Assured Workloads 總覽

私人和公部門機構可利用 Assured Workloads，針對雲端中的機密工作負載，設定主權資料和存取邊界，並使用落地權、存取權和人員控管機制。您可以使用 Assured Workloads，將預先定義的控制套件套用至資料夾，簡化受管制工作負載的管理和設定程序。Assured Workloads 可讓您執行符合規定的工作負載，同時維持商業雲端基礎架構的規模、成本和服務可用性優勢。

Assured Workloads 的用途

如果貴機構必須確保遵守特定法規、區域或主權規定，請使用 Assured Workloads。舉例來說，Assured Workloads 可讓下列機構履行法規遵循義務：

資料儲存、金鑰管理和存取權限受到嚴格管制的機構 (例如金融服務、醫療照護和政府機關)。
必須將資料儲存在特定區域或國家/地區的機構。
必須控管 Google Cloud 人員對資料的存取權的組織。

Assured Workloads 功能

Assured Workloads 提供多種功能，協助您遵守法規和法規要求，包括：

遵循法規的區域資料範圍和法規資料範圍
人員資料存取權控管
加密金鑰管理控制項
法規遵循最新動態
監控違規情形

以下各節將說明這些功能。

控管套件

控制套件是確保 Assured Workloads 法規遵循的基礎。Assured Workloads 控管套件適用於下列控管類型：區域資料邊界、法規資料邊界和合作夥伴的主權控管機制。為特定控管機制套件建立 Assured Workloads 資料夾時，控管機制套件中的控管機制會為資料夾中的所有專案和資源定義防護機制。這些控制項會透過組織政策限制和其他功能強制執行。

Google Cloud 產品和服務的支援服務因控制項套件而異。詳情請參閱「依控制項套件分類的支援產品」。

區域資料邊界

區域資料邊界控制套件會限制資源可儲存的地理位置，以符合資料落地規定。部分資料範圍也讓您可以獨立控管 Google 對您資料的存取權，例如只允許您認為適當且必要的特定供應商行為存取資料。

這些資料邊界可讓您指定資料必須位於的 Google Cloud 區域，並防止資料儲存在該區域以外。舉例來說，如果套用歐盟資料邊界控制套件，系統就會實作資料落地控制項，將資源使用限制在歐盟區域。Assured Workloads 提供各種區域資料邊界，可強制執行資料落地限制和 Google 人員支援存取權控管。

如要進一步瞭解 Assured Workloads 和資料落地設定，請參閱「資料落地設定」。

法規資料範圍

法規資料邊界控制套件可讓您部署一組控制項，以符合特定法規或法規遵循規定。 Google Cloud包含下列項目的法規資料邊界：

如需完整清單，請參閱「法規資料邊界」。

由合作夥伴管理的主權控管機制

Assured Workloads 也提供由合作夥伴透過由合作夥伴管理的主權控管機制營運及管理的控制項套件。透過合作夥伴提供的主權控管機制，您可以使用值得信賴的當地合作夥伴來管理加密金鑰、存取權理由和稽核作業。這些控制項套件有助於強制執行資料落地規定，並提供涵蓋雲端基礎架構重要層面的安全設定，例如加密和金鑰管理。

控管 Google 人員對您資料的存取權

您可以控管哪些 Google 人員可在執行支援工作時存取您的資料。Assured Workloads 安全支援服務是 Google Cloud Customer Care 的額外功能，可搭配Enhanced 支援服務或Premium 支援服務使用。使用時，Google 支援人員必須遵守特定地理和人員屬性規定。視控制套件而定，人員控管機制會根據特定條件 (例如所在區域或是否符合特定背景調查要求) 實施。舉例來說，支援 FedRAMP 高等風險的存取權控管機制，要求所有第一級和第二級 Google 支援人員和次級處理者必須位於美國境內，且符合強化版背景調查規定。

如要進一步瞭解 Assured Workloads 的 Assured Support，請參閱「取得支援」一文。

金鑰管理

視控制套件而定，您可以使用各種金鑰管理控制項來遵守法規。舉例來說，ITAR 控制套件的資料邊界需要使用客戶管理的加密金鑰 (CMEK)。為實現職責分離，ITAR 控制套件的資料邊界會使用與其他部署資源分開的金鑰管理專案，並建立專屬的金鑰環，以便在法規遵循位置中儲存資料。Assured Workloads 也支援Google-owned and Google-managed encryption keys (符合 FIPS-140-2)、CMEK、Cloud External Key Manager (Cloud EKM)，以及其他控制項包的金鑰匯入。

如要進一步瞭解金鑰管理，請參閱「遵循金鑰管理的法規要求」。

工作負載更新

工作負載更新可讓您評估及維護控制套件設定。隨著可用的控制套件改善，您可以評估已部署的 Assured Workloads 資料夾設定是否與最新版本相同。如果有較新的設定版本可供使用，您可以將更新套用至 Assured Workloads 資料夾，以便升級至最新版本。

違規監控

Assured Workloads 會監控機構政策限制違規和資源違規情形，提供部署控管機制套件法規遵循情況的深入分析。您可以啟用電子郵件通知，以便在機構違反政策或新增違規例外狀況時收到通知。這些通知包含 Assured Workloads 資料夾、稽核記錄和受影響的機構政策相關資訊，方便您根據這些資訊審查並修正違規原因。

如要進一步瞭解監控功能，請參閱「監控 Assured Workloads 資料夾是否有違規事項」。

存取權控管和瀏覽權限的服務

下列 Google Cloud 服務提供選項，可控管資料存取權和加密金鑰，並提供相關資訊。您可以搭配使用這些服務和 Assured Workloads，滿足法規遵循需求。

Google Cloud service	說明
存取權核准	存取權核准功能可讓您控管 Google 人員對貴機構資料的存取權。貴機構的授權客戶管理員必須先核准要求，Google 管理員才能取得存取權。系統會將核准的存取權要求記錄在與核准要求連結的資料存取透明化控管機制記錄中。要求核准後，您必須在 Google 內部適當設定存取權，才能取得存取權。與 Assured Workloads 搭配使用時，存取權核准要求條件會次於已套用的 Assured Workloads 人員存取權保證。詳情請參閱「存取權核准功能與 Assured Workloads 的運作方式」。
資料存取透明化控管機制	資料存取透明化控管機制可讓您查看 Google 授權人員的活動記錄。這些記錄會提供與支援要求執行相關的動作，以及與服務可用性相關的動作詳細資料。
金鑰存取依據	您可以透過 Key Access Justifications 控管 Cloud KMS 或特定外部金鑰管理合作夥伴中的金鑰存取要求，並核准這些要求。您可以根據理由核准或拒絕要求。根據 Assured Workloads 控制套件，您可以搭配 Cloud EKM 金鑰、Cloud HSM 金鑰或 Cloud KMS 軟體金鑰使用金鑰存取依據。

Google Cloud service

說明

存取權核准

存取權核准功能可讓您控管 Google 人員對貴機構資料的存取權。貴機構的授權客戶管理員必須先核准要求，Google 管理員才能取得存取權。系統會將核准的存取權要求記錄在與核准要求連結的資料存取透明化控管機制記錄中。要求核准後，您必須在 Google 內部適當設定存取權，才能取得存取權。

與 Assured Workloads 搭配使用時，存取權核准要求條件會次於已套用的 Assured Workloads 人員存取權保證。詳情請參閱「存取權核准功能與 Assured Workloads 的運作方式」。

資料存取透明化控管機制

資料存取透明化控管機制可讓您查看 Google 授權人員的活動記錄。這些記錄會提供與支援要求執行相關的動作，以及與服務可用性相關的動作詳細資料。

金鑰存取依據

您可以透過 Key Access Justifications 控管 Cloud KMS 或特定外部金鑰管理合作夥伴中的金鑰存取要求，並核准這些要求。您可以根據理由核准或拒絕要求。根據 Assured Workloads 控制套件，您可以搭配 Cloud EKM 金鑰、Cloud HSM 金鑰或 Cloud KMS 軟體金鑰使用金鑰存取依據。

控管套件重新命名通知

Assured Workloads 使用控管機制套件一詞，指的是可支援法規遵循架構、法規或法規的基準控管機制組合。自 2025 年 6 月起，控制台和 API 中的套件名稱已變更。這些新名稱也會反映在使用 Assured Workloads API 建立新工作負載時使用的 ComplianceRegime 列舉中。只有名稱有所變更，基礎功能並未改變。

下表說明部分控制項套件的新舊版本。

即將推出的名稱	目前名稱
澳洲資料邊界	澳洲區域
澳洲資料邊界與支援	澳洲區域 (提供安全支援)
巴西資料邊界	巴西區域
加拿大資料邊界	加拿大區域
加拿大資料邊界與支援	加拿大區域與支援
智利資料邊界	智利區域
加拿大管制商品資料邊界	加拿大管制商品
加拿大 B 級保護資料邊界	加拿大 B 級保護
CJIS 資料邊界	刑事司法資訊系統 (CJIS)
FedRAMP 高影響等級資料邊界	FedRAMP 高度
FedRAMP 中影響等級資料邊界	FedRAMP 中度
影響等級 2 (IL2) 資料邊界	影響等級 2 (IL2)
影響等級 4 (IL4) 資料邊界	影響等級 4 (IL4)
影響等級 5 (IL5) 資料邊界	影響等級 5 (IL5)
IRS 出版品 1075 資料邊界	IRS 出版品 1075
ITAR 資料邊界	國際武器貿易條例 (ITAR)
歐盟資料邊界	歐盟區域
歐盟資料邊界與支援	歐盟區域與支援
含存取依據的歐盟資料邊界	歐盟適用的主權控管機制
香港資料邊界	香港區域
印度資料邊界	印度區域
印尼資料邊界	印尼區域
以色列資料邊界	以色列區域
以色列資料邊界與支援	以色列區域與支援服務
日本資料邊界	日本區域
含存取依據的沙烏地阿拉伯王國資料邊界	沙烏地阿拉伯王國 (KSA) 適用的主權控管機制
卡達資料邊界	卡達區域
新加坡資料邊界	新加坡區域
南非資料邊界	南非區域
韓國資料邊界	韓國區域
瑞士資料邊界	瑞士區域
台灣資料邊界	台灣區域
英國資料邊界	英國區域
美國資料邊界	美國區域
美國資料邊界與支援	美國區域與支援
美國醫療照護與生命科學資料邊界	醫療照護與生命科學控管機制
美國醫療照護與生命科學資料邊界與支援	醫療照護與生命科學控管機制 (美國支援人員)

後續步驟

如需定價資訊，請參閱「Assured Workloads 定價」。
請參閱可用的控制套件和支援的產品。
如要試用 Assured Workloads，請申請免費試用方案。
使用Audit Manager來稽核您的 Google Cloud 環境。