Restrições e limitações para a ITAR
Esta página descreve as restrições, limitações e outras opções de configuração ao usar o pacote de controle ITAR.
Visão geral
O pacote de controle da Regulamentação sobre Tráfico Internacional de Armas (ITAR) ativa o controle de acesso a dados e os recursos de residência para serviços Google Cloud no escopo. Alguns recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com a ITAR. A maioria dessas restrições e limitações é aplicada ao criar uma nova pasta do Assured Workloads para ITAR. No entanto, algumas delas podem ser alteradas posteriormente modificando as políticas da organização. Além disso, algumas restrições e limitações exigem a responsabilidade do usuário para a adesão.
É importante entender como essas restrições modificam o comportamento de um determinado serviço Google Cloud ou afetam o acesso a dados ou a residência de dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir que as restrições de acesso aos dados e a residência deles sejam mantidas. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.
Pré-requisitos
Para manter a conformidade como usuário do pacote de controle do ITAR, verifique se você cumpre e adere aos seguintes pré-requisitos:
- Crie uma pasta ITAR usando o Assured Workloads e implante as cargas de trabalho ITAR somente nessa pasta.
- Ative e use apenas os serviços ITAR no escopo para cargas de trabalho ITAR.
- Não mude os valores padrão de restrição da política da organização, a menos que você entenda e aceite os riscos de residência de dados que podem ocorrer.
- Ao se conectar a endpoints de serviço Google Cloud , use endpoints regionais para serviços que os oferecem. Além disso:
- Ao se conectar a endpoints de serviço Google Cloud de VMs nãoGoogle Cloud, como VMs locais ou de outros provedores de nuvem, é necessário usar uma das opções de acesso privado disponíveis que oferecem suporte a conexões com VMs nãoGoogle Cloud para rotear o tráfego nãoGoogle Cloud para Google Cloud.
- Ao se conectar a endpoints de serviço do Google Cloud usando VMs Google Cloud , é possível usar qualquer uma das opções de acesso particular disponíveis.
- Ao se conectar a Google Cloud VMs que foram expostas com endereços IP externos, consulte Acessar APIs em VMs com endereços IP externos.
- Para todos os serviços usados em uma pasta ITAR, não armazene dados técnicos nos
seguintes tipos de informações de configuração de segurança ou definidas pelo usuário:
- Mensagens de erro
- Saída do console
- Dados de atributos
- Dados de configuração do serviço
- Cabeçalhos de pacotes de rede
- Identificadores de recursos
- Rótulos de dados
- Use apenas os endpoints regionais ou de localização especificados para os serviços que oferecem. Consulte Serviços do ITAR no escopo para mais informações.
- Considere adotar as práticas recomendadas de segurança gerais fornecidas na Google Cloud central de práticas recomendadas de segurança.
Serviços em escopo
A menos que indicado de outra forma, os usuários podem acessar todos os serviços no escopo pelo console do Google Cloud.
Os seguintes serviços são compatíveis com o ITAR:
| Produto compatível | Endpoints de API compatíveis com ITAR | Restrições ou limitações |
|---|---|---|
| Artifact Registry |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| BigQuery |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API. |
Recursos afetados |
| Certificate Authority Service |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Gerenciador de chaves externas do Cloud (Cloud EKM) |
Não há suporte para endpoints regionais da API. Endpoints da API de localização:
Não há suporte para endpoints globais da API. |
Nenhum |
| Cloud Run |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Compute Engine |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados e restrições da política da organização |
| Cloud DNS |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Dataflow |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Dataproc |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Filestore |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud Storage |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API. |
Recursos afetados |
| Google Kubernetes Engine |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados e restrições da política da organização |
| Cloud HSM |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Gerenciamento de identidade e acesso (IAM) |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Identity-Aware Proxy (IAP) |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud Interconnect |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Cloud Key Management Service (Cloud KMS) |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud Load Balancing |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Cloud Logging |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Não há suporte para endpoints globais da API. |
Recursos afetados |
| Cloud Monitoring |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Cloud NAT |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Network Connectivity Center |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Persistent Disk |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Pub/Sub |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud Router |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Cloud SQL |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Nuvem privada virtual (VPC) |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| VPC Service Controls |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud VPN |
Não há suporte para endpoints regionais da API. Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
Políticas da organização
Nesta seção, descrevemos como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando o ITAR. Outras restrições aplicáveis, mesmo que não sejam definidas por padrão, podem fornecer uma "defesa em profundidade" adicional para proteger ainda mais os recursosGoogle Cloud da sua organização.
Restrições da política da organização em toda a nuvem
As restrições da política da organização a seguir se aplicam a qualquer serviço Google Cloud aplicável.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Defina como in:us-locations como o item
da lista allowedValues.Esse valor restringe a criação de novos recursos somente ao grupo de valores dos EUA. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora dos EUA. Consulte a documentação Grupos de valores de política da organização para mais informações. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite de dados dos EUA. Por exemplo: substituir o grupo de valores in:us-locations pelo
grupo in:northamerica-locations.
|
gcp.restrictNonCmekServices |
Defina como uma lista de todos os
nomes de serviço de API no escopo,
incluindo:
Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK garante que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços em escopo da listagem pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu. |
gcp.restrictCmekCryptoKeyProjects |
Defina para todos os recursos na pasta ITAR que você criou. Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves KMS para criptografia de dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo. |
gcp.restrictServiceUsage |
Defina para permitir todos os serviços no escopo. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho. |
Restrições da política da organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.disableGlobalLoadBalancing |
Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido. |
compute.disableGlobalSelfManagedSslCertificate |
Definido como Verdadeiro. Desativa a criação de certificados SSL autogerenciados globais. Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido. |
compute.disableInstanceDataAccessApis |
Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e
instances.getScreenshot().A ativação dessa política da organização impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte:
|
compute.disableNestedVirtualization |
Definido como Verdadeiro. Desativa a virtualização aninhada acelerada por hardware de todas as VMs do Compute Engine na pasta ITAR. Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido. |
compute.enableComplianceMemoryProtection |
Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido. |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre VMs confidenciais para mais informações. |
compute.restrictLoadBalancerCreationForTypes |
Defina para permitir todos os valores, exceto
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Consulte
Escolher um balanceador de carga para mais informações.
|
Restrições da política da organização do Google Kubernetes Engine
| Restrição da política da organização | Descrição |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. É recomendável manter o valor definido. |
Recursos afetados
Esta seção lista como os recursos ou recursos de cada serviço são afetados pelo ITAR, incluindo os requisitos do usuário ao usar um recurso.
Recursos do BigQuery
| Recurso | Descrição |
|---|---|
| Como ativar o BigQuery em uma nova pasta | O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova
pasta de cargas de trabalho garantidas devido a um processo de configuração interno. Esse processo normalmente
termina em 10 minutos, mas pode levar muito mais tempo em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:
Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta Assured Workloads. O Gemini no BigQuery não é compatível com as cargas de trabalho garantidas. |
| Recursos não suportados | Os seguintes recursos do BigQuery não são compatíveis e são desativados para conformidade com o ITAR:
|
| APIs BigQuery compatíveis | As APIs do BigQuery a seguir estão em conformidade com o ITAR: |
| Regiões | O BigQuery está em conformidade com o ITAR em todas as regiões do BigQuery nos EUA, exceto na região multirregional dos EUA. A conformidade com o ITAR não pode ser garantida se um conjunto de dados for criado em uma multirregião dos EUA, uma região fora dos EUA ou uma multirregião fora dos EUA. É responsabilidade do cliente especificar uma região compatível com o ITAR ao criar conjuntos de dados do BigQuery. |
| Carregando dados | Os conectores do serviço de transferência de dados do BigQuery para apps do Google Software as a Service (SaaS), provedores de armazenamento em nuvem externo e repositórios de dados não são compatíveis com o ITAR. Os clientes só podem usar o Serviço de transferência do Cloud Storage em um ambiente ITAR. |
| Conexões com fontes de dados externas | A responsabilidade de compliance do Google é limitada ao recurso da API BigQuery Connection. É responsabilidade do cliente garantir a conformidade dos produtos de origem usados com a API BigQuery Connection. |
| Consultas em conjuntos de dados ITAR de projetos não ITAR | O BigQuery não impede que os conjuntos de dados do ITAR sejam consultados em projetos que não são do ITAR. Os clientes precisam garantir que qualquer consulta que tenha uma leitura ou uma mesclagem de dados técnicos do ITAR seja colocada em uma pasta compatível com o ITAR. |
Recursos do Compute Engine
| Seleção de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI:
|
| VMs da solução Bare Metal | É sua responsabilidade não usar VMs da Solução Bare Metal (VMs o2), porque
elas não são compatíveis com o ITAR.
|
| VMs do Google Cloud VMware Engine | É sua responsabilidade não usar VMs do Google Cloud VMware Engine, já que
elas não são compatíveis com o ITAR.
|
| Como criar uma instância de VM C3 | Esse recurso está desativado. |
| Como usar discos permanentes ou os instantâneos deles sem CMEK | Não é possível usar discos permanentes ou os snapshots deles, a menos que eles tenham sido
criptografados usando CMEK. |
| Criar VMs aninhadas ou que usam a virtualização aninhada | Não é possível criar VMs aninhadas ou que usam a virtualização aninhada. Esse recurso é desativado pela restrição da política da organização compute.disableNestedVirtualization descrita na seção acima.
|
| Como adicionar um grupo de instâncias a um balanceador de carga global | Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Esse recurso é desativado pela restrição de política da organização compute.disableGlobalLoadBalancing
descrita na seção acima.
|
| Rotear solicitações para um balanceador de carga HTTPS externo multirregional | Não é possível encaminhar solicitações para um balanceador de carga HTTPS externo multirregional. Esse recurso é desativado pela restrição de política de organização compute.restrictLoadBalancerCreationForTypes
descrita na seção acima.
|
| Como compartilhar um disco permanente SSD no modo de vários gravadores | Não é possível compartilhar um disco permanente SSD no modo de vários gravadores entre instâncias de VM. |
| Como suspender e retomar uma instância de VM | Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente. O armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEKs. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações da residência de dados
ao ativar esse recurso.
|
| SSDs locais | Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEKs. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações da residência de dados
ao ativar esse recurso.
|
| Ambiente para convidado |
Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso.
Dependendo da configuração da VM, as atualizações desse software podem ser
instaladas por padrão. Consulte
Ambiente convidado para ver informações específicas sobre
o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à residência de dados com processos e controles de segurança internos. No entanto, para usuários que querem mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização compute.trustedImageProjects.
Para mais informações, consulte a página Como criar uma imagem personalizada. |
instances.getSerialPortOutput() |
Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição de política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível
ativar e usar a porta serial interativa.
|
instances.getScreenshot() |
Essa API está desativada. Você não receberá uma captura de tela da
instância especificada usando essa API. Mude o valor da restrição de política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível
ativar e usar a porta serial interativa.
|
Recursos do Cloud DNS
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud DNS não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud Interconnect
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Interconnect não estão disponíveis no console do Google Cloud. Use a API ou a CLI do Google Cloud. |
| VPN de alta disponibilidade (HA) | É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, você precisa obedecer aos requisitos de criptografia e regionalização listados nesta seção. |
Recursos do Cloud Load Balancing
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Load Balancing não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
| Balanceadores de carga regionais | Você só pode usar balanceadores de carga regionais com ITAR. Consulte as páginas a seguir para mais informações sobre como configurar balanceadores de carga regionais: |
Recursos do Cloud Logging
Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK), é preciso concluir as etapas da página Ativar CMEK para uma organização na documentação do Cloud Logging.
| Recurso | Descrição |
|---|---|
| Coletores de registros | Não coloque informações sensíveis (dados do cliente) em filtros de sumidouro. Os filtros de destino são tratados como dados de serviço. |
| Entradas de registro de acompanhamento ao vivo | Não crie filtros que contenham dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. |
| Alertas com base em registros | Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud. |
| URLs encurtados para consultas do Buscador de registros | Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console do Google Cloud. |
| Salvar consultas no Buscador de registros | Este recurso está desativado. Não é possível salvar consultas no console do Google Cloud. |
| Registrar análises usando o BigQuery | Este recurso está desativado. Não é possível usar o recurso de análise de registros. |
| Políticas de alerta baseadas em SQL | Este recurso está desativado. Não é possível usar o recurso de políticas de alertas baseadas em SQL. |
Recursos do Cloud Monitoring
| Recurso | Descrição |
|---|---|
| Monitor sintético | Este recurso está desativado. |
| Verificação de tempo de atividade | Este recurso está desativado. |
| Widgets do painel de registro em Painéis | Esse recurso está desativado. Não é possível adicionar um painel de registro a um painel. |
| Widgets do painel de relatórios de erros em Painéis | Esse recurso está desativado. Não é possível adicionar um painel de relatórios de erros a um painel. |
Filtre em
EventAnnotation
para Painéis
|
Esse recurso está desativado. O filtro de EventAnnotation
não pode ser definido em um painel.
|
SqlCondition
em alertPolicies
|
Esse recurso está desativado. Não é possível adicionar um SqlCondition a um
alertPolicy.
|
Recursos do Network Connectivity Center
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Network Connectivity Center não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud NAT
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do NAT do Cloud não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud Router
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Router não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud Run
| Recurso | Descrição |
|---|---|
| Recursos não suportados | Os seguintes recursos do Cloud Run não são compatíveis: |
Recursos do Cloud SQL
| Recurso | Descrição |
|---|---|
| Exportar para CSV | A exportação para CSV não é compatível com o ITAR e não deve ser usada. Esse recurso está desativado no console do Google Cloud. |
executeSql |
O método executeSql da API Cloud SQL não é
compatível com o ITAR e não deve ser usado. |
Recursos do Cloud Storage
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Para manter a conformidade com o ITAR, é sua responsabilidade usar o console jurisdicional do Google Cloud. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints da API em conformidade abaixo. |
| Endpoints de API compatíveis | É necessário usar um dos endpoints regionais compatíveis com o ITAR com o Cloud Storage. Consulte Endpoints regionais do Cloud Storage e Locais do Cloud Storage para mais informações. |
| Restrições | É necessário usar endpoints regionais do Cloud Storage para estar em conformidade com o ITAR. Para mais informações sobre os endpoints regionais do Cloud Storage para o ITAR, consulte Endpoints regionais do Cloud Storage. As operações a seguir não são compatíveis com endpoints regionais. No entanto, essas operações não carregam dados do cliente, conforme definido nos termos de serviço de residência de dados. Portanto, é possível usar endpoints globais para essas operações conforme necessário sem violar a conformidade do ITAR: |
| Copiar e reescrever para objetos | As operações de cópia e regravação de objetos são compatíveis com endpoints regionais se os buckets de origem e destino estiverem localizados na região especificada no endpoint. No entanto, não é possível usar endpoints regionais para copiar ou regravar um objeto de um bucket para outro se eles existirem em locais diferentes. É possível usar endpoints globais para copiar ou reescrever em vários locais, mas não recomendamos, porque isso pode violar a conformidade com o ITAR. |
Recursos do GKE
| Recurso | Descrição |
|---|---|
| Restrições de recursos do cluster | Verifique se a configuração do cluster não usa recursos para
serviços que não têm suporte no programa de compliance do ITAR. Por exemplo,
a configuração a seguir é inválida porque exige a ativação ou
o uso de um serviço sem suporte:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Recursos da VPC
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos de rede da VPC não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud VPN
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos da VPN do Cloud não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
| Criptografia | Use apenas criptografias compatíveis com FIPS 140-2 ao criar
certificados e configurar a segurança do IP. Consulte
esta página
para mais informações sobre as criptografias compatíveis com o Cloud VPN. Para
orientações sobre como selecionar uma criptografia que esteja em conformidade com os padrões FIPS 140-2,
consulte esta página. No momento, não é possível mudar uma criptografia existente em Google Cloud. Configure a criptografia no dispositivo de terceiros que é usado com o Cloud VPN. |
| Endpoints de VPN | É necessário usar apenas endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway da VPN está configurado apenas para uso em uma região dos EUA. |
Notas de rodapé
2. O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova
pasta de cargas de trabalho garantidas devido a um processo de configuração interno. Esse processo normalmente
termina em 10 minutos, mas pode levar muito mais tempo em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:
- No console do Google Cloud, acesse a página Assured Workloads.
- Selecione a nova pasta do Assured Workloads na lista.
- Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis.
- No painel Serviços permitidos, analise os serviços que serão adicionados à política da organização de
restrição de uso de recursos
para a pasta. Se os serviços do BigQuery estiverem listados, clique em
Permitir serviços para adicioná-los.
Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care.
Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta Assured Workloads.
O Gemini no BigQuery não é compatível com as cargas de trabalho garantidas.
A seguir
- Saiba mais sobre o pacote de controle do ITAR.
- Saiba quais produtos são compatíveis com cada pacote de controle.