Limite de dados da UE
Nesta página, descrevemos o conjunto de controles aplicados às workloads da fronteira de dados da UE no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos do Google Cloud compatíveis e os endpoints de API deles, além de restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais se aplicam ao limite de dados da UE:
- Residência de dados: o pacote de controle do limite de dados da UE define controles de localização de dados para oferecer suporte a regiões somente da UE. Consulte a seção Restrições da política da organização em toda aGoogle Cloud para mais informações.
- Suporte: os serviços de suporte técnico para cargas de trabalho do limite de dados da UE estão disponíveis com as assinaturas do Cloud Customer Care Standard, Enhanced ou Premium. Os casos de suporte do limite de dados da UE são encaminhados para a equipe de suporte global. Se você precisar de uma opção de controle mais restritiva para a equipe de suporte, considere o pacote de controle Fronteira de dados e suporte da UE.
- Preços: o pacote de controles de fronteira de dados da UE está incluído no nível gratuito do Assured Workloads, que não gera custos adicionais. Consulte Preços do Assured Workloads para mais informações.
Produtos e endpoints de API compatíveis
Salvo indicação em contrário, os usuários podem acessar todos os produtos compatíveis pelo console Google Cloud . As restrições ou limitações que afetam os recursos de um produto compatível, incluindo aquelas que são aplicadas pelas configurações de restrição da política da organização, estão listadas na tabela a seguir.
Se um produto não estiver listado, ele não será compatível e não terá atendido aos requisitos de controle da fronteira de dados da UE. Não é recomendável usar produtos sem suporte sem diligência prévia e uma compreensão completa das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você conhece e aceita os riscos associados, como impactos negativos na residência ou soberania de dados.
Produto compatível | Endpoints de API | Restrições ou limitações |
---|---|---|
Aprovação de acesso |
accessapproval.googleapis.com |
Nenhum |
Access Context Manager |
accesscontextmanager.googleapis.com |
Nenhum |
Transparência no acesso |
accessapproval.googleapis.com |
Nenhum |
AlloyDB para PostgreSQL |
alloydb.googleapis.com |
Nenhum |
Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com |
Nenhum |
Apigee |
apigee.googleapis.com |
Nenhum |
Artifact Registry |
artifactregistry.googleapis.com |
Nenhum |
Backup para GKE |
gkebackup.googleapis.com |
Nenhum |
BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigquerydatatransfer.googleapis.com bigquerymigration.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Recursos afetados |
Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Nenhum |
Certificate Authority Service |
privateca.googleapis.com |
Nenhum |
Cloud Build |
cloudbuild.googleapis.com |
Nenhum |
Cloud Composer |
composer.googleapis.com |
Nenhum |
Cloud DNS |
dns.googleapis.com |
Nenhum |
Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
Gerenciador de chaves externas do Cloud (Cloud EKM) |
cloudkms.googleapis.com |
Nenhum |
Funções do Cloud Run |
run.googleapis.com |
Nenhum |
Cloud HSM |
cloudkms.googleapis.com |
Nenhum |
Cloud Interconnect |
compute.googleapis.com |
Nenhum |
Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nenhum |
Cloud Load Balancing |
compute.googleapis.com |
Nenhum |
Cloud Logging |
logging.googleapis.com |
Recursos afetados |
Cloud Monitoring |
monitoring.googleapis.com |
Nenhum |
Cloud NAT |
compute.googleapis.com |
Nenhum |
API Cloud OS Login |
oslogin.googleapis.com |
Nenhum |
Cloud Router |
compute.googleapis.com |
Nenhum |
Cloud Run |
run.googleapis.com |
Recursos afetados |
Cloud SQL |
sqladmin.googleapis.com |
Nenhum |
Cloud SQL para PostgreSQL |
sqladmin.googleapis.com |
Nenhum |
Cloud Storage |
storage.googleapis.com |
Nenhum |
Cloud Tasks |
cloudtasks.googleapis.com |
Nenhum |
Cloud VPN |
compute.googleapis.com |
Nenhum |
API Cloud Vision |
vision.googleapis.com |
Nenhum |
Cloud Workstations |
workstations.googleapis.com |
Nenhum |
Compute Engine |
compute.googleapis.com |
Recursos afetados e restrições da política da organização |
Config Sync |
anthosconfigmanagement.googleapis.com |
Nenhum |
Connect |
gkeconnect.googleapis.com |
Nenhum |
Proteção de Dados Sensíveis |
dlp.googleapis.com |
Nenhum |
Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Nenhum |
Dataform |
dataform.googleapis.com |
Nenhum |
Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
Nenhum |
Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Nenhum |
Document AI |
documentai.googleapis.com |
Nenhum |
Contatos essenciais |
essentialcontacts.googleapis.com |
Nenhum |
Eventarc |
eventarc.googleapis.com |
Nenhum |
Filestore |
file.googleapis.com |
Nenhum |
Regras de segurança do Firebase |
firebaserules.googleapis.com |
Nenhum |
Firestore |
firestore.googleapis.com |
Nenhum |
Hub GKE |
gkehub.googleapis.com |
Nenhum |
Serviço de identidade do GKE |
anthosidentityservice.googleapis.com |
Nenhum |
IA generativa na Vertex AI |
aiplatform.googleapis.com |
Nenhum |
Google Cloud Armor |
compute.googleapis.com networksecurity.googleapis.com |
Recursos afetados |
Google Kubernetes Engine (GKE) |
container.googleapis.com containersecurity.googleapis.com |
Nenhum |
Google Cloud NetApp Volumes |
netapp.googleapis.com |
Recursos afetados |
Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
Nenhum |
Google Security Operations SOAR |
Not applicable |
Nenhum |
Gerenciamento de identidade e acesso (IAM) |
iam.googleapis.com |
Nenhum |
Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Nenhum |
Infrastructure Manager |
config.googleapis.com |
Nenhum |
Looker (Google Cloud Core) |
looker.googleapis.com |
Nenhum |
Memorystore para Redis |
redis.googleapis.com |
Nenhum |
Network Connectivity Center |
networkconnectivity.googleapis.com |
Nenhum |
Organization Policy Service |
orgpolicy.googleapis.com |
Nenhum |
Persistent Disk |
compute.googleapis.com |
Nenhum |
Personalized Service Health |
servicehealth.googleapis.com |
Nenhum |
Pub/Sub |
pubsub.googleapis.com |
Nenhum |
Resource Manager |
cloudresourcemanager.googleapis.com |
Nenhum |
Secure Source Manager |
securesourcemanager.googleapis.com |
Nenhum |
Acesso VPC sem servidor |
vpcaccess.googleapis.com |
Nenhum |
Speech-to-Text |
speech.googleapis.com |
Nenhum |
Serviço de transferência do Cloud Storage |
storagetransfer.googleapis.com |
Nenhum |
Cloud Service Mesh |
trafficdirector.googleapis.com |
Nenhum |
VPC Service Controls |
accesscontextmanager.googleapis.com |
Nenhum |
Vertex AI para Pesquisa |
discoveryengine.googleapis.com |
Nenhum |
Nuvem privada virtual (VPC) |
compute.googleapis.com |
Nenhum |
Restrições e limitações
As seções a seguir descrevem restrições ou limitações em todo o Google Cloudou específicas do produto para recursos, incluindo restrições da política da organização definidas por padrão em pastas da fronteira de dados da UE. Outras restrições aplicáveis da política da organização, mesmo que não sejam definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos do Google Cloud da sua organização.
Google Cloudde largura
Restrições da política da organização em toda aGoogle Cloud
As restrições da política da organização a seguir se aplicam a Google Cloud.
Restrição da política da organização | Descrição |
---|---|
gcp.resourceLocations |
Defina os seguintes locais na lista allowedValues :
Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade. |
gcp.restrictServiceUsage |
Definido para permitir todos os produtos e endpoints de API compatíveis. Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Como restringir o uso de recursos. |
gcp.restrictTLSVersion |
Definido para negar as seguintes versões do TLS:
|
BigQuery
Recursos afetados do BigQuery
Recurso | Descrição |
---|---|
Ativar o BigQuery em uma nova pasta | O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma pasta do
Assured Workloads devido a um processo de configuração interna. Esse processo normalmente leva 10 minutos, mas pode demorar mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:
Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta do Assured Workloads. O Gemini no BigQuery não é compatível com o Assured Workloads. |
Recursos não suportados | Os seguintes recursos do BigQuery não são compatíveis e não devem ser usados na
CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para o Assured Workloads.
|
CLI do BigQuery | A CLI do BigQuery é compatível.
|
SDK do Google Cloud | Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados técnicos. Para verificar sua versão atual do SDK Google Cloud, execute
gcloud --version e depois gcloud components update para atualizar para
a versão mais recente.
|
Controles do administrador | O BigQuery desativa as APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta do Assured Workloads podem ativar uma API sem suporte. Se isso acontecer, você vai receber uma notificação de possível não conformidade no painel de monitoramento do Assured Workloads. |
Carregando dados | Conectores do serviço de transferência de dados do BigQuery para apps do Google software como serviço (SaaS), provedores externos de armazenamento em nuvem e data warehouses não são compatíveis. É sua responsabilidade não usar conectores do serviço de transferência de dados do BigQuery para cargas de trabalho da fronteira de dados da UE. |
Transferências de terceiros | O BigQuery não verifica a compatibilidade com transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery. |
Modelos do BQML não compatíveis | Modelos do BQML treinados externamente não são compatíveis. |
Jobs de consulta | Os jobs de consulta só podem ser criados em pastas do Assured Workloads. |
Consultas em conjuntos de dados em outros projetos | O BigQuery não impede que os conjuntos de dados do Assured Workloads sejam consultados
em projetos que não são do Assured Workloads. Verifique se qualquer consulta que tenha uma leitura ou uma junção de dados do Assured Workloads está em uma pasta do Assured Workloads. É possível especificar um
nome de tabela totalmente qualificado
para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery.
|
Cloud Logging | O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative os buckets de registro do _default ou restrinja-os a regiões no escopo para manter a conformidade usando o seguinte comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
. Consulte Regionalizar seus registros para mais informações. _default
|
Compute Engine
Recursos afetados do Compute Engine
Recurso | Descrição |
---|---|
Ambiente para convidado | Os scripts, daemons e binários incluídos no ambiente de convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte
Ambiente convidado para informações específicas sobre
o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser ter mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização compute.trustedImageProjects .
Para mais informações, consulte a página Como criar uma imagem personalizada. |
Políticas do SO no VM Manager |
Os scripts inline e os arquivos de saída binários nos arquivos de política do SO
não são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK).
Por isso, não inclua informações sensíveis nesses arquivos.
Como alternativa, armazene esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte
Exemplos de políticas do SO. Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição de política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage .Para mais informações, consulte Restrições da Configuração do SO. |
Restrições da política da organização do Compute Engine
Restrição da política da organização | Descrição |
---|---|
compute.disableGlobalCloudArmorPolicy |
Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor. |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Consulte
a
documentação sobre VMs confidenciais
para mais informações. |
compute.trustedImageProjects |
(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade.
A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados. |
Google Cloud NetApp Volumes
Recursos afetados do Google Cloud NetApp Volumes
Recurso | Descrição |
---|---|
Nível de serviço flexível | O nível de serviço Flex não está disponível no pacote de controles do limite de dados da UE. |
Cloud Logging
Recursos afetados do Cloud Logging
Recurso | Descrição |
---|---|
Coletores de registros | Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes. |
Entradas de registro de acompanhamento ao vivo | Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados entrada de registro, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes. |
A seguir
- Saiba como criar uma pasta do Assured Workloads
- Saiba mais sobre o pacote de controles Limite de dados e suporte da UE
- Entenda os preços do Assured Workloads