EU の主権管理に関する制限事項

このページでは、EU 向け主権管理を使用する際の制限、制限事項、その他の構成オプションについて説明します。

概要

EU 向け Sovereign Controls は、サポートされている Google Cloud サービスのデータ所在地とデータ主権の機能を提供します。これらの機能を提供するために、これらのサービスの一部の機能が制限または限定されています。こうした変更のほとんどは、EU 向け Sovereign Controls 環境で新しいフォルダまたはプロジェクトを作成する際に、オンボーディング プロセス中に適用されますが、一部は組織ポリシーを変更することによって後で変更できます。

これらの制限が特定の Google Cloud サービスの動作を変更する方法や、データ主権データ所在地に与える影響について理解することが重要です。たとえば、データ主権とデータ所在地が維持されるように、一部の機能が自動的に無効になる場合があります。また、組織のポリシー設定を変更すると、リージョン間でデータがコピーされるという意図しない結果が生じる可能性があります。

サポートされているプロダクトとサービス

EU の主権管理でサポートされているプロダクトとサービスのリストについては、サポートされているプロダクトをご覧ください。

組織のポリシー

このセクションでは、EU 向け主権管理を使用してフォルダまたはプロジェクトを作成する際に、各サービスがデフォルトの組織のポリシーの制約値によってどのように影響を受けるかについて説明します。デフォルトで設定されていない場合でも、その他の適用可能な制約により、組織の Google Cloud リソースをさらに保護するための追加の「多層防御」を実現できます。

クラウド全体の組織のポリシーの制約

次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。

組織のポリシーの制約 説明
gcp.resourceLocations allowedValues リストアイテムとして in:eu-locations に設定します。

この値は、新しいリソースの作成を EU の値グループのみに制限します。設定すると、EU 以外の他のリージョン、マルチリージョン、ロケーションにリソースを作成できなくなります。詳細については、組織のポリシーの値グループのドキュメントをご覧ください。

制限を緩くしてこの値を変更すると、EU のデータ境界外でデータを作成または保存できるようになるため、データ主権とデータ所在地の両方が損なわれる可能性があります。たとえば、in:eu-locations 値グループを EU 以外のメンバーの状態の場所を含む in:europe-locations の値グループに置き換えます。
gcp.restrictNonCmekServices スコープ内のすべての API サービス名のリストに設定します。次に例を示します。
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
上記の各サービスで、一部の機能が影響を受ける可能性があります。下記の「影響を受ける機能」セクションをご覧ください。

各サービスには、顧客管理の暗号鍵(CMEK)が必要です。 CMEK により、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化できます。

リストから 1 つ以上のサポート対象のサービスを削除してこの値を変更すると、データ主権が損なわれる可能性があります。新しい保管中のデータは、ユーザーのものではなく Google 独自の鍵を使用して自動的に暗号化されます。既存の保存データは、指定した鍵によって暗号化されます。
gcp.restrictCmekCryptoKeyProjects この値は、EU の主権管理での使用を目的としたプロジェクトまたはフォルダに設定できます。例: under:folders/my-folder-name

CMEK を使用して保管中のデータを暗号化するために KMS 鍵を提供できる承認済みフォルダまたはプロジェクトの範囲を制限します。この制約により、承認されていないフォルダまたはプロジェクトが暗号鍵を提供できなくなるため、サポート対象サービスの保管中のデータのデータ主権を保証できます。

Compute Engine 組織のポリシーの制約

組織のポリシーの制約 説明
compute.enableComplianceMemoryProtection True に設定します。

インフラストラクチャ障害が発生したときにメモリ コンテンツを追加で保護するために、一部の内部診断機能を無効にします。

この値を変更すると、データ所在地またはデータ主権に影響する可能性があります。
compute.disableInstanceDataAccessApis True に設定します。

instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。
compute.restrictNonConfidentialComputing

 (省略可)値は設定されていません。多層防御を提供するには、この値を設定します。 詳細については、Confidential VMs のドキュメントをご覧ください。
compute.trustedImageProjects

 (省略可)値は設定されていません。多層防御を提供するには、この値を設定します。

この値を設定すると、イメージ ストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。

Cloud Storage の組織のポリシーに関する制約

組織のポリシーの制約 説明
storage.uniformBucketLevelAccess True に設定します。

新しいバケットへのアクセスは、Cloud Storage アクセス制御リスト(ACL)ではなく、IAM ポリシーを使用して管理されます。この制約により、バケットとその内容に対するきめ細かい権限を付与できます。

この制約が有効になっているときにバケットを作成すると、そのバケットへのアクセスを ACL を使用して管理できなくなります。つまり、バケットのアクセス制御方法は、Cloud Storage ACL ではなく IAM ポリシーを使用するように永続的に設定されます。

Google Kubernetes Engine 組織のポリシーの制約

組織のポリシーの制約 説明
container.restrictNoncompliantDiagnosticDataAccess True に設定します。

ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にするために使用されます。

この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することを強くおすすめします。

Cloud Key Management Service の組織のポリシーに関する制約

組織のポリシーの制約 説明
cloudkms.allowedProtectionLevels EXTERNAL に設定します。

作成できる Cloud Key Management Service CryptoKey のタイプを制限します。外部鍵のタイプのみを許可するように設定されています。

影響を受ける機能

このセクションでは、各サービスの機能が EU の主権管理にどのように影響されるかについて説明します。

BigQuery の特長

機能 説明
新しいフォルダで BigQuery を有効にする BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の手順を完了します。
  1. Google Cloud コンソールで、[Assured Workloads] ページに移動します。

    Assured Workloads に移動

  2. リストから新しい Assured Workloads フォルダを選択します。
  3. [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。
  4. [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、 サービスを許可するをクリックし、これを追加します。

    BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。

有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。

Gemini in BigQuery は Assured Workloads ではサポートされていません。
サポートされていない機能 次の BigQuery 機能はサポートされていないため、BigQuery CLI では使用しないでください。EU の主権管理に対して、これらを BigQuery で使用しないようにすることはお客様の責任です。
サポートされていない統合 次の BigQuery 統合はサポートされていません。EU の主権管理に対して、これらを BigQuery で使用しないようにすることはお客様の責任です。
  • Data Catalog APICreateTagSearchCatalogBulk taggingBusiness Glossary の各 API メソッドは、サポートされていない方法で技術データを処理して保存できます。EU の主権管理に対して、これらの方法を使用しないようにすることはお客様の責任です。
サポートされている BigQuery API 次の BigQuery API がサポートされています。
リージョン BigQuery は、EU マルチリージョンを除くすべての BigQuery EU リージョンでサポートされています。データセットが EU マルチリージョン、EU 以外のリージョン、EU 以外のマルチリージョンで作成されている場合、コンプライアンスは保証されません。BigQuery データセットを作成する際にポリシーに準拠するリージョンを指定する責任はお客様にあります。

1 つの EU リージョンを使用してテーブルデータ リスト リクエストが送信されたものの、そのデータセットが別の EU リージョンで作成された場合、BigQuery は意図したリージョンを推測できず、「データセットが見つかりません」というエラー メッセージでオペレーションが失敗します。
Google Cloud コンソール Google Cloud コンソールの BigQuery ユーザー インターフェースがサポートされています。

BigQuery CLI BigQuery CLI がサポートされています。

Google Cloud SDK テクニカル データのデータリージョン指定の保証を維持するには、Google Cloud SDK バージョン 403.0.0 以降を使用する必要があります。現在の Google Cloud SDK のバージョンを確認するには、gcloud --version を実行してから gcloud components update を実行し、最新バージョンに更新します。
管理機能 BigQuery はサポートされていない API を無効にしますが、Assurred Workloads フォルダを作成するための十分な権限を持つ管理者は、サポートされていない API を有効にできます。この場合、Assured Workloads モニタリング ダッシュボードでコンプライアンス違反の可能性について通知されます。
データの読み込み Google Software as a Service(SaaS)アプリ、外部クラウド ストレージ プロバイダ、データ ウェアハウスの BigQuery Data Transfer Service コネクタはサポートされていません。EU ワークロードの主権管理に対して、BigQuery Data Transfer Service コネクタを使用しないようにすることはお客様の責任です。
サードパーティ転送 BigQuery は、BigQuery Data Transfer Service のサードパーティ転送のサポートを確認しません。BigQuery Data Transfer Service のサードパーティ転送を使用する際のサポート確認は、お客様の責任です。
非準拠 BQML モデル 外部でトレーニングされた BQML モデルはサポートされていません。
クエリジョブ クエリジョブは、EU の主権管理のフォルダ内でのみ作成する必要があります。
他のプロジェクトのデータセットに対するクエリ BigQuery では、Sovereign Controls for EU 以外のプロジェクトから Sovereign Controls for EU データセットへのクエリを防ぐことはできません。EU の主権管理のデータに対して読み取りや結合を行うクエリはすべて、EU の主権管理のフォルダに配置する必要があります。BigQuery CLI で projectname.dataset.table を使用して、クエリ結果の完全修飾されたテーブル名を指定できます。
Cloud Logging BigQuery は、一部のログデータに対して Cloud Logging を利用します。 コンプライアンスを維持するには、_default ロギング バケットを無効にするか、次のコマンドを使用して _default バケットを EU リージョンに制限する必要があります。

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

詳細については、このページをご覧ください。

Bigtable の機能

機能 説明
サポートされていない機能 次の Bigtable の機能と API メソッドはサポートされていません。EU の主権管理用 Bigtable でこれらを使用しないようにすることはお客様の責任です。
  • RPC Admin APIListHotTablets API メソッドは、サポートされていない方法で技術データを処理して保存します。EU の主権管理に対してこの方法を使用しないようにすることは、お客様の責任です。
  • Rest Admin APIhotTablets.list API メソッドは、サポートされていない方法で技術データを処理して保存します。EU の主権管理に対してこの方法を使用しないようにすることは、お客様の責任です。
スプリットの境界 Bigtable は行キーのごく一部を使用して、スプリットの境界を定義します。スプリットの境界には顧客データとメタデータが含まれる場合があります。Bigtable のスプリットの境界は、テーブル内の連続した範囲の行がタブレットに分割される場所を示します。

これらのスプリットの境界は、Google の担当者がテクニカル サポートとデバッグ目的でアクセスできますが、EU の主権管理における管理者権限データ管理の対象ではありません。

Spanner の機能

機能 説明
スプリットの境界 Spanner は、主キーとインデックス付き列の小さなサブセットを使用して、顧客データとメタデータを含むスプリットの境界を定義します。Spanner のスプリットの境界は、連続する範囲の行が小さな部分に分割される場所を示します。

これらのスプリットの境界は、Google の担当者がテクニカル サポートとデバッグ目的でアクセスできますが、EU の主権管理における管理者権限データ管理の対象ではありません。

Dataproc の機能

機能 説明
Google Cloud コンソール Dataproc は現在、法域 Google Cloud コンソールをサポートしていません。データ レジデンシーを適用するには、Dataproc を使用するときに Google Cloud CLI または API を使用していることを確認してください。

GKE の機能

機能 説明
クラスタ リソースの制限 クラスタ構成では、EU の主権管理でサポートされていないサービスのリソースを使用していないことを確認してください。たとえば、次の構成は、サポートされていないサービスの有効化または使用を必要とするため、無効です。

set `binaryAuthorization.evaluationMode` to `enabled`

Cloud Logging の機能

顧客管理の暗号鍵(CMEK)で Cloud Logging を使用するには、Cloud Logging ドキュメントの組織の CMEK を有効にするページの手順を完了する必要があります。

機能 説明
ログシンク フィルタに顧客データを含めないでください。

ログシンクには、構成として格納されるフィルタが含まれます。 顧客データを含むフィルタは作成しないでください。
ライブ テーリング ログエントリ フィルタに顧客データを含めないでください。

ライブ テーリング セッションには、構成として格納されたフィルタが含まれます。 テーリングログによってログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして転送できます。顧客データを含むフィルタは作成しないでください。
ログベースのアラート この機能は無効になっています。

Google Cloud コンソールでログベースのアラートを作成することはできません。
ログ エクスプローラ クエリの短縮 URL この機能は無効になっています。

Google Cloud コンソールでは、クエリの短縮 URL を作成できません。
ログ エクスプローラにクエリを保存する この機能は無効になっています。

Google Cloud コンソールではクエリを保存できません。
BigQuery を使用したLog Analytics この機能は無効になっています。

Log Analytics 機能は使用できません。
SQL ベースのアラート ポリシー この機能は無効になっています。

SQL ベースのアラート ポリシー機能は使用できません。

Cloud Monitoring の機能

特徴 説明
合成モニター この機能は無効になっています。
稼働時間チェック この機能は無効になっています。
ダッシュボードログパネル ウィジェット この機能は無効になっています。

ダッシュボードにログパネルを追加することはできません。
ダッシュボードError Reporting パネル ウィジェット この機能は無効になっています。

ダッシュボードに Error Reporting パネルを追加することはできません。
EventAnnotation で [ダッシュボード] をフィルタします。 この機能は無効になっています。

EventAnnotation のフィルタはダッシュボードで設定できません。
alertPoliciesSqlCondition この機能は無効になっています。

SqlConditionalertPolicy に追加することはできません。

Compute Engine の機能

機能 説明
VM インスタンスの一時停止および再開 この機能は無効になっています。

VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。現在、停止した VM の状態の保存に使用される永続ディスク ストレージは、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。
ローカル SSD この機能は無効になっています。

現在、ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。
ゲスト環境 ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。 VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされている場合があります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。

これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージやエージェントをキュレートし、必要に応じて compute.trustedImageProjects 組織ポリシーの制約を使用することもできます。

詳細については、カスタム イメージの構築ページをご覧ください。
instances.getSerialPortOutput() この API は無効になっています。この API を使用して指定したインスタンスからシリアルポート出力を取得することはできません。

この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。また、このページの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。
instances.getScreenshot() この API は無効です。この API を使用して指定したインスタンスからスクリーンショットを取得することはできません。

この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。また、このページの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。