Die Namen einiger Assured Workloads-Kontrollpakete haben sich geändert. Weitere Informationen zur Namensänderung finden Sie unter Hinweis zur Umbenennung von Kontrollpaketen.

Diese Seite wurde von der Cloud Translation API übersetzt.

Datengrenze und Support für die EU

Auf dieser Seite werden die Kontrollen beschrieben, die auf EU Data Boundary- und Support-Workloads in Assured Workloads angewendet werden. Es enthält detaillierte Informationen zu Datenspeicherort, unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen anwendbaren Einschränkungen für diese Produkte. Die folgenden zusätzlichen Informationen gelten für die Datengrenze und den Support für die EU:

Datenstandort: Das Kontrollpaket für die EU-Datengrenze und den Support legt die Steuerelemente für den Datenstandort so fest, dass nur EU-Regionen unterstützt werden. Weitere Informationen finden Sie im Abschnitt Google Cloud-weite Einschränkungen für Organisationsrichtlinien.
Support: Technische Supportdienste für Arbeitslasten mit Datengrenze und Support für die EU sind mit Abos für erweiterten oder Premium-Cloud Customer Care verfügbar. Supportfälle für die Datengrenze und Support-Workloads für die EU werden an EU-Mitarbeiter in der EU weitergeleitet. Weitere Informationen finden Sie unter Support erhalten.
Preise: Das Kontrollpaket für die EU-Datengrenze und den Support ist in der Premium-Stufe von Assured Workloads enthalten, für die eine zusätzliche Gebühr von 5% anfällt. Weitere Informationen finden Sie unter Preise für Assured Workloads.

Unterstützte Produkte und API-Endpunkte

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Konsole auf alle unterstützten Produkte zugreifen. Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derer, die durch Einschränkungseinstellungen für Organisationsrichtlinien erzwungen werden, sind in der folgenden Tabelle aufgeführt.

Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und hat die Kontrollanforderungen für die EU-Datengrenze und den Support nicht erfüllt. Die Verwendung nicht unterstützter Produkte wird nicht empfohlen, ohne dass Sie Ihre Verantwortlichkeiten im Modell der geteilten Verantwortung sorgfältig geprüft und verstanden haben. Bevor Sie ein nicht unterstütztes Produkt verwenden, sollten Sie sich über alle damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf den Speicherort oder die Souveränität von Daten.

Unterstütztes Produkt	API-Endpunkte	Einschränkungen oder Beschränkungen
Zugriffsgenehmigung	`accessapproval.googleapis.com`	Keine
Access Context Manager	`accesscontextmanager.googleapis.com`	Keine
Access Transparency	`accessapproval.googleapis.com`	Keine
AlloyDB for PostgreSQL	`alloydb.googleapis.com`	Keine
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	Keine
Apigee	`apigee.googleapis.com`	Keine
Artifact Registry	`artifactregistry.googleapis.com`	Keine
Sicherung für GKE	`gkebackup.googleapis.com`	Keine
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Betroffene Funktionen
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Keine
Certificate Authority Service	`privateca.googleapis.com`	Keine
Cloud Build	`cloudbuild.googleapis.com`	Keine
Cloud Composer	`composer.googleapis.com`	Keine
Cloud DNS	`dns.googleapis.com`	Keine
Cloud Data Fusion	`datafusion.googleapis.com`	Keine
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Keine
Cloud Run Functions	`run.googleapis.com`	Keine
Cloud HSM	`cloudkms.googleapis.com`	Keine
Cloud Interconnect	`compute.googleapis.com`	Keine
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Keine
Cloud Load Balancing	`compute.googleapis.com`	Keine
Cloud Logging	`logging.googleapis.com`	Betroffene Funktionen
Cloud Monitoring	`monitoring.googleapis.com`	Keine
Cloud NAT	`compute.googleapis.com`	Keine
Cloud OS Login API	`oslogin.googleapis.com`	Keine
Cloud Router	`compute.googleapis.com`	Keine
Cloud Run	`run.googleapis.com`	Betroffene Funktionen
Cloud SQL	`sqladmin.googleapis.com`	Keine
Cloud SQL for PostgreSQL	`sqladmin.googleapis.com`	Keine
Cloud Storage	`storage.googleapis.com`	Keine
Cloud Tasks	`cloudtasks.googleapis.com`	Keine
Cloud VPN	`compute.googleapis.com`	Keine
Cloud Vision API	`vision.googleapis.com`	Keine
Cloud Workstations	`workstations.googleapis.com`	Keine
Compute Engine	`compute.googleapis.com`	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Config Sync	`anthosconfigmanagement.googleapis.com`	Keine
Connect	`gkeconnect.googleapis.com`	Keine
Sensitive Data Protection	`dlp.googleapis.com`	Keine
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Keine
Dataform	`dataform.googleapis.com`	Keine
Dataplex Universal Catalog	`dataplex.googleapis.com` `datalineage.googleapis.com`	Keine
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Keine
Document AI	`documentai.googleapis.com`	Keine
Wichtige Kontakte	`essentialcontacts.googleapis.com`	Keine
Eventarc	`eventarc.googleapis.com`	Keine
Filestore	`file.googleapis.com`	Keine
Firebase-Sicherheitsregeln	`firebaserules.googleapis.com`	Keine
Firestore	`firestore.googleapis.com`	Keine
GKE Hub	`gkehub.googleapis.com`	Keine
GKE Identity Service	`anthosidentityservice.googleapis.com`	Keine
Generative KI in Vertex AI	`aiplatform.googleapis.com`	Keine
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	Betroffene Funktionen
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Keine
Google Cloud NetApp Volumes	`netapp.googleapis.com`	Betroffene Funktionen
Google Security Operations SIEM	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	Keine
Google Security Operations SOAR	`Not applicable`	Keine
Identitäts- und Zugriffsverwaltung	`iam.googleapis.com`	Keine
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Keine
Infrastructure Manager	`config.googleapis.com`	Keine
Looker (Google Cloud Core)	`looker.googleapis.com`	Keine
Memorystore for Redis	`redis.googleapis.com`	Keine
Network Connectivity Center	`networkconnectivity.googleapis.com`	Keine
Organisationsrichtliniendienst	`orgpolicy.googleapis.com`	Keine
Persistent Disk	`compute.googleapis.com`	Keine
Personalized Service Health	`servicehealth.googleapis.com`	Keine
Pub/Sub	`pubsub.googleapis.com`	Keine
Resource Manager	`cloudresourcemanager.googleapis.com`	Keine
Secret Manager	`secretmanager.googleapis.com`	Keine
Secure Source Manager	`securesourcemanager.googleapis.com`	Keine
Serverless VPC Access	`vpcaccess.googleapis.com`	Keine
Spanner	`spanner.googleapis.com`	Keine
Speech-to-Text	`speech.googleapis.com`	Keine
Storage Transfer Service	`storagetransfer.googleapis.com`	Keine
Cloud Service Mesh	`trafficdirector.googleapis.com`	Keine
VPC Service Controls	`accesscontextmanager.googleapis.com`	Keine
Vertex AI Search	`discoveryengine.googleapis.com`	Keine
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Keine

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit EU-Datengrenzen und Support festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche gestaffelte Sicherheitsebene bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.

Google Cloud – breit

Google Cloud-weite Einschränkungen für Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.

Einschränkung der Organisationsrichtlinie	Beschreibung
`gcp.resourceLocations`	Legen Sie die folgenden Standorte in der Liste `allowedValues` fest: `eu-locations` `europe-central2` `europe-north1` `europe-southwest1` `europe-west1` `europe-west3` `europe-west4` `europe-west8` `europe-west9` `europe-west10` `europe-west12` Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die ausgewählten Werte. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Eine Liste der Ressourcen, die durch die Organisationsrichtlinie „Ressourcenstandorte“ eingeschränkt werden können, finden Sie unter Von Ressourcenstandorten unterstützte Dienste. Einige Ressourcen sind möglicherweise nicht eingeschränkt. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen.
`gcp.restrictServiceUsage`	Auf „Alle unterstützten Produkte und API-Endpunkte zulassen“ festlegen. Legt fest, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.
`gcp.restrictTLSVersion`	Auf „Verweigern“ setzen für die folgenden TLS-Versionen: `TLS_1_0` `TLS_1_1` Weitere Informationen finden Sie auf der Seite TLS-Versionen einschränken.

BigQuery

Betroffene BigQuery-Funktionen

Funktion	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, ist aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Das liegt an einem internen Konfigurationsprozess. Dieser Vorgang dauert normalerweise zehn Minuten, kann unter Umständen aber auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu Assured Workloads Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen. Sehen Sie sich im Bereich Zugelassene Dienste die Dienste an, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Allow Services (Dienste zulassen), um sie hinzuzufügen. Wenn BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgeführt werden, wenden Sie sich an den Cloud Customer Care. Nachdem der Aktivierungsprozess abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Funktionen werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in Ihrer Verantwortung, sie nicht in BigQuery für Assured Workloads zu verwenden. Interaktion mit Remote-Datenquellen Extern trainierte BQML-Modelle werden nicht unterstützt. Intern trainierte BQML-Modelle werden unterstützt. Dynamische Datenmaskierung GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Für BigQuery Studio werden Notebooks nicht unterstützt. Gemini in BigQuery wird nicht unterstützt.
BigQuery-Befehlszeile	Die BigQuery-Befehlszeile wird unterstützt.
Google Cloud SDK	Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um die Regionalisierungsgarantien für technische Daten aufrechtzuerhalten. Führen Sie `gcloud --version` aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann `gcloud components update`, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren	In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können jedoch eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Assured Workloads-Monitoring-Dashboard über potenzielle Compliance-Verstöße benachrichtigt.
Daten laden	BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service (SaaS)), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, BigQuery Data Transfer Service-Connectors nicht für EU Data Boundary- und Support-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen	BigQuery überprüft nicht, ob Drittanbieterübertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, den Support zu prüfen, wenn Sie einen Drittanbieter-Transfer für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle	Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs	Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden.
Abfragen für Datasets in anderen Projekten	BigQuery verhindert nicht, dass Assured Workloads-Datasets aus Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Alle Abfragen, die Daten aus Assured Workloads lesen oder mit ihnen verknüpfen, sollten in einem Assured Workloads-Ordner platziert werden. Sie können mit `projectname.dataset.table` in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging	BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten die Protokollierungs-Buckets für `_default` deaktivieren oder `_default`-Buckets auf Regionen beschränken, die den Anforderungen entsprechen. Verwenden Sie dazu den folgenden Befehl: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Weitere Informationen finden Sie unter Logs regionalisieren.

Compute Engine

Betroffene Compute Engine-Funktionen

Funktion Beschreibung

Gastumgebung Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung.

Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und ‑prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.

Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.

Betriebssystemrichtlinien in VM Manager Inline-Skripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Daher sollten Sie in diesen Dateien keine vertraulichen Informationen angeben. Alternativ können Sie diese Skripts und Ausgabedateien in Cloud Storage-Buckets speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien.

Wenn Sie das Erstellen oder Ändern von OS Policy-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die constraints/osconfig.restrictInlineScriptAndOutputFileUsage-Organisationsrichtlinieneinschränkung.

Weitere Informationen finden Sie unter Einschränkungen für OS Config.

Funktion	Beschreibung
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und ‑prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung `compute.trustedImageProjects` verwenden. Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
Betriebssystemrichtlinien in VM Manager	Inline-Skripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Daher sollten Sie in diesen Dateien keine vertraulichen Informationen angeben. Alternativ können Sie diese Skripts und Ausgabedateien in Cloud Storage-Buckets speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien. Wenn Sie das Erstellen oder Ändern von OS Policy-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`-Organisationsrichtlinieneinschränkung. Weitere Informationen finden Sie unter Einschränkungen für OS Config.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`compute.disableGlobalCloudArmorPolicy`	Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.trustedImageProjects`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Google Cloud NetApp Volumes

Betroffene Google Cloud NetApp Volumes-Funktionen

Funktion	Beschreibung
Flex-Serviceniveau	Das Service-Level „Flex“ ist im Kontrollpaket „Datengrenze und Support für die EU“ nicht verfügbar.

Cloud Logging

Betroffene Cloud Logging-Funktionen

Funktion	Beschreibung
Logsenken	Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge	Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.