Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Halaman ini diterjemahkan oleh Cloud Translation API.

Batas Data Hong Kong

Halaman ini menjelaskan serangkaian kontrol yang diterapkan pada workload Batas Data Hong Kong di Assured Workloads. Dokumen ini memberikan informasi mendetail tentang lokasi penyimpanan data, produk Google Cloud yang didukung dan endpoint API-nya, serta pembatasan atau batasan yang berlaku pada produk tersebut. Informasi tambahan berikut berlaku untuk Batas Data Hong Kong:

Residensi data: Paket kontrol Batas Data Hong Kong menetapkan kontrol lokasi data untuk mendukung region khusus Hong Kong. Lihat bagian Batasan kebijakan organisasi di seluruhGoogle Cloud untuk mengetahui informasi selengkapnya.
Dukungan: Layanan dukungan teknis untuk beban kerja Batas Data Hong Kong tersedia dengan langganan Layanan Pelanggan Cloud Standard, Enhanced, atau Premium. Kasus dukungan beban kerja Batas Data Hong Kong diarahkan ke personel dukungan global.
Harga: Paket kontrol Batas Data Hong Kong disertakan dalam Paket gratis Assured Workloads, yang tidak menimbulkan biaya tambahan. Lihat harga Assured Workloads untuk mengetahui informasi selengkapnya.

Produk dan endpoint API yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua produk yang didukung melalui konsol Google Cloud . Pembatasan atau batasan yang memengaruhi fitur produk yang didukung, termasuk yang diterapkan melalui setelan batasan kebijakan organisasi, tercantum dalam tabel berikut.

Jika produk tidak tercantum, produk tersebut tidak didukung dan tidak memenuhi persyaratan kontrol Batas Data Hong Kong. Produk yang tidak didukung tidak direkomendasikan untuk digunakan tanpa uji tuntas dan pemahaman menyeluruh tentang tanggung jawab Anda dalam model tanggung jawab bersama. Sebelum menggunakan produk yang tidak didukung, pastikan Anda mengetahui dan bersedia menerima risiko terkait yang mungkin timbul, seperti dampak negatif terhadap residensi data atau kedaulatan data.

Produk yang didukung	endpoint API	Batasan atau pembatasan
Access Approval	`accessapproval.googleapis.com`	Tidak ada
Access Context Manager	`accesscontextmanager.googleapis.com`	Tidak ada
Transparansi Akses	`accessapproval.googleapis.com`	Tidak ada
AlloyDB untuk PostgreSQL	`alloydb.googleapis.com`	Tidak ada
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	Tidak ada
Artifact Registry	`artifactregistry.googleapis.com`	Tidak ada
Pencadangan untuk GKE	`gkebackup.googleapis.com`	Tidak ada
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Fitur yang terpengaruh
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Tidak ada
Certificate Authority Service	`privateca.googleapis.com`	Tidak ada
Cloud Build	`cloudbuild.googleapis.com`	Tidak ada
Cloud Composer	`composer.googleapis.com`	Tidak ada
Cloud DNS	`dns.googleapis.com`	Tidak ada
Cloud Data Fusion	`datafusion.googleapis.com`	Tidak ada
Cloud External Key Manager (Cloud EKM)	`cloudkms.googleapis.com`	Tidak ada
Cloud Run Functions	`run.googleapis.com`	Tidak ada
Cloud HSM	`cloudkms.googleapis.com`	Tidak ada
Cloud Interconnect	`compute.googleapis.com`	Tidak ada
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Tidak ada
Cloud Load Balancing	`compute.googleapis.com`	Tidak ada
Cloud Logging	`logging.googleapis.com`	Fitur yang terpengaruh
Cloud Monitoring	`monitoring.googleapis.com`	Tidak ada
Cloud NAT	`compute.googleapis.com`	Tidak ada
Cloud OS Login API	`oslogin.googleapis.com`	Tidak ada
Cloud Router	`compute.googleapis.com`	Tidak ada
Cloud Run	`run.googleapis.com`	Fitur yang terpengaruh
Cloud SQL	`sqladmin.googleapis.com`	Tidak ada
Cloud SQL untuk PostgreSQL	`sqladmin.googleapis.com`	Tidak ada
Cloud Storage	`storage.googleapis.com`	Tidak ada
Cloud Tasks	`cloudtasks.googleapis.com`	Tidak ada
Cloud VPN	`compute.googleapis.com`	Tidak ada
Cloud Vision API	`vision.googleapis.com`	Tidak ada
Cloud Workstations	`workstations.googleapis.com`	Tidak ada
Compute Engine	`compute.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Config Sync	`anthosconfigmanagement.googleapis.com`	Tidak ada
Connect	`gkeconnect.googleapis.com`	Tidak ada
Sensitive Data Protection	`dlp.googleapis.com`	Tidak ada
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Tidak ada
Dataform	`dataform.googleapis.com`	Tidak ada
Katalog Universal Dataplex	`dataplex.googleapis.com` `datalineage.googleapis.com`	Tidak ada
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Tidak ada
Document AI	`documentai.googleapis.com`	Tidak ada
Kontak Penting	`essentialcontacts.googleapis.com`	Tidak ada
Eventarc	`eventarc.googleapis.com`	Tidak ada
Filestore	`file.googleapis.com`	Tidak ada
Aturan Keamanan Firebase	`firebaserules.googleapis.com`	Tidak ada
Firestore	`firestore.googleapis.com`	Tidak ada
GKE Hub	`gkehub.googleapis.com`	Tidak ada
GKE Identity Service	`anthosidentityservice.googleapis.com`	Tidak ada
AI Generatif di Vertex AI	`aiplatform.googleapis.com`	Tidak ada
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	Fitur yang terpengaruh
Google Kubernetes Engine (GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	Tidak ada
Google Security Operations SIEM	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	Tidak ada
Google Security Operations SOAR	`Not applicable`	Tidak ada
Identity and Access Management (IAM)	`iam.googleapis.com`	Tidak ada
Identity-Aware Proxy (IAP)	`iap.googleapis.com`	Tidak ada
Infrastructure Manager	`config.googleapis.com`	Tidak ada
Looker (Google Cloud core)	`looker.googleapis.com`	Tidak ada
Memorystore for Redis	`redis.googleapis.com`	Tidak ada
Network Connectivity Center	`networkconnectivity.googleapis.com`	Tidak ada
Organization Policy Service	`orgpolicy.googleapis.com`	Tidak ada
Persistent Disk	`compute.googleapis.com`	Tidak ada
Personalized Service Health	`servicehealth.googleapis.com`	Tidak ada
Pub/Sub	`pubsub.googleapis.com`	Tidak ada
Resource Manager	`cloudresourcemanager.googleapis.com`	Tidak ada
Secure Source Manager	`securesourcemanager.googleapis.com`	Tidak ada
Akses VPC Serverless	`vpcaccess.googleapis.com`	Tidak ada
Speech-to-Text	`speech.googleapis.com`	Tidak ada
Storage Transfer Service	`storagetransfer.googleapis.com`	Tidak ada
Cloud Service Mesh	`trafficdirector.googleapis.com`	Tidak ada
Kontrol Layanan VPC	`accesscontextmanager.googleapis.com`	Tidak ada
Vertex AI Search	`discoveryengine.googleapis.com`	Tidak ada
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Tidak ada

Batas dan pembatasan

Bagian berikut menjelaskan batasan atau pembatasan di seluruh Google Cloudatau khusus produk untuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default pada folder Batas Data Hong Kong. Batasan kebijakan organisasi lainnya yang berlaku—meskipun tidak ditetapkan secara default—dapat memberikan pertahanan mendalam tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Google Cloudlebar

Batasan kebijakan organisasi di seluruhGoogle Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh Google Cloud.

Batasan kebijakan organisasi	Deskripsi
`gcp.resourceLocations`	Tetapkan ke lokasi berikut dalam daftar `allowedValues`: `asia-east2` Nilai ini membatasi pembuatan resource baru ke nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Lihat Layanan yang didukung lokasi resource untuk mengetahui daftar resource yang dapat dibatasi oleh batasan kebijakan organisasi Lokasi Resource, karena beberapa resource mungkin berada di luar cakupan dan tidak dapat dibatasi. Mengubah nilai ini dengan membuatnya kurang ketat berpotensi merusak residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data yang mematuhi kebijakan.
`gcp.restrictServiceUsage`	Disetel untuk mengizinkan semua produk dan endpoint API yang didukung. Menentukan layanan mana yang dapat digunakan dengan membatasi akses runtime ke resource-nya. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource.
`gcp.restrictTLSVersion`	Disetel untuk menolak versi TLS berikut: `TLS_1_0` `TLS_1_1` Lihat halaman Membatasi versi TLS untuk mengetahui informasi selengkapnya.

BigQuery

Fitur BigQuery yang terpengaruh

Fitur	Deskripsi
Mengaktifkan BigQuery di folder baru	BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Assured Workloads baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dapat memakan waktu lebih lama dalam beberapa keadaan. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut: Di konsol Google Cloud , buka halaman Assured Workloads. Buka Assured Workloads Pilih folder Assured Workloads baru Anda dari daftar. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Pembatasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya. Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care. Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Assured Workloads Anda. Gemini di BigQuery tidak didukung oleh Assured Workloads.
Fitur yang tidak didukung	Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di BigQuery CLI. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Assured Workloads. Interaksi dengan sumber data jarak jauh Model BQML yang dilatih secara eksternal tidak didukung. Model BQML yang dilatih secara internal didukung. Penyamaran data dinamis Ekspor GDrive Fungsi jarak jauh Kueri tersimpan Penjadwalan alur kerja Untuk BigQuery Studio, notebook tidak didukung. Gemini di BigQuery tidak didukung.
CLI BigQuery	BigQuery CLI didukung.
Google Cloud SDK	Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data bagi data teknis. Untuk memverifikasi versi Google Cloud SDK Anda saat ini, jalankan `gcloud --version`, lalu `gcloud components update` untuk mengupdate ke versi terbaru.
Kontrol administrator	BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Assured Workloads dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data	Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk beban kerja Batas Data Hong Kong.
Transfer pihak ketiga	BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service.
Model BQML yang tidak sesuai	Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri	Tugas kueri hanya boleh dibuat dalam folder Assured Workloads.
Kueri pada set data di project lain	BigQuery tidak mencegah set data Assured Workloads dikueri dari project non-Assured Workloads. Anda harus memastikan bahwa kueri apa pun yang memiliki baca atau gabungan pada data Assured Workloads ditempatkan di folder Assured Workloads. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kuerinya menggunakan `projectname.dataset.table` di BigQuery CLI.
Cloud Logging	BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging `_default` atau membatasi bucket `_default` ke wilayah yang termasuk dalam cakupan untuk mempertahankan kepatuhan menggunakan perintah berikut: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Lihat Melokalkan log untuk mengetahui informasi selengkapnya.

Compute Engine

Fitur Compute Engine yang terpengaruh

Fitur Deskripsi

Lingkungan tamu Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data yang tidak dienkripsi saat istirahat dan saat digunakan. Bergantung pada konfigurasi VM Anda, update software ini mungkin diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket.

Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi compute.trustedImageProjects.

Lihat halaman Membangun image kustom untuk mengetahui informasi selengkapnya.

Kebijakan OS di VM Manager Skrip inline dan file output biner dalam file kebijakan OS tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Oleh karena itu, jangan sertakan informasi sensitif apa pun dalam file ini. Atau, pertimbangkan untuk menyimpan skrip dan file output ini di bucket Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Contoh kebijakan OS.

Jika Anda ingin membatasi pembuatan atau modifikasi resource kebijakan OS yang menggunakan skrip inline atau file output biner, aktifkan batasan kebijakan organisasi constraints/osconfig.restrictInlineScriptAndOutputFileUsage.

Untuk mengetahui informasi selengkapnya, lihat Batasan untuk Konfigurasi OS.

Fitur	Deskripsi
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data yang tidak dienkripsi saat istirahat dan saat digunakan. Bergantung pada konfigurasi VM Anda, update software ini mungkin diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi `compute.trustedImageProjects`. Lihat halaman Membangun image kustom untuk mengetahui informasi selengkapnya.
Kebijakan OS di VM Manager	Skrip inline dan file output biner dalam file kebijakan OS tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Oleh karena itu, jangan sertakan informasi sensitif apa pun dalam file ini. Atau, pertimbangkan untuk menyimpan skrip dan file output ini di bucket Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Contoh kebijakan OS. Jika Anda ingin membatasi pembuatan atau modifikasi resource kebijakan OS yang menggunakan skrip inline atau file output biner, aktifkan batasan kebijakan organisasi `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. Untuk mengetahui informasi selengkapnya, lihat Batasan untuk Konfigurasi OS.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
`compute.disableGlobalCloudArmorPolicy`	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru, dan penambahan atau modifikasi aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan listingan kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum pemberlakuan batasan ini tetap berlaku.
`compute.restrictNonConfidentialComputing`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
`compute.trustedImageProjects`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Menetapkan nilai ini akan membatasi penyimpanan image dan instansiasi disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Cloud Logging

Fitur Cloud Logging yang terpengaruh

Fitur	Deskripsi
Sink log	Filter tidak boleh berisi Data Pelanggan. Sink log mencakup filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Mengikuti entri log secara langsung	Filter tidak boleh berisi Data Pelanggan. Sesi live tailing mencakup filter yang disimpan sebagai konfigurasi. Mengikuti log tidak menyimpan data entri log apa pun, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.

Langkah berikutnya

Pelajari cara membuat folder Assured Workloads
Memahami harga Assured Workloads