Limite dos dados para o Regulamento Para o Comércio de Armamento (ITAR)

Esta página descreve o conjunto de controlos que são aplicados em cargas de trabalho da ITAR no Assured Workloads. Fornece informações detalhadas sobre a residência de dados, os produtos Google Cloud suportados e os respetivos pontos finais da API, bem como quaisquer restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais aplicam-se ao ITAR:

• Residência dos dados: o pacote de controlos da ITAR define controlos de localização dos dados para suportar regiões apenas nos EUA. Consulte a secção Google CloudRestrições da política da organização ao nível da organização para mais informações.
• Apoio técnico: os serviços de apoio técnico para cargas de trabalho da ITAR estão disponíveis com subscrições do Cloud Customer Care Melhorado ou Premium. Os registos de apoio técnico de cargas de trabalho da ITAR são encaminhados para pessoas dos EUA localizadas nos EUA. Para mais informações, consulte o artigo Receber apoio técnico.
• Preços: o pacote de controlo ITAR está incluído no nível Premium dos Assured Workloads, que incorre num custo adicional de 20%. Consulte os preços do Assured Workloads para mais informações.

Pré-requisitos

Para permanecer em conformidade como utilizador do pacote de controlo da ITAR, verifique se cumpre os seguintes pré-requisitos:

• Crie uma pasta ITAR com o Assured Workloads e implemente as suas cargas de trabalho ITAR apenas nessa pasta.
• Ative e use apenas os serviços de TIAR no âmbito para cargas de trabalho de TIAR.
• Não altere os valores predefinidos da restrição da política da organização, a menos que compreenda e esteja disposto a aceitar os riscos de residência de dados que possam ocorrer.
• Quando acede à Google Cloud consola para cargas de trabalho da ITAR, tem de usar um dos seguintes URLs da consola Google Cloud jurisdicional:
  • console.us.cloud.google.com
  • console.us.cloud.google para utilizadores de identidade federada
• Quando se ligar a pontos finais de serviços Google Cloud , tem de usar pontos finais regionais para serviços que os ofereçam. Além disso:
  • Quando se liga a Google Cloud pontos finais de serviço a partir de VMs nãoGoogle Cloud, como VMs no local ou de outros fornecedores de nuvem, tem de usar uma dasopções de acesso privado disponíveis que suportam ligações a VMs nãoGoogle Cloud para encaminhar o tráfego nãoGoogle Cloud para Google Cloud.
  • Quando se liga a pontos finais de serviço Google Cloud a partir de VMs Google Cloud , pode usar qualquer uma das opções de acesso privado disponíveis.
  • Quando estabelecer ligação a Google Cloud VMs que foram expostas com endereços IP externos, consulte o artigo Aceda a APIs a partir de VMs com endereços IP externos.
• Para todos os serviços usados numa pasta ITAR, não armazene dados técnicos nos seguintes tipos de informações de configuração de segurança ou definidos pelo utilizador:
  • Mensagens de erro
  • Saída da consola
  • Dados de atributos
  • Dados de configuração do serviço
  • Cabeçalhos de pacotes de rede
  • Identificadores de recursos
  • Etiquetas de dados
• Use apenas os pontos finais regionais especificados para serviços que os ofereçam. Para mais informações, consulte os serviços ITAR no âmbito.
• Considere adotar as práticas recomendadas de segurança gerais fornecidas no Google Cloud centro de práticas recomendadas de segurança.

Produtos e pontos finais da API compatíveis

Salvo indicação em contrário, os utilizadores podem aceder a todos os produtos suportados através da Google Cloud consola. As restrições ou as limitações que afetam as funcionalidades de um produto suportado, incluindo as que são aplicadas através das definições de restrições da política da organização, estão listadas na tabela seguinte.

Se um produto não estiver listado, significa que não é suportado e não cumpriu os requisitos de controlo da ITAR. Não é recomendado usar produtos não suportados sem a devida diligência e uma compreensão exaustiva das suas responsabilidades no modelo de responsabilidade partilhada. Antes de usar um produto não suportado, certifique-se de que tem conhecimento e está disposto a aceitar os riscos associados envolvidos, como impactos negativos na residência ou soberania dos dados.

Restrições e limitações

As secções seguintes descrevem as restrições ou as limitações ao nível da organização ou específicas do produto para funcionalidades, incluindo quaisquer restrições da política da organização que estejam definidas por predefinição em pastas da ITAR. Google CloudOutras restrições de políticas organizacionais aplicáveis, mesmo que não estejam definidas por predefinição, podem fornecer uma defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.

Google Cloudde largura

Funcionalidades afetadas Google Cloud

Funcionalidade	Descrição
Google Cloud consola	Para aceder à Google Cloud consola quando usar o pacote de controlo ITAR, tem de usar um dos seguintes URLs: console.us.cloud.google.com console.us.cloud.google para utilizadores de identidade federada Para mais informações, consulte a página da consola Google Cloud jurisdicional.

Google Cloudrestrições de políticas da organização ao nível da entidade

As seguintes restrições de políticas da organização aplicam-se em Google Cloud.

Restrição da política da organização	Descrição
gcp.resourceLocations	Definido para as seguintes localizações na lista allowedValues: us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Este valor restringe a criação de novos recursos aos valores selecionados. Quando definido, não é possível criar recursos noutras regiões, multirregiões ou localizações fora da seleção. Consulte o artigo Serviços suportados por localizações de recursos para ver uma lista de recursos que podem ser restritos pela restrição da política da organização de localizações de recursos, uma vez que alguns recursos podem estar fora do âmbito e não ser restritíveis. Alterar este valor tornando-o menos restritivo compromete potencialmente a residência de dados, uma vez que permite que os dados sejam criados ou armazenados fora de um limite de dados em conformidade.
gcp.restrictCmekCryptoKeyProjects	Definido como under:organizations/your-organization-name, que é a sua organização do Assured Workloads. Pode restringir ainda mais este valor especificando um projeto ou uma pasta. Limita o âmbito das pastas ou dos projetos aprovados que podem fornecer chaves do Cloud KMS para encriptar dados em repouso através de CMEK. Esta restrição impede que pastas ou projetos não aprovados forneçam chaves de encriptação, ajudando assim a garantir a soberania dos dados para os dados em repouso dos serviços no âmbito.
gcp.restrictNonCmekServices	Definido como uma lista de todos os nomes de serviços da API no âmbito, incluindo: bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com Algumas funcionalidades podem ser afetadas para cada um dos serviços indicados acima. Cada serviço listado requer chaves de encriptação geridas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam encriptados com uma chave gerida por si e não com os mecanismos de encriptação predefinidos da Google. Se alterar este valor removendo um ou mais serviços no âmbito da lista, pode comprometer a soberania dos dados, porque os novos dados em repouso são encriptados automaticamente com as chaves da Google em vez das suas. Os dados em repouso existentes vão permanecer encriptados pela chave que forneceu.
gcp.restrictServiceUsage	Definido para permitir todos os produtos e pontos finais da API suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restringir a utilização de recursos.
gcp.restrictTLSVersion	Definido para recusar as seguintes versões do TLS: TLS_1_0 TLS_1_1 Consulte a página Restrinja as versões de TLS para mais informações.

Google Cloud Armor

Funcionalidades do Google Cloud Armor afetadas

Funcionalidade	Descrição
Políticas de segurança com âmbito global	Esta funcionalidade está desativada pela restrição da política da organização.compute.disableGlobalCloudArmorPolicy

BigQuery

Funcionalidades do BigQuery afetadas

Funcionalidade	Descrição
Ativar o BigQuery numa nova pasta	O BigQuery é suportado, mas não é ativado automaticamente quando cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Normalmente, este processo termina em dez minutos, mas pode demorar muito mais tempo em algumas circunstâncias. Para verificar se o processo está concluído e ativar o BigQuery, conclua os seguintes passos: Na Google Cloud consola, aceda à página Assured Workloads. Aceda ao Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na secção Serviços permitidos, clique em Rever atualizações disponíveis. No painel Serviços permitidos, reveja os serviços a adicionar à política da organização Restrição de utilização de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para os adicionar. Se os serviços do BigQuery não estiverem listados, aguarde que o processo interno seja concluído. Se os serviços não forem apresentados no prazo de 12 horas após a criação da pasta, contacte o apoio técnico do Google Cloud. Após a conclusão do processo de ativação, pode usar o BigQuery na sua pasta do Assured Workloads. O Gemini no BigQuery não é suportado pelos Assured Workloads.
APIs BigQuery em conformidade	As seguintes APIs BigQuery estão em conformidade com o ITAR: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
Regiões	O BigQuery está em conformidade com a ITAR para todas as regiões dos EUA do BigQuery, exceto a multirregião dos EUA. Não é possível garantir a conformidade com o ITAR se um conjunto de dados for criado numa região multirregional dos EUA, numa região não pertencente aos EUA ou numa região multirregional não pertencente aos EUA. É da sua responsabilidade especificar uma região em conformidade com a ITAR quando criar conjuntos de dados do BigQuery.
Consultas em conjuntos de dados ITAR de projetos não ITAR	O BigQuery não impede que os conjuntos de dados da ITAR sejam consultados a partir de projetos não pertencentes à ITAR. Deve garantir que qualquer consulta que use uma operação de leitura ou junção em dados técnicos da ITAR é colocada numa pasta em conformidade com a ITAR.
Ligações a origens de dados externas	A responsabilidade pela conformidade da Google está limitada à capacidade da API BigQuery Connection. É da sua responsabilidade garantir a conformidade dos produtos de origem que são usados com a API BigQuery Connection.
Funcionalidades não suportadas	As seguintes funcionalidades do BigQuery não são suportadas e não devem ser usadas na CLI do BigQuery. É da sua responsabilidade não os usar no BigQuery para Assured Workloads. Interação com origens de dados remotas Os modelos BQML preparados externamente não são suportados. Os modelos BQML preparados internamente são suportados. Ocultação dinâmica de dados Exportação para o GDrive Funções remotas Consultas guardadas Agendamento de fluxos de trabalho Para o BigQuery Studio, os blocos de notas não são suportados. O Gemini no BigQuery não é suportado.
CLI do BigQuery	A CLI do BigQuery é suportada.
SDK Google Cloud	Tem de usar a versão 403.0.0 ou mais recente do Google Cloud SDK para manter as garantias de regionalização de dados para dados técnicos. Para verificar a sua versão atual do Google Cloud SDK, execute o comando gcloud --version e, em seguida, gcloud components update para atualizar para a versão mais recente.
Controlos para administradores	O BigQuery desativa as APIs não suportadas, mas os administradores com autorizações suficientes para criar uma pasta do Assured Workloads podem ativar uma API não suportada. Se isto ocorrer, recebe uma notificação sobre a potencial não conformidade através do painel de controlo de monitorização do Assured Workloads.
Carregar dados	Os conetores do Serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) da Google, fornecedores de armazenamento na nuvem externos e armazéns de dados não são suportados. É da sua responsabilidade não usar conetores do Serviço de transferência de dados do BigQuery para cargas de trabalho da ITAR.
Transferências de terceiros	O BigQuery não valida o suporte para transferências de terceiros para o Serviço de transferência de dados do BigQuery. É da sua responsabilidade verificar o apoio técnico quando usar qualquer transferência de terceiros para o Serviço de transferência de dados do BigQuery.
Modelos BQML não conformes	Os modelos BQML preparados externamente não são suportados.
Consultar tarefas	Os trabalhos de consulta só devem ser criados em pastas do Assured Workloads.
Consultas em conjuntos de dados noutros projetos	O BigQuery não impede que os conjuntos de dados dos Assured Workloads sejam consultados a partir de projetos que não sejam dos Assured Workloads. Deve garantir que qualquer consulta que tenha uma leitura ou uma junção em dados do Assured Workloads é colocada numa pasta do Assured Workloads. Pode especificar um nome de tabela totalmente qualificado para o resultado da consulta através de projectname.dataset.table na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registo. Deve desativar os contentores de registo _default ou restringir os contentores _default às regiões no âmbito para manter a conformidade através do seguinte comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulte o artigo Regionalize os seus registos para mais informações.

Compute Engine

Funcionalidades do Compute Engine afetadas

Funcionalidade	Descrição
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado atualmente através da CMEK. Consulte a restrição da gcp.restrictNonCmekServices política da organização na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
SSDs locais	Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque, atualmente, não podem ser encriptados através da CMEK. Consulte a restrição da gcp.restrictNonCmekServices política da organização na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
Google Cloud consola	As seguintes funcionalidades do Compute Engine não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI gcloud: Verificações de saúde Grupos de pontos finais da rede
VMs da Solução Bare Metal	Não pode usar VMs da Solução Bare Metal (VMs o2) porque as VMs da Solução Bare Metal não estão em conformidade com a ITAR.
VMs do Google Cloud VMware Engine	Não pode usar MVs do Google Cloud VMware Engine, uma vez que as MVs do Google Cloud VMware Engine não estão em conformidade com o ITAR.
Criar uma instância de VM C3	Esta funcionalidade está desativada.
Usar discos persistentes ou as respetivas capturas de ecrã sem CMEK	Não pode usar discos persistentes nem as respetivas capturas de ecrã, a menos que tenham sido encriptados com CMEK.
Criar VMs aninhadas ou VMs que usam a virtualização aninhada	Não pode criar VMs aninhadas nem VMs que usem a virtualização aninhada. Esta funcionalidade está desativada pela restrição de política da organização compute.disableNestedVirtualization.
Adicionar um grupo de instâncias a um balanceador de carga global	Não pode adicionar um grupo de instâncias a um equilibrador de carga global. Esta funcionalidade está desativada pela restrição de política da organização compute.disableGlobalLoadBalancing.
Encaminhar pedidos para um balanceador de carga HTTPS externo de várias regiões	Não pode encaminhar pedidos para um balanceador de carga HTTPS externo de várias regiões. Esta funcionalidade está desativada pela restrição da política da organização compute.restrictLoadBalancerCreationForTypes.
Partilhar um disco persistente SSD no modo de vários escritores	Não pode partilhar um disco persistente SSD no modo de gravação múltipla entre instâncias de VM.
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado com CMEK. Esta funcionalidade está desativada pela restrição da gcp.restrictNonCmekServices política da organização.
SSDs locais	Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque não podem ser encriptados com a CMEK. Esta funcionalidade está desativada pela restrição da gcp.restrictNonCmekServices política da organização.
Ambiente convidado	É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações a este software podem ser instaladas por predefinição. Consulte o ambiente de convidado para ver informações específicas sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos de segurança internos e processos. No entanto, se quiser um controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a restrição da compute.trustedImageProjects política da organização. Consulte a página Criar uma imagem personalizada para mais informações.
Políticas de SO no VM Manager	Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK). Por conseguinte, não inclua informações confidenciais nestes ficheiros. Em alternativa, considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os exemplos de políticas de SO. Se quiser restringir a criação ou a modificação de recursos de políticas do SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Para mais informações, consulte Restrições para a configuração do SO.
instances.getSerialPortOutput()	Esta API está desativada. Não vai poder obter a saída da porta de série da instância especificada através desta API. Altere o valor da restrição da política da organização compute.disableInstanceDataAccessApis para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções em Ativar o acesso para um projeto.
instances.getScreenshot()	Esta API está desativada. Não vai poder obter uma captura de ecrã da instância especificada com esta API. Altere o valor da restrição da política da organização compute.disableInstanceDataAccessApis para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções em Ativar o acesso para um projeto.

Restrições de políticas de organização do Compute Engine

Restrição da política da organização	Descrição
compute.enableComplianceMemoryProtection	Definido como Verdadeiro. Desativa algumas funcionalidades de diagnóstico internas para oferecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
compute.disableGlobalCloudArmorPolicy	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras a políticas de segurança do Google Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a capacidade de remover ou alterar a descrição e a ficha de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por esta restrição. Todas as políticas de segurança globais e regionais que existirem antes da aplicação desta restrição permanecem em vigor.
compute.disableGlobalLoadBalancing	Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
compute.disableGlobalSelfManagedSslCertificate	Definido como Verdadeiro. Desativa a criação de certificados SSL autogeridos globais. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.
compute.disableInstanceDataAccessApis	Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot(). A ativação desta restrição impede que gere credenciais em VMs do Windows Server. Se precisar de gerir um nome de utilizador e uma palavra-passe numa VM do Windows, faça o seguinte: Ative o SSH para VMs Windows. Execute o seguinte comando para alterar a palavra-passe da VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Substitua o seguinte: VM_NAME: o nome da VM para a qual está a definir a palavra-passe. USERNAME: o nome de utilizador do utilizador para o qual está a definir a palavra-passe. PASSWORD: a nova palavra-passe.
compute.disableNonFIPSMachineTypes	Definido como Verdadeiro. Desativa a criação de tipos de instâncias de VM que não estejam em conformidade com os requisitos da FIPS.
compute.restrictNonConfidentialComputing	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre a VM confidencial para mais informações.
compute.trustedImageProjects	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados, impedindo a utilização de imagens ou agentes não autorizados.

Cloud DNS

Funcionalidades do Cloud DNS afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades do Cloud DNS não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.

Google Kubernetes Engine

Funcionalidades do Google Kubernetes Engine afetadas

Funcionalidade	Descrição
Restrições de recursos do cluster	Certifique-se de que a configuração do cluster não usa recursos para serviços que não são suportados no programa de conformidade com a ITAR. Por exemplo, a seguinte configuração é inválida porque requer a ativação ou a utilização de um serviço não suportado: set `binaryAuthorization.evaluationMode` to `enabled`

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
container.restrictNoncompliantDiagnosticDataAccess	Definido como Verdadeiro. Desativa a análise agregada de problemas do kernel, que é necessária para manter o controlo soberano de uma carga de trabalho. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.

Cloud Interconnect

Funcionalidades do Cloud Interconnect afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades do Cloud Interconnect não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.
VPN de alta disponibilidade (HA)	Tem de ativar a funcionalidade de VPN de alta disponibilidade (HA) quando usar o Cloud Interconnect com o Cloud VPN. Além disso, tem de cumprir os requisitos de encriptação e regionalização indicados na secção Funcionalidades da VPN na nuvem afetadas.

Cloud Load Balancing

Funcionalidades do Cloud Load Balancing afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades do Cloud Load Balancing não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.
Balanceadores de carga regionais	Só pode usar equilibradores de carga regionais com o ITAR. Consulte as seguintes páginas para mais informações sobre a configuração de balanceadores de carga regionais: Balanceador de carga de aplicações interno Balanceador de carga de aplicações externo regional Balanceador de carga de rede de passagem interno Balanceador de carga de rede de passagem externo

Cloud Logging

Funcionalidades do Cloud Logging afetadas

Funcionalidade	Descrição
Sinks de registo	Os filtros não devem conter dados de clientes. Os destinos de registos incluem filtros que são armazenados como configuração. Não crie filtros que contenham dados de clientes.
Monitorização em tempo real de entradas do registo	Os filtros não devem conter dados de clientes. Uma sessão de monitorização em tempo real inclui um filtro que é armazenado como configuração. A monitorização de registos não armazena dados de entradas de registo, mas pode consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.
Alertas baseados em registos	Esta funcionalidade está desativada. Não pode criar alertas baseados em registos na consola Google Cloud .
URLs abreviados para consultas do Explorador de registos	Esta funcionalidade está desativada. Não pode criar URLs encurtados de consultas na Google Cloud consola.
Guardar consultas no Explorador de registos	Esta funcionalidade está desativada. Não pode guardar consultas na Google Cloud consola.
Registe a análise com o BigQuery	Esta funcionalidade está desativada. Não pode usar a funcionalidade de análise de registos.
Políticas de alerta baseadas em SQL	Esta funcionalidade está desativada. Não pode usar a funcionalidade de políticas de alerta baseadas em SQL.

Cloud Monitoring

Funcionalidades do Cloud Monitoring afetadas

Funcionalidade	Descrição
Monitor sintético	Esta funcionalidade está desativada.
Verificações de tempo de atividade	Esta funcionalidade está desativada.
Widgets do painel de registo em Painéis de controlo	Esta funcionalidade está desativada. Não pode adicionar um painel de registo a um painel de controlo.
Widgets do painel de relatórios de erros em Painéis de controlo	Esta funcionalidade está desativada. Não pode adicionar um painel de relatórios de erros a um painel de controlo.
Filtre em EventAnnotation para Painéis de controlo	Esta funcionalidade está desativada. O filtro de EventAnnotation não pode ser definido num painel de controlo.
SqlCondition em alertPolicies	Esta funcionalidade está desativada. Não pode adicionar um SqlCondition a um alertPolicy.

NAT na nuvem

Funcionalidades do Cloud NAT afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades do NAT na nuvem não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.

Network Connectivity Center

Funcionalidades do Network Connectivity Center afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades do Network Connectivity Center não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.

Pub/Sub

Restrições de políticas da organização do Pub/Sub

Restrição da política da organização	Descrição
pubsub.enforceInTransitRegions	Definido como Verdadeiro. Garante que os dados do cliente transitam apenas nas regiões permitidas especificadas na política de armazenamento de mensagens para o tópico do Pub/Sub. A alteração deste valor pode afetar a residência ou a soberania dos dados da sua carga de trabalho.

Cloud Router

Funcionalidades do Cloud Router afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades do Cloud Router não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.

Cloud Run

Funcionalidades do Cloud Run afetadas

Funcionalidade	Descrição
Funcionalidades não suportadas	As seguintes funcionalidades do Cloud Run não são suportadas: Integração do Cloud Trace Funções do Cloud Run Acionadores do Eventarc

Cloud SQL

Funcionalidades do Cloud SQL afetadas

Funcionalidade	Descrição
Exportar para CSV	A exportação para CSV não está em conformidade com o ITAR e não deve ser usada. Esta funcionalidade está desativada na consola Google Cloud .
executeSql	O método executeSql da API Cloud SQL não está em conformidade com a ITAR e não deve ser usado.

Cloud Storage

Funcionalidades do Cloud Storage afetadas

Funcionalidade	Descrição
Google Cloud consola	Para manter a conformidade com o ITAR, é da sua responsabilidade usar a consola Jurisdicional Google Cloud . A consola jurisdicional impede o carregamento e a transferência de objetos do Cloud Storage. Para carregar e transferir objetos do Cloud Storage, consulte a linha Pontos finais da API em conformidade nesta secção.
Pontos finais da API em conformidade	Tem de usar um dos pontos finais regionais em conformidade com o ITAR com o Cloud Storage. Consulte os endpoints regionais do Cloud Storage e as localizações do Cloud Storage para mais informações.
Restrições	Tem de usar os pontos finais regionais do Cloud Storage para estar em conformidade com o ITAR. Para mais informações sobre os pontos finais regionais do Cloud Storage para ITAR, consulte Pontos finais regionais do Cloud Storage. As seguintes operações não são suportadas por pontos finais regionais. No entanto, estas operações não transportam dados de clientes, conforme definido nos termos de serviço de residência de dados. Por conseguinte, pode usar pontos finais globais para estas operações, conforme necessário, sem violar a conformidade com a ITAR: Operações de chaves HMAC Operações da conta de serviço de IAM Notificações do Pub/Sub Notificações de alteração de objetos
Copie e reescreva para objetos	As operações de cópia e reescrita de objetos são suportadas por pontos finais regionais se os contentores de origem e de destino estiverem localizados na região especificada no ponto final. No entanto, não pode usar pontos finais regionais para copiar ou reescrever um objeto de um contentor para outro se os contentores existirem em localizações diferentes. É possível usar pontos finais globais para copiar ou reescrever em várias localizações, mas não o recomendamos, uma vez que pode violar a conformidade com a ITAR.

Nuvem virtual privada (VPC)

Funcionalidades da VPC afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades de rede da VPC não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.

Cloud VPN

Funcionalidades do Cloud VPN afetadas

Funcionalidade	Descrição
Google Cloud consola	As funcionalidades da VPN na nuvem não estão disponíveis na Google Cloud consola. Em alternativa, use a API ou a CLI Google Cloud.
Encriptação	Tem de usar apenas cifras em conformidade com a norma FIPS 140-2 quando criar certificados e configurar a segurança de IP. Consulte a página Cifras IKE suportadas para mais informações sobre as cifras suportadas na VPN do Google Cloud. Para orientações sobre a seleção de uma cifra em conformidade com as normas FIPS 140-2, consulte a página Validado pela FIPS 140-2. Não pode alterar uma cifra existente em Google Cloud. Certifique-se de que configura a sua cifra no dispositivo de terceiros usado com o Cloud VPN.
Endpoints da VPN	Tem de usar apenas pontos finais da VPN do Google Cloud localizados numa região dentro do âmbito. Certifique-se de que o gateway de VPN está configurado para utilização apenas numa região no âmbito.

O que se segue?

• Saiba como criar uma pasta do Assured Workloads
• Compreenda os preços do Assured Workloads