Assured Workloads 概览

借助 Assured Workloads，公共和私营部门的组织可以为云端敏感工作负载配置主权数据和访问边界，并设置数据驻留、访问权限和人员控制。您可以使用 Assured Workloads 通过将预定义的控制包应用于文件夹来简化受监管工作负载的管理和配置。借助 Assured Workloads，您可以运行合规工作负载，同时保留商用云基础架构的可扩缩性、费用和服务可用性优势。

Assured Workloads 的用例

如果贵组织必须确保遵守特定的法规、区域或主权要求，请使用 Assured Workloads。例如，以下组织可以通过 Assured Workloads 履行合规性义务：

对数据存储、密钥管理和访问有严格法规的组织（例如金融服务、医疗保健和政府机构）。
必须在特定区域或国家/地区存储数据的组织。
必须控制 Google Cloud 员工对其数据的访问权限的组织。

Assured Workloads 功能

Assured Workloads 提供各种功能，可帮助您满足合规性和监管要求，包括：

用于合规性强制执行的区域数据边界和法规数据边界
人员数据访问权限控制
加密密钥管理控件
合规性更新
监控违规行为

以下部分介绍了这些功能。

控制措施套餐

控制包是强制执行 Assured Workloads 合规性的基础。Assured Workloads 控制包适用于以下控制类型：区域数据边界、监管数据边界和合作伙伴提供的数据主权控制。为特定控制措施套餐创建 Assured Workloads 文件夹后，该控制措施套餐中的控制措施会为文件夹中的所有项目和资源定义安全措施。这些控制功能是通过组织政策限制条件和其他功能强制执行的。

对 Google Cloud 产品和服务的支持因控制包而异。如需了解详情，请参阅按控制包查看支持的产品。

区域数据边界

区域数据边界控制软件包通过限制资源的存储地理位置来支持数据驻留要求。借助某些数据边界，您还可以独立控制 Google 对您数据的访问权限，例如仅在您认为必要且适当的情况下批准提供商访问您的数据。

借助这些数据边界，您可以指定 Google Cloud 数据必须驻留的区域，并防止数据存储在该区域之外。例如，如果应用了“欧盟数据边界”控制套件，系统会实现数据驻留控制措施，以将资源使用限制在仅限欧盟的区域。Assured Workloads 提供各种区域数据边界，以强制执行数据驻留限制和 Google 人员支持访问权限控制。

如需详细了解 Assured Workloads 和数据驻留，请参阅数据驻留。

监管数据边界

借助监管数据边界控制包，您可以部署一组控制措施来满足特定的监管或合规性要求。 Google Cloud包含适用于以下内容的监管数据边界：

刑事司法信息系统 (CJIS)
FedRAMP 中等风险级别和 FedRAMP 高风险级别
适用于《健康保险流通与责任法案》(HIPAA) 和 Health Information Trust Alliance (HITRUST) 的医疗保健和生命科学控制（是否提供美国支持）
影响级别 2 (IL2)、影响级别 4 (IL4) 和影响级别 5 (IL5)
国际武器贸易条例 (ITAR)
IRS 出版物 1075

如需查看完整列表，请参阅监管数据边界。

Sovereign Controls by Partners

Assured Workloads 还提供由合作伙伴通过 Sovereign Controls by Partners 运营和管理的控制套件。借助“由合作伙伴提供的主权控制”，您可以使用本地可信合作伙伴来管理加密密钥、访问权限证明和审核。这些控制包有助于强制执行数据驻留，并提供涵盖云基础架构关键方面（例如加密和密钥管理）的安全配置。

控制 Google 人员对您数据的访问

您可以控制哪些 Google 人员可以在执行支持任务时访问您的数据。适用于 Assured Workloads 的安心支持服务是 Google Cloud Customer Care 的一项额外功能，需要搭配增强型支持服务或高级支持服务才能使用。使用此服务时，Google 支持人员必须遵守特定的地理位置和基于人员的属性要求。人员控制措施的实施依据取决于控制套件，例如人员所在的区域或是否满足特定的背景调查要求。例如，支持 FedRAMP High 的访问权限控制要求所有第一级和第二级 Google 支持人员和子处理方都位于美国境内，并且符合增强型背景调查要求。

如需详细了解 Assured Workloads 的安心支持服务，请参阅获取支持。

密钥管理

您可以根据控制包使用各种密钥管理控制措施来支持法规遵从。例如，ITAR 控制软件包的数据边界要求使用客户管理的加密密钥 (CMEK)。为了实现分工，ITAR 控制软件包的数据边界使用与其他已部署资源分离的密钥管理项目，并创建一个唯一的密钥环以在合规位置存储。Assured Workloads 还支持Google-owned and Google-managed encryption keys （符合 FIPS-140-2 标准）、CMEK、Cloud External Key Manager (Cloud EKM)，以及其他控制包的密钥导入。

如需详细了解密钥管理，请参阅支持密钥管理的合规性。

工作负载更新

借助工作负载更新，您可以评估和维护控制包配置。随着可用控制包的不断改进，您可以评估已部署的 Assured Workloads 文件夹配置是否与最新版本相同。如果有较新版本的配置可用，您可以将更新应用到 Assured Workloads 文件夹，以升级到最新版本。

违规监控

Assured Workloads 会监控组织政策限制条件违规和资源违规问题，以便深入了解已部署的控制措施套餐的合规性。您可以为组织违反政策或添加违规例外情况时启用电子邮件通知。这些通知包含有关 Assured Workloads 文件夹、审核日志和受影响的组织政策的信息，以便您据此审核并解决导致不合规的原因。

如需详细了解监控，请参阅监控 Assured Workloads 文件夹是否存在违规。

用于访问权限控制和可见性的服务

以下 Google Cloud 服务提供了用于控制数据访问和加密密钥以及提供对其可见性的选项。您可以将这些服务与 Assured Workloads 结合使用，以帮助满足您的合规性需求。

Google Cloud 服务	说明
Access Approval	借助 Access Approval，您可以控制 Google 员工对您数据的访问。贵组织中的授权客户管理员必须先批准请求，然后 Google 管理员才能获得访问权限。已获批准的访问权限请求会记录在与批准请求关联的 Access Transparency 日志中。请求获得批准后，必须先在 Google 中获得适当的权限，然后才能获得访问权限。与 Assured Workloads 搭配使用时，Access Approval 请求条件次于已应用的 Assured Workloads 人员访问权限保证。如需了解详情，请参阅访问权限审批功能如何与 Assured Workloads 搭配使用。
Access Transparency	借助 Access Transparency，您可以查看 Google 授权人员的活动日志。这些日志会详细说明与执行支持请求相关的操作以及与服务可用性相关的操作。
Key Access Justifications	借助 Key Access Justifications，您可以控制在 Cloud KMS 或某些外部密钥管理合作伙伴中查看和批准密钥访问请求。您可以根据理由批准或拒绝请求。根据 Assured Workloads 控制包，您可以将 Key Access Justifications 与 Cloud EKM 密钥、Cloud HSM 密钥或 Cloud KMS 软件密钥搭配使用。

Google Cloud 服务

说明

Access Approval

借助 Access Approval，您可以控制 Google 员工对您数据的访问。贵组织中的授权客户管理员必须先批准请求，然后 Google 管理员才能获得访问权限。已获批准的访问权限请求会记录在与批准请求关联的 Access Transparency 日志中。请求获得批准后，必须先在 Google 中获得适当的权限，然后才能获得访问权限。

与 Assured Workloads 搭配使用时，Access Approval 请求条件次于已应用的 Assured Workloads 人员访问权限保证。如需了解详情，请参阅访问权限审批功能如何与 Assured Workloads 搭配使用。

Access Transparency

借助 Access Transparency，您可以查看 Google 授权人员的活动日志。这些日志会详细说明与执行支持请求相关的操作以及与服务可用性相关的操作。

Key Access Justifications

借助 Key Access Justifications，您可以控制在 Cloud KMS 或某些外部密钥管理合作伙伴中查看和批准密钥访问请求。您可以根据理由批准或拒绝请求。根据 Assured Workloads 控制包，您可以将 Key Access Justifications 与 Cloud EKM 密钥、Cloud HSM 密钥或 Cloud KMS 软件密钥搭配使用。

控制措施套餐重命名通知

Assured Workloads 使用控制措施套餐来指代支持合规性框架、法规或法规的基准的一组控制措施。自 2025 年 6 月起，控制台和 API 中的控制包名称已更改。这些新名称也会反映在使用 Assured Workloads API 创建新工作负载时使用的 ComplianceRegime 枚举中。只有名称发生了变化；底层功能没有变化。

下表介绍了部分控制包的新旧版本。

即将推出的名称	当前名称
澳大利亚数据边界	澳大利亚的区域
澳大利亚数据边界与支持	提供安心支持服务的澳大利亚区域
巴西数据边界	巴西的区域
加拿大数据边界	加拿大的区域
加拿大数据边界与支持	加拿大区域和支持
智利数据边界	智利的区域
加拿大管制商品的数据边界	加拿大管制商品
加拿大 Protected B 的数据边界	Canada Protected B
CJIS 的数据边界	刑事司法信息系统 (CJIS)
FedRAMP 高风险级别的数据边界	FedRAMP 高风险级别
FedRAMP 中风险级别的数据边界	FedRAMP 中等风险级别
影响级别 2 (IL2) 的数据边界	影响级别 2 (IL2)
影响级别 4 (IL4) 的数据边界	影响级别 4 (IL4)
影响级别 5 (IL5) 的数据边界	影响级别 5 (IL5)
IRS 1075 号法规的数据边界	IRS 1075 号法规
ITAR 的数据边界	国际武器贸易条例 (ITAR)
欧盟数据边界	欧盟区域
欧盟数据边界与支持	欧盟区域和支持
欧盟数据边界与访问理由	欧盟的主权控制
香港数据边界	香港区域
印度数据边界	印度的区域
印度尼西亚数据边界	印度尼西亚的区域
以色列数据边界	以色列的区域
以色列数据边界与支持	以色列区域和支持
日本数据边界	日本区域
沙特阿拉伯王国数据边界与访问理由	沙特阿拉伯王国 (KSA) 的主权控制
卡塔尔数据边界	卡塔尔区域
新加坡数据边界	新加坡的区域
南非数据边界	南非区域
韩国数据边界	韩国的区域
瑞士数据边界	瑞士的区域
台湾数据边界	台湾的区域
英国数据边界	英国的区域
美国数据边界	美国的区域
美国数据边界与支持	美国区域和支持
美国医疗保健和生命科学行业的数据边界	医疗保健与生命科学控件
美国医疗保健和生命科学行业的数据边界与支持	医疗保健与生命科学控件以及美国支持

后续步骤

如需了解价格，请参阅 Assured Workloads 价格。
查看可用的控制措施套餐和受支持的产品。
如需试用 Assured Workloads，请注册免费试用计划。
使用审核管理器审核您的 Google Cloud 环境。