刑事司法信息系统 (CJIS) 的数据边界
本页面介绍了在 Assured Workloads 中应用于 CJIS 工作负载的一组控制措施。其中详细介绍了数据留存、支持的 Google Cloud 产品及其 API 端点,以及这些产品适用的任何限制。以下附加信息适用于 CJIS:
- 数据驻留:CJIS 控制软件包设置数据位置控制,以支持仅限美国区域。如需了解详情,请参阅Google Cloud范围的组织政策限制条件部分。
- 支持:通过增强型或高级 Cloud Customer Care 订阅,您可以获得针对 CJIS 工作负载的技术支持服务。CJIS 工作负载支持服务请求会转给位于美国境内且已完成 CJIS 背景调查的美国人。如需了解详情,请参阅获取支持。
- 价格:CJIS 控制软件包包含在 Assured Workloads 的专业版层级中,会产生 20% 的额外费用。如需了解详情,请参阅 Assured Workloads 价格。
前提条件
作为 CJIS 控制包的用户,为了保持合规性,请验证您是否满足并遵守以下前提条件:
- 使用 Assured Workloads 创建 CJIS 文件夹,并仅在该文件夹中部署 CJIS 工作负载。
- 仅为 CJIS 工作负载启用和使用适用范围内的 CJIS 服务。
- 除非您了解并愿意接受可能发生的数据驻留风险,否则请勿更改默认的组织政策限制条件值。
- 不妨采纳Google Cloud 安全最佳实践中心提供的一般安全最佳实践。
- 访问 Google Cloud 控制台时,您可以选择使用管辖区 Google Cloud 控制台。您无需使用管辖区级 Google Cloud 控制台来满足 CJIS 要求。您可以通过以下网址之一访问该文件:
支持的产品和 API 端点
除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。 下表列出了影响受支持产品的功能的限制,包括通过组织政策限制条件设置强制执行的限制。
如果某产品未列出,则表示该产品不受支持,并且不符合 CJIS 的控制要求。在未尽到合理注意义务且未充分了解您在责任共担模型中的责任之前,不建议使用不受支持的产品。在使用不受支持的产品之前,请确保您了解并愿意接受任何相关风险,例如对数据留存或数据主权产生负面影响。
| 支持的产品 | API 端点 | 限制或局限 |
|---|---|---|
| Access Context Manager |
accesscontextmanager.googleapis.com |
无 |
| Access Transparency |
accessapproval.googleapis.com |
无 |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
无 |
| Apigee |
apigee.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| Backup for GKE |
gkebackup.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
受影响的功能 |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
无 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
无 |
| Certificate Authority Service |
privateca.googleapis.com |
无 |
| Cloud Build |
cloudbuild.googleapis.com |
无 |
| Cloud Composer |
composer.googleapis.com |
无 |
| Cloud DNS |
dns.googleapis.com |
受影响的功能 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
无 |
| Cloud Run functions |
run.googleapis.com |
无 |
| Cloud HSM |
cloudkms.googleapis.com |
无 |
| Cloud Identity |
cloudidentity.googleapis.com |
无 |
| Cloud Interconnect |
compute.googleapis.com |
受影响的功能 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
组织政策限制条件 |
| Cloud Load Balancing |
compute.googleapis.com |
受影响的功能 |
| Cloud Logging |
logging.googleapis.com |
受影响的功能 |
| Cloud Monitoring |
monitoring.googleapis.com |
受影响的功能 |
| Cloud NAT |
compute.googleapis.com |
受影响的功能 |
| Cloud OS Login API |
oslogin.googleapis.com |
无 |
| Cloud Router |
compute.googleapis.com |
受影响的功能 |
| Cloud Run |
run.googleapis.com |
受影响的功能 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
受影响的功能 |
| Cloud Vision API |
vision.googleapis.com |
无 |
| Cloud Workstations |
workstations.googleapis.com |
无 |
| Compute Engine |
compute.googleapis.com |
受影响的功能 和组织政策限制条件 |
| Connect |
gkeconnect.googleapis.com |
无 |
| Dialogflow CX |
dialogflow.googleapis.com |
无 |
| 敏感数据保护 |
dlp.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
无 |
| Dataform |
dataform.googleapis.com |
受影响的功能 |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
无 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
无 |
| Document AI |
documentai.googleapis.com |
无 |
| 重要联系人 |
essentialcontacts.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Firebase 安全规则 |
firebaserules.googleapis.com |
无 |
| Firestore |
firestore.googleapis.com |
无 |
| GKE Hub |
gkehub.googleapis.com |
无 |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
无 |
| Vertex AI 上的生成式 AI |
aiplatform.googleapis.com |
无 |
| Google Agentspace |
discoveryengine.googleapis.com |
无 |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
受影响的功能 |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
无 |
| Google 管理控制台 |
N/A |
无 |
| 身份和访问权限管理 (IAM) |
iam.googleapis.com |
无 |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
无 |
| Infrastructure Manager |
config.googleapis.com |
无 |
| Looker (Google Cloud Core) |
looker.googleapis.com |
无 |
| Memorystore for Redis |
redis.googleapis.com |
无 |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
受影响的功能 |
| 组织政策服务 |
orgpolicy.googleapis.com |
无 |
| Persistent Disk |
compute.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
无 |
| Resource Manager |
cloudresourcemanager.googleapis.com |
无 |
| Secret Manager |
secretmanager.googleapis.com |
无 |
| Secure Source Manager |
securesourcemanager.googleapis.com |
无 |
| Spanner |
spanner.googleapis.com |
组织政策限制条件 |
| Speech-to-Text |
speech.googleapis.com |
受影响的功能 |
| Storage Transfer Service |
storagetransfer.googleapis.com |
无 |
| Text-to-Speech |
texttospeech.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
| Vertex AI Search |
discoveryengine.googleapis.com |
受影响的功能 |
| Vertex AI Workbench |
notebooks.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
| Web Risk |
webrisk.googleapis.com |
无 |
限制和局限
以下部分介绍了功能方面的 Google Cloud范围或产品特定限制,包括默认在 CJIS 文件夹中设置的任何组织政策限制。其他适用的组织政策限制条件(即使默认设置未设置)可以提供额外的深度防御,以进一步保护贵组织的 Google Cloud 资源。
Google Cloud宽
受影响的 Google Cloud范围功能
| 功能 | 说明 |
|---|---|
| Google Cloud 控制台 | 使用 CJIS 控制软件包时,如需访问 Google Cloud 控制台,您可以选择使用管辖区 Google Cloud 控制台。CJIS 不需要使用管辖权 Google Cloud 控制台,可以通过以下网址之一访问该控制台: 如需了解详情,请参阅管辖区 Google Cloud 控制台页面。 |
Google Cloud范围的组织政策限制条件
以下组织政策限制条件适用于 Google Cloud。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 allowedValues 列表中的以下位置:
如果更改此值,则允许更少的数据在合规的数据边界之外创建或存储,从而可能破坏数据驻留。 |
gcp.restrictCmekCryptoKeyProjects |
设置为 under:organizations/your-organization-name,即您的 Assured Workloads 组织。您可以通过指定项目或文件夹来进一步限制此值。限制已获批准的文件夹或项目的范围(这些文件夹或项目可提供 Cloud KMS 密钥用于使用 CMEK 加密静态数据)。此限制条件可防止未批准的文件夹或项目提供加密密钥,从而有助于保证范围内服务的静态数据的数据主权。 |
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥(而不是 Google 的默认加密机制)加密静态数据。 如果通过从列表中移除一个或多个范围内的服务来更改此值,则可能会破坏数据主权,因为系统会使用 Google 自己的密钥(而不是您自己的密钥)自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。 |
gcp.restrictServiceUsage |
设置为允许所有受支持的产品和 API 端点。 通过限制对运行时资源的访问来确定哪些服务可以使用。如需了解详情,请参阅限制资源使用。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
BigQuery
受影响的 BigQuery 功能
| 功能 | 说明 |
|---|---|
| 在新文件夹中启用 BigQuery | BigQuery 受支持,但由于内部配置流程,在您创建新的 Assured Workloads 文件夹时,系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery,请完成以下步骤:
启用流程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。 Assured Workloads 不支持 Gemini in BigQuery。 |
| 不受支持的功能 | 以下 BigQuery 功能不受支持,不应在 BigQuery CLI 中使用。您有责任不在 BigQuery for Assured Workloads 中使用这些模型。
|
| BigQuery CLI | 支持 BigQuery CLI。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。
|
| 管理员控制功能 | BigQuery 会停用不受支持的 API,但有足够权限创建 Assured Workloads 文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您将通过 Assured Workloads 监控信息中心收到有关可能不合规的通知。 |
| 正在加载数据 | 不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于 CJIS 工作负载。 |
| 第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移作业来执行 BigQuery Data Transfer Service 时,您有责任验证支持情况。 |
| 不合规的 BQML 模型 | 不支持外部训练的 BQML 模型。 |
| 查询作业 | 查询作业应仅在 Assured Workloads 文件夹中创建。 |
| 针对其他项目中的数据集执行查询 | BigQuery 不会阻止从非 Assured Workloads 项目查询 Assured Workloads 数据集。您应确保对 Assured Workloads 数据进行读取或联接的任何查询都放在 Assured Workloads 文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为查询结果指定完全限定的表名称。
|
| Cloud Logging | BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 _default 日志记录存储分区或将 _default 存储分区限制为仅限相关地区,以确保合规性。为此,请使用以下命令:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
如需了解详情,请参阅区域化存储日志。 |
Compute Engine
受影响的 Compute Engine 功能
| 功能 | 说明 |
|---|---|
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。 请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。
|
| 本地 SSD | 此功能处于禁用状态。 无法创建具有本地 SSD 的实例,因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。 |
| 客机环境 | 客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您需要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。
如需了解详情,请参阅构建自定义映像页面。 |
| 虚拟机管理器中的操作系统政策 |
操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。
因此,请勿在这些文件中包含任何敏感信息。
或者,考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情,请参阅操作系统政策示例。 如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源,请启用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 组织政策限制条件。如需了解详情,请参阅 OS 配置的限制。 |
instances.getSerialPortOutput()
|
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False,以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。
|
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False,以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。
|
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建新的Google Cloud Armor 安全政策,以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。 |
compute.disableInstanceDataAccessApis
| 设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此限制条件后,您将无法在 Windows Server 虚拟机上生成凭据。 如果您需要在 Windows 虚拟机上管理用户名和密码,请执行以下操作:
|
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.trustedImageProjects |
(可选)不设置值。设置此值可提供额外的深度防御。
设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。 |
Dataform
受影响的 Dataform 功能
| 功能 | 说明 |
|---|---|
| 特性 | 您有责任不使用 Vertex Colab Enterprise 产品或功能,因为该产品或功能不符合 CJIS 要求。 |
Cloud Interconnect
受影响的 Cloud Interconnect 功能
| 功能 | 说明 |
|---|---|
| 高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。 |
Cloud KMS
Cloud KMS 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
cloudkms.allowedProtectionLevels |
设置为允许创建具有以下保护级别的 Cloud Key Management Service CryptoKey:
|
Cloud Logging
受影响的 Cloud Logging 功能
| 功能 | 说明 |
|---|---|
| 日志接收器 | 过滤条件不应包含客户数据。 日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。 |
| Live Tailing 日志条目 | 过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。 |
Cloud Monitoring
受影响的 Cloud Monitoring 功能
| 功能 | 说明 |
|---|---|
| 合成监控工具 | 此功能处于禁用状态。 |
| 拨测 | 此功能处于禁用状态。 |
| 信息中心中的日志面板 widget | 此功能处于禁用状态。 您无法向信息中心添加日志面板。 |
| 信息中心中的错误报告面板 widget | 此功能处于禁用状态。 您无法向信息中心添加错误报告面板。 |
EventAnnotation 中的过滤条件
适用于信息中心
|
此功能处于禁用状态。 无法在信息中心内设置 EventAnnotation
的过滤条件。
|
SqlCondition
在 alertPolicies 中
|
此功能处于禁用状态。 您无法向 alertPolicy 添加 SqlCondition。
|
Cloud Run
受影响的 Cloud Run 功能
| 功能 | 说明 |
|---|---|
| 不受支持的功能 | 不支持以下 Cloud Run 功能: |
Cloud VPN
受影响的 Cloud VPN 功能
| 功能 | 说明 |
|---|---|
| VPN 端点 | 您必须仅使用位于适用区域中的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在适用区域中使用。 |
Google Cloud Armor
受影响的 Google Cloud Armor 功能
| 功能 | 说明 |
|---|---|
| 全球范围的安全政策 | 此功能已因组织政策限制而被停用。
compute.disableGlobalCloudArmorPolicy |
Spanner
Spanner 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
spanner.disableMultiRegionInstanceIfNoLocationSelected |
设置为 True。 停用创建多区域 Spanner 实例的功能,以强制执行数据驻留和数据主权。 |
Speech-to-Text
受影响的 Speech-to-Text 功能
| 功能 | 说明 |
|---|---|
| 自定义 Speech-to-Text 模型 | 您有责任不使用自定义 Speech-to-Text 模型,因为这些模型不符合 CJIS 标准。 |
Vertex AI Search
受影响的 Vertex AI Search 功能
| 功能 | 说明 |
|---|---|
| 搜索调整 | 您有责任不使用 Vertex AI Search 搜索调优功能,因为该功能不符合 CJIS 要求。 |
| 一般性建议 | 您有责任不使用 Vertex AI Search 通用推荐功能,因为该功能不符合 CJIS 要求。 |
| 媒体建议 | 您有责任不使用 Vertex AI Search 媒体推荐功能,因为该功能不符合 CJIS 要求。 |