Pacchetto di controlli per regioni e assistenza negli Stati Uniti
Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro per le regioni degli Stati Uniti e l'assistenza in Assured Workloads. Fornisce informazioni dettagliate sulla residenza dei dati, sui prodotti Google Cloud supportati e sui relativi endpoint API, nonché su eventuali restrizioni o limitazioni applicabili a questi prodotti. Le seguenti informazioni aggiuntive si applicano alle regioni e all'assistenza negli Stati Uniti:
- Residenza dei dati: il pacchetto di controllo per le regioni e l'assistenza degli Stati Uniti imposta i controlli della località dei dati per supportare le regioni solo degli Stati Uniti. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
- Assistenza: i servizi di assistenza tecnica per le regioni degli Stati Uniti e i carichi di lavoro di assistenza sono disponibili con gli abbonamenti Cloud Customer Care Avanzata o Premium. Le richieste di assistenza per i carichi di lavoro delle regioni e dell'assistenza negli Stati Uniti vengono inoltrate a persone giuridiche statunitensi con sede negli Stati Uniti. Per ulteriori informazioni, consulta Ricevere assistenza.
- Prezzi: il pacchetto di controllo per le regioni e l'assistenza negli Stati Uniti è incluso nel livello Premium di Assured Workloads, che prevede un addebito aggiuntivo del 20%. Per ulteriori informazioni, consulta la pagina relativa ai prezzi di Assured Workloads.
Prodotti e endpoint API supportati
Salvo diversa indicazione, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud. Le limitazioni che interessano le funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle norme dell'organizzazione, sono elencate nella tabella seguente.
Se un prodotto non è elencato, significa che non è supportato e non ha soddisfatto i requisiti di controllo per le regioni e l'assistenza degli Stati Uniti. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una conoscenza approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di conoscere e accettare i rischi associati, ad esempio gli impatti negativi sulla residenza dei dati o sulla sovranità dei dati.
| Prodotto supportato | Endpoint API | Restrizioni o limitazioni |
|---|---|---|
| Approvazione accesso |
accessapproval.googleapis.com |
Nessuno |
| Gestore contesto accesso |
accesscontextmanager.googleapis.com |
Nessuno |
| Access Transparency |
accessapproval.googleapis.com |
Nessuno |
| AlloyDB per PostgreSQL |
alloydb.googleapis.com |
Nessuno |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
Nessuno |
| Apigee |
apigee.googleapis.com |
Nessuno |
| Artifact Registry |
artifactregistry.googleapis.com |
Nessuno |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funzionalità interessate |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Nessuno |
| Certificate Authority Service |
privateca.googleapis.com |
Nessuno |
| Cloud Composer |
composer.googleapis.com |
Nessuno |
| Cloud DNS |
dns.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Nessuno |
| Cloud Run Functions |
cloudfunctions.googleapis.com |
Nessuno |
| Cloud HSM |
cloudkms.googleapis.com |
Nessuno |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nessuno |
| Cloud Load Balancing |
compute.googleapis.com |
Nessuno |
| Cloud Logging |
logging.googleapis.com |
Funzionalità interessate |
| Cloud Monitoring |
monitoring.googleapis.com |
Nessuno |
| Cloud NAT |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud Router |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud Run |
run.googleapis.com |
Nessuno |
| Cloud SQL |
sqladmin.googleapis.com |
Nessuno |
| Cloud Storage |
storage.googleapis.com |
Nessuno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nessuno |
| Cloud VPN |
compute.googleapis.com |
Nessuno |
| API Cloud Vision |
vision.googleapis.com |
Nessuno |
| Compute Engine |
compute.googleapis.com |
Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Connect |
gkeconnect.googleapis.com |
Nessuno |
| Sensitive Data Protection |
dlp.googleapis.com |
Nessuno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Nessuno |
| Dataform |
dataform.googleapis.com |
Nessuno |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Nessuno |
| Eventarc |
eventarc.googleapis.com |
Nessuno |
| Filestore |
file.googleapis.com |
Nessuno |
| Firestore |
firestore.googleapis.com |
Nessuno |
| GKE Hub |
gkehub.googleapis.com |
Nessuno |
| Servizio di identità GKE |
anthosidentityservice.googleapis.com |
Nessuno |
| AI generativa su Vertex AI |
aiplatform.googleapis.com |
Nessuno |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Funzionalità interessate |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Nessuno |
| Google Security Operations SIEM |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
Nessuno |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Nessuno |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Nessuno |
| Looker (Google Cloud core) |
looker.googleapis.com |
Nessuno |
| Memorystore for Redis |
redis.googleapis.com |
Nessuno |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Nessuno |
| Persistent Disk |
compute.googleapis.com |
Nessuno |
| Pub/Sub |
pubsub.googleapis.com |
Nessuno |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Nessuno |
| Secret Manager |
secretmanager.googleapis.com |
Nessuno |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Nessuno |
| Spanner |
spanner.googleapis.com |
Nessuno |
| Speech-to-Text |
speech.googleapis.com |
Nessuno |
| Cloud Service Mesh |
trafficdirector.googleapis.com |
Nessuno |
| Controlli di servizio VPC |
accesscontextmanager.googleapis.com |
Nessuno |
| Vertex AI Search |
discoveryengine.googleapis.com |
Nessuno |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Nessuno |
Restrizioni e limitazioni
Le sezioni seguenti descrivono le restrizioni o limitazioni Google Cloud-wide o specifiche per prodotto per le funzionalità, inclusi eventuali vincoli dei criteri dell'organizzazione impostati per impostazione predefinita nelle regioni degli Stati Uniti e nelle cartelle di assistenza. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Larghezza:Google Cloud
Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a Google Cloud.
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta le seguenti località nell'elenco allowedValues:
|
gcp.restrictServiceUsage |
Impostato per consentire tutti i prodotti e gli endpoint API supportati. Determina quali servizi possono essere attivati e utilizzati. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse. |
gcp.restrictTLSVersion |
Impostato per negare le seguenti versioni TLS:
|
BigQuery
Funzionalità di BigQuery interessate
| Funzionalità | Descrizione |
|---|---|
| Attivazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova
cartella Workload garantiti a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per attivare BigQuery, segui questi passaggi:
Al termine della procedura di abilitazione, puoi utilizzare BigQuery nella cartella Carichi di lavoro garantiti. Gemini in BigQuery non è supportato da Assured Workloads. |
| Funzionalità non supportate | Le seguenti funzionalità di BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per i carichi di lavoro garantiti.
|
| BigQuery CLI | La CLI BigQuery è supportata.
|
| Google Cloud SDK | Devi utilizzare la versione 403.0.0 o successiva del Google Cloud SDK per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione corrente di Google Cloud SDK, esegui
gcloud --version e poi gcloud components update per eseguire l'aggiornamento alla
versione più recente.
|
| Controlli per gli amministratori | BigQuery disattiva le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono attivare un'API non supportata. In questo caso, riceverai una notifica relativa alla potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads. |
| Caricamento di dati | I connettori BigQuery Data Transfer Service per le app Google Software as a Service (SaaS), i fornitori di archiviazione cloud esterni e i data warehouse non sono supportati. È responsabilità dell'utente non utilizzare i connettori di BigQuery Data Transfer Service per i carichi di lavoro delle regioni e dell'assistenza degli Stati Uniti. |
| Trasferimenti a terze parti | BigQuery non verifica il supporto dei trasferimenti di terze parti per BigQuery Data Transfer Service. È responsabilità dell'utente verificare l'assistenza quando utilizza un trasferimento di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
| Job di query | I job di query devono essere creati solo all'interno delle cartelle Assured Workloads. |
| Query sui set di dati in altri progetti | BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads da progetti non Assured Workloads. Assicurati che qualsiasi query che includa una lettura o una unione dei dati di Assured Workloads sia inserita in una cartella Assured Workloads. Puoi specificare un
nome di tabella completo
per il risultato della query utilizzando projectname.dataset.table nell'interfaccia a riga di comando
BigQuery.
|
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dei dati di log. Per mantenere la conformità, devi disattivare
i bucket di log _default o limitare i bucket _default alle
regioni in ambito utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Per ulteriori informazioni, consulta Eseguire la regionalizzazione dei log. |
Compute Engine
Funzionalità di Compute Engine interessate
| Funzionalità | Descrizione |
|---|---|
| Ambiente guest | È possibile che script, demoni e file binari inclusi nell'ambiente guest accedano ai dati at-rest e in uso non criptati. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a garantire la sovranità dei dati tramite controlli e procedure di sicurezza interna. Tuttavia, se vuoi un maggiore controllo, puoi anche organizzare le tue immagini o agenti e, facoltativamente, utilizzare il vincolo delle compute.trustedImageProjects norme dell'organizzazione.
Per ulteriori informazioni, consulta la pagina Creare un'immagine personalizzata. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Imposta su True. Disabilita la creazione di nuovi criteri di sicurezza Google Cloud Armor e l'aggiunzione o la modifica di regole ai criteri di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sui criteri di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore. |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per ulteriori informazioni, consulta la documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva.
L'impostazione di questo valore limita lo spazio di archiviazione delle immagini e l'inizializzazione del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'uso di agenti o immagini non autorizzati. |
Cloud Logging
Funzionalità di Cloud Logging interessate
| Funzionalità | Descrizione |
|---|---|
| Sink dei log | I filtri non devono contenere dati dei clienti. I canali di log includono filtri archiviati come configurazione. Non creare filtri che contengono dati dei clienti. |
| Voci di log del monitoraggio in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. La funzionalità di monitoraggio dei log non memorizza i dati delle voci di log, ma può eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengono dati dei clienti. |
Passaggi successivi
- Scopri come creare una cartella Assured Workloads
- Scopri di più sul pacchetto di controllo Regioni degli Stati Uniti
- Informazioni sui prezzi di Assured Workloads