IRS 1075 号法规的数据边界
本页面介绍了在 Assured Workloads 中针对 IRS 1075 工作负载的数据边界应用的一组控制措施。其中详细介绍了数据留存、支持的 Google Cloud 产品及其 API 端点,以及这些产品适用的任何限制。以下附加信息适用于 IRS 1075 号法规的数据边界:
- 数据驻留:IRS 1075 号法规的数据边界控制软件包将数据位置控制设置为仅支持美国区域。如需了解详情,请参阅Google Cloud范围的组织政策限制条件部分。
支持:对于 IRS 1075 号法规的数据边界工作负载,增强型或高级云端客户服务订阅可提供技术支持服务。对于 IRS 1075 工作负载支持服务工单,系统会将工单转给位于美国境内且已完成基于指纹的 CJIS 背景调查、州级执法检查和公民身份验证的美国人。如需了解详情,请参阅获取支持。
价格:IRS 1075 控制包的数据边界包含在 Assured Workloads 的高级层级中,该层级会产生 20% 的额外费用。如需了解详情,请参阅 Assured Workloads 价格。
前提条件
作为“IRS 1075”控制软件包的数据边界用户,为保持合规性,请验证您是否满足并遵守以下前提条件:
- 使用 Assured Workloads 创建一个 IRS 1075 号法规的数据边界文件夹,并将 IRS 1075 号法规的数据边界工作负载仅部署在该文件夹中。
- 仅针对 IRS 1075 号法规的数据边界工作负载启用和使用纳入 IRS 1075 号法规数据边界范围的服务。
- 除非您了解并愿意接受可能发生的数据驻留风险,否则请勿更改默认的组织政策限制条件值。
- 不妨采纳Google Cloud 安全最佳实践中心提供的一般安全最佳实践。
- 访问 Google Cloud 控制台时,您可以选择使用管辖区 Google Cloud 控制台。您无需使用管辖区级 Google Cloud 控制台来设置 IRS 1075 的数据边界。您可以通过以下网址之一访问该文件:
支持的产品和 API 端点
除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。 下表列出了影响受支持产品的功能的限制,包括通过组织政策限制条件设置强制执行的限制。
如果某产品未列出,则表示该产品不受支持,并且未达到 IRS 1075 的数据边界控制要求。在未尽到合理注意义务且未充分了解您在责任共担模型中的责任之前,不建议使用不受支持的产品。在使用不受支持的产品之前,请确保您了解并愿意接受任何相关风险,例如对数据留存或数据主权产生负面影响。
| 支持的产品 | API 端点 | 限制或局限 |
|---|---|---|
| Access Context Manager |
accesscontextmanager.googleapis.com |
无 |
| Access Transparency |
accessapproval.googleapis.com |
无 |
| Agent Assist |
dialogflow.googleapis.com |
无 |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
无 |
| Apigee |
apigee.googleapis.com |
无 |
| Application Integration |
integrations.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| Backup for GKE |
gkebackup.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
受影响的功能 |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
受影响的功能 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
无 |
| Binary Authorization |
binaryauthorization.googleapis.com |
无 |
| Certificate Authority Service |
privateca.googleapis.com |
无 |
| Cloud Build |
cloudbuild.googleapis.com |
无 |
| Cloud Composer |
composer.googleapis.com |
无 |
| Google Cloud 控制台 |
N/A |
无 |
| Cloud DNS |
dns.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
无 |
| Cloud Run functions |
cloudfunctions.googleapis.com |
组织政策限制条件 |
| Cloud HSM |
cloudkms.googleapis.com |
无 |
| Cloud Healthcare API |
healthcare.googleapis.com |
无 |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
受影响的功能 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
无 |
| Cloud Logging |
logging.googleapis.com |
受影响的功能 |
| Cloud Monitoring |
monitoring.googleapis.com |
受影响的功能 |
| Cloud NAT |
networkconnectivity.googleapis.com |
无 |
| Cloud OS Login API |
oslogin.googleapis.com |
无 |
| Cloud Router |
networkconnectivity.googleapis.com |
无 |
| Cloud Run |
run.googleapis.com |
受影响的功能 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
受影响的功能 |
| Cloud Vision API |
vision.googleapis.com |
无 |
| Cloud Workstations |
workstations.googleapis.com |
无 |
| Compute Engine |
compute.googleapis.com |
受影响的功能 和组织政策限制条件 |
| Connect |
gkeconnect.googleapis.com |
无 |
| Dialogflow CX |
dialogflow.googleapis.com |
无 |
| 对话分析洞见 |
contactcenterinsights.googleapis.com |
无 |
| 敏感数据保护 |
dlp.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
无 |
| Dataform |
dataform.googleapis.com |
无 |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
无 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
无 |
| Document AI |
documentai.googleapis.com |
无 |
| 重要联系人 |
essentialcontacts.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| 外部直通式网络负载平衡器 |
compute.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Firebase Authentication |
N/A |
无 |
| Firestore |
firestore.googleapis.com |
无 |
| GKE Hub |
gkehub.googleapis.com |
无 |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
无 |
| Vertex AI 上的生成式 AI |
aiplatform.googleapis.com |
无 |
| Google Agentspace |
discoveryengine.googleapis.com |
无 |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
受影响的功能 |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
受影响的功能 |
| Google Security Operations SOAR |
Not applicable |
无 |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
无 |
| Google Security Operations SIEM |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
无 |
| 身份和访问权限管理 (IAM) |
iam.googleapis.com |
无 |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
无 |
| Infrastructure Manager |
config.googleapis.com |
无 |
| 集成连接器 |
connectors.googleapis.com |
无 |
| 内部直通式网络负载平衡器 |
compute.googleapis.com |
无 |
| 管辖区 Google Cloud 控制台 |
N/A |
无 |
| Looker (Google Cloud Core) |
looker.googleapis.com |
无 |
| Memorystore for Redis |
redis.googleapis.com |
无 |
| 组织政策服务 |
orgpolicy.googleapis.com |
无 |
| Persistent Disk |
compute.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
无 |
| 区域级外部应用负载平衡器 |
compute.googleapis.com |
无 |
| 区域级外部代理网络负载平衡器 |
compute.googleapis.com |
无 |
| 区域级内部应用负载平衡器 |
compute.googleapis.com |
无 |
| 区域级内部代理网络负载平衡器 |
compute.googleapis.com |
无 |
| Resource Manager |
cloudresourcemanager.googleapis.com |
无 |
| Secret Manager |
secretmanager.googleapis.com |
无 |
| Secure Source Manager |
securesourcemanager.googleapis.com |
无 |
| Spanner |
spanner.googleapis.com |
无 |
| Speech-to-Text |
speech.googleapis.com |
受影响的功能 |
| Storage Transfer Service |
storagetransfer.googleapis.com |
无 |
| Text-to-Speech |
texttospeech.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
| Vertex AI Search |
discoveryengine.googleapis.com |
无 |
| Vertex AI Workbench |
aiplatform.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
限制和局限
以下部分介绍了功能方面的 Google Cloud范围或产品特定限制,包括默认在“IRS 1075 文件夹的数据边界”上设置的任何组织政策限制。其他适用的组织政策限制条件(即使默认设置未设置)可以提供额外的深度防御,以进一步保护贵组织的 Google Cloud 资源。
Google Cloud宽
受影响的 Google Cloud范围功能
| 功能 | 说明 |
|---|---|
| Google Cloud 控制台 | 如果使用“IRS 1075 控制包”的数据边界,您可以使用管辖区级 Google Cloud 控制台来访问 Google Cloud 控制台。IRS 1075 号法规的数据边界不需要使用管辖区 Google Cloud 控制台,您可以使用以下网址之一访问该控制台: 如需了解详情,请参阅管辖区 Google Cloud 控制台页面。 |
Google Cloud范围的组织政策限制条件
以下组织政策限制条件适用于 Google Cloud。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 allowedValues 列表中的以下位置:
如果更改此值,则允许更少的数据在合规的数据边界之外创建或存储,从而可能破坏数据驻留。 |
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥(而不是 Google 的默认加密机制)加密静态数据。 如果通过从列表中移除一个或多个范围内的服务来更改此值,则可能会破坏数据主权,因为系统会使用 Google 自己的密钥(而不是您自己的密钥)自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。 |
gcp.restrictServiceUsage |
设置为允许所有受支持的产品和 API 端点。 通过限制对运行时资源的访问来确定哪些服务可以使用。如需了解详情,请参阅限制资源使用。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
BigQuery
受影响的 BigQuery 功能
| 功能 | 说明 |
|---|---|
| 在新文件夹中启用 BigQuery | BigQuery 受支持,但由于内部配置流程,在您创建新的 Assured Workloads 文件夹时,系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery,请完成以下步骤:
启用流程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。 Assured Workloads 不支持 Gemini in BigQuery。 |
| 不受支持的功能 | 以下 BigQuery 功能不受支持,不应在 BigQuery CLI 中使用。您有责任不在 BigQuery for Assured Workloads 中使用这些模型。
|
| BigQuery CLI | 支持 BigQuery CLI。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。
|
| 管理员控制功能 | BigQuery 会停用不受支持的 API,但有足够权限创建 Assured Workloads 文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您将通过 Assured Workloads 监控信息中心收到有关可能不合规的通知。 |
| 正在加载数据 | 不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于 IRS 1075 工作负载的数据边界。 |
| 第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移作业来执行 BigQuery Data Transfer Service 时,您有责任验证支持情况。 |
| 不合规的 BQML 模型 | 不支持外部训练的 BQML 模型。 |
| 查询作业 | 查询作业应仅在 Assured Workloads 文件夹中创建。 |
| 针对其他项目中的数据集执行查询 | BigQuery 不会阻止从非 Assured Workloads 项目查询 Assured Workloads 数据集。您应确保对 Assured Workloads 数据进行读取或联接的任何查询都放在 Assured Workloads 文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为查询结果指定完全限定的表名称。
|
| Cloud Logging | BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 _default 日志记录存储分区或将 _default 存储分区限制为仅限相关地区,以确保合规性。为此,请使用以下命令:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
如需了解详情,请参阅区域化存储日志。 |
Compute Engine
受影响的 Compute Engine 功能
| 功能 | 说明 |
|---|---|
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。 请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。
|
| 本地 SSD | 此功能处于禁用状态。 无法创建具有本地 SSD 的实例,因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。 |
| 客机环境 | 客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您需要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。
如需了解详情,请参阅构建自定义映像页面。 |
| 虚拟机管理器中的操作系统政策 |
操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。
因此,请勿在这些文件中包含任何敏感信息。
或者,考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情,请参阅操作系统政策示例。 如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源,请启用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 组织政策限制条件。如需了解详情,请参阅 OS 配置的限制。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建新的Google Cloud Armor 安全政策,以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。 |
compute.disableGlobalLoadBalancing |
设置为 True。 禁止创建全球负载均衡产品。 更改此值可能会影响工作负载的数据驻留或数据主权。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.trustedImageProjects |
(可选)不设置值。设置此值可提供额外的深度防御。
设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。 |
Cloud Run functions
Cloud Run functions 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
cloudfunctions.restrictAllowedGenerations |
设置为拒绝以下可用于创建新的 Cloud Run functions 资源 Cloud Run functions 世代:
|
Cloud Interconnect
受影响的 Cloud Interconnect 功能
| 功能 | 说明 |
|---|---|
| 高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。 |
Cloud KMS
Cloud KMS 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|
Cloud Logging
受影响的 Cloud Logging 功能
| 功能 | 说明 |
|---|---|
| 日志接收器 | 过滤条件不应包含客户数据。 日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。 |
| Live Tailing 日志条目 | 过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。 |
Cloud Monitoring
受影响的 Cloud Monitoring 功能
| 功能 | 说明 |
|---|---|
| 合成监控工具 | 此功能处于禁用状态。 |
| 拨测 | 此功能处于禁用状态。 |
Cloud Run
受影响的 Cloud Run 功能
| 功能 | 说明 |
|---|---|
| 不受支持的功能 | 不支持以下 Cloud Run 功能: |
Speech-to-Text
受影响的 Speech-to-Text 功能
| 功能 | 说明 |
|---|---|
| 自定义 Speech-to-Text 模型 | 您有责任不使用自定义 Speech-to-Text 模型,因为这些模型不符合 IRS 1075 的数据边界要求。 |
Cloud VPN
受影响的 Cloud VPN 功能
| 功能 | 说明 |
|---|---|
| VPN 端点 | 您必须仅使用位于适用区域中的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在适用区域中使用。 |