資料落地總覽

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

總覽

本頁說明如何使用 Cloud SQL 強制執行資料儲存地點規定。

資料落地是指資料的實際位置，以及管理您儲存、加密和存取資料方式的當地法規。隨著各國的資料保護和隱私權法規不斷演進，您必須瞭解如何遵守當地資料落地規定，並保護使用者的資料，這一點越來越重要。

在傳統的內部部署環境中，各種元件會整合並處理資料居留地。舉例來說，公司可以將代碼化閘道設為雲端存取安全性仲介 (CASB)，在應用程式資料傳送至海外前確保資料安全。

Google Cloud 及其服務 (包括 Cloud SQL) 整合後，可協助您控管資料位置和存取權限，以便處理資料落地問題，不論是 Google 或任何人皆無法存取您的資料。

雲端運算中的資料落地

以下列出您應瞭解的部分資料落地設定問題：

• 如果公司的雲端管理員不知道資料的實際位置，就不會知道當地法規。如要研究各個地點的資料居住地政策，管理員必須知道資料中心所在地點。
• 公司的雲端管理員和供應商可以使用服務水準協議 (SLA) 來建立允許的位置。不過，如果您必須將資料儲存在與服務水準協議條款不同的地區，該怎麼辦呢？
• 使用者必須確保自己的資料，以及在雲端專案中使用的所有服務和資源，都遵守代管國家的資料居住地法規。
  • 如果您想決定資料和加密金鑰的儲存位置，該怎麼做？
  • 如果您想決定使用者可存取資料的位置，會發生什麼情況？

Google Cloud 服務 (包括 Cloud SQL) 可解決部分問題，讓您執行下列操作：

• 設定資料的儲存位置。您可以在建立 Cloud SQL 執行個體時選取區域，也可以編輯現有執行個體來編輯區域。
• 使用 Cloud SQL 的跨區域唯讀備用資源功能，協助您符合指定區域的資料落地規定。
• 控管使用者可存取資料的網路位置，以及控管雲端管理員對這項資料的存取權。

Cloud SQL 可協助您在三個方面克服資料落地挑戰：

• 儲存資料：設定資料的儲存位置。
• 加密資料：控制加密金鑰的儲存位置。
• 存取資料：控管資料存取權。

儲存資料

資料落地是指在特定區域內儲存個人識別資訊 (PII)，並依該區域的規範處理這些資料。

如要儲存資料，您必須符合國家/地區的法律和法規要求，例如資料落地法律。舉例來說，某個國家/地區可能會規定任何與政府相關的資料都必須儲存在該國家/地區。或者，公司可能有合約義務，必須將部分客戶的資料儲存在其他國家/地區。因此，公司必須遵守資料儲存地所在國家/地區的資料落地規定。

使用 Google Cloud時，您可以設定資料儲存位置，包括備份資料。包括讓您選擇資料的儲存區域。當您選擇為 Cloud SQL 在這些區域設定資源時，Google 會根據《服務專屬條款》僅在這些區域儲存您的靜態資料。您可以在建立執行個體時選取區域，也可以編輯現有執行個體來編輯區域。

如要進一步瞭解備份位置，請參閱「自訂備份位置」。

您可以使用機構政策限制，在機構、專案或資料夾層級強制執行資料儲存地點規定。這些限制可讓您定義 Google Cloud 使用者可建立支援服務資源的位置。如要設定資料落地，您可以使用資源位置限制限制新資源的實際位置。您也可以微調限制的政策，將多區域 (例如 asia 和 europe) 或區域 (例如 us-east1 或 europe-west1) 指定為允許或拒絕的位置。

如果 Google Cloud 區域發生停機，您可以使用 Cloud SQL 的跨區域讀取備用資源功能，避免受到影響。建立唯讀備用資源時，您必須選擇備用資源的區域。請務必選擇符合資料落地法規的區域。因此，所選區域符合資料落地標準。

建立備用資源時，您會建立主要資料庫執行個體的副本，以便近乎即時反映主要資料庫的變更。如果發生失敗，您可以將唯讀備用資源升級為主要執行個體。

VPC Service Controls 可協助您強制執行資料居留權，方法是限制使用 Cloud SQL API 來匯入及匯出資料，您可以使用 Cloud SQL Admin API 或 Cloud Storage API。這項限制有助於確保資料保留在您選取的網路位置。您可以使用 VPC Service Controls 建立服務範圍，定義可存取服務的虛擬邊界，防止資料移出這些邊界。即使使用者已根據 Google Cloud IAM 政策授權，您還是可以強制執行這項限制。

加密資料

Google Cloud 服務 (包括 Cloud SQL) 會使用各種加密方法，將客戶的靜態內容和傳輸中內容加密。加密程序完全自動，客戶不需採取任何行動。

您也可以使用客戶管理式加密金鑰 (CMEK)，為資料再加上一層加密機制。CMEK 適用於需要管理自有加密金鑰的機密或管制資料機構。CMEK 功能可讓您使用自有的加密編譯金鑰，用於 Cloud SQL 中的靜態資料。新增 CMEK 後，每次發出 API 呼叫時，Cloud SQL 都會使用您的金鑰存取資料。

如果您想將 CMEK 儲存在部署服務所在的區域，可以使用 Cloud Key Management Service (Cloud KMS)。您可以在建立金鑰時設定金鑰的位置。或者，如要將這些金鑰儲存在位於您所選區域的實體硬體安全性模組 (HSM) 中，請使用 Cloud HSM。

您也可以使用第三方產品，選擇儲存 CMEK 的位置。如要在 Google 基礎架構外部部署的第三方金鑰管理產品中儲存及管理金鑰，您可以使用 Cloud External Key Manager (Cloud EKM)。

存取資料

您可以透過 Cloud SQL 控管哪些使用者可以存取資料。

如要控管 Google 支援團隊和工程團隊人員的存取權，請使用存取權核准功能。您可以透過存取權核准功能，要求 Google 員工必須先獲得明確核准，才能存取您在 Google Cloud 上的資料或設定(如要排除項目，請參閱「存取權核准排除項目」)。

資料存取核准功能可補足資料存取透明化控管機制提供的資訊，當 Google 管理員與您的資料互動時，這項功能會產生近乎即時的稽核記錄。稽核記錄包含管理員的辦公室位置和存取原因。您也可以為有權存取資料或設定的管理員強制規定特定屬性，包括地理區域和其他與法規遵循相關的屬性。

Key Access Justifications 可與 Cloud KMS 和 Cloud EKM 整合。每次有人要求使用您的金鑰來加密或解密資料時，「金鑰存取依據」都會提供詳細的理由，並提供機制，讓您使用設定的自動化政策核准或拒絕金鑰存取權。

您可以搭配使用 Cloud KMS 和 Cloud EKM 的存取權核准、存取權透明化和金鑰存取依據，拒絕 Google 解密您的資料。因此，您可以全權控管自有資料的存取權。

後續步驟

• 如要進一步瞭解 Google Cloud 資料位置承諾，請參閱 Google Cloud 服務專屬條款。
• 如要進一步瞭解 Google Cloud中的資料落地設定，請參閱「瞭解在 Google Cloud上選擇資料落地、作業透明度和隱私權控制項的選項」。
• 如要進一步瞭解 Google Cloud 如何在整個生命週期中保護客戶資料，以及 Google Cloud 如何讓客戶清楚瞭解並控管自己的資料，請參閱「信任 Google Cloud的資料」。
• 瞭解 Google Cloud 良好架構架構的資料居留最佳做法。