“香港区域”控制措施套餐
本页介绍了在 Assured Workloads 中对香港地区工作负载应用的一组控制措施。其中详细介绍了数据驻留、支持的 Google Cloud 产品及其 API 端点,以及这些产品的所有适用限制。以下额外信息适用于香港地区:
- 数据驻留:香港地区控制包会将数据位置控件设置为支持仅限香港地区。如需了解详情,请参阅Google Cloud级组织政策限制部分。
- 支持:订阅标准、增强型或高级 Cloud Customer Care 后,您可以获得适用于香港地区工作负载的技术支持服务。香港地区的工作负载支持请求会转给全球支持人员。
- 价格:香港地区控制台软件包包含在 Assured Workloads 的免费层级中,无需额外付费。如需了解详情,请参阅 Assured Workloads 价格。
支持的产品和 API 端点
除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。下表列出了影响受支持产品功能的限制或限制条件,包括通过组织政策限制条件设置强制执行的限制。
如果某款商品未列出,则表示该商品不受支持,并且未符合香港地区的管制要求。建议您在未执行尽职调查并彻底了解共担责任模型中您的责任的情况下,不要使用不受支持的产品。在使用不受支持的产品之前,请确保您了解并愿意接受相关的所有风险,例如对数据驻留地或数据主权产生负面影响。
| 支持的产品 | API 端点 | 限制 |
|---|---|---|
| Access Approval |
accessapproval.googleapis.com |
无 |
| Access Context Manager |
accesscontextmanager.googleapis.com |
无 |
| Access Transparency |
accessapproval.googleapis.com |
无 |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
无 |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
受影响的功能 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
无 |
| Certificate Authority Service |
privateca.googleapis.com |
无 |
| Cloud Composer |
composer.googleapis.com |
无 |
| Cloud DNS |
dns.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
无 |
| Cloud Run 函数 |
cloudfunctions.googleapis.com |
无 |
| Cloud HSM |
cloudkms.googleapis.com |
无 |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
无 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
无 |
| Cloud Load Balancing |
compute.googleapis.com |
无 |
| Cloud Logging |
logging.googleapis.com |
受影响的功能 |
| Cloud Monitoring |
monitoring.googleapis.com |
无 |
| Cloud NAT |
networkconnectivity.googleapis.com |
无 |
| Cloud Router |
networkconnectivity.googleapis.com |
无 |
| Cloud Run |
run.googleapis.com |
无 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
无 |
| Cloud Vision API |
vision.googleapis.com |
无 |
| Compute Engine |
compute.googleapis.com |
受影响的功能以及组织政策限制 |
| 连接 |
gkeconnect.googleapis.com |
无 |
| 敏感数据保护 |
dlp.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
无 |
| Dataform |
dataform.googleapis.com |
无 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Firestore |
firestore.googleapis.com |
无 |
| GKE Hub |
gkehub.googleapis.com |
无 |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
无 |
| Vertex AI 上的生成式 AI |
aiplatform.googleapis.com |
无 |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
受影响的功能 |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
无 |
| Google Security Operations SIEM |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
无 |
| Identity and Access Management (IAM) |
iam.googleapis.com |
无 |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
无 |
| Looker (Google Cloud Core) |
looker.googleapis.com |
无 |
| Memorystore for Redis |
redis.googleapis.com |
无 |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
无 |
| Persistent Disk |
compute.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
无 |
| Resource Manager |
cloudresourcemanager.googleapis.com |
无 |
| Secure Source Manager |
securesourcemanager.googleapis.com |
无 |
| Speech-to-Text |
speech.googleapis.com |
无 |
| Cloud Service Mesh |
trafficdirector.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
| Vertex AI Search |
discoveryengine.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
限制和局限
以下部分介绍了 Google Cloud功能的全体限制或产品限制,包括默认在“香港地区”文件夹上设置的所有组织政策限制。其他适用的组织政策限制条件(即使默认设置未设置)可以提供额外的深度防御,以进一步保护贵组织的 Google Cloud 资源。
Google Cloud宽
Google Cloud级组织政策限制条件
以下组织政策限制条件适用于 Google Cloud。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
将其设置为 allowedValues 列表中的以下位置:
|
gcp.restrictServiceUsage |
设置为允许所有受支持的产品和 API 端点。 确定可以启用和使用哪些服务。如需了解详情,请参阅限制资源使用情况。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
BigQuery
受影响的 BigQuery 功能
| 功能 | 说明 |
|---|---|
| 在新文件夹上启用 BigQuery | 系统支持 BigQuery,但由于内部配置流程,当您创建新的“受保工作负载”文件夹时,系统不会自动启用 BigQuery。此过程通常需要 10 分钟才能完成,但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery,请完成以下步骤:
启用流程完成后,您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。 可靠工作负载不支持 Gemini in BigQuery。 |
| 不受支持的功能 | 以下 BigQuery 功能不受支持,也不应在 BigQuery CLI 中使用。您有责任确保不在 BigQuery for Assured Workloads 中使用这些函数。
|
| BigQuery 命令行界面 | 支持 BigQuery CLI。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能保证技术数据的数据区域划分。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。
|
| 管理员控制功能 | BigQuery 会停用不受支持的 API,但具有足够权限创建“受保工作负载”文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您会通过 Assured Workloads Monitoring 信息中心收到可能违规的通知。 |
| 正在加载数据 | 不支持 Google 软件即服务 (SaaS) 应用、外部云端存储空间提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任确保不将 BigQuery Data Transfer Service 连接器用于香港地区的工作负载。 |
| 第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用 BigQuery Data Transfer Service 的任何第三方传输服务时,您有责任自行确认支持情况。 |
| 不合规的 BQML 模型 | 不支持在外部训练的 BQML 模型。 |
| 查询作业 | 只能在 Assured Workloads 文件夹中创建查询作业。 |
| 对其他项目中的数据集进行查询 | BigQuery 不会阻止从非 Assured Workloads 项目查询 Assured Workloads 数据集。您应确保将对 Assured Workloads 数据执行读取或联接的任何查询都放置在 Assured Workloads 文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为其查询结果指定完全限定表名称。
|
| Cloud Logging | BigQuery 会将您的部分日志数据存储在 Cloud Logging 中。您应使用以下命令停用 _default 日志记录存储分区或将 _default 存储分区限制为在适用范围内的区域,以确保合规:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
如需了解详情,请参阅区域化存储日志。 |
Compute Engine
受影响的 Compute Engine 功能
| 功能 | 说明 |
|---|---|
| 客机环境 | 客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您想要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。
如需了解详情,请参阅构建自定义映像页面。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建新的 Google Cloud Armor 安全政策,以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。区域性 Google Cloud Armor 安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.trustedImageProjects |
(可选)不设置值。设置此值可提供额外的深度防御。
设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。 |
Cloud Logging
受影响的 Cloud Logging 功能
| 功能 | 说明 |
|---|---|
| 日志接收器 | 过滤条件不应包含客户数据。 日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。 |
| Live Tailing 日志条目 | 过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。 |