此页面由 Cloud Translation API 翻译。

T-Systems Sovereign Cloud 中的限制

本主题介绍使用 T-Systems Sovereign Cloud 时的限制、局限和其他配置选项。

概览

T-Systems Sovereign Cloud (TSI Sovereign Cloud) 为范围内的 Google Cloud 服务提供数据驻留和数据主权功能。为了提供这些功能，其中一些服务的功能受到限制。当您的组织由 T-Systems International (TSI) 管理时，大部分更改会在初始配置过程中应用，但其中一些更改稍后可通过修改组织政策来完成。

请务必了解这些限制如何修改给定 Google Cloud 服务的行为，或者如何影响数据主权或数据驻留。例如，系统会自动停用某些功能或能力，以确保保持数据主权和数据驻留。此外，如果更改组织政策设置，则可能出现将数据从一个区域复制到另一个区域的意外后果。

范围内的服务和 API

服务

Compute Engine
- 组织政策
- 受影响的功能
Persistent Disk
Cloud Storage
- 组织政策
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- 组织政策
Google Kubernetes Engine
- 组织政策
Cloud Logging
- 受影响的功能

API

TSI Sovereign Cloud 中提供以下 API 端点：

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

组织政策

本部分介绍使用 TSI Sovereign Cloud 创建文件夹或项目时，每项服务如何受到默认组织政策限制条件值影响。其他适用的限制条件（即使默认设置未设置）可以提供额外的“深度防御”，以进一步保护贵组织的 Google Cloud 资源。

云范围的组织政策限制条件

以下组织政策限制条件适用于任何适用的 Google Cloud 服务。

组织政策限制条件	说明
`gcp.resourceLocations`	设置为 `in:tsi-sovereign` 作为 `allowedValues` 列表项。此值将任何新资源的创建限制为仅 TSI 值组。设置此标志后，您将无法在 TSI 定义的区域、多区域位置或其他位置创建任何资源。如需了解详情，请参阅组织政策值组文档。
`gcp.restrictNonCmekServices`	设置为所有范围内的 API 服务名称的列表，包括： `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` 对于上述每个服务，一些功能可能会受到影响。请参阅下面的“受影响的功能”部分。每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥（而不是 Google 的默认加密机制）加密静态数据。如果通过从列表中移除一个或多个范围内的服务来更改此值，则可能会破坏数据主权，因为系统会使用 Google 自己的密钥（而不是您自己的密钥）自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
`gcp.restrictCmekCryptoKeyProjects`	设置为 `under:organizations/your-organization-name`，即您的 TSI Sovereign Cloud 组织。您可以通过指定项目或文件夹来进一步限制此值。限制已获批准的文件夹或项目的范围（这些文件夹或项目可提供 KMS 密钥用于使用 CMEK 加密静态数据）。此限制条件可防止未批准的文件夹或项目提供加密密钥，从而有助于保证范围内服务的静态数据的数据主权。

Compute Engine 组织政策限制条件

组织政策限制条件	说明
`compute.enableComplianceMemoryProtection`	设置为 True。停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。更改此值可能会影响数据驻留或数据主权。
`compute.disableSerialPortLogging`	设置为 True。禁止串行端口从强制执行了此限制条件的文件夹或项目中的 Compute Engine 虚拟机输出日志记录到 Stackdriver。更改此值可能会影响数据驻留或数据主权。
`compute.disableInstanceDataAccessApis`	设置为 True。全局停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。
`compute.restrictNonConfidentialComputing`	（可选）不设置值。设置此值可提供额外的深度防御。如需了解详情，请参阅机密虚拟机文档。
`compute.trustedImageProjects`	（可选）不设置值。设置此值可提供额外的深度防御。设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理，从而影响数据主权。

Cloud Storage 组织政策限制条件

组织政策限制条件说明

storage.uniformBucketLevelAccess 设置为 True。

您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储桶的访问权限。此限制条件可为存储桶及其内容提供精细的权限。

如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。

组织政策限制条件	说明
`storage.uniformBucketLevelAccess`	设置为 True。您可以使用 IAM 政策（而不是 Cloud Storage 访问控制列表 (ACL)）管理对新存储桶的访问权限。此限制条件可为存储桶及其内容提供精细的权限。如果在启用此限制条件时创建存储桶，则无法使用 ACL 管理对该存储桶的访问。换句话说，存储桶的访问权限控制方法已永久设置为使用 IAM 政策，而不是 Cloud Storage ACL。
`storage.restrictAuthTypes`	设置为阻止使用基于哈希的消息身份验证代码 (HMAC) 进行身份验证。此约束条件值中指定了以下两种 HMAC 类型： `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` 默认情况下，系统会阻止 HMAC 密钥对 TSI Sovereign Cloud 中工作负载的 Cloud Storage 资源进行身份验证。HMAC 密钥会影响数据主权，因为它们可在客户不知情的情况下访问客户数据。请参阅 Cloud Storage 文档中的 HMAC 密钥。更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。

storage.restrictAuthTypes

设置为阻止使用基于哈希的消息身份验证代码 (HMAC) 进行身份验证。此约束条件值中指定了以下两种 HMAC 类型：

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

默认情况下，系统会阻止 HMAC 密钥对 TSI Sovereign Cloud 中工作负载的 Cloud Storage 资源进行身份验证。HMAC 密钥会影响数据主权，因为它们可在客户不知情的情况下访问客户数据。请参阅 Cloud Storage 文档中的 HMAC 密钥。

更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件	说明
`container.restrictNoncompliantDiagnosticDataAccess`	设置为 True。用于停用内核问题的汇总分析，这是维护工作负载的主权所必需的。更改此值可能会影响工作负载中的数据主权；我们强烈建议您保留此值。

Cloud Key Management Service 组织政策限制条件

组织政策限制条件	说明
`cloudkms.allowedProtectionLevels`	设置为 `EXTERNAL` 和 `EXTERNAL_VPC`。限制可能创建的 Cloud Key Management Service CryptoKey 类型，并将其设置为仅允许 `EXTERNAL` 和 `EXTERNAL_VPC` 密钥类型。

受影响的功能

本部分列出每个服务的功能或能力如何受 TSI Sovereign Cloud 影响。

Compute Engine 功能

特征	说明
暂停和恢复虚拟机实例	此功能处于禁用状态。暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
本地 SSD	此功能处于禁用状态。无法创建具有本地 SSD 的实例，因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 `gcp.restrictNonCmekServices` 组织政策限制条件，了解启用此功能对数据主权和数据驻留的影响。
查看串行端口输出	此功能已停用；您将无法以编程方式或通过 Cloud Logging 查看输出。将 `compute.disableSerialPortLogging` 组织政策限制条件值更改为 False，以启用串行端口输出。
客机环境	客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置，系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等，请参阅客机环境。这些组件可帮助您通过内部安全控制和流程满足数据主权。但是，对于需要额外控制的客户，您还可以挑选自己的映像或代理，并选择性地使用 `compute.trustedImageProjects` 组织政策限制条件。如需了解详情，请参阅构建自定义映像主题。
`instances.getSerialPortOutput()`	此 API 已停用；您将无法使用此 API 从指定实例获取串行端口输出。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照本主题中的说明启用和使用交互式串行端口。
`instances.getScreenshot()`	此 API 已停用；您将无法使用此 API 从指定实例获取屏幕截图。将 `compute.disableInstanceDataAccessApis` 组织政策限制条件值更改为 False 以启用此 API。您还可以按照本主题中的说明启用和使用交互式串行端口。

Cloud Logging 功能

针对 CMEK 的必要额外 Cloud Logging 配置

如需将 Cloud Logging 与 Customer-Managed Encryption Keys (CMEK) 搭配使用，您必须完成 Cloud Logging 文档中为组织启用 CMEK 主题中的步骤。

受影响的 Cloud Logging 功能

功能	说明
日志接收器	过滤条件不应包含客户数据。日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。
Live Tailing 日志条目	过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据，但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。
基于日志的提醒	此功能处于禁用状态。您无法在 Google Cloud 控制台中创建基于日志的提醒。
日志浏览器查询的缩短的网址	此功能处于禁用状态。您无法在 Google Cloud 控制台中创建查询的缩短网址。
在日志浏览器中保存查询	此功能处于禁用状态。您无法在 Google Cloud 控制台中保存任何查询。
使用 BigQuery 的日志分析	此功能处于禁用状态。您无法使用日志分析功能。