Kontrollpaket für EU-Regionen

Auf dieser Seite werden die Steuerelemente beschrieben, die in Assured Workloads auf Workloads in EU-Regionen angewendet werden. Sie enthält detaillierte Informationen zur Speicherung von Daten, zu unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen Einschränkungen für diese Produkte. Für EU-Regionen gelten die folgenden zusätzlichen Informationen:

  • Speicherort von Daten: Mit dem Steuerpaket für EU-Regionen werden Steuerelemente für den Datenstandort festgelegt, um nur Regionen in der EU zu unterstützen. Weitere Informationen finden Sie im Abschnitt Einschränkungen fürGoogle Cloud-weite Organisationsrichtlinien.
  • Support: Technische Supportdienste für Workloads in EU-Regionen sind mit Standard-, erweitertem oder Premium-Cloud Customer Care-Abos verfügbar. Supportanfragen zu Arbeitslasten in EU-Regionen werden an globale Supportmitarbeiter weitergeleitet. Wenn Sie eine strengere Option zur Steuerung von Supportmitarbeitern benötigen, können Sie stattdessen das Steuerpaket EU-Regionen und -Support verwenden.
  • Preise: Das Kontrollpaket für EU-Regionen ist in der kostenlosen Stufe von Assured Workloads enthalten. Es fallen keine zusätzlichen Kosten an. Weitere Informationen finden Sie unter Preise für Assured Workloads.

Unterstützte Produkte und API-Endpunkte

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Produkte zugreifen. In der folgenden Tabelle sind Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derjenigen, die über Einschränkungen für Organisationsrichtlinien erzwungen werden, aufgeführt.

Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und erfüllt nicht die Kontrollanforderungen für EU-Regionen. Die Verwendung von nicht unterstützten Produkten wird ohne sorgfältige Prüfung und ohne umfassendes Verständnis Ihrer Verantwortlichkeiten im Rahmen des Modells der geteilten Verantwortung nicht empfohlen. Bevor Sie ein nicht unterstütztes Produkt verwenden, müssen Sie sich über die damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf die Datenspeicherung oder Datensouveränität.

Unterstütztes Produkt API-Endpunkte Einschränkungen
Zugriffsgenehmigung accessapproval.googleapis.com
 Keine
Access Context Manager accesscontextmanager.googleapis.com
 Keine
Access Transparency accessapproval.googleapis.com
 Keine
AlloyDB for PostgreSQL alloydb.googleapis.com
 Keine
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
 Keine
Apigee apigee.googleapis.com
 Keine
Artifact Registry artifactregistry.googleapis.com
 Keine
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerydatatransfer.googleapis.com
bigquerymigration.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
 Betroffene Funktionen
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
 Keine
Certificate Authority Service privateca.googleapis.com
 Keine
Cloud Composer composer.googleapis.com
 Keine
Cloud DNS dns.googleapis.com
 Keine
Cloud Data Fusion datafusion.googleapis.com
 Keine
Cloud External Key Manager (Cloud EKM) cloudkms.googleapis.com
 Keine
Cloud Run Functions cloudfunctions.googleapis.com
 Keine
Cloud HSM cloudkms.googleapis.com
 Keine
Cloud Interconnect networkconnectivity.googleapis.com
 Keine
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
 Keine
Cloud Load Balancing compute.googleapis.com
 Keine
Cloud Logging logging.googleapis.com
 Betroffene Funktionen
Cloud Monitoring monitoring.googleapis.com
 Keine
Cloud NAT networkconnectivity.googleapis.com
 Keine
Cloud Router networkconnectivity.googleapis.com
 Keine
Cloud Run run.googleapis.com
 Keine
Cloud SQL sqladmin.googleapis.com
 Keine
Cloud Storage storage.googleapis.com
 Keine
Cloud Tasks cloudtasks.googleapis.com
 Keine
Cloud VPN compute.googleapis.com
 Keine
Cloud Vision API vision.googleapis.com
 Keine
Compute Engine compute.googleapis.com
 Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Connect gkeconnect.googleapis.com
 Keine
Sensitive Data Protection dlp.googleapis.com
 Keine
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
 Keine
Dataform dataform.googleapis.com
 Keine
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
 Keine
Eventarc eventarc.googleapis.com
 Keine
Filestore file.googleapis.com
 Keine
Firestore firestore.googleapis.com
 Keine
GKE Hub gkehub.googleapis.com
 Keine
GKE Identity Service anthosidentityservice.googleapis.com
 Keine
Generative KI in Vertex AI aiplatform.googleapis.com
 Keine
Google Cloud Armor compute.googleapis.com
networksecurity.googleapis.com
 Betroffene Funktionen
Google Kubernetes Engine (GKE) container.googleapis.com
containersecurity.googleapis.com
 Keine
Google Security Operations SIEM chronicle.googleapis.com
chronicleservicemanager.googleapis.com
 Keine
Identitäts- und Zugriffsverwaltung iam.googleapis.com
 Keine
Identity-Aware Proxy (IAP) iap.googleapis.com
 Keine
Looker (Google Cloud Core) looker.googleapis.com
 Keine
Memorystore for Redis redis.googleapis.com
 Keine
Network Connectivity Center networkconnectivity.googleapis.com
 Keine
Persistent Disk compute.googleapis.com
 Keine
Pub/Sub pubsub.googleapis.com
 Keine
Resource Manager cloudresourcemanager.googleapis.com
 Keine
Secure Source Manager securesourcemanager.googleapis.com
 Keine
Speech-to-Text speech.googleapis.com
 Keine
Cloud Service Mesh trafficdirector.googleapis.com
 Keine
VPC Service Controls accesscontextmanager.googleapis.com
 Keine
Vertex AI Search discoveryengine.googleapis.com
 Keine
Virtual Private Cloud (VPC) compute.googleapis.com
 Keine

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit Steuerelementen für EU-Regionen festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.

Google Cloudbreit

Einschränkungen fürGoogle Cloud-weite Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.

Einschränkung der Organisationsrichtlinie Beschreibung
gcp.resourceLocations Legen Sie in der Liste allowedValues die folgenden Standorte fest:
  • eu-locations
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • europe-west10
  • europe-west12
Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die ausgewählte Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer richtlinienkonformen Datengrenze zulassen. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.
gcp.restrictServiceUsage Legen Sie fest, dass alle unterstützten Produkte und API-Endpunkte zugelassen werden.

Bestimmt, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.
gcp.restrictTLSVersion Legen Sie fest, dass die folgenden TLS-Versionen abgelehnt werden sollen:
  • TLS_1_0
  • TLS_1_1
Weitere Informationen finden Sie auf der Seite TLS-Versionen einschränken.

BigQuery

Betroffene BigQuery-Funktionen

Funktion Beschreibung
BigQuery für einen neuen Ordner aktivieren BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu „Assured Workloads“

  2. Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen.
  4. Überprüfen Sie im Bereich Zugelassene Dienste die Dienste, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.

    Wenn BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care.

Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen Die folgenden BigQuery-Features werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Sie sind dafür verantwortlich, sie nicht in BigQuery für Assured Workloads zu verwenden.
BigQuery-Befehlszeile Die BigQuery-Befehlszeile wird unterstützt.

Google Cloud SDK Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um Garantien für die Datenregionalisierung für technische Daten aufrechtzuerhalten. Führen Sie gcloud --version und dann gcloud components update aus, um die aktuelle Google Cloud SDK-Version zu prüfen und auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Ordners für gesicherte Arbeitslasten können eine nicht unterstützte API jedoch aktivieren. In diesem Fall werden Sie über das Dashboard für das Assured Workloads-Monitoring über potenzielle Nichteinhaltung informiert.
Daten laden BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Sie sind dafür verantwortlich, BigQuery Data Transfer Service-Connectors nicht für Arbeitslasten in EU-Regionen zu verwenden.
Drittanbieter-Übertragungen BigQuery prüft nicht, ob Drittanbieter-Übertragungen für den BigQuery Data Transfer Service unterstützt werden. Sie sind dafür verantwortlich, den Support zu prüfen, wenn Sie eine Übertragung von Drittanbietern für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden.
Abfragen zu Datensätzen in anderen Projekten In BigQuery wird nicht verhindert, dass Assured Workloads-Datasets von Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Achten Sie darauf, dass alle Abfragen, die Lese- oder Join-Vorgänge auf Assured Workloads-Daten umfassen, in einem Assured Workloads-Ordner abgelegt werden. Sie können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging BigQuery verwendet Cloud Logging für einige Ihrer Protokolldaten. Sie sollten Ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf die entsprechenden Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Weitere Informationen finden Sie unter Logs regionalisieren.

Compute Engine

Betroffene Compute Engine-Funktionen

Funktion Beschreibung
Gastumgebung Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung.

Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Bilder oder Kundenservicemitarbeiter auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.

Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie Beschreibung
compute.disableGlobalCloudArmorPolicy Auf True festlegen.

Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen, Beschreiben oder Auflisten globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
compute.restrictNonConfidentialComputing

 (Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Weitere Informationen finden Sie in der Dokumentation zu Confidential VMs.
compute.trustedImageProjects

 (Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen.

Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Cloud Logging

Betroffene Cloud Logging-Funktionen

Funktion Beschreibung
Logsenken Filter dürfen keine Kundendaten enthalten.

Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge Filter dürfen keine Kundendaten enthalten.

Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.

Nächste Schritte