印度数据边界
本页面介绍了 Assured Workloads 中应用于印度数据边界工作负载的一组控制措施。其中详细介绍了数据留存、支持的 Google Cloud 产品及其 API 端点,以及这些产品适用的任何限制。以下附加信息适用于印度数据边界:
- 数据驻留:印度数据边界控制软件包将数据位置控制设置为仅支持印度区域。如需了解详情,请参阅Google Cloud范围的组织政策限制条件部分。
- 支持:对于印度数据边界工作负载,您可以通过标准、增强型或高级 Cloud Customer Care 订阅获取技术支持服务。印度数据边界工作负载支持请求会转交给全球支持人员。
- 价格:印度数据边界控制软件包包含在 Assured Workloads 的免费层级中,不会产生额外费用。如需了解详情,请参阅 Assured Workloads 价格。
支持的产品和 API 端点
除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。 下表列出了影响受支持产品的功能的限制,包括通过组织政策限制条件设置强制执行的限制。
如果未列出某个产品,则表示该产品不受支持,并且不符合印度数据边界的控制要求。在未尽到合理注意义务且未充分了解您在责任共担模型中的责任之前,不建议使用不受支持的产品。在使用不受支持的产品之前,请确保您了解并愿意接受任何相关风险,例如对数据留存或数据主权产生负面影响。
| 支持的产品 | API 端点 | 限制或局限 |
|---|---|---|
| 访问权限审批 |
accessapproval.googleapis.com |
无 |
| Access Context Manager |
accesscontextmanager.googleapis.com |
无 |
| Access Transparency |
accessapproval.googleapis.com |
无 |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
无 |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
无 |
| Apigee |
apigee.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| Backup for GKE |
gkebackup.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
受影响的功能 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
无 |
| Certificate Authority Service |
privateca.googleapis.com |
无 |
| Cloud Build |
cloudbuild.googleapis.com |
无 |
| Cloud Composer |
composer.googleapis.com |
无 |
| Cloud DNS |
dns.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
无 |
| Cloud Run functions |
run.googleapis.com |
无 |
| Cloud HSM |
cloudkms.googleapis.com |
无 |
| Cloud Interconnect |
compute.googleapis.com |
无 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
无 |
| Cloud Load Balancing |
compute.googleapis.com |
无 |
| Cloud Logging |
logging.googleapis.com |
受影响的功能 |
| Cloud Monitoring |
monitoring.googleapis.com |
无 |
| Cloud NAT |
compute.googleapis.com |
无 |
| Cloud OS Login API |
oslogin.googleapis.com |
无 |
| Cloud Router |
compute.googleapis.com |
无 |
| Cloud Run |
run.googleapis.com |
受影响的功能 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud SQL for PostgreSQL |
sqladmin.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
无 |
| Cloud Vision API |
vision.googleapis.com |
无 |
| Cloud Workstations |
workstations.googleapis.com |
无 |
| Compute Engine |
compute.googleapis.com |
受影响的功能 和组织政策限制条件 |
| Config Sync |
anthosconfigmanagement.googleapis.com |
无 |
| Connect |
gkeconnect.googleapis.com |
无 |
| 敏感数据保护 |
dlp.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
无 |
| Dataform |
dataform.googleapis.com |
无 |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
无 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
无 |
| Document AI |
documentai.googleapis.com |
无 |
| 重要联系人 |
essentialcontacts.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Firebase 安全规则 |
firebaserules.googleapis.com |
无 |
| Firestore |
firestore.googleapis.com |
无 |
| GKE Hub |
gkehub.googleapis.com |
无 |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
无 |
| Vertex AI 上的生成式 AI |
aiplatform.googleapis.com |
无 |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
受影响的功能 |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
无 |
| Google Security Operations SIEM |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
无 |
| Google Security Operations SOAR |
Not applicable |
无 |
| 身份和访问权限管理 (IAM) |
iam.googleapis.com |
无 |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
无 |
| Infrastructure Manager |
config.googleapis.com |
无 |
| Looker (Google Cloud Core) |
looker.googleapis.com |
无 |
| Memorystore for Redis |
redis.googleapis.com |
无 |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
无 |
| 组织政策服务 |
orgpolicy.googleapis.com |
无 |
| Persistent Disk |
compute.googleapis.com |
无 |
| Personalized Service Health |
servicehealth.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
无 |
| Resource Manager |
cloudresourcemanager.googleapis.com |
无 |
| Secure Source Manager |
securesourcemanager.googleapis.com |
无 |
| 无服务器 VPC 访问通道 |
vpcaccess.googleapis.com |
无 |
| Speech-to-Text |
speech.googleapis.com |
无 |
| Storage Transfer Service |
storagetransfer.googleapis.com |
无 |
| Cloud Service Mesh |
trafficdirector.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
| Vertex AI Search |
discoveryengine.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
限制和局限
以下各部分介绍了功能方面的 Google Cloud范围或产品特定限制或局限,包括印度数据边界文件夹中默认设置的任何组织政策限制条件。其他适用的组织政策限制条件(即使默认设置未设置)可以提供额外的深度防御,以进一步保护贵组织的 Google Cloud 资源。
Google Cloud宽
Google Cloud范围的组织政策限制条件
以下组织政策限制条件适用于 Google Cloud。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 allowedValues 列表中的以下位置:
如果更改此值,则允许更少的数据在合规的数据边界之外创建或存储,从而可能破坏数据驻留。 |
gcp.restrictServiceUsage |
设置为允许所有受支持的产品和 API 端点。 通过限制对运行时资源的访问来确定哪些服务可以使用。如需了解详情,请参阅限制资源使用。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
BigQuery
受影响的 BigQuery 功能
| 功能 | 说明 |
|---|---|
| 在新文件夹中启用 BigQuery | BigQuery 受支持,但由于内部配置流程,在您创建新的 Assured Workloads 文件夹时,系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery,请完成以下步骤:
启用流程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。 Assured Workloads 不支持 Gemini in BigQuery。 |
| 不受支持的功能 | 以下 BigQuery 功能不受支持,不应在 BigQuery CLI 中使用。您有责任不在 BigQuery for Assured Workloads 中使用这些模型。
|
| BigQuery CLI | 支持 BigQuery CLI。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。
|
| 管理员控制功能 | BigQuery 会停用不受支持的 API,但有足够权限创建 Assured Workloads 文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您将通过 Assured Workloads 监控信息中心收到有关可能不合规的通知。 |
| 正在加载数据 | 不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于印度数据边界工作负载。 |
| 第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移作业来执行 BigQuery Data Transfer Service 时,您有责任验证支持情况。 |
| 不合规的 BQML 模型 | 不支持外部训练的 BQML 模型。 |
| 查询作业 | 查询作业应仅在 Assured Workloads 文件夹中创建。 |
| 针对其他项目中的数据集执行查询 | BigQuery 不会阻止从非 Assured Workloads 项目查询 Assured Workloads 数据集。您应确保对 Assured Workloads 数据进行读取或联接的任何查询都放在 Assured Workloads 文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为查询结果指定完全限定的表名称。
|
| Cloud Logging | BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 _default 日志记录存储分区或将 _default 存储分区限制为仅限相关地区,以确保合规性。为此,请使用以下命令:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
如需了解详情,请参阅区域化存储日志。 |
Compute Engine
受影响的 Compute Engine 功能
| 功能 | 说明 |
|---|---|
| 客机环境 | 客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您需要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。
如需了解详情,请参阅构建自定义映像页面。 |
| 虚拟机管理器中的操作系统政策 |
操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。
因此,请勿在这些文件中包含任何敏感信息。
或者,考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情,请参阅操作系统政策示例。 如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源,请启用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 组织政策限制条件。如需了解详情,请参阅 OS 配置的限制。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建新的Google Cloud Armor 安全政策,以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.trustedImageProjects |
(可选)不设置值。设置此值可提供额外的深度防御。
设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。 |
Cloud Logging
受影响的 Cloud Logging 功能
| 功能 | 说明 |
|---|---|
| 日志接收器 | 过滤条件不应包含客户数据。 日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。 |
| Live Tailing 日志条目 | 过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。 |