Confine e assistenza per i dati nell'UE

Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro del confine dei dati dell'UE e di assistenza in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, sui prodotti Google Cloud supportati e sui relativi endpoint API e su eventuali limitazioni o restrizioni applicabili a questi prodotti. Le seguenti informazioni aggiuntive si applicano a Confine e assistenza per i dati nell'UE:

Residenza dei dati: il pacchetto di controlli per il confine dei dati dell'UE e l'assistenza imposta i controlli della località dei dati in modo da supportare solo le regioni dell'UE. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
Assistenza: i servizi di assistenza tecnica per i carichi di lavoro di Confine e assistenza per i dati nell'UE sono disponibili con gli abbonamenti Cloud Customer Care Premium o Avanzata. Le richieste di assistenza per i carichi di lavoro di Confine e assistenza per i dati nell'UE vengono indirizzate al personale dell'UE che si trova nell'UE. Per saperne di più, consulta la sezione Richiedere assistenza.
Prezzi: il pacchetto di controlli per il confine dei dati dell'UE e l'assistenza è incluso nel livello Premium di Assured Workloads, che comporta un addebito aggiuntivo del 5%. Per ulteriori informazioni, consulta la pagina relativa ai prezzi di Assured Workloads.

Prodotti ed endpoint API supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le restrizioni o le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.

Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per il confine dei dati e l'assistenza dell'UE. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, come impatti negativi sulla residenza o sulla sovranità dei dati.

Prodotto supportato	Endpoint API	Restrizioni o limitazioni
Approvazione accesso	`accessapproval.googleapis.com`	Nessuno
Gestore contesto accesso	`accesscontextmanager.googleapis.com`	Nessuno
Access Transparency	`accessapproval.googleapis.com`	Nessuno
AlloyDB per PostgreSQL	`alloydb.googleapis.com`	Nessuno
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	Nessuno
Apigee	`apigee.googleapis.com`	Nessuno
Artifact Registry	`artifactregistry.googleapis.com`	Nessuno
Backup per GKE	`gkebackup.googleapis.com`	Nessuno
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Funzionalità interessate
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Nessuno
Certificate Authority Service	`privateca.googleapis.com`	Nessuno
Cloud Build	`cloudbuild.googleapis.com`	Nessuno
Cloud Composer	`composer.googleapis.com`	Nessuno
Cloud DNS	`dns.googleapis.com`	Nessuno
Cloud Data Fusion	`datafusion.googleapis.com`	Nessuno
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Nessuno
Cloud Run Functions	`run.googleapis.com`	Nessuno
Cloud HSM	`cloudkms.googleapis.com`	Nessuno
Cloud Interconnect	`compute.googleapis.com`	Nessuno
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Nessuno
Cloud Load Balancing	`compute.googleapis.com`	Nessuno
Cloud Logging	`logging.googleapis.com`	Funzionalità interessate
Cloud Monitoring	`monitoring.googleapis.com`	Nessuno
Cloud NAT	`compute.googleapis.com`	Nessuno
API Cloud OS Login	`oslogin.googleapis.com`	Nessuno
Cloud Router	`compute.googleapis.com`	Nessuno
Cloud Run	`run.googleapis.com`	Funzionalità interessate
Cloud SQL	`sqladmin.googleapis.com`	Nessuno
Cloud SQL per PostgreSQL	`sqladmin.googleapis.com`	Nessuno
Cloud Storage	`storage.googleapis.com`	Nessuno
Cloud Tasks	`cloudtasks.googleapis.com`	Nessuno
Cloud VPN	`compute.googleapis.com`	Nessuno
API Cloud Vision	`vision.googleapis.com`	Nessuno
Cloud Workstations	`workstations.googleapis.com`	Nessuno
Compute Engine	`compute.googleapis.com`	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Config Sync	`anthosconfigmanagement.googleapis.com`	Nessuno
Connect	`gkeconnect.googleapis.com`	Nessuno
Sensitive Data Protection	`dlp.googleapis.com`	Nessuno
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Nessuno
Dataform	`dataform.googleapis.com`	Nessuno
Dataplex Universal Catalog	`dataplex.googleapis.com` `datalineage.googleapis.com`	Nessuno
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nessuno
Document AI	`documentai.googleapis.com`	Nessuno
Contatti fondamentali	`essentialcontacts.googleapis.com`	Nessuno
Eventarc	`eventarc.googleapis.com`	Nessuno
Filestore	`file.googleapis.com`	Nessuno
Regole di sicurezza Firebase	`firebaserules.googleapis.com`	Nessuno
Firestore	`firestore.googleapis.com`	Nessuno
GKE Hub	`gkehub.googleapis.com`	Nessuno
Servizio di identità GKE	`anthosidentityservice.googleapis.com`	Nessuno
AI generativa su Vertex AI	`aiplatform.googleapis.com`	Nessuno
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	Funzionalità interessate
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Nessuno
Google Cloud NetApp Volumes	`netapp.googleapis.com`	Funzionalità interessate
Google Security Operations SIEM	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	Nessuno
Google Security Operations SOAR	`Not applicable`	Nessuno
Identity and Access Management (IAM)	`iam.googleapis.com`	Nessuno
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Nessuno
Infrastructure Manager	`config.googleapis.com`	Nessuno
Looker (Google Cloud core)	`looker.googleapis.com`	Nessuno
Memorystore for Redis	`redis.googleapis.com`	Nessuno
Network Connectivity Center	`networkconnectivity.googleapis.com`	Nessuno
Servizio Criteri dell'organizzazione	`orgpolicy.googleapis.com`	Nessuno
Persistent Disk	`compute.googleapis.com`	Nessuno
Personalized Service Health	`servicehealth.googleapis.com`	Nessuno
Pub/Sub	`pubsub.googleapis.com`	Nessuno
Resource Manager	`cloudresourcemanager.googleapis.com`	Nessuno
Secret Manager	`secretmanager.googleapis.com`	Nessuno
Secure Source Manager	`securesourcemanager.googleapis.com`	Nessuno
Accesso VPC serverless	`vpcaccess.googleapis.com`	Nessuno
Spanner	`spanner.googleapis.com`	Nessuno
Speech-to-Text	`speech.googleapis.com`	Nessuno
Storage Transfer Service	`storagetransfer.googleapis.com`	Nessuno
Cloud Service Mesh	`trafficdirector.googleapis.com`	Nessuno
Controlli di servizio VPC	`accesscontextmanager.googleapis.com`	Nessuno
Vertex AI Search	`discoveryengine.googleapis.com`	Nessuno
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Nessuno

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o le restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi i vincoli dei criteri dell'organizzazione impostati per impostazione predefinita nelle cartelle Limite dei dati dell'UE e Assistenza. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud dell'organizzazione.

Google Cloud-wide

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a Google Cloud.

Vincolo delle policy dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta le seguenti località nell'elenco `allowedValues`: `eu-locations` `europe-central2` `europe-north1` `europe-southwest1` `europe-west1` `europe-west3` `europe-west4` `europe-west8` `europe-west9` `europe-west10` `europe-west12` Questo valore limita la creazione di nuove risorse ai valori selezionati. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non limitabili. La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un confine dei dati conforme.
`gcp.restrictServiceUsage`	Imposta per consentire tutti i prodotti e gli endpoint API supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, vedi Limitazione dell'utilizzo delle risorse.
`gcp.restrictTLSVersion`	Imposta il rifiuto delle seguenti versioni TLS: `TLS_1_0` `TLS_1_1` Per saperne di più, consulta la pagina Limita le versioni TLS.

BigQuery

Funzionalità di BigQuery interessate

Funzionalità	Descrizione
Abilitazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se la procedura è terminata e per abilitare BigQuery, completa i seguenti passaggi: Nella console Google Cloud , vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella, nella sezione Servizi consentiti, fai clic su Esamina aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per Assured Workloads. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono supportati. Sono supportati i modelli BQML addestrati internamente. Mascheramento dinamico dei dati Esportazione di GDrive Funzioni remote Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, i notebook non sono supportati. Gemini in BigQuery non è supportato.
CLI BigQuery	L'interfaccia a riga di comando BigQuery è supportata.
Google Cloud SDK	Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui `gcloud --version` e poi `gcloud components update` per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads.
Caricamento di dati	I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per i workload relativi al perimetro dei dati dell'UE e all'assistenza.
Trasferimenti di terze parti	BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono supportati.
Job di query	I job di query devono essere creati solo all'interno delle cartelle Assured Workloads.
Query sui set di dati in altri progetti	BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads da progetti non Assured Workloads. Devi assicurarti che qualsiasi query che abbia una lettura o un join sui dati di Assured Workloads venga inserita in una cartella Assured Workloads. Puoi specificare un nome di tabella completo per il risultato della query utilizzando `projectname.dataset.table` nella CLI BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare i bucket di logging `_default` o limitare i bucket `_default` alle regioni incluse nell'ambito utilizzando il seguente comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Per ulteriori informazioni, consulta Regionalizzare i log.

Compute Engine

Funzionalità di Compute Engine interessate

Funzionalità Descrizione

Ambiente guest È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto.

Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e utilizzare facoltativamente il vincolo del criterio dell'organizzazione compute.trustedImageProjects.

Per ulteriori informazioni, consulta la pagina Creare un'immagine personalizzata.

Policy del sistema operativo in VM Manager Gli script incorporati e i file di output binari all'interno dei file delle norme del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Pertanto, non includere informazioni sensibili in questi file. In alternativa, valuta la possibilità di archiviare questi script e file di output nei bucket Cloud Storage. Per saperne di più, consulta Esempi di policy del sistema operativo.

Se vuoi limitare la creazione o la modifica di risorse dei criteri del sistema operativo che utilizzano script in linea o file di output binari, attiva il vincolo dei criteri dell'organizzazione constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Per saperne di più, consulta Vincoli per OS Config.

Funzionalità	Descrizione
Ambiente guest	È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e utilizzare facoltativamente il vincolo del criterio dell'organizzazione `compute.trustedImageProjects`. Per ulteriori informazioni, consulta la pagina Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager	Gli script incorporati e i file di output binari all'interno dei file delle norme del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Pertanto, non includere informazioni sensibili in questi file. In alternativa, valuta la possibilità di archiviare questi script e file di output nei bucket Cloud Storage. Per saperne di più, consulta Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse dei criteri del sistema operativo che utilizzano script in linea o file di output binari, attiva il vincolo dei criteri dell'organizzazione `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Per saperne di più, consulta Vincoli per OS Config.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
`compute.disableGlobalCloudArmorPolicy`	Imposta su True. Disabilita la creazione di nuove policy di sicurezza di Google Cloud Armor e l'aggiunta o la modifica di regole alle policy di sicurezza di Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sui criteri di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per saperne di più, consulta la documentazione di Confidential VM.
`compute.trustedImageProjects`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. L'impostazione di questo valore vincola l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Google Cloud NetApp Volumes

Funzionalità di Google Cloud NetApp Volumes interessate

Funzionalità	Descrizione
Livello di servizio flessibile	Il livello di servizio Flex non è disponibile nel pacchetto di controlli Confine e assistenza per i dati nell'UE.

Cloud Logging

Funzionalità di Cloud Logging interessate

Funzionalità	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti.
Voci di log di coda in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti.

Passaggi successivi

Scopri come creare una cartella Assured Workloads
Scopri di più sul pacchetto di controlli del confine dei dati dell'UE
Informazioni sui prezzi di Assured Workloads