本頁面由 Cloud Translation API 翻譯而成。

T-Systems Sovereign Cloud 的限制

本主題說明使用 T-Systems Sovereign Cloud 時的限制、限制和其他設定選項。

總覽

T-Systems Sovereign Cloud (TSI Sovereign Cloud) 為受管轄範圍內 Google Cloud 的服務提供資料居留地和資料主權功能。為了提供這些功能，部分服務的功能受到限制。這些變更大多會在貴機構開始由 T-Systems International (TSI) 管理的 onboarding 程序期間套用，但您之後可以透過修改組織政策來變更其中部分設定。

請務必瞭解這些限制如何修改特定 Google Cloud 服務的行為，或影響資料主權或資料儲存地。舉例來說，系統可能會自動停用部分功能或能力，以確保資料主權和資料落地。此外，如果變更機構政策設定，可能會導致從一個地區複製資料到另一個地區的意外後果。

範圍內的服務和 API

服務

Compute Engine
- 機構政策
- 受影響的功能
Persistent Disk
Cloud Storage
- 機構政策
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- 機構政策
Google Kubernetes Engine
- 機構政策
Cloud Logging
- 受影響的功能

API

下列 API 端點可在 TSI Sovereign Cloud 中使用：

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

機構政策

本節說明使用 TSI Sovereign Cloud 建立資料夾或專案時，每項服務受到預設機構政策限制值的影響程度。其他適用的限制條件 (即使未預設設定) 可提供額外的「深入防護」功能，進一步保護貴機構的 Google Cloud 資源。

全雲端機構政策限制

下列機構政策限制適用於所有適用的 Google Cloud 服務。

機構政策限制	說明
`gcp.resourceLocations`	將 `in:tsi-sovereign` 設為 `allowedValues` 清單項目。這個值會限制新資源的建立作業，僅限於 TSI 值群組。設定後，您就無法在 TSI 定義的區域、多區域或位置以外的任何其他區域建立資源。詳情請參閱機構政策值組搭配說明文件。
`gcp.restrictNonCmekServices`	設為範圍內所有 API 服務名稱的清單，包括： `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` 上述各項服務的部分功能可能會受到影響。請參閱下方的「受影響的功能」一節。每項服務都需要客戶管理的加密金鑰 (CMEK)。CMEK 可讓您使用自行管理的金鑰 (而非 Google 的預設加密機制) 對靜態資料進行加密。從清單中移除一或多個範圍內的服務，藉此變更這個值，可能會破壞資料主權，因為新的靜態資料會使用 Google 自己的金鑰 (而非您的金鑰) 自動加密。現有的靜態資料將繼續以您提供的金鑰加密。
`gcp.restrictCmekCryptoKeyProjects`	設為 `under:organizations/your-organization-name`，即 TSI Sovereign Cloud 機構。您可以指定專案或資料夾，進一步限制這個值。限制可提供 KMS 金鑰的核准資料夾或專案範圍，以便使用 CMEK 加密靜態資料。這項限制可防止未經核准的資料夾或專案提供加密金鑰，進而確保範圍內服務的靜態資料資料主權。

Compute Engine 機構政策限制

機構政策限制	說明
`compute.enableComplianceMemoryProtection`	設為「是」。停用部分內部診斷功能，以便在基礎架構發生錯誤時，為記憶體內容提供額外保護。變更這個值可能會影響資料居留地或資料主權。
`compute.disableSerialPortLogging`	設為 True。在強制執行限制的資料夾或專案中，停用 Compute Engine VM 的序列埠記錄功能，以便將資料記錄到 Stackdriver。變更這個值可能會影響資料居留地或資料主權。
`compute.disableInstanceDataAccessApis`	設為 True。在全球範圍內停用 `instances.getSerialPortOutput()` 和 `instances.getScreenshot()` API。
`compute.restrictNonConfidentialComputing`	(選用) 未設定值。設定這個值可提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件。
`compute.trustedImageProjects`	(選用) 未設定值。設定這個值可提供額外的縱深防禦機制。設定這個值會將映像檔儲存空間和磁碟執行個體化限制在指定的專案清單中。這個值會影響資料主權，因為它可防止使用未經授權的圖片或代理程式。

Cloud Storage 機構政策限制

機構政策限制說明

storage.uniformBucketLevelAccess 設為 True。

新值區的存取權會使用 IAM 政策管理，而非 Cloud Storage 存取控制清單 (ACL)。這項限制可為值區及其內容提供精細的權限。

如果在啟用這項限制時建立值區，就無法使用 ACL 管理該值區的存取權。換句話說，值區的存取權控管方法會永久設定為使用 IAM 政策，而非 Cloud Storage ACL。

機構政策限制	說明
`storage.uniformBucketLevelAccess`	設為 True。新值區的存取權會使用 IAM 政策管理，而非 Cloud Storage 存取控制清單 (ACL)。這項限制可為值區及其內容提供精細的權限。如果在啟用這項限制時建立值區，就無法使用 ACL 管理該值區的存取權。換句話說，值區的存取權控管方法會永久設定為使用 IAM 政策，而非 Cloud Storage ACL。
`storage.restrictAuthTypes`	設定為防止使用雜湊式訊息驗證碼 (HMAC) 進行驗證。這個限制值中指定了下列兩種 HMAC 類型： `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` 根據預設，系統會禁止 HMAC 金鑰驗證 TSI Sovereign Cloud 中工作負載的 Cloud Storage 資源。HMAC 金鑰會影響資料主權，因為有心人士可利用這些金鑰存取客戶資料，而無須取得客戶同意。請參閱 Cloud Storage 說明文件中的 HMAC 金鑰。變更這個值可能會影響工作負載中的資料主權；強烈建議您維持設定的值。

storage.restrictAuthTypes

設定為防止使用雜湊式訊息驗證碼 (HMAC) 進行驗證。這個限制值中指定了下列兩種 HMAC 類型：

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

根據預設，系統會禁止 HMAC 金鑰驗證 TSI Sovereign Cloud 中工作負載的 Cloud Storage 資源。HMAC 金鑰會影響資料主權，因為有心人士可利用這些金鑰存取客戶資料，而無須取得客戶同意。請參閱 Cloud Storage 說明文件中的 HMAC 金鑰。

變更這個值可能會影響工作負載中的資料主權；強烈建議您維持設定的值。

Google Kubernetes Engine 組織政策限制

機構政策限制	說明
`container.restrictNoncompliantDiagnosticDataAccess`	設為 True。用於停用核心問題的匯總分析，這是維持工作負載主權控管所需的功能。變更這個值可能會影響工作負載中的資料主權；強烈建議您維持設定的值。

Cloud Key Management Service 機構政策限制

機構政策限制	說明
`cloudkms.allowedProtectionLevels`	設為 `EXTERNAL` 和 `EXTERNAL_VPC`。限制可建立的 Cloud Key Management Service CryptoKey 類型，並設為只允許 `EXTERNAL` 和 `EXTERNAL_VPC` 金鑰類型。

受影響的功能

本節列出各項服務的功能或能力受到 TSI Sovereign Cloud 的影響程度。

Compute Engine 的功能與特色

功能	說明
暫停及重新啟用 VM 執行個體	這項功能已停用。暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間，而用於儲存暫停 VM 狀態的永久磁碟儲存空間目前無法使用 CMEK 加密。請參閱上文中的 `gcp.restrictNonCmekServices` 組織政策限制，瞭解啟用這項功能對資料主權和資料儲存地點的影響。
本機 SSD	這項功能已停用。您無法建立具有本機 SSD 的執行個體，因為目前無法使用 CMEK 加密本機 SSD。請參閱上文中的 `gcp.restrictNonCmekServices` 組織政策限制，瞭解啟用這項功能對資料主權和資料儲存地點的影響。
查看序列埠輸出內容	這項功能已停用，因此您無法透過程式輔助方式或 Cloud Logging 查看輸出內容。將 `compute.disableSerialPortLogging` 機構政策限制值變更為 False，即可啟用序列埠輸出功能。
訪客環境	訪客環境隨附的指令碼、守護程式和二進位檔，可能會存取未加密的靜態資料和使用中的資料。視 VM 設定而定，系統可能會預設安裝此軟體的更新。如要進一步瞭解各個套件的內容、原始碼等資訊，請參閱「訪客環境」。這些元件可協助您透過內部安全控管和程序，確保資料主權。不過，如果客戶想要進一步控管，您也可以自行挑選圖片或代理程式，並視需要使用 `compute.trustedImageProjects` 機構政策限制。詳情請參閱「建立自訂圖片」主題。
`instances.getSerialPortOutput()`	這個 API 已停用，因此您無法使用這個 API 從指定的執行個體取得序列埠輸出內容。將 `compute.disableInstanceDataAccessApis` 機構政策限制值變更為 False，即可啟用此 API。您也可以按照本主題中的操作說明，啟用及使用互動式序列埠。
`instances.getScreenshot()`	這個 API 已停用，因此您無法使用這個 API 擷取指定執行個體的螢幕截圖。將 `compute.disableInstanceDataAccessApis` 機構政策限制值變更為 False，即可啟用此 API。您也可以按照本主題中的操作說明，啟用及使用互動式序列埠。

Cloud Logging 功能

為 CMEK 設定額外的 Cloud Logging

如要搭配客戶管理的加密金鑰 (CMEK) 使用 Cloud Logging，您必須完成 Cloud Logging 說明文件中「為機構啟用 CMEK」主題中的步驟。

受影響的 Cloud Logging 功能

功能	說明
記錄檔接收器	篩選器不應包含客戶資料。記錄接收端包含儲存為設定檔的篩選器。請勿建立含有客戶資料的篩選器。
即時追蹤記錄項目	篩選器不應包含客戶資料。即時追蹤工作階段包含篩選器，並儲存為設定。追蹤記錄不會儲存任何記錄項目資料，但可跨區域查詢及傳輸資料。請勿建立含有客戶資料的篩選器。
以記錄為基礎的警報	這項功能已停用。您無法在 Google Cloud 控制台中建立記錄式快訊。
記錄檔探索工具查詢的短網址	這項功能已停用。您無法在 Google Cloud 控制台中建立查詢的縮網址。
在 Logs Explorer 中儲存查詢	這項功能已停用。您無法在 Google Cloud 控制台中儲存任何查詢。
使用 BigQuery 的記錄檔分析	這項功能已停用。您無法使用 Log Analytics 功能。