Настройка нерегионционных служб Azure для границы данных ЕС
Нерегиональная служба Azure (полный список см. в разделе Продукты Azure по регионам) — это службы, которые не зависят от определенного региона Azure и в настоящее время не позволяют клиентам указывать регион развертывания. Эти службы были спроектированы и оптимизированы, чтобы быть всегда доступными в рамках глобального облака Azure. В рамках обязательства по границе данных ЕС в соответствии с требованиями к размещению данных клиентов ИЗ ЕС многие из этих служб и основных компонентов платформы Azure, которые их поддерживают, перепроектированы. Эта работа, в некоторых из которых включает в себя обширное обслуживание и перепроектирование платформы, продолжается. Некоторые нерегионарные службы Azure завершили эту работу; для других, работа продолжается, и службы будут доступны в границах данных ЕС по разным расписаниям в течение 2024 года. В этой документации перечислены нерегионализованные службы Azure, которые уже выполнили обязательство ЕС по границе данных, и описывается настройка служб для хранения и обработки данных клиента и псевдонимизованных персональных данных на границе данных ЕС. Дополнительные сведения о нерегионализованных службах Azure с остаточной передачей данных за пределы границ данных ЕС см. в статье Службы, временно исключенные из границ данных ЕС , и службы, которые временно переносят подмножество данных клиента или псевдонимизованные персональные данные за пределы границ данных ЕС.
Нерегиональными службами, которые не обрабатывают данные клиента или псевдонимизованные персональные данные
Следующие нерегионализованные службы Azure не хранят и не обрабатывают данные клиента или псевдонимизированные персональные данные:
- Помощник по Azure
- Azure DNS
- Azure Lighthouse
- Azure Resource Mover
- Работоспособности служб Azure
- Диспетчер трафика
Клиентские устройства с облачными компонентами, которые можно настроить по регионам
Azure поддерживает несколько гибридных решений и устройств Интернета вещей, которые позволяют расширить службы и возможности Azure в выбранной вами среде. Эти решения считаются нерегиональными, однако после приобретения устройства вы можете настроить подключения к Azure для хранения и обработки данных клиентов и псевдонимизированных персональных данных в определенных географических расположениях. При выборе расположения в ЕС данные клиента и псевдонимизованные персональные данные хранятся и обрабатываются в пределах границы данных ЕС.
Сведения о конфигурации для каждой службы описаны ниже.
Azure Sphere
Служба безопасности Azure Sphere — это глобальная служба безопасности, которая обеспечивает ежедневную проверку безопасности аттестации и защищенную цепочку поставок программного обеспечения, которая управляет обновлениями ос и приложений, предоставляемыми клиентом для устройств с поддержкой Azure Sphere. С помощью нового параметра Границы региональных данных клиенты теперь могут указать, что двоичные файлы приложения, потенциально содержащие данные клиентов, подписаны службой подписывания служб microsoft Product Release and Security Services (PRSS) на основе ЕС и хранятся в хранилище BLOB-объектов Azure Sphere, расположенном в ЕС. Дополнительные сведения см. в статье Команда образа Azure Sphere CLI.
Azure Stack Edge
Устройства Azure Stack Edge позволяют выбрать географическое расположение Azure, к которому будет подключено ваше устройство. Данные Edge хранятся и обрабатываются в этом регионе. Дополнительные сведения о доступности регионов и выборе региона см. в статье Выбор региона для Microsoft Azure Stack Edge Pro с GPU.
Azure Stack HCI
При регистрации кластера Azure Stack HCI вы выбираете один из поддерживаемых регионов Azure Stack HCI, к которым будет подключен кластер для регистрации, выставления счетов и управления. Дополнительные сведения см. в статье Подключение Azure Stack HCI к Azure.
Azure Stack Hub
Клиенты Azure Stack Hub могут выбрать географические предпочтения для обработки данных в существующих развертываниях Azure Stack Hub. Новые развертывания Azure Stack Hub могут задать географический регион во время процесса развертывания. Данные Edge хранятся и обрабатываются в этом регионе. Дополнительные сведения см. в статье Элементы управления безопасностью Azure Stack Hub.
Azure Data Box
При заказе Data Box вы указываете как страну источника, так и регион назначения Azure. Data Box поддерживает прием или исходящий трафик данных только в той же стране или регионе, что и место назначения, и не пересекает международные границы. Единственное исключение — для заказов в ЕС, где Data Boxs могут отправляться в любую страну или регион ЕС и из нее. Дополнительные сведения см. в статье Azure Data Box, Часто задаваемые вопросы об Azure Data Box Heavy.
Компоненты Azure Monitor
Azure Monitor предоставляет комплексное решение для сбора, анализа и работы с системными и диагностическими данными из облачных и локальных сред. Azure Monitor доступен на границе данных ЕС, что позволяет хранить и обрабатывать все данные клиентов и псевдонимизованные персональные данные на границе данных ЕС, за исключением конкретных сценариев, которые описаны в следующих разделах и более подробно описаны в разделе Службы, которые временно переносят подмножество данных клиента или псевдонимизованные персональные данные за пределы границы данных ЕС.
Компоненты, доступные в границах данных ЕС
Показатели
Метрики — это функция Azure Monitor, которая собирает числовые данные из отслеживаемых ресурсов в базу данных временных рядов. Метрики — это числовые значения, которые собираются через регулярные интервалы и описывают некоторые аспекты системы в определенное время. Дополнительные сведения см. в разделе Типы метрик в метриках Azure Monitor. Azure Monitor отслеживает метрики по подписке и делает их доступными для администраторов этой подписки. Метрики не хранят и не обрабатывают данные клиента.
Примечание.
Общедоступная предварительная версия функции, которая позволяет создавать и хранить пользовательские метрики, позволяет добавлять данные клиентов в метрики, и эти данные хранятся и обрабатываются глобально. Предварительные версии функций для microsoft Online Services не область для границ данных ЕС или обязательств по размещению данных.
Журнал действий
Каждый поставщик ресурсов Azure собирает журналы аудита, также известные как журналы действий, которые предоставляют аналитические сведения о событиях на уровне подписки. Эти журналы включают данные клиента и псевдонимизированные персональные данные для некоторых типов ресурсов. Данные, исходящие из ЕС, хранятся в ЕС, в противном случае эти данные хранятся глобально.
Журналы диагностики
Журналы диагностики содержат подробные диагностические сведения для ресурсов Azure и платформы Azure, от которую они зависят. Эти журналы не собираются до тех пор, пока клиент не перенаправит их в выбранное место назначения клиента. Дополнительные сведения см. в статье Параметры диагностики в Azure Monitor.
Оповещения и группы действий
Оповещения и группы действий создаются на основе рабочей области Log Analytics или ресурса Application Insights, которые выровнены по географическому пространству. Данные, отправляемые клиентом в конечную точку групп действий в ЕС, хранятся в ЕС и используют систему SMS на основе ЕС, когда активируется оповещение для отправки электронной почты, sms или телефонного звонка.
Этот рабочий процесс сохраняет и обрабатывает все данные клиента и псевдонимизованные персональные данные в ЕС при выполнении полностью в пределах ЕС. Если инженер создает ресурс за пределами ЕС, например в восточной части США, и мониторинг этого рабочего процесса также настроен в восточной части США, рабочий процесс оповещения запускается в США, даже если уведомления отправляются партнерам в ЕС.
Log Analytics
Log Analytics — это региональная служба Azure, которая хранит и обрабатывает все данные клиентов и псевдонимизованные персональные данные в географическом расположении, выбранном при создании службы.
Компоненты, недоступные в границах данных ЕС
Анализ изменений приложений
Анализ изменений приложений основан на azure Resource Graph для предоставления аналитических сведений об изменениях на нескольких уровнях инфраструктуры и развертывания приложений. Данные анализа изменений в настоящее время хранятся и обрабатываются глобально, но в будущем они будут переходить к региональной модели. Дополнительные сведения см. в разделе Службы, которые временно переносят подмножество данных клиента или псевдонимизованные персональные данные за пределы границ данных ЕС.
Аналитика приложений
Application Insights — это региональная служба Azure, которая хранит и обрабатывает все данные клиентов в географическом регионе, выбранном при создании службы. Выполняется работа по хранению и обработке псевдонимизованных персональных данных в границах данных ЕС, как описано в разделе Службы, которые временно переносят подмножество данных клиента или псевдонимизованные персональные данные за пределы границ данных ЕС.
Дополнительные нерегионарные службы, доступные на границе данных ЕС
Все эти службы можно настроить для использования в границах данных ЕС. В следующих разделах описывается настройка перечисленных нерегионализованных служб для хранения и обработки данных клиента и псевдонимизованных персональных данных в границах данных ЕС.
Сведения о конфигурации для каждой службы описаны в следующих разделах.
Azure Служба Bot
Azure Служба Bot предоставляет набор библиотек, инструментов и служб, которые позволяют создавать, тестировать, развертывать и управлять интеллектуальными ботами. Служба Bot позволяет создать бота в пределах границы данных ЕС, а все данные, связанные с плоскостью данных для бота, хранятся и обрабатываются в ПРЕДЕЛАХ ЕС. Данные клиента и псевдонимизированные персональные данные хранятся и обрабатываются в границах данных ЕС, помимо конкретных остаточных передач, которые описаны в разделе Службы, которые временно переносят подмножество данных клиента или псевдонимизованные персональные данные за пределы границы данных ЕС. Дополнительные сведения о добавлении региональных параметров в бот см. в разделе Поддержка регионализации — Служба Bot.
Службы коммуникации Azure
При создании ресурса Службы коммуникации Azure указывается география (а не регион Azure). Все сообщения чата и данные ресурсов хранятся в этом географическом регионе, в регионе, выбранном внутренне Службами коммуникации. Выбор географического региона Европы или одного из географических регионов страны, которые являются частью границы данных ЕС, гарантирует, что ваши данные клиента и псевдонимизированные персональные данные хранятся и обрабатываются в границах данных ЕС, помимо конкретных остаточных передач, которые описаны в службах, которые временно переносят подмножество данных клиента или псевдонимизованные персональные данные за пределы границы данных ЕС. Дополнительные сведения см. в статье Доступность регионов и расположение данных для Службы коммуникации Azure.
Служба Azure Kubernetes в Azure Stack HCI
Служба Azure Kubernetes в Azure Stack HCI отправляет данные в регион, выбранный при настройке кластера. Все включенные данные клиента хранятся и обрабатываются в этом регионе.
Миграция Azure
При создании проекта службы "Миграция Azure" вы указываете географию (а не регион Azure). Все метаданные, собранные из локальной среды, безопасно хранятся и обрабатываются в расположении, где вы создали проект. Выбор географического региона в ЕС гарантирует, что ваши данные будут храниться и обрабатываться в границах данных ЕС. Конкретные расположения метаданных, связанные с каждым географическим регионом, см. в статье Поддерживаемые географические расположения службы "Миграция Azure". Дополнительные сведения см. в статье Часто задаваемые вопросы о (модуль) службы "Миграция Azure" — как хранятся данные.
Виртуальный рабочий стол Azure
При создании пула узлов Виртуального рабочего стола Azure укажите регион Azure, в котором создаются метаданные для этого пула узлов. Это определяет, где хранятся сведения, связанные с пулом узлов, включая пул узлов или имя приложения. При выборе любого из регионов ЕС эти данные хранятся и обрабатываются только в пределах ЕС. Корпорация Майкрософт не контролирует и не ограничивает расположения, из которых вы или ваши пользователи могут получить доступ к виртуальному рабочему столу Azure Виртуальные машины. Дополнительные сведения см. в разделе Расположения данных для Виртуального рабочего стола Azure. Администраторы клиентов также могут настроить передачу файлов на локальные устройства с помощью параметра Настройка перенаправления устройств.
Конструктор образов виртуальных машин Azure
Конструктор виртуальных машин Azure. Для шаблонов образов виртуальных машин, созданных в регионе ЕС, хранение и обработка данных выполняется в ЕС. Дополнительные сведения см. в статье Создание файла Bicep конструктора образов Azure или шаблона ARM JSON.
Cloud Shell
Cloud Shell — это интерактивный терминал с проверкой подлинности, доступный в браузере для управления ресурсами Azure. Cloud Shell позволяет создать новое хранилище в пределах границы данных ЕС, выбрав Cloud Shell регион на границе данных ЕС. Данные клиента не хранятся и не обрабатываются в Cloud Shell, а псевдонимизированные персональные данные хранятся и обрабатываются в границах данных ЕС, за исключением конкретных остаточных передач, которые описаны в службах, которые временно переносят подмножество данных клиента или псевдонимизованные персональные данные за пределы границы данных ЕС. Дополнительные сведения см. в статье Сохранение файлов в Azure Cloud Shell.
Microsoft Entra ID и Azure Active Directory B2C
Microsoft Entra ID и Azure Active Directory B2C: клиент Microsoft Entra содержит каталог для управления пользователями и предоставляет возможности управления удостоверениями и доступом (IAM) для приложений и ресурсов, используемых вашей организацией. При создании клиента Microsoft Entra необходимо указать географический регион (а не регион Azure) в качестве расположения. При выборе расположения, которое является частью границы данных ЕС, ваши данные клиента и псевдонимизированные персональные данные хранятся и обрабатываются в границах данных ЕС, помимо конкретных остаточных передач, которые описаны в следующих местах:
- Службы, которые передают подмножество данных клиента или псевдонимизованные персональные данные за пределы границ данных ЕС на постоянной основе
- Службы, которые временно переносят подмножество данных клиента или псевдонимизованные персональные данные за пределы границы данных ЕС
- Дополнительные возможности службы, которые переносят данные клиента или псевдонимизованные персональные данные за пределы границ данных ЕС
Дополнительные сведения см. в статье Краткое руководство. Создание клиента в Microsoft Entra ID. Вы можете проверить расположение данных каталога Microsoft Entra через Центр администрирования Microsoft Entra, перейдя на страницу Свойства и убедившись, что значение связанной страны или региона является частью границы данных ЕС.
Microsoft Fabric
Для Microsoft Fabric географическая область (географическое расположение), в которой размещается клиентская клиентская служба, определяется первым пользователем, который регистрируется. Дополнительные сведения см. в статье Планирование реализации Power BI: настройка клиента. Клиенты могут настроить свою службу так, чтобы она была область для границы данных ЕС, подготовив клиент и все емкости Microsoft Fabric в центре обработки данных ЕС. Данные клиента и псевдонимизированные персональные данные хранятся и обрабатываются в границах данных ЕС, помимо конкретных остаточных передач, которые описаны в разделе Службы, которые передают подмножество данных клиента или псевдонимизированные персональные данные за пределы границ данных ЕС на постоянной основе.
Структура также позволяет выбрать регион Azure, в котором хранятся данные клиента при создании новой емкости Microsoft Fabric. По умолчанию указан домашний регион клиента. Если выбрать этот регион, все связанные данные, включая данные клиента, будут храниться в этом регионе. Если выбрать другой регион, некоторые данные клиента по-прежнему сохраняются в домашнем географическом расположении. При выборе региона в ЕС данные клиента будут храниться в границах данных ЕС.
- Сведения о том, как найти домашний регион для клиента, см. в статье Поиск домашнего региона Fabric.
- Дополнительные сведения об изменении расположения с помощью параметра "Несколько регионов" и о том, какие сведения хранятся в новом географическом расположении и в вашем домашнем географическом расположении, см. в разделе Настройка поддержки нескольких регионов для Fabric Premium.
Power BI Embedded
Power BI Embedded аналитика позволяет внедрять элементы Power BI, такие как отчеты, панели мониторинга и плитки, в веб-приложение или веб-сайт. При создании нового ресурса Power BI Embedded можно выбрать регион Azure, в котором вы хотите сохранить данные и содержимое рабочей области для хранения емкости. Параметр по умолчанию — домашний регион клиента; Если выбрать этот регион, все ваши данные и содержимое будут храниться в этом регионе. При выборе другого региона некоторые данные и содержимое по-прежнему сохраняются в домашнем географическом расположении.
- Сведения о том, как найти домашний регион для клиента, см. в разделе Где находятся данные для служба Power BI хранящихся?.
- Дополнительные сведения об изменении расположения с помощью параметра "Несколько регионов" и о том, какие сведения хранятся в новом географическом и домашнем географическом расположении, см. в разделах Поддержка нескольких регионов для аналитики Power BI Embedded и Настройка поддержки нескольких регионов для Power BI Premium: рекомендации и ограничения.
Translator
Для клиентов, которым требуется хранить и обрабатывать данные в ПРЕДЕЛАХ ЕС, Переводчик предоставляет европейскую конечную точку (api-eur.cognitive.microsofttranslator.com). При использовании европейской конечной точки переводчика запросы обрабатываются центрами обработки данных только в пределах границы данных ЕС. Если центр обработки данных в пределах границы данных ЕС недоступен, запрос не обрабатывается и возвращается ошибка. Все запросы, отправленные в европейскую конечную точку, обрабатываются только в ЕС, даже если запрос поступает из-за пределов ЕС. Дополнительные сведения см. в статье Справочник по Переводчику версии 3.0 — Azure Cognitive Services.