此页面由 Cloud Translation API 翻译。

刑事司法信息系统 (CJIS) 控制软件包

本页介绍了在 Assured Workloads 中对 CJI 工作负载应用的一组控制措施。其中详细介绍了数据驻留、支持的 Google Cloud 产品及其 API 端点，以及这些产品的所有适用限制。以下额外信息适用于 CJI：

数据驻留：CJIS 控制包会将数据位置控制设置为仅支持美国区域。如需了解详情，请参阅Google Cloud级组织政策限制部分。
支持：订阅增强型或高级 Cloud Customer Care 后，您可以获得适用于 CJIS 工作负载的技术支持服务。CJIS 工作负载支持请求会转给已完成 CJIS 背景调查且位于美国境内的美国人。如需了解详情，请参阅获取支持。
价格：CJIS 控制包包含在 Assured Workloads 的专业版层级中，需要额外支付 20% 的费用。如需了解详情，请参阅 Assured Workloads 价格。

前提条件

作为 CJIS 控制包的用户，若要保持合规，请确保您满足并遵守以下前提条件：

使用 Assured Workloads 创建一个 CJIS 文件夹，并仅在该文件夹中部署 CJIS 工作负载。
仅为 CJIS 工作负载启用和使用适用范围内的 CJIS 服务。
除非您了解并愿意接受可能发生的数据驻留风险，否则请勿更改默认的组织政策约束条件值。
不妨考虑采用 Google Cloud 安全最佳实践中心中提供的常规安全最佳实践。
访问 Google Cloud 控制台时，您可以选择使用管辖区 Google Cloud 控制台。您无需使用管辖区级控制台来满足 CJI 要求。 Google Cloud 您可以通过以下任一网址访问该报告：
- console.us.cloud.google.com
- console.us.cloud.google（适用于联合身份用户）

支持的产品和 API 端点

除非另有说明，否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。下表列出了影响受支持产品功能的限制或限制条件，包括通过组织政策限制条件设置强制执行的限制。

如果某款产品未列出，则表示该产品不受支持，并且未满足 CJIS 的控制要求。建议您在未执行尽职调查并彻底了解共担责任模型中您的责任的情况下，不要使用不受支持的产品。在使用不受支持的产品之前，请确保您了解并愿意接受相关的所有风险，例如对数据驻留地或数据主权产生负面影响。

支持的产品	API 端点	限制
Access Context Manager	`accesscontextmanager.googleapis.com`	无
Access Transparency	`accessapproval.googleapis.com`	无
AlloyDB for PostgreSQL	`alloydb.googleapis.com`	无
Apigee	`apigee.googleapis.com`	无
Artifact Registry	`artifactregistry.googleapis.com`	无
BigQuery	`bigquery.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	受影响的功能
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	无
Certificate Authority Service	`privateca.googleapis.com`	无
Cloud Build	`cloudbuild.googleapis.com`	无
Cloud Composer	`composer.googleapis.com`	无
Cloud DNS	`dns.googleapis.com`	受影响的功能
Cloud Data Fusion	`datafusion.googleapis.com`	无
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	无
Cloud HSM	`cloudkms.googleapis.com`	无
Cloud Identity	`cloudidentity.googleapis.com`	无
Cloud Interconnect	`compute.googleapis.com`	受影响的功能
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	组织政策限制条件
Cloud Load Balancing	`compute.googleapis.com`	受影响的功能
Cloud Logging	`logging.googleapis.com`	受影响的功能
Cloud Monitoring	`monitoring.googleapis.com`	受影响的功能
Cloud NAT	`compute.googleapis.com`	受影响的功能
Cloud OS Login API	`oslogin.googleapis.com`	无
Cloud Router	`compute.googleapis.com`	受影响的功能
Cloud Run	`run.googleapis.com`	受影响的功能
Cloud SQL	`sqladmin.googleapis.com`	无
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	无
Cloud Storage	`storage.googleapis.com`	无
Cloud Tasks	`cloudtasks.googleapis.com`	无
Cloud VPN	`compute.googleapis.com`	受影响的功能
Cloud Vision API	`vision.googleapis.com`	无
Cloud Workstations	`workstations.googleapis.com`	无
Compute Engine	`compute.googleapis.com`	受影响的功能以及组织政策限制
连接	`gkeconnect.googleapis.com`	无
敏感数据保护	`dlp.googleapis.com`	无
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	无
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	无
Eventarc	`eventarc.googleapis.com`	无
Filestore	`file.googleapis.com`	无
Firebase 安全规则	`firebaserules.googleapis.com`	无
Firestore	`firestore.googleapis.com`	无
GKE Hub	`gkehub.googleapis.com`	无
GKE Identity Service	`anthosidentityservice.googleapis.com`	无
Vertex AI 上的生成式 AI	`aiplatform.googleapis.com`	无
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	受影响的功能
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	无
Google 管理控制台	`N/A`	无
Identity and Access Management (IAM)	`iam.googleapis.com`	无
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	无
Memorystore for Redis	`redis.googleapis.com`	无
Network Connectivity Center	`networkconnectivity.googleapis.com`	受影响的功能
Persistent Disk	`compute.googleapis.com`	无
Pub/Sub	`pubsub.googleapis.com`	无
Resource Manager	`cloudresourcemanager.googleapis.com`	无
Secret Manager	`secretmanager.googleapis.com`	无
Spanner	`spanner.googleapis.com`	组织政策限制条件
Speech-to-Text	`speech.googleapis.com`	受影响的功能
Storage Transfer Service	`storagetransfer.googleapis.com`	无
Text-to-Speech	`texttospeech.googleapis.com`	无
VPC Service Controls	`accesscontextmanager.googleapis.com`	无
Vertex AI Search	`discoveryengine.googleapis.com`	受影响的功能
Vertex AI Workbench	`notebooks.googleapis.com`	无
Virtual Private Cloud (VPC)	`compute.googleapis.com`	无

限制和局限

以下部分介绍了 Google Cloud适用于各项功能的全体限制或产品限制，包括默认在 CJI 文件夹上设置的所有组织政策限制。其他适用的组织政策限制条件（即使默认设置未设置）可以提供额外的深度防御，以进一步保护贵组织的 Google Cloud 资源。

Google Cloud宽

受影响的 Google Cloud范围的功能

功能	说明
Google Cloud 控制台	如需在使用 CJIS 控制包时访问 Google Cloud 控制台，您可以选择使用司法管辖区 Google Cloud 控制台。司法管辖区 Google Cloud 控制台对 CJIS 而言并非必需，您可以使用以下任一网址访问该控制台： console.us.cloud.google.com console.us.cloud.google（适用于联合身份用户）如需了解详情，请参阅“管辖区”控制台 Google Cloud 页面。

功能

说明

Google Cloud 控制台

如需在使用 CJIS 控制包时访问 Google Cloud 控制台，您可以选择使用司法管辖区 Google Cloud 控制台。司法管辖区 Google Cloud 控制台对 CJIS 而言并非必需，您可以使用以下任一网址访问该控制台：

console.us.cloud.google.com
console.us.cloud.google（适用于联合身份用户）

如需了解详情，请参阅“管辖区”控制台 Google Cloud 页面。

Google Cloud级组织政策限制条件

以下组织政策限制条件适用于 Google Cloud。

组织政策限制条件	说明
`gcp.resourceLocations`	将其设置为 `allowedValues` 列表中的以下位置： `us-locations` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` 此值将新资源的创建限制为仅所选值。设置此标志后，您将无法在所选区域、多区域位置或其他位置创建任何资源。如需查看可以受“资源位置”组织政策限制条件约束的资源列表，请参阅资源位置支持的服务，因为某些资源可能不在政策的适用范围内，无法受到限制。如果更改此值，则允许更少的数据在合规数据边界之外创建或存储，从而可能破坏数据驻留。
`gcp.restrictCmekCryptoKeyProjects`	设置为 `under:organizations/your-organization-name`，即您的 Assured Workloads 组织。您可以通过指定项目或文件夹来进一步限制此值。限制已获批准的文件夹或项目的范围（这些文件夹或项目可提供 Cloud KMS 密钥用于使用 CMEK 加密静态数据）。此限制条件可防止未获批准的文件夹或项目提供加密密钥，从而有助于保证范围内服务的静态数据的数据主权。
`gcp.restrictNonCmekServices`	设置为所有范围内的 API 服务名称的列表，包括： `bigquery.googleapis.com` `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` 对于上述每个服务，一些功能可能会受到影响。每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥（而不是 Google 的默认加密机制）加密静态数据。如果通过从列表中移除一个或多个范围内的服务来更改此值，则可能会破坏数据主权，因为系统会使用 Google 自己的密钥（而不是您自己的密钥）自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
`gcp.restrictServiceUsage`	设置为允许所有受支持的产品和 API 端点。通过限制运行时对其资源的访问权限，确定可以使用哪些服务。如需了解详情，请参阅限制资源使用。
`gcp.restrictTLSVersion`	设置为拒绝以下 TLS 版本： `TLS_1_0` `TLS_1_1` 如需了解详情，请参阅限制 TLS 版本页面。

BigQuery

受影响的 BigQuery 功能

功能	说明
在新文件夹上启用 BigQuery	系统支持 BigQuery，但由于内部配置流程，当您创建新的“受保工作负载”文件夹时，系统不会自动启用 BigQuery。此过程通常需要 10 分钟才能完成，但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery，请完成以下步骤：在 Google Cloud 控制台中，前往 Assured Workloads 页面。前往 Assured Workloads 从列表中选择新的 Assured Workloads 文件夹。在文件夹详情页面的允许的服务部分，点击查看可用更新。在允许的服务窗格中，查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务，请点击允许服务将其添加。如果未列出 BigQuery 服务，请等待内部流程完成。如果在创建文件夹后的 12 小时内未列出服务，请与 Cloud Customer Care 联系。启用流程完成后，您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。可靠工作负载不支持 Gemini in BigQuery。
不受支持的功能	BigQuery CLI 不支持以下 BigQuery 功能，也不应在其中使用这些功能。您有责任确保不在 BigQuery for Assured Workloads 中使用这些函数。与远程数据源交互不支持在外部训练的 BQML 模型。支持内部训练的 BQML 模型。动态数据遮盖 GDrive 导出远程函数已保存的查询工作流安排对于 BigQuery Studio，笔记本不受支持。不支持 Gemini in BigQuery。
BigQuery 命令行界面	支持 BigQuery CLI。
Google Cloud SDK	您必须使用 Google Cloud SDK 403.0.0 或更高版本，才能保证技术数据的数据区域划分。如需验证您当前的 Google Cloud SDK 版本，请运行 `gcloud --version`，然后运行 `gcloud components update` 以更新到最新版本。
管理员控制功能	BigQuery 会停用不受支持的 API，但具有足够权限创建“受保工作负载”文件夹的管理员可以启用不受支持的 API。如果发生这种情况，您会通过 Assured Workloads Monitoring 信息中心收到可能违规的通知。
正在加载数据	不支持 Google 软件即服务 (SaaS) 应用、外部云端存储空间提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任确保不将 BigQuery Data Transfer Service 连接器用于 CJIS 工作负载。
第三方转移作业	BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用 BigQuery Data Transfer Service 的任何第三方传输服务时，您有责任自行确认支持情况。
不合规的 BQML 模型	不支持在外部训练的 BQML 模型。
查询作业	只能在 Assured Workloads 文件夹中创建查询作业。
对其他项目中的数据集进行查询	BigQuery 不会阻止从非 Assured Workloads 项目查询 Assured Workloads 数据集。您应确保将对 Assured Workloads 数据执行读取或联接的任何查询都放置在 Assured Workloads 文件夹中。您可以在 BigQuery CLI 中使用 `projectname.dataset.table` 为其查询结果指定完全限定表名称。
Cloud Logging	BigQuery 会将您的部分日志数据存储在 Cloud Logging 中。您应使用以下命令停用 `_default` 日志记录存储分区或将 `_default` 存储分区限制为在适用范围内的区域，以确保合规： `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` 如需了解详情，请参阅区域化存储日志。

Compute Engine

受影响的 Compute Engine 功能

功能	说明
暂停和恢复虚拟机实例	此功能处于禁用状态。暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
本地 SSD	此功能处于禁用状态。您将无法创建具有本地 SSD 的实例，因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
客机环境	客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置，系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等，请参阅客机环境。这些组件可帮助您通过内部安全控制和流程满足数据主权。不过，如果您想要额外控制，还可以挑选自己的映像或代理，并选择性地使用 `compute.trustedImageProjects` 组织政策限制条件。如需了解详情，请参阅构建自定义映像页面。
`instances.getSerialPortOutput()`	此 API 已停用；您将无法使用此 API 从指定实例获取串行端口输出。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。
`instances.getScreenshot()`	此 API 已停用；您将无法使用此 API 从指定实例获取屏幕截图。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。

Compute Engine 组织政策限制条件

组织政策限制条件	说明
`compute.disableGlobalCloudArmorPolicy`	设置为 True。禁止创建新的 Google Cloud Armor 安全政策，以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则，也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。区域性 Google Cloud Armor 安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。
`compute.disableInstanceDataAccessApis`	设置为 True。全局停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。启用此限制条件会阻止您在 Windows Server 虚拟机上生成凭据。如果您需要管理 Windows 虚拟机上的用户名和密码，请执行以下操作：为 Windows 虚拟机启用 SSH。运行以下命令可更改虚拟机的密码： gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" 替换以下内容： `VM_NAME`：您要为其设置密码的虚拟机的名称。 `USERNAME`：您要为其设置密码的用户的用户名。 `PASSWORD`：新密码。
`compute.restrictNonConfidentialComputing`	（可选）不设置值。设置此值可提供额外的深度防御。如需了解详情，请参阅机密虚拟机文档。
`compute.trustedImageProjects`	（可选）不设置值。设置此值可提供额外的深度防御。设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理，从而影响数据主权。

Cloud Interconnect

受影响的 Cloud Interconnect 功能

功能	说明
高可用性 (HA) VPN	将 Cloud Interconnect 与 Cloud VPN 搭配使用时，您必须启用高可用性 (HA) VPN 功能。此外，您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。

Cloud KMS

Cloud KMS 组织政策限制条件

组织政策限制条件	说明
`cloudkms.allowedProtectionLevels`	设置为允许创建具有以下保护级别的 Cloud Key Management Service CryptoKey： `SOFTWARE` `HSM` `EXTERNAL` `EXTERNAL_VPC` 如需了解详情，请参阅保护级别。

Cloud Logging

受影响的 Cloud Logging 功能

功能	说明
日志接收器	过滤条件不应包含客户数据。日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。
Live Tailing 日志条目	过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据，但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。

Cloud Monitoring

受影响的 Cloud Monitoring 功能

功能	说明
合成监控工具	此功能处于禁用状态。
正常运行时间检查	此功能处于禁用状态。
信息中心中的日志面板微件	此功能处于禁用状态。您无法向信息中心添加日志面板。
信息中心中的 Error Reporting 面板小部件	此功能处于禁用状态。您无法向信息中心添加错误报告面板。
在 `EventAnnotation` 中过滤信息中心	此功能处于禁用状态。无法在信息中心中设置 `EventAnnotation` 过滤条件。
`alertPolicies` 中的 `SqlCondition`	此功能处于禁用状态。您无法将 `SqlCondition` 添加到 `alertPolicy`。

Cloud Run

受影响的 Cloud Run 功能

功能	说明
不受支持的功能	不支持以下 Cloud Run 功能： Cloud Trace 集成 Cloud Run functions Eventarc 触发器

Cloud VPN

受影响的 Cloud VPN 功能

功能	说明
VPN 端点	您必须仅使用位于美国境内的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在美国区域使用。

Google Cloud Armor

受影响的 Google Cloud Armor 功能

功能	说明
全球范围的安全政策	此功能已因 `compute.disableGlobalCloudArmorPolicy` 组织政策限制而被停用。

Spanner

Spanner 组织政策限制条件

组织政策限制条件	说明
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	设置为 True。停用了创建多区域 Spanner 实例以强制执行数据驻留和数据主权的功能。

Speech-to-Text

受影响的语音转文字功能

功能	说明
自定义语音转文字模型	自定义 Speech-to-Text 模型不符合 CJIS 要求，因此您有责任不使用这些模型。

Vertex AI Search

受影响的 Vertex AI Search 功能

功能	说明
搜索调整	Vertex AI Search 搜索优化功能不符合 CJIS 要求，因此您有责任不使用该功能。
通用建议	Vertex AI Search 通用推荐功能不符合 CJIS 要求，因此您有责任不使用该功能。
媒体推荐	Vertex AI Search 媒体推荐功能不符合 CJIS 要求，因此您有责任不使用该功能。

后续步骤

了解如何创建 Assured Workloads 文件夹
了解 Assured Workloads 价格