Paket kontrol Wilayah Hong Kong

Halaman ini menjelaskan kumpulan kontrol yang diterapkan pada workload Region Hong Kong di Assured Workloads. Halaman ini memberikan informasi mendetail tentang residensi data, produk Google Cloud yang didukung dan endpoint API-nya, serta pembatasan atau batasan yang berlaku pada produk tersebut. Informasi tambahan berikut berlaku untuk Wilayah Hong Kong:

  • Residensi data: Paket kontrol Region Hong Kong menetapkan kontrol lokasi data untuk mendukung region khusus Hong Kong. Lihat bagian Batasan kebijakan organisasi seluruhGoogle Cloud untuk mengetahui informasi selengkapnya.
  • Dukungan: Layanan dukungan teknis untuk beban kerja Region Hong Kong tersedia dengan langganan Layanan Pelanggan Cloud Standard, Enhanced, atau Premium. Kasus dukungan beban kerja Region Hong Kong diarahkan ke personel dukungan global.
  • Harga: Paket kontrol Region Hong Kong disertakan dalam Paket gratis Workload Terjamin, yang tidak dikenai biaya tambahan. Lihat Harga Assured Workloads untuk informasi selengkapnya.

Produk dan endpoint API yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua produk yang didukung melalui konsol Google Cloud. Batasan atau pembatasan yang memengaruhi fitur produk yang didukung, termasuk yang diterapkan melalui setelan batasan kebijakan organisasi, tercantum dalam tabel berikut.

Jika produk tidak tercantum, produk tersebut tidak didukung dan belum memenuhi persyaratan kontrol untuk Wilayah Hong Kong. Produk yang tidak didukung tidak direkomendasikan untuk digunakan tanpa uji kelayakan dan pemahaman menyeluruh tentang tanggung jawab Anda dalam model tanggung jawab bersama. Sebelum menggunakan produk yang tidak didukung, pastikan Anda mengetahui dan bersedia menerima risiko terkait yang terlibat, seperti dampak negatif terhadap retensi data atau kedaulatan data.

Produk yang didukung endpoint API Pembatasan atau batasan
Access Approval accessapproval.googleapis.com
 Tidak ada
Access Context Manager accesscontextmanager.googleapis.com
 Tidak ada
Transparansi Akses accessapproval.googleapis.com
 Tidak ada
AlloyDB untuk PostgreSQL alloydb.googleapis.com
 Tidak ada
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
 Tidak ada
Artifact Registry artifactregistry.googleapis.com
 Tidak ada
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerydatatransfer.googleapis.com
bigquerymigration.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
 Fitur yang terpengaruh
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
 Tidak ada
Certificate Authority Service privateca.googleapis.com
 Tidak ada
Cloud Composer composer.googleapis.com
 Tidak ada
Cloud DNS dns.googleapis.com
 Tidak ada
Cloud Data Fusion datafusion.googleapis.com
 Tidak ada
Cloud External Key Manager (Cloud EKM) cloudkms.googleapis.com
 Tidak ada
Cloud Run Functions cloudfunctions.googleapis.com
 Tidak ada
Cloud HSM cloudkms.googleapis.com
 Tidak ada
Cloud Interconnect networkconnectivity.googleapis.com
 Tidak ada
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
 Tidak ada
Cloud Load Balancing compute.googleapis.com
 Tidak ada
Cloud Logging logging.googleapis.com
 Fitur yang terpengaruh
Cloud Monitoring monitoring.googleapis.com
 Tidak ada
Cloud NAT networkconnectivity.googleapis.com
 Tidak ada
Cloud Router networkconnectivity.googleapis.com
 Tidak ada
Cloud Run run.googleapis.com
 Tidak ada
Cloud SQL sqladmin.googleapis.com
 Tidak ada
Cloud Storage storage.googleapis.com
 Tidak ada
Cloud Tasks cloudtasks.googleapis.com
 Tidak ada
Cloud VPN compute.googleapis.com
 Tidak ada
Cloud Vision API vision.googleapis.com
 Tidak ada
Compute Engine compute.googleapis.com
 Fitur yang terpengaruh dan batasan kebijakan organisasi
Connect gkeconnect.googleapis.com
 Tidak ada
Sensitive Data Protection dlp.googleapis.com
 Tidak ada
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
 Tidak ada
Dataform dataform.googleapis.com
 Tidak ada
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
 Tidak ada
Eventarc eventarc.googleapis.com
 Tidak ada
Filestore file.googleapis.com
 Tidak ada
Firestore firestore.googleapis.com
 Tidak ada
GKE Hub gkehub.googleapis.com
 Tidak ada
GKE Identity Service anthosidentityservice.googleapis.com
 Tidak ada
AI Generatif di Vertex AI aiplatform.googleapis.com
 Tidak ada
Google Cloud Armor compute.googleapis.com
networksecurity.googleapis.com
 Fitur yang terpengaruh
Google Kubernetes Engine (GKE) container.googleapis.com
containersecurity.googleapis.com
 Tidak ada
Google Security Operations SIEM chronicle.googleapis.com
chronicleservicemanager.googleapis.com
 Tidak ada
Identity and Access Management (IAM) iam.googleapis.com
 Tidak ada
Identity-Aware Proxy (IAP) iap.googleapis.com
 Tidak ada
Looker (Google Cloud core) looker.googleapis.com
 Tidak ada
Memorystore for Redis redis.googleapis.com
 Tidak ada
Network Connectivity Center networkconnectivity.googleapis.com
 Tidak ada
Persistent Disk compute.googleapis.com
 Tidak ada
Pub/Sub pubsub.googleapis.com
 Tidak ada
Resource Manager cloudresourcemanager.googleapis.com
 Tidak ada
Secure Source Manager securesourcemanager.googleapis.com
 Tidak ada
Speech-to-Text speech.googleapis.com
 Tidak ada
Cloud Service Mesh trafficdirector.googleapis.com
 Tidak ada
Kontrol Layanan VPC accesscontextmanager.googleapis.com
 Tidak ada
Vertex AI Search discoveryengine.googleapis.com
 Tidak ada
Virtual Private Cloud (VPC) compute.googleapis.com
 Tidak ada

Batas dan pembatasan

Bagian berikut menjelaskan batasan atau pembatasan khusus produk atau Google Clouduntuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default di folder Region Hong Kong. Batasan kebijakan organisasi lainnya yang berlaku —meskipun tidak ditetapkan secara default— dapat memberikan pertahanan mendalam tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Google Cloud-lebar

Batasan kebijakan organisasi di seluruhGoogle Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh Google Cloud.

Batasan kebijakan organisasi Deskripsi
gcp.resourceLocations Tetapkan ke lokasi berikut dalam daftar allowedValues:
  • asia-east2
Nilai ini membatasi pembuatan resource baru hanya ke grup nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Mengubah nilai ini dengan membuatnya kurang membatasi dapat berpotensi melemahkan residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data yang mematuhi kebijakan. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya.
gcp.restrictServiceUsage Tetapkan untuk mengizinkan semua produk dan endpoint API yang didukung.

Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource.
gcp.restrictTLSVersion Tetapkan untuk menolak versi TLS berikut:
  • TLS_1_0
  • TLS_1_1
Lihat halaman Membatasi versi TLS untuk mengetahui informasi selengkapnya.

BigQuery

Fitur BigQuery yang terpengaruh

Fitur Deskripsi
Mengaktifkan BigQuery di folder baru BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Workload Terjamin baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dalam beberapa situasi dapat memerlukan waktu lebih lama. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut:
  1. Di konsol Google Cloud, buka halaman Workloads Terjamin.

    Buka Assured Workloads

  2. Pilih folder Assured Workloads baru Anda dari daftar.
  3. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates.
  4. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Batasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya.

    Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care.

Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Workload Terjamin.

Gemini di BigQuery tidak didukung oleh Assured Workloads.
Fitur yang tidak didukung Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di BigQuery CLI. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Workload Terjamin.
BigQuery CLI BigQuery CLI didukung.

Google Cloud SDK Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data untuk data teknis. Untuk memverifikasi versi Google Cloud SDK saat ini, jalankan gcloud --version, lalu gcloud components update untuk mengupdate ke versi terbaru.
Kontrol administrator BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Beban Kerja Terjamin dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk workload Region Hong Kong.
Transfer pihak ketiga BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service.
Model BQML yang tidak mematuhi kebijakan Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri Tugas kueri hanya boleh dibuat dalam folder Assured Workloads.
Kueri pada set data di project lain BigQuery tidak mencegah set data Assured Workloads dikueri dari project non-Assured Workloads. Anda harus memastikan bahwa kueri apa pun yang memiliki operasi baca atau join pada data Assured Workloads ditempatkan di folder Assured Workloads. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kueri menggunakan projectname.dataset.table di CLI BigQuery.
Cloud Logging BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging _default atau membatasi bucket _default ke region dalam cakupan untuk mempertahankan kepatuhan menggunakan perintah berikut:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Lihat Membuat log secara regional untuk mengetahui informasi selengkapnya.

Compute Engine

Fitur Compute Engine yang terpengaruh

Fitur Deskripsi
Lingkungan tamu Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data dalam penyimpanan dan data yang sedang digunakan yang tidak dienkripsi. Bergantung pada konfigurasi VM Anda, update pada software ini dapat diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket.

Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi compute.trustedImageProjects.

Lihat halaman Mem-build image kustom untuk mengetahui informasi selengkapnya.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi Deskripsi
compute.disableGlobalCloudArmorPolicy Tetapkan ke Benar.

Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru, dan penambahan atau perubahan aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan listingan kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum penerapan batasan ini tetap berlaku.
compute.restrictNonConfidentialComputing

 (Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan menyeluruh tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
compute.trustedImageProjects

 (Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan menyeluruh tambahan.

Menetapkan nilai ini akan membatasi penyimpanan image dan pembuatan instance disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Cloud Logging

Fitur Cloud Logging yang terpengaruh

Fitur Deskripsi
Sink log Filter tidak boleh berisi Data Pelanggan.

Sink log menyertakan filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Entri log pelacakan langsung Filter tidak boleh berisi Data Pelanggan.

Sesi pelacakan langsung menyertakan filter yang disimpan sebagai konfigurasi. Log tailing tidak menyimpan data entri log itu sendiri, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.

Langkah berikutnya