Restrizioni e limitazioni per ITAR
In questa pagina vengono descritte le restrizioni, le limitazioni e altre opzioni di configurazione relative all'utilizzo del pacchetto di controlli ITAR.
Panoramica
Il pacchetto di controllo International Traffic in Arms Regulations (ITAR) abilita le funzionalità di controllo dell'accesso ai dati e di residenza per i servizi Google Cloud nell'ambito. Alcune funzionalità di questi servizi sono limitate o limitate da Google per essere compatibili con ITAR. La maggior parte di queste restrizioni e limitazioni viene applicata quando si crea una nuova cartella Assured Workloads per ITAR, ma alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione. Inoltre, alcune restrizioni e limitazioni richiedono la responsabilità dell'utente per il rispetto.
È importante capire in che modo queste restrizioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sull'accesso o sulla residente dei dati. Ad esempio, alcune funzionalità o funzionalità potrebbero essere disabilitate automaticamente per garantire che le limitazioni di accesso e la residenza dei dati vengano mantenute. Inoltre, se un'impostazione dei criteri dell'organizzazione viene modificata, potrebbe avere la conseguenza involontaria di copiare i dati da una regione all'altra.
Prerequisiti
Per mantenere la conformità come utente del pacchetto di controlli ITAR, assicurati di soddisfare e rispettare i seguenti prerequisiti:
- Crea una cartella ITAR utilizzando Assured Workloads ed esegui il deployment dei carichi di lavoro ITAR solo in quella cartella.
- Abilita e utilizza solo servizi ITAR che rientrano nell'ambito per i carichi di lavoro ITAR.
- Non modificare i valori predefiniti dei vincoli dei criteri dell'organizzazione a meno che tu non comprenda e accetti i possibili rischi di residenza dei dati.
- Per connetterti agli endpoint dei servizi Google Cloud, devi usare endpoint
regionali per i servizi che li offrono. Inoltre:
- Quando ti connetti agli endpoint di servizio Google Cloud da VM non Google Cloud, ad esempio le VM on-premise o di altri cloud provider, devi utilizzare una delle opzioni di accesso privato disponibili che supportano le connessioni alle VM non Google Cloud per instradare il traffico non Google Cloud a Google Cloud.
- Quando ti connetti agli endpoint di servizio Google Cloud dalle VM Google Cloud, puoi utilizzare una qualsiasi delle opzioni di accesso privato disponibili.
- Quando ti connetti alle VM di Google Cloud esposte con indirizzi IP esterni, consulta Accedere alle API da VM con indirizzi IP esterni.
- Per tutti i servizi utilizzati in una cartella ITAR, non archiviare dati tecnici nei seguenti tipi di informazioni di configurazione di sicurezza o definite dall'utente:
- Messaggi di errore
- Output console
- Dati attributi
- Dati di configurazione del servizio
- Intestazioni dei pacchetti di rete
- Identificatori di risorse
- Etichette dati
- Utilizzare solo gli endpoint a livello di regione o località specificati per i servizi che li offrono. Per ulteriori informazioni, consulta i servizi ITAR inclusi nell'ambito.
- Valuta la possibilità di adottare le best practice per la sicurezza generali fornite nel Centro best practice per la sicurezza di Google Cloud.
Servizi inclusi nell'ambito
I seguenti servizi sono compatibili con ITAR:
- Artifact Registry
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Virtual Private Cloud (VPC)
- Controlli di servizio VPC
- Cloud Interconnect
- Router Cloud
- Identity-Aware Proxy
- Cloud Monitoring
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
Criteri dell'organizzazione
Questa sezione descrive in che modo ogni servizio viene influenzato dai valori dei vincoli dei criteri dell'organizzazione predefiniti quando le cartelle o i progetti vengono creati utilizzando ITAR. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a tutti i servizi Google Cloud applicabili.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Impostato su in:us-locations come voce
dell'elenco allowedValues.Questo valore limita la creazione di nuove risorse solo al gruppo di valori degli Stati Uniti. Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori degli Stati Uniti. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. Modificare questo valore rendendolo meno restrittivo potrebbe compromettere la residenza dei dati, consentendo la creazione o l'archiviazione di dati al di fuori del confine dei dati degli Stati Uniti. Ad esempio, sostituisci il gruppo di valori in:us-locations con il gruppo di valori in:northamerica-locations.
|
gcp.restrictNonCmekServices |
Imposta un elenco di tutti i
nomi di servizi API che rientrano nell'ambito,
tra cui:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK garantisce che i dati at-rest siano criptati con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi nell'ambito dall'elenco può minare la sovranità dei dati, poiché i nuovi dati at-rest verranno criptati automaticamente utilizzando le chiavi di Google anziché la tua. I dati at-rest esistenti rimarranno criptati tramite la chiave che hai fornito. |
gcp.restrictCmekCryptoKeyProjects |
Impostalo su tutte le risorse all'interno della cartella ITAR che hai creato. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per criptare i dati at-rest utilizzando CMEK. Questo vincolo impedisce a cartelle o progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i dati at-rest dei servizi nell'ambito. |
gcp.restrictServiceUsage |
Imposta questa opzione per consentire tutti i servizi inclusi nell'ambito. Determina quali servizi possono essere abilitati e utilizzati. Per maggiori informazioni, consulta la pagina Limitare l'utilizzo delle risorse per i carichi di lavoro. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.disableGlobalLoadBalancing |
Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. Ti consigliamo di mantenere il valore impostato. |
compute.disableGlobalSelfManagedSslCertificate |
Imposta su True. Disabilita la creazione di certificati SSL autogestiti globali. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. Ti consigliamo di mantenere il valore impostato. |
compute.disableInstanceDataAccessApis |
Imposta su True. Disabilita a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot().L'attivazione di questo criterio dell'organizzazione impedisce di generare credenziali sulle VM di Windows Server. Se devi gestire un nome utente e una password su una VM Windows, segui questi passaggi:
|
compute.disableNestedVirtualization |
Imposta su True. Disabilita la virtualizzazione nidificata con accelerazione hardware per tutte le VM di Compute Engine nella cartella ITAR. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. Ti consigliamo di mantenere il valore impostato. |
compute.enableComplianceMemoryProtection |
Imposta su True. Disabilita alcune funzionalità di diagnostica interna per proteggere ulteriormente i contenuti della memoria in caso di guasto dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. Ti consigliamo di mantenere il valore impostato. |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per saperne di più, consulta la documentazione di Confidential VM. |
compute.restrictLoadBalancerCreationForTypes |
Imposta questa opzione per consentire tutti i valori tranne GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Per saperne di più, consulta
Scegliere un bilanciatore del carico.
|
Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo di sovranità di un carico di lavoro. La modifica di questo valore può influire sulla sovranità dei dati nel carico di lavoro; ti consigliamo di mantenere il valore impostato. |
Funzionalità interessate
Questa sezione elenca in che modo le funzionalità o funzionalità di ogni servizio sono interessate dall'ITAR, inclusi i requisiti degli utenti quando utilizzano una funzionalità.
Funzionalità di BigQuery
| Selezione delle | Descrizione |
|---|---|
| Abilitazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. In genere questa procedura termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è completato e abilitare BigQuery, segui questi passaggi:
Al termine del processo di abilitazione, puoi utilizzare BigQuery nella tua cartella Assured Workloads. |
| Funzionalità non supportate | Le seguenti funzionalità di BigQuery non sono supportate per la conformità ITAR e non devono essere utilizzate nell'interfaccia a riga di comando di BigQuery. È responsabilità del cliente non utilizzarli in BigQuery per carichi di lavoro ITAR.
|
| Integrazioni non supportate | Le seguenti integrazioni di BigQuery non sono supportate per la conformità ITAR. È responsabilità del cliente non utilizzarli con BigQuery per carichi di lavoro ITAR.
|
| API BigQuery conformi | Le seguenti API BigQuery sono conformi alla normativa ITAR:
|
| Regioni | BigQuery è conforme alla normativa ITAR per tutte le regioni statunitensi di BigQuery, ad eccezione di quelle multiregionali degli Stati Uniti. La conformità ITAR non può essere garantita se un set di dati viene creato in più regioni, regioni non statunitensi o multiregionali non statunitensi. È responsabilità del cliente specificare una regione conforme a ITAR durante la creazione di set di dati BigQuery. Se una richiesta di elenco di dati di una tabella viene inviata utilizzando una regione degli Stati Uniti, ma il set di dati è stato creato in un'altra regione degli Stati Uniti, BigQuery non può dedurre a quale regione intendeva il cliente e l'operazione non riuscirà con un messaggio di errore "Set di dati non trovato". |
| Console Google Cloud | L'interfaccia utente di BigQuery nella console Google Cloud è
conforme alle norme ITAR.
|
| interfaccia a riga di comando di BigQuery | L'interfaccia a riga di comando di BigQuery è conforme a ITAR.
|
| Google Cloud SDK | Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici ITAR. Per verificare la versione corrente
del Google Cloud SDK, esegui gcloud --version, quindi
gcloud components update per eseguire l'aggiornamento alla versione più recente.
|
| Controlli per gli amministratori | BigQuery disabiliterà le API non conformi, ma gli amministratori dei clienti con autorizzazioni sufficienti per creare una cartella Assured Workloads possono abilitare un'API non conforme. In questo caso, il cliente verrà avvisato della potenziale non conformità tramite la dashboard di monitoraggio di Assured Workloads. |
| Caricamento dei dati | I connettori BigQuery Data Transfer Service per le app SaaS (Software as a Service), i fornitori di spazio di archiviazione sul cloud esterni e i data warehouse non sono conformi alla normativa ITAR. È responsabilità del cliente non utilizzare i connettori BigQuery Data Transfer Service per i carichi di lavoro ITAR. |
| Trasferimenti di terze parti | BigQuery non verifica la conformità ITAR per i trasferimenti di terze parti per BigQuery Data Transfer Service. È responsabilità del cliente verificare la conformità ITAR durante l'utilizzo di trasferimenti di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono conformi allo standard ITAR. |
| Job di query | I job di query con dati tecnici ITAR devono essere creati solo all'interno dei progetti ITAR. |
| Query su set di dati ITAR da progetti non ITAR | BigQuery non impedisce che vengano eseguite query su set di dati ITAR da
progetti non ITAR. I clienti devono assicurarsi che tutte le query contenenti una lettura o un join di dati tecnici ITAR vengano inserite in una cartella conforme a ITAR.
I clienti possono specificare un
nome completo
di tabella per il risultato della query utilizzando projectname.dataset.table
nell'interfaccia a riga di comando di BigQuery. |
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dati dei log dei clienti.
I clienti devono disabilitare i propri bucket di logging _default o limitare i bucket _default alle regioni degli Stati Uniti per mantenere la conformità ITAR utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkConsulta questa pagina per ulteriori informazioni. |
Funzionalità di Compute Engine
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI:
|
| VM Bare Metal Solution | È tua responsabilità non utilizzare le VM Bare Metal Solution (o2 VM) perché le VM Bare Metal Solution non sono conformi alle norme ITAR.
|
| VM di Google Cloud VMware Engine | È tua responsabilità non utilizzare le VM di Google Cloud VMware Engine, perché le VM di Google Cloud VMware Engine non sono conformi alle normative ITAR.
|
| Creazione di un'istanza VM C3 | Questa funzionalità è disattivata. |
| Utilizzo di dischi permanenti o dei relativi snapshot senza CMEK | Non puoi utilizzare dischi permanenti o i relativi snapshot a meno che non siano stati criptati mediante CMEK. |
| Crea VM nidificate o VM che utilizzano la virtualizzazione nidificata | Non puoi creare VM nidificate o VM che utilizzano la virtualizzazione nidificata. Questa funzionalità è disattivata dal vincolo del criterio dell'organizzazione compute.disableNestedVirtualization descritto nella sezione precedente.
|
| Aggiunta di un gruppo di istanze a un bilanciatore del carico globale | Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo del criterio dell'organizzazione compute.disableGlobalLoadBalancing descritto nella sezione precedente.
|
| Routing delle richieste a un bilanciatore del carico HTTPS esterno a più regioni | Non puoi instradare richieste a un bilanciatore del carico HTTPS esterno multiregionale. Questa funzionalità è disattivata dal vincolo compute.restrictLoadBalancerCreationForTypes del criterio dell'organizzazione descritto nella sezione precedente.
|
| Condivisione di un disco permanente SSD in modalità multi-writer | Non puoi condividere un disco permanente SSD in modalità multi-writer tra istanze VM. |
| Sospensione e ripristino di un'istanza VM | Questa funzionalità è disattivata. La sospensione e il ripristino di un'istanza VM richiede l'archiviazione su disco permanente, mentre l'archiviazione su disco permanente utilizzato per archiviare lo stato di VM sospesa non può essere criptato tramite CMEK. Consulta il vincolo del criterio dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della residenza dei dati dell'abilitazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non è possibile criptarli tramite CMEK. Consulta il vincolo del criterio dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della residenza dei dati dell'abilitazione di questa funzionalità.
|
| Ambiente guest |
Gli script, i daemon e i programmi binari inclusi nell'ambiente guest
possono accedere a dati at-rest e in uso non criptati.
A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Per informazioni specifiche su contenuti, codice sorgente e altro di ogni pacchetto, consulta
Ambiente guest. Questi componenti ti aiutano a garantire la residenza dei dati attraverso processi e controlli di sicurezza interni. Tuttavia, per gli utenti che vogliono un maggiore controllo, puoi anche selezionare immagini o agenti personalizzati e, se vuoi, utilizzare il vincolo del criterio dell'organizzazione compute.trustedImageProjects.
Consulta la pagina Creazione di un'immagine personalizzata per ulteriori informazioni. |
instances.getSerialPortOutput() |
Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis in False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni in
questa pagina.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai ottenere uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis in False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni in
questa pagina.
|
Funzionalità di Cloud DNS
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud DNS non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Funzionalità di Cloud Interconnect
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud Interconnect non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
| VPN ad alta disponibilità | Devi abilitare la funzionalità VPN ad alta disponibilità quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati in questa sezione. |
Funzionalità di Cloud Load Balancing
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
| Bilanciatori del carico a livello di regione | Devi utilizzare solo bilanciatori del carico regionali con ITAR. Consulta le pagine seguenti per saperne di più sulla configurazione dei bilanciatori del carico a livello di regione: |
Funzionalità di Cloud Logging
Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi nella pagina Abilitare CMEK per un'organizzazione nella documentazione di Cloud Logging.
| Selezione delle | Descrizione |
|---|---|
| Sink di log | Non inserire informazioni sensibili (dati dei clienti) nei filtri del sink. I filtri sink vengono trattati come dati di servizio. |
| Voci di log di tailing in tempo reale | Non creare filtri contenenti i dati dei clienti. Una sessione di tailing in tempo reale include un filtro che viene archiviato come configurazione. I log di coda non archiviano i dati delle voce di log in sé, ma possono eseguire query e trasmettere dati tra regioni. |
| Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud. |
| URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati per le query nella console Google Cloud. |
| Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud. |
| Analisi dei log con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Analisi dei log. |
Funzionalità di Cloud Monitoring
| Selezione delle | Descrizione |
|---|---|
| Monitor sintetico | Questa funzionalità è disattivata. |
| Controllo di uptime | Questa funzionalità è disattivata. |
| Widget del riquadro di log in Dashboard | Questa funzionalità è disabilitata. Non puoi aggiungere un riquadro di log a una dashboard. |
| Widget del riquadro di segnalazione degli errori in Dashboard | Questa funzionalità è disabilitata. Non puoi aggiungere un riquadro Error Reporting a una dashboard. |
Filtra in
EventAnnotation
per Dashboard
|
Questa funzionalità è disabilitata. Non è possibile impostare il filtro di EventAnnotation
in una dashboard.
|
Funzionalità di Network Connectivity Center
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Funzionalità di Cloud NAT
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud NAT non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Funzionalità del router Cloud
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità del router Cloud non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Funzionalità di Cloud SQL
| Selezione delle | Descrizione |
|---|---|
| Esportazione in formato CSV in corso... | L'esportazione in formato CSV non è conforme allo standard ITAR e non deve essere utilizzata. Questa funzionalità è disabilitata nella console Google Cloud. |
executeSql |
Il metodo executeSql dell'API Cloud SQL non è conforme a ITAR e non deve essere utilizzato. |
Funzionalità di Cloud Storage
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Per mantenere la conformità ITAR, è tua responsabilità utilizzare la console giurisdizionale Google Cloud. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito. |
| Endpoint API conformi | Devi utilizzare uno degli endpoint di località conformi a ITAR con Cloud Storage. Gli endpoint della località sono disponibili per tutte le regioni degli Stati Uniti, per quella multiregionale degli Stati Uniti e per la doppia regione predefinita di NAM4.
Gli endpoint della località non sono disponibili per due regioni diverse dalla doppia regione
NAM4. Consulta questa pagina per ulteriori informazioni sulle località in Cloud Storage.
|
| Limitazioni | Per essere conformi a ITAR, devi utilizzare gli endpoint di località di Cloud Storage. Per ulteriori informazioni sugli endpoint di località di Cloud Storage per ITAR, consulta Endpoint di località per la conformità ITAR. Le seguenti operazioni non sono supportate dagli endpoint di località. Tuttavia, queste operazioni non includono i dati dei clienti, come definito nei termini del servizio di residenza dei dati. Di conseguenza, puoi utilizzare endpoint globali per queste operazioni in base alle esigenze senza violare la conformità ITAR: |
| Copia e riscrittura degli oggetti | Le operazioni di copia e riscrittura per gli oggetti sono supportate dagli endpoint di località se entrambi i bucket di origine e di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non puoi utilizzare endpoint di località per copiare o riscrivere un oggetto da un bucket a un altro se i bucket esistono in località diverse. È possibile utilizzare endpoint globali per copiare o riscrivere da più località, ma sconsigliamo questa pratica poiché potrebbe violare la conformità ITAR. |
Funzionalità di GKE
| Selezione delle | Descrizione |
|---|---|
| Limitazioni delle risorse del cluster | Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati dal programma di conformità ITAR. Ad esempio,
la seguente configurazione non è valida perché richiede l'abilitazione o l'utilizzo di un servizio non supportato:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Funzionalità VPC
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di networking VPC non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Funzionalità di Cloud VPN
| Selezione delle | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
| Crittografia | Devi utilizzare solo crittografie conformi a FIPS 140-2 quando crei certificati e configuri la sicurezza IP. Consulta
questa pagina
per ulteriori informazioni sulle crittografie supportate in Cloud VPN. Per
indicazioni sulla scelta di una crittografia conforme agli standard FIPS 140-2,
consulta questa pagina. Al momento non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la crittografia sull'appliance di terze parti utilizzata con Cloud VPN. |
| Endpoint VPN | Devi utilizzare solo endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione degli Stati Uniti. |
Passaggi successivi
- Scopri di più sul pacchetto di controlli ITAR.
- Scopri quali prodotti sono supportati per ciascun pacchetto di controlli.