IRS 出版品 1075 資料邊界

本頁面說明在 Assured Workloads 中,針對 IRS 1075 工作負載套用資料邊界的一組控管措施。這份文件詳細說明資料所在地支援的產品 Google Cloud 及其 API 端點,以及這些產品適用的限制。下列額外資訊適用於 IRS 1075 資料邊界:

  • 資料落地:IRS 1075 控制項套件的資料邊界會設定資料位置控制項,以便僅支援美國的區域。詳情請參閱「Google Cloud全機構組織政策限制」一節。

  • 支援:如要取得 IRS 1075 工作負載資料邊界的技術支援服務,請訂閱 Enhanced 或 Premium Cloud Customer Care。IRS 1075 工作負載支援案件會轉送給位於美國境內,並已完成以指紋為基礎的 CJIS 背景調查、州級執法機關調查和公民身分驗證的「美國自然人/法人」。詳情請參閱「取得支援」一文。

  • 價格:IRS 1075 資料邊界控制項套裝組合包含在 Assured Workloads 的進階級中,因此會產生 20% 的額外費用。詳情請參閱「Assured Workloads 計費方式」。

必要條件

如要確保您在使用 IRS 1075 控制套件的資料邊界時符合規定,請確認您符合並遵守下列先決條件:

支援的產品和 API 端點

除非另有說明,否則使用者可以透過 Google Cloud 控制台存取所有支援的產品。 下表列出會影響支援產品功能的限制,包括透過機構政策限制設定強制執行的限制。

如果產品未列出,表示該產品不受支援,且未符合 IRS 1075 資料邊界控制項規定。如未盡到應盡的注意義務,並充分瞭解共責式安全性模型中的責任,建議不要使用不受支援的產品。使用不支援的產品前,請務必瞭解並願意接受相關風險,例如對資料駐留或資料主權的負面影響。

支援的產品 API 端點 限制
Access Context Manager accesscontextmanager.googleapis.com
資料存取透明化控管機制 accessapproval.googleapis.com
Agent Assist dialogflow.googleapis.com
PostgreSQL 適用的 AlloyDB alloydb.googleapis.com
Apigee apigee.googleapis.com
應用程式整合 integrations.googleapis.com
Artifact Registry artifactregistry.googleapis.com
GKE 備份 gkebackup.googleapis.com
BigQuery bigquery.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerymigration.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
 受影響的功能
BigQuery 資料移轉服務 bigquerydatatransfer.googleapis.com
 受影響的功能
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
二進位授權 binaryauthorization.googleapis.com
憑證授權單位服務 privateca.googleapis.com
Cloud Build cloudbuild.googleapis.com
Cloud Composer composer.googleapis.com
Google Cloud console N/A
Cloud DNS dns.googleapis.com
Cloud Data Fusion datafusion.googleapis.com
Cloud External Key Manager (Cloud EKM) cloudkms.googleapis.com
Cloud Run functions cloudfunctions.googleapis.com
 機構政策限制
Cloud HSM cloudkms.googleapis.com
Cloud Healthcare API healthcare.googleapis.com
Cloud Interconnect networkconnectivity.googleapis.com
 受影響的功能
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
Cloud Logging logging.googleapis.com
 受影響的功能
Cloud Monitoring monitoring.googleapis.com
 受影響的功能
Cloud NAT networkconnectivity.googleapis.com
Cloud OS Login API oslogin.googleapis.com
Cloud Router networkconnectivity.googleapis.com
Cloud Run run.googleapis.com
 受影響的功能
Cloud SQL sqladmin.googleapis.com
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
Cloud Storage storage.googleapis.com
Cloud Tasks cloudtasks.googleapis.com
Cloud VPN compute.googleapis.com
 受影響的功能
Cloud Vision API vision.googleapis.com
Cloud Workstations workstations.googleapis.com
Compute Engine compute.googleapis.com
 受影響的功能機構政策限制
連結 gkeconnect.googleapis.com
Dialogflow CX dialogflow.googleapis.com
對話式洞察 contactcenterinsights.googleapis.com
Sensitive Data Protection dlp.googleapis.com
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
Dataform dataform.googleapis.com
Dataplex Universal Catalog dataplex.googleapis.com
datalineage.googleapis.com
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
Document AI documentai.googleapis.com
重要聯絡人 essentialcontacts.googleapis.com
Eventarc eventarc.googleapis.com
外部直通式網路負載平衡器 compute.googleapis.com
Filestore file.googleapis.com
Firebase 驗證 N/A
Firestore firestore.googleapis.com
GKE Hub gkehub.googleapis.com
GKE Identity Service anthosidentityservice.googleapis.com
Vertex AI 生成式 AI aiplatform.googleapis.com
Google Agentspace discoveryengine.googleapis.com
Google Cloud Armor compute.googleapis.com
networksecurity.googleapis.com
 受影響的功能
Google Cloud NetApp Volumes netapp.googleapis.com
 受影響的功能
Google Security Operations SOAR Not applicable
Google Kubernetes Engine (GKE) container.googleapis.com
containersecurity.googleapis.com
Google Security Operations SIEM chronicle.googleapis.com
chronicleservicemanager.googleapis.com
身分與存取權管理 (IAM) iam.googleapis.com
Identity-Aware Proxy (IAP) iap.googleapis.com
基礎架構管理員 config.googleapis.com
Integration Connectors connectors.googleapis.com
內部直通式網路負載平衡器 compute.googleapis.com
管轄區 Google Cloud 控制台 N/A
Looker (Google Cloud Core) looker.googleapis.com
Memorystore for Redis redis.googleapis.com
機構政策服務 orgpolicy.googleapis.com
Persistent Disk compute.googleapis.com
Pub/Sub pubsub.googleapis.com
區域性外部應用程式負載平衡器 compute.googleapis.com
區域性外部 Proxy 網路負載平衡器 compute.googleapis.com
區域性內部應用程式負載平衡器 compute.googleapis.com
區域性內部 Proxy 網路負載平衡器 compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com
Secret Manager secretmanager.googleapis.com
Secure Source Manager securesourcemanager.googleapis.com
Spanner spanner.googleapis.com
Speech-to-Text speech.googleapis.com
 受影響的功能
Storage 移轉服務 storagetransfer.googleapis.com
Text-to-Speech texttospeech.googleapis.com
VPC Service Controls accesscontextmanager.googleapis.com
Vertex AI Search discoveryengine.googleapis.com
Vertex AI Workbench aiplatform.googleapis.com
虛擬私有雲 (VPC) compute.googleapis.com

規定與限制

以下各節說明功能 Google Cloud層級或產品專屬的限制,包括 IRS 1075 資料夾的資料邊界預設機構政策限制。其他適用的機構政策限制 (即使不是預設設定) 可提供額外的縱深防禦措施,進一步保護機構的資源。 Google Cloud

Google Cloud-wide

受影響的 Google Cloud功能

功能 說明
Google Cloud 控制台 使用 IRS 1075 控制套件的資料邊界時,如要存取 Google Cloud 控制台,可以選擇使用管轄區 Google Cloud 控制台。IRS 1075 資料邊界不需要管轄區控制台,可透過下列任一網址存取: Google Cloud
詳情請參閱管轄區 Google Cloud 控制台頁面。

Google Cloud全機構適用的機構政策限制

下列機構政策限制適用於整個 Google Cloud。

機構政策限制 說明
gcp.resourceLocations allowedValues 清單中設定下列位置:
  • us-locations
  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4
這個值會將新資源的建立作業限制在所選值。設定後,您就無法在所選區域、多區域或位置以外的任何位置建立資源。如要查看可透過「資源位置」機構政策限制的資源清單,請參閱「資源位置支援的服務」,因為部分資源可能超出範圍,無法限制。

如果變更這個值,放寬限制,可能會允許在符合規定的資料邊界外建立或儲存資料,進而破壞資料落地性。
gcp.restrictNonCmekServices 設定為所有適用範圍內API 服務名稱的清單,包括:
  • bigquerydatatransfer.googleapis.com
上述各項服務的部分功能可能會受到影響。

清單中的每項服務都必須使用客戶自行管理的加密金鑰 (CMEK)。CMEK 可讓您使用自己管理的金鑰,而非 Google 的預設加密機制,加密靜態資料。

從清單中移除一或多項適用服務來變更這個值,可能會損害資料主權,因為系統會使用 Google 專屬金鑰而非您的金鑰,自動加密新的靜態資料。現有的靜態資料仍會以您提供的金鑰加密。
gcp.restrictServiceUsage 設為允許所有支援的產品和 API 端點

限制對資源的執行階段存取權,決定可使用的服務。詳情請參閱「限制資源用量」。
gcp.restrictTLSVersion 設為拒絕下列 TLS 版本:
  • TLS_1_0
  • TLS_1_1
詳情請參閱「限制傳輸層安全標準 (TLS) 版本」 頁面。

BigQuery

受影響的 BigQuery 功能

功能 說明
在新資料夾中啟用 BigQuery 系統支援 BigQuery,但由於內部設定程序,建立新的 Assured Workloads 資料夾時不會自動啟用。這項程序通常會在十分鐘內完成,但在某些情況下可能需要更多時間。如要檢查程序是否完成並啟用 BigQuery,請完成下列步驟:
  1. 前往 Google Cloud 控制台的「Assured Workloads」頁面。

    前往 Assured Workloads

  2. 從清單中選取新的 Assured Workloads 資料夾。
  3. 在「Allowed services」(允許的服務) 區段的「Folder Details」(資料夾詳細資料) 頁面中,按一下「Review Available Updates」(查看可用更新)
  4. 在「允許的服務」窗格中,檢查要新增至資料夾「資源用量限制」機構政策的服務。如果列出 BigQuery 服務,請按一下「允許服務」新增服務。

    如果未列出 BigQuery 服務,請等待內部程序完成。如果資料夾建立後 12 小時內未列出服務,請與 Cloud Customer Care 聯絡。

啟用程序完成後,您就可以在 Assured Workloads 資料夾中使用 BigQuery。

Assured Workloads 不支援 Gemini in BigQuery。
不支援的功能 BigQuery CLI 不支援下列 BigQuery 功能,請勿使用。您有責任確保不會在 BigQuery 中使用這些模型處理受控工作負載。
BigQuery CLI 支援 BigQuery CLI。

Google Cloud SDK 您必須使用 Google Cloud SDK 403.0.0 以上版本,才能確保技術資料的資料區域化。如要確認目前的 Google Cloud SDK 版本,請執行 gcloud --version,然後執行 gcloud components update,更新至最新版本。
管理員控制項 BigQuery 會停用不支援的 API,但管理員只要具備建立 Assured Workloads 資料夾的足夠權限,就能啟用不支援的 API。如果發生這種情況,您會透過 Assured Workloads 監控資訊主頁收到潛在不符規定的通知。
正在載入資料 不支援 Google 軟體即服務 (SaaS) 應用程式、外部雲端儲存空間供應商和資料倉儲的 BigQuery 資料移轉服務連接器。您有責任確保不使用 BigQuery 資料移轉服務連接器,處理 IRS 1075 工作負載的資料邊界。
第三方轉移 BigQuery 不會驗證 BigQuery 資料移轉服務是否支援第三方轉移。使用任何第三方移轉服務搭配 BigQuery 資料移轉服務時,您有責任確認支援情況。
不符規定的 BQML 模型 不支援外部訓練的 BQML 模型
查詢工作 查詢作業只能在 Assured Workloads 資料夾中建立。
查詢其他專案中的資料集 BigQuery 不會禁止從非 Assured Workloads 專案查詢 Assured Workloads 資料集。請務必將任何讀取或聯結 Assured Workloads 資料的查詢,放在 Assured Workloads 資料夾中。您可以在 BigQuery CLI 中使用 projectname.dataset.table,為查詢結果指定完整格式的資料表名稱
Cloud Logging BigQuery 會使用 Cloud Logging 處理部分記錄檔資料。您應停用 _default 記錄檔值區,或將 _default 值區限制在適用範圍的區域,以使用下列指令維持法規遵循狀態:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

詳情請參閱「將記錄檔區域化」。

Compute Engine

受影響的 Compute Engine 功能

功能 說明
暫停及重新啟用 VM 執行個體 這項功能已停用。

暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間,且用於儲存暫停 VM 狀態的永久磁碟儲存空間目前無法使用 CMEK 加密。 請參閱上文的gcp.restrictNonCmekServices機構政策限制,瞭解啟用這項功能對資料主權和資料駐留的影響。
本機 SSD 這項功能已停用。

您將無法建立具有本機 SSD 的執行個體,因為目前無法使用 CMEK 加密本機 SSD。請參閱上方「gcp.restrictNonCmekServices 機構政策限制」一節,瞭解啟用這項功能對資料主權和資料駐留的影響。
訪客環境 訪客環境隨附的指令碼、常駐程式和二進位檔可能會存取未加密的靜態和使用中資料。視 VM 設定而定,系統可能會預設安裝這類軟體的更新。如要瞭解各個套件的內容、原始碼等具體資訊,請參閱「訪客環境」。

這些元件可透過內部安全控管和程序,協助您符合資料主權規定。不過,如要進一步控管,您也可以自行管理圖片或代理程式,並視需要使用 compute.trustedImageProjects 機構政策限制。

詳情請參閱「建立自訂映像檔」頁面。
VM 管理員中的 OS 政策 作業系統政策檔案中的內嵌指令碼和二進位輸出檔案,不會使用客戶自行管理的加密金鑰 (CMEK) 加密。因此,請勿在這些檔案中加入任何私密資訊。 或者,您也可以考慮將這些指令碼和輸出檔案儲存在 Cloud Storage 值區中。詳情請參閱範例 OS 政策

如要限制建立或修改使用內嵌指令碼或二進位輸出檔案的 OS 政策資源,請啟用constraints/osconfig.restrictInlineScriptAndOutputFileUsage 機構政策限制。

詳情請參閱「 OS Config 的限制」。

Compute Engine 機構政策限制

機構政策限制 說明
compute.disableGlobalCloudArmorPolicy 設為 True

禁止建立新的全域 Google Cloud Armor 安全性政策,以及禁止在現有的全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制未禁止移除規則,或者移除或變更全域 Google Cloud Armor 安全性政策的說明和清單。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。
compute.disableGlobalLoadBalancing 設為 True

停用全球性負載平衡產品的建立功能。

變更這個值可能會影響工作負載的資料駐留或資料主權。
compute.restrictNonConfidentialComputing

 (選用) 未設定值。請設定這個值,以提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件
compute.trustedImageProjects

 (選用) 未設定值。設定這個值,提供額外的縱深防禦。

設定這個值後,映像檔儲存空間和磁碟執行個體化作業就會限制在指定的專案清單中。這個值會禁止使用任何未經授權的映像檔或代理程式,進而影響資料主權。

Cloud Run 函式

Cloud Run functions 機構政策限制

機構政策限制 說明
cloudfunctions.restrictAllowedGenerations 設為拒絕下列可用於建立新 Cloud Run 函式資源的 Cloud Run 函式產生作業:
  • 1stGen
詳情請參閱「依產品版本限制新部署作業」。

Cloud Interconnect

受影響的 Cloud Interconnect 功能

功能 說明
高可用性 (HA) VPN 使用 Cloud Interconnect 和 Cloud VPN 時,必須啟用高可用性 (HA) VPN 功能。此外,您也必須遵守「受影響的 Cloud VPN 功能」一節列出的加密和區域化規定。

Cloud KMS

Cloud KMS 機構政策限制

機構政策限制 說明

Cloud Logging

受影響的 Cloud Logging 功能

功能 說明
記錄接收器 篩選器不得包含客戶資料。

記錄接收器包含篩選器,篩選器會儲存為設定。請勿建立含有顧客資料的篩選器。
即時追蹤記錄項目 篩選器不得包含客戶資料。

即時追蹤工作階段包含篩選器,並以設定的形式儲存。追蹤記錄本身不會儲存任何記錄項目資料,但可以跨區域查詢及傳輸資料。請勿建立含有顧客資料的篩選器。

Cloud Monitoring

受影響的 Cloud Monitoring 功能

功能 說明
綜合監控項目 這項功能已停用。
運作時間檢查 這項功能已停用。

Cloud Run

受影響的 Cloud Run 功能

功能 說明
不支援的功能 系統不支援下列 Cloud Run 功能:

Speech-to-Text

受影響的 Speech-to-Text 功能

功能 說明
自訂語音轉文字模型 您有責任不使用 Custom Speech-to-Text 模型,因為這類模型不符合 IRS 1075 的資料邊界規定。

Cloud VPN

受影響的 Cloud VPN 功能

功能 說明
VPN 端點 您只能使用位於適用區域的 Cloud VPN 端點。請確認 VPN 閘道已設定為僅在適用範圍內的區域使用。

後續步驟