, das Produkt Vertex Colab Enterprise oder seine Funktionen nicht zu verwenden, da es nicht CJIS-konform ist. |
Cloud Interconnect
Betroffene Cloud Interconnect-Funktionen
| Funktion | Beschreibung |
|---|---|
| Hochverfügbarkeits-VPN | Sie müssen die HA VPN-Funktion aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten. |
Cloud KMS
Einschränkungen für Cloud KMS-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
cloudkms.allowedProtectionLevels |
Eingestellt, um die Erstellung von Cloud Key Management Service-CryptoKeys mit den folgenden Schutzstufen zu ermöglichen:
|
Cloud Logging
Betroffene Cloud Logging-Funktionen
| Funktion | Beschreibung |
|---|---|
| Logsenken | Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten. |
| Live-Tailing-Logeinträge | Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten. |
Cloud Monitoring
Betroffene Cloud Monitoring-Funktionen
| Funktion | Beschreibung |
|---|---|
| Synthetischer Monitor | Die Funktion ist deaktiviert. |
| Verfügbarkeitsdiagnosen | Die Funktion ist deaktiviert. |
| Log-Bereich-Widgets in Dashboards | Die Funktion ist deaktiviert. Sie können einem Dashboard kein Log-Feld hinzufügen. |
| Widgets für den Bereich „Error Reporting“ in Dashboards | Die Funktion ist deaktiviert. Ein Dashboard kann kein Fehlerberichtsfeld enthalten. |
Filtern in EventAnnotation für Dashboards
|
Die Funktion ist deaktiviert. Der Filter für EventAnnotation
kann nicht in einem Dashboard festgelegt werden.
|
SqlCondition
in alertPolicies
|
Die Funktion ist deaktiviert. Sie können kein SqlCondition
zu einem
alertPolicy hinzufügen.
|
Cloud Run
Betroffene Cloud Run-Funktionen
| Funktion | Beschreibung |
|---|---|
| Nicht unterstützte Funktionen | Die folgenden Cloud Run-Funktionen werden nicht unterstützt: |
Cloud VPN
Betroffene Cloud VPN-Funktionen
| Funktion | Beschreibung |
|---|---|
| VPN-Endpunkte | Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in einer Region befinden, die in den Anwendungsbereich fällt. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region konfiguriert ist, die in den Anwendungsbereich fällt. |
Google Cloud Armor
Betroffene Google Cloud Armor-Funktionen
| Funktion | Beschreibung |
|---|---|
| Global gültige Sicherheitsrichtlinien | Diese Funktion wurde durch die Einschränkung der compute.disableGlobalCloudArmorPolicy-Organisationsrichtlinie deaktiviert.
|
Spanner
Einschränkungen für Spanner-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Auf True festlegen. Deaktiviert die Möglichkeit, multiregionale Spanner-Instanzen zu erstellen, um den Datenstandort und die Datenhoheit zu erzwingen. |
Speech-to-Text
Betroffene Speech-to-Text-Funktionen
| Funktion | Beschreibung |
|---|---|
| Benutzerdefinierte Speech-to-Text-Modelle | Es liegt in Ihrer Verantwortung, keine benutzerdefinierten Speech-to-Text-Modelle zu verwenden, da diese nicht CJIS-konform sind. |
Vertex AI Search
Betroffene Vertex AI Search-Funktionen
| Funktion | Beschreibung |
|---|---|
| Suchoptimierung | Es liegt in Ihrer Verantwortung, die Funktion zum Optimieren der Suche in Vertex AI Search nicht zu verwenden, da sie nicht CJIS-konform ist. |
| Allgemeine Empfehlungen | Es liegt in Ihrer Verantwortung, die Funktion für allgemeine Empfehlungen von Vertex AI Search nicht zu verwenden, da sie nicht CJIS-konform ist. |
| Empfehlungen für Media | Es liegt in Ihrer Verantwortung, die Funktion für Medienempfehlungen in Vertex AI Search nicht zu verwenden, da sie nicht CJIS-konform ist. |