このページは Cloud Translation API によって翻訳されました。

EU リージョンのコントロールパッケージ

このページでは、Assured Workloads の EU リージョンワークロードに適用される一連の制御について説明します。データ所在地、サポートされている Google Cloud プロダクトとその API エンドポイント、およびそれらのプロダクトに適用される制限事項に関する詳細情報が記載されています。EU リージョンには次の追加情報が適用されます。

データ所在地: EU リージョンのコントロールパッケージは、EU のみのリージョンをサポートするデータロケーションコントロールを設定します。詳細については、Google Cloud全体の組織のポリシーの制約をご覧ください。
サポート: EU リージョンワークロードのテクニカルサポートサービスは、スタンダード、エンハンスト、プレミアムの Cloud カスタマーケアサブスクリプションで利用できます。EU リージョンワークロードのサポートケースは、グローバルサポート担当者に転送されます。より制限の厳しいサポート担当者の制御オプションが必要な場合は、代わりに EU リージョンとサポートのコントロールパッケージを検討してください。
料金: EU リージョンのコントロールパッケージは Assured Workloads の無料 tier に含まれているため、追加料金は発生しません。詳細については、Assured Workloads の料金をご覧ください。

サポートされているプロダクトと API エンドポイント

特に明記されている場合を除き、ユーザーは Google Cloud コンソールからすべてのサポート対象プロダクトにアクセスできます。サポートされているプロダクトの機能に影響する制限事項（組織のポリシーの制約設定で適用される制限事項を含む）は、次の表に記載されています。

商品がリストにない場合、その商品はサポートされておらず、EU リージョンの管理要件を満たしていません。デューデリジェンスと責任共有モデルにおけるお客様の責任を十分に理解せずに、サポート対象外のプロダクトを使用することはおすすめしません。サポート対象外の製品を使用する前に、データレジデンシーやデータ主権への悪影響など、関連するリスクを認識し、そのリスクを受け入れることを確認してください。

サポートされているサービス	API エンドポイント	制限事項
アクセス承認	`accessapproval.googleapis.com`	なし
Access Context Manager	`accesscontextmanager.googleapis.com`	なし
アクセスの透明性	`accessapproval.googleapis.com`	なし
AlloyDB for PostgreSQL	`alloydb.googleapis.com`	なし
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	なし
Apigee	`apigee.googleapis.com`	なし
Artifact Registry	`artifactregistry.googleapis.com`	なし
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	影響を受ける機能
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	なし
Certificate Authority Service	`privateca.googleapis.com`	なし
Cloud Composer	`composer.googleapis.com`	なし
Cloud DNS	`dns.googleapis.com`	なし
Cloud Data Fusion	`datafusion.googleapis.com`	なし
Cloud External Key Manager（Cloud EKM）	`cloudkms.googleapis.com`	なし
Cloud Run 関数	`cloudfunctions.googleapis.com`	なし
Cloud HSM	`cloudkms.googleapis.com`	なし
Cloud Interconnect	`networkconnectivity.googleapis.com`	なし
Cloud Key Management Service（Cloud KMS）	`cloudkms.googleapis.com`	なし
Cloud Load Balancing	`compute.googleapis.com`	なし
Cloud Logging	`logging.googleapis.com`	影響を受ける機能
Cloud Monitoring	`monitoring.googleapis.com`	なし
Cloud NAT	`networkconnectivity.googleapis.com`	なし
Cloud Router	`networkconnectivity.googleapis.com`	なし
Cloud Run	`run.googleapis.com`	影響を受ける機能
Cloud SQL	`sqladmin.googleapis.com`	なし
Cloud Storage	`storage.googleapis.com`	なし
Cloud Tasks	`cloudtasks.googleapis.com`	なし
Cloud VPN	`compute.googleapis.com`	なし
Cloud Vision API	`vision.googleapis.com`	なし
Compute Engine	`compute.googleapis.com`	影響を受ける機能と組織のポリシーの制約
接続	`gkeconnect.googleapis.com`	なし
Sensitive Data Protection	`dlp.googleapis.com`	なし
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	なし
Dataform	`dataform.googleapis.com`	なし
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	なし
Eventarc	`eventarc.googleapis.com`	なし
Filestore	`file.googleapis.com`	なし
Firestore	`firestore.googleapis.com`	なし
GKE Hub	`gkehub.googleapis.com`	なし
GKE Identity Service	`anthosidentityservice.googleapis.com`	なし
Vertex AI の生成 AI	`aiplatform.googleapis.com`	なし
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	影響を受ける機能
Google Kubernetes Engine（GKE）	`container.googleapis.com` `containersecurity.googleapis.com`	なし
Google Security Operations SIEM	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	なし
Identity and Access Management（IAM）	`iam.googleapis.com`	なし
Identity-Aware Proxy（IAP）	`iap.googleapis.com`	なし
Looker（Google Cloud コア）	`looker.googleapis.com`	なし
Memorystore for Redis	`redis.googleapis.com`	なし
Network Connectivity Center	`networkconnectivity.googleapis.com`	なし
Persistent Disk	`compute.googleapis.com`	なし
Pub/Sub	`pubsub.googleapis.com`	なし
Resource Manager	`cloudresourcemanager.googleapis.com`	なし
Secure Source Manager	`securesourcemanager.googleapis.com`	なし
Speech-to-Text	`speech.googleapis.com`	なし
Cloud Service Mesh	`trafficdirector.googleapis.com`	なし
VPC Service Controls	`accesscontextmanager.googleapis.com`	なし
Vertex AI Search	`discoveryengine.googleapis.com`	なし
Virtual Private Cloud（VPC）	`compute.googleapis.com`	なし

制限事項

以降のセクションでは、 Google Cloud全体またはプロダクト固有の制限、または機能の制限について説明します。これには、EU リージョンのフォルダにデフォルトで設定されている組織ポリシーの制約も含まれます。デフォルトで設定されていない場合でも、その他の適用可能な組織のポリシーの制約により、組織の Google Cloud リソースをさらに保護するための多層防御を追加できます。

Google Cloud全体

Google Cloud全体の組織ポリシー制約

次の組織のポリシーの制約は、 Google Cloud全体に適用されます。

組織のポリシーの制約	説明
`gcp.resourceLocations`	`allowedValues` リストで次のロケーションに設定します。 `eu-locations` `europe-central2` `europe-north1` `europe-southwest1` `europe-west1` `europe-west3` `europe-west4` `europe-west8` `europe-west9` `europe-west10` `europe-west12` この値は、新しいリソースの作成を、選択した値に制限します。設定すると、選択したリージョン、マルチリージョン、ロケーションの外部にリソースを作成できなくなります。一部のリソースはサポート範囲外で制限できない可能性があるため、リソースロケーションの組織のポリシーの制約で制限できるリソースの一覧については、リソースロケーションのサポート対象サービスをご覧ください。制限を緩くしてこの値を変更すると、コンプライアンスを遵守したデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。
`gcp.restrictServiceUsage`	すべてのサポートされているプロダクトと API エンドポイントを許可するように設定します。リソースへのランタイムアクセスを制限することで、使用できるサービスを決定します。詳細については、リソースの使用量の制限をご覧ください。
`gcp.restrictTLSVersion`	次の TLS バージョンを拒否するように設定します。 `TLS_1_0` `TLS_1_1` 詳細については、TLS バージョンを制限するページをご覧ください。

BigQuery

影響を受ける BigQuery 機能

機能	説明
新しいフォルダで BigQuery を有効にする	BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の操作を行います。 Google Cloud コンソールで、[Assured Workloads] ページに移動します。 Assured Workloads に移動リストから新しい Assured Workloads フォルダを選択します。 [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。 [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、サービスを許可するをクリックし、これを追加します。 BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。 Gemini in BigQuery は Assured Workloads ではサポートされていません。
サポートされていない機能	次の BigQuery 機能はサポートされていないため、BigQuery CLI では使用しないでください。Assured Workloads で BigQuery でこれらを使用しない責任はお客様にあります。リモートデータソースとのやり取り外部でトレーニングされた BQML モデルはサポートされていません。内部でトレーニングされた BQML モデルはサポートされています。動的データのマスキング GDrive エクスポートリモート関数保存したクエリワークフローのスケジュール設定 BigQuery Studio では notebooksはサポートされていません。 BigQuery の Gemini はサポートされていません。
BigQuery CLI	BigQuery CLI がサポートされています。
Google Cloud SDK	テクニカルデータのデータリージョン指定の保証を維持するには、Google Cloud SDK バージョン 403.0.0 以降を使用する必要があります。現在の Google Cloud SDK のバージョンを確認するには、`gcloud --version` を実行してから `gcloud components update` を実行し、最新バージョンに更新します。
管理機能	BigQuery はサポートされていない API を無効にしますが、Assurred Workloads フォルダを作成できる十分な権限を持つ管理者は、サポートされていない API を有効にできます。この場合、Assured Workloads モニタリングダッシュボードで、コンプライアンス違反の可能性がある旨が通知されます。
データの読み込み	Google Software as a Service（SaaS）アプリ、外部クラウドストレージプロバイダ、データウェアハウスの BigQuery Data Transfer Service コネクタはサポートされていません。EU リージョンのワークロードに対して BigQuery Data Transfer Service コネクタを使用しないようにすることはお客様の責任です。
サードパーティ転送	BigQuery は、BigQuery Data Transfer Service のサードパーティ転送のサポートを確認しません。BigQuery Data Transfer Service のサードパーティ転送を使用する際のサポート確認は、お客様の責任です。
非準拠 BQML モデル	外部でトレーニングされた BQML モデルはサポートされていません。
クエリジョブ	クエリジョブは、Assured Workloads フォルダ内でのみ作成する必要があります。
他のプロジェクトのデータセットに対するクエリ	BigQuery では、Assured Workloads 以外のプロジェクトからの Assured Workloads データセットへのクエリを防ぐことはできません。Assured Workloads データに対して読み取りまたは結合を行うクエリはすべて、Assured Workloads フォルダに配置する必要があります。BigQuery CLI で `projectname.dataset.table` を使用して、クエリ結果の完全修飾されたテーブル名を指定できます。
Cloud Logging	BigQuery は、一部のログデータに対して Cloud Logging を利用します。コンプライアンスを維持するには、`_default` ロギングバケットを無効にするか、次のコマンドを使用して `_default` バケットを対象リージョンに制限する必要があります。 `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` 詳細については、ログをリージョン化するをご覧ください。

Compute Engine

影響を受ける Compute Engine の機能

機能説明

ゲスト環境ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされる場合があります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。

これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージやエージェントをキュレートし、必要に応じて compute.trustedImageProjects 組織ポリシーの制約を使用することもできます。

詳細については、カスタムイメージの構築ページをご覧ください。

機能	説明
ゲスト環境	ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされる場合があります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージやエージェントをキュレートし、必要に応じて `compute.trustedImageProjects` 組織ポリシーの制約を使用することもできます。詳細については、カスタムイメージの構築ページをご覧ください。

Compute Engine の組織のポリシーの制約

組織のポリシーの制約	説明
`compute.disableGlobalCloudArmorPolicy`	True に設定します。新しいグローバル Google Cloud Armor セキュリティポリシーの作成、および既存のグローバル Google Cloud Armor セキュリティポリシーへのルールの追加または変更が無効になります。この制約は、ルールの削除や、グローバル Google Cloud Armor セキュリティポリシーの削除、説明、一覧取得を制限するものではありません。リージョン Google Cloud Armor セキュリティポリシーは、この制約の影響を受けません。この制約の適用前から存在するグローバルセキュリティポリシーとリージョンセキュリティポリシーは引き続き有効です。
`compute.restrictNonConfidentialComputing`	（省略可）値は設定されていません。多層防御を提供するには、この値を設定します。詳細については、Confidential VM のドキュメントをご覧ください。
`compute.trustedImageProjects`	（省略可）値は設定されていません。多層防御を提供するには、この値を設定します。この値を設定すると、イメージストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。

Cloud Logging

影響を受ける Cloud Logging 機能

機能	説明
ログシンク	フィルタに顧客データを含めないでください。ログシンクには、構成として格納されるフィルタが含まれます。顧客データを含むフィルタは作成しないでください。
ライブテーリングログエントリ	フィルタに顧客データを含めないでください。ライブテーリングセッションには、構成として格納されたフィルタが含まれます。テーリングログによってログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして転送できます。顧客データを含むフィルタは作成しないでください。

機能

説明

ログシンク

フィルタに顧客データを含めないでください。

ログシンクには、構成として格納されるフィルタが含まれます。顧客データを含むフィルタは作成しないでください。

ライブテーリングログエントリ

フィルタに顧客データを含めないでください。

ライブテーリングセッションには、構成として格納されたフィルタが含まれます。テーリングログによってログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして転送できます。顧客データを含むフィルタは作成しないでください。

次のステップ

Assured Workloads フォルダを作成する方法を学習する。
EU リージョンとサポートのコントロールパッケージについて学習する
Assured Workloads の料金を確認する