针对 ITAR 的限制
本页介绍了使用 ITAR 控制软件包时的限制、局限和其他配置选项。
概览
国际军品交易条例 (ITAR) 控制软件包用于为范围内的 Google Cloud 服务启用数据访问权限控制和驻留功能。为了与 ITAR 兼容,Google 会限制或限制这些服务的部分功能。为 ITAR 创建新的 Assured Workloads 文件夹时,系统会应用大多数这些限制和限制,但您可以稍后通过修改组织政策来更改其中的一些限制。此外,一些限制要求用户负责遵循合规性。
请务必了解这些限制如何修改给定 Google Cloud 服务的行为或如何影响数据访问或数据驻留。例如,某些功能可能会自动停用,以确保保持数据访问限制和数据驻留。此外,如果更改组织政策设置,可能会导致数据从一个区域复制到另一个区域。
前提条件
作为 ITAR 控制软件包的用户,为了保持合规,请确保您满足并遵循以下前提条件:
- 使用 Assured Workloads 创建 ITAR 文件夹,并仅在该文件夹中部署 ITAR 工作负载。
- 仅为 ITAR 工作负载启用和使用范围内的 ITAR 服务。
- 除非您了解并愿意接受可能发生的数据驻留风险,否则请勿更改默认的组织政策限制条件值。
- 连接到 Google Cloud 服务端点时,您必须为提供区域性端点的服务使用区域端点。此外:
- 从非 Google Cloud 虚拟机(例如本地或其他云提供商的虚拟机)连接到 Google Cloud 服务端点时,您必须使用某个支持连接到非 Google Cloud 虚拟机的专用访问通道选项之一,将非 Google Cloud 流量路由到 Google Cloud。
- 从 Google Cloud 虚拟机连接到 Google Cloud 服务端点时,您可以使用任何可用的专用访问通道选项。
- 在连接到已使用外部 IP 地址公开的 Google Cloud 虚拟机时,请参阅通过具有外部 IP 地址的虚拟机访问 API。
- 对于 ITAR 文件夹中使用的所有服务,请勿将技术数据存储在以下用户定义的信息或安全配置信息类型中:
- 错误消息
- 控制台输出
- 属性数据
- 服务配置数据
- 网络数据包标头
- 资源标识符
- 数据标签
- 请仅为提供这些端点的服务使用指定的区域端点或位置端点。如需了解详情,请参阅报告范围内的 ITAR 服务。
- 请考虑采用 Google Cloud 安全性最佳实践中心提供的常规安全性最佳实践。
范围内的服务
以下服务与 ITAR 兼容:
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- 虚拟私有云 (VPC)
- VPC Service Controls
- Cloud Interconnect
- Cloud Router
- Identity-Aware Proxy
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
组织政策
本部分介绍在使用 ITAR 创建文件夹或项目时,默认组织政策限制条件值如何影响每项服务。其他适用的限制条件(即使未进行默认设置)可以提供额外的“深度防御”,以进一步保护组织的 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 in:us-locations 作为 allowedValues 列表项。此值规定,只有美国值组可以创建任何新资源。设置后,您无法在美国以外的任何其他区域、多区域或位置创建资源。如需了解详情,请参阅组织政策值组文档。 通过降低此值的限制,允许在美国数据边界之外创建或存储数据,可能会降低数据驻留。例如:将 in:us-locations 值组替换为 in:northamerica-locations 值组。
|
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
列出的每项服务都需要客户管理的加密密钥 (CMEK)。 CMEK 可确保使用由您管理的密钥(而不是 Google 的默认加密机制)对静态数据进行加密。 通过从列表中移除一项或多项受范围内的服务来更改此值可能会破坏数据数据主权,因为系统将使用 Google 自己的密钥(而不是您的密钥)自动加密新的静态数据。现有的静态数据仍将由您提供的密钥进行加密。 |
gcp.restrictCmekCryptoKeyProjects |
设置为您创建的 ITAR 文件夹下的所有资源。 限制可提供 KMS 密钥以使用 CMEK 加密静态数据的获批文件夹或项目的范围。此限制条件可防止未经批准的文件夹或项目提供加密密钥,从而帮助保证范围内服务静态数据的数据主权。 |
gcp.restrictServiceUsage |
设置为允许所有范围内的服务。 决定可以启用和使用哪些服务。如需了解详情,请参阅限制工作负载的资源用量。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalLoadBalancing |
设置为 True。 禁止创建全球负载均衡产品。 更改此值可能会影响工作负载中的数据驻留;我们建议保留此值。 |
compute.disableGlobalSelfManagedSslCertificate |
设置为 True。 禁止创建自行管理的全球 SSL 证书。 更改此值可能会影响工作负载中的数据驻留;我们建议保留此值。 |
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策可防止您在 Windows Server 虚拟机上生成凭据。 如果您需要管理 Windows 虚拟机上的用户名和密码,请执行以下操作:
|
compute.disableNestedVirtualization |
设置为 True。 在 ITAR 文件夹下为所有 Compute Engine 虚拟机停用硬件加速的嵌套虚拟化功能。 更改此值可能会影响工作负载中的数据驻留;我们建议保留此值。 |
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留;我们建议保留此值。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.restrictLoadBalancerCreationForTypes |
设置为允许除 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS 以外的所有值。如需了解详情,请参阅
选择负载均衡器。 |
Google Kubernetes Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载的数据主权;我们建议保留此值。 |
受影响的功能
本部分列出了 ITAR 对每项服务的特性或特性的影响,包括用户在使用某项功能时需满足的要求。
BigQuery 特性
| 特征 | 说明 |
|---|---|
| 在新文件夹上启用 BigQuery | BigQuery 受支持,但由于内部配置过程,当您创建新的 Assured Workloads 文件夹时,它不会自动启用。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查此过程是否已完成并启用 BigQuery,请完成以下步骤:
启用过程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。 |
| 不受支持的功能 | 以下 BigQuery 功能不受 ITAR 合规性支持,因此不应在 BigQuery CLI 中使用。客户有责任不在 BigQuery 中将其用于 ITAR 工作负载。
|
| 不受支持的集成 | 以下 BigQuery 集成不支持 ITAR 合规性。客户有责任不将它们与 BigQuery 一起使用来处理 ITAR 工作负载。
|
| 合规的 BigQuery API | 以下 BigQuery API 符合 ITAR 要求: |
| 区域 | 除美国多区域以外的所有 BigQuery 美国区域,BigQuery 均符合 ITAR 标准。如果数据集创建于美国多区域、非美国区域或非美国多区域,则无法保证符合 ITAR 要求。创建 BigQuery 数据集时,客户需负责指定符合 ITAR 规定的区域。 如果使用一个美国区域发送表数据列表请求,但数据集是在另一个美国区域创建的,则 BigQuery 无法推断出客户想要的区域,且操作将失败并显示“未找到数据集”错误消息。 |
| Google Cloud 控制台 | Google Cloud 控制台中的 BigQuery 界面符合 ITAR 标准。 |
| BigQuery CLI | BigQuery CLI 符合 ITAR 标准。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本来为 ITAR 技术数据维护数据区域化保证。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。 |
| 管理员控制功能 | BigQuery 将停用不合规的 API,但拥有足够权限创建 Assured Workloads 文件夹的客户管理员可以启用不合规的 API。如果发生这种情况,客户将通过 Assured Workloads 监控信息中心通知疑似不合规的情况。 |
| 正在加载数据 | 适用于 Google 软件即服务 (SaaS) 应用、外部云存储服务提供商和数据仓库的 BigQuery Data Transfer Service 连接器不符合 ITAR 要求。客户有责任不要将 BigQuery Data Transfer Service 连接器用于 ITAR 工作负载。 |
| 第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 的第三方转移作业的 ITAR 合规性。针对 BigQuery Data Transfer Service 使用任何第三方转移作业时,客户有责任验证 ITAR 合规性。 |
| 不合规的 BQML 模型 | 外部训练的 BQML 模型不符合 ITAR 要求。 |
| 查询作业 | 使用 ITAR 技术数据的查询作业只能在 ITAR 项目中创建。 |
| 来自非 ITAR 项目的 ITAR 数据集查询 | BigQuery 不会阻止从非 ITAR 项目查询 ITAR 数据集。客户应确保将读取或联接 ITAR 技术数据的任何查询放置在符合 ITAR 要求的文件夹中。客户可以在 BigQuery CLI 中使用 projectname.dataset.table 为其查询结果指定完全限定的表名称。 |
| Cloud Logging | BigQuery 利用 Cloud Logging 处理部分客户日志数据。
客户应使用以下命令停用其 _default 日志记录存储分区或将 _default 存储分区限制在美国区域,以保持 ITAR 合规性:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink如需了解详情,请参阅此页面。 |
Compute Engine 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供以下 Compute Engine 功能。请改用 API 或 Google Cloud CLI:
|
| 裸金属解决方案虚拟机 | 您有责任不要使用裸金属解决方案虚拟机 (o2 虚拟机),因为裸金属解决方案虚拟机不符合 ITAR 要求。 |
| Google Cloud VMware Engine 虚拟机 | 您有责任不要使用 Google Cloud VMware Engine 虚拟机,因为 Google Cloud VMware Engine 虚拟机不符合 ITAR 要求。 |
| 创建 C3 虚拟机实例 | 此功能已停用。 |
| 在没有 CMEK 的情况下使用永久性磁盘或其快照 | 除非已使用 CMEK 加密,否则您无法使用永久性磁盘或其快照。 |
| 创建嵌套虚拟机或使用嵌套虚拟化的虚拟机 | 您不能创建嵌套虚拟机或使用嵌套虚拟化的虚拟机。 由于上述部分中所述的 compute.disableNestedVirtualization 组织政策限制条件,此功能已停用。
|
| 将实例组添加到全局负载均衡器 | 您无法将实例组添加到全局负载均衡器。 由于上述部分中所述的 compute.disableGlobalLoadBalancing 组织政策限制条件,此功能已停用。
|
| 将请求路由到多区域外部 HTTPS 负载均衡器 | 您无法将请求路由到多区域外部 HTTPS 负载平衡器。 由于上述部分中所述的 compute.restrictLoadBalancerCreationForTypes 组织政策限制条件,此功能已停用。
|
| 在多写入者模式下共享 SSD 永久性磁盘 | 在多写入者模式下,无法在虚拟机实例之间共享 SSD 永久性磁盘。 |
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停虚拟机状态的永久性磁盘存储空间无法使用 CMEK 进行加密。如需了解启用此功能对数据驻留的影响,请参阅上一部分中的 gcp.restrictNonCmekServices 组织政策限制条件。
|
| 本地 SSD | 此功能处于禁用状态。 您将无法使用本地 SSD 创建实例,因为无法使用 CMEK 对其进行加密。如需了解启用此功能对数据驻留的影响,请参阅上一部分中的 gcp.restrictNonCmekServices 组织政策限制条件。
|
| 客机环境 |
客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制措施和流程满足数据驻留要求。但是,对于希望获得额外控制的用户,您还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。如需了解详情,请参阅 构建自定义映像页面。 |
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以按照
此页面中的说明启用和使用交互式串行端口。
|
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以按照
此页面中的说明启用和使用交互式串行端口。
|
Cloud DNS 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不支持 Cloud DNS 功能。请改用 API 或 Google Cloud CLI。 |
Cloud Interconnect 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Interconnect 功能。请改用 API 或 Google Cloud CLI。 |
| 高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您必须遵循本部分列出的加密和区域化要求。 |
Cloud Load Balancing 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Load Balancing 功能。请改用 API 或 Google Cloud CLI。 |
| 区域级负载均衡器 | 您只能将区域级负载平衡器与 ITAR 搭配使用。如需详细了解如何配置区域级负载平衡器,请参阅以下页面: |
Cloud Logging 功能
如需将 Cloud Logging 与客户管理的加密密钥 (CMEK) 搭配使用,您必须完成 Cloud Logging 文档中为组织启用 CMEK 页面中的步骤。
| 特征 | 说明 |
|---|---|
| 日志接收器 | 请勿将敏感信息(客户数据)放入接收器过滤条件。接收器过滤条件被视为服务数据。 |
| Live Tailing 日志条目 | 请勿创建包含客户数据的过滤条件。 Live Tailing 会话包含一个存储为配置的过滤条件。尾随日志本身不会存储任何日志条目数据,但可以跨区域查询和传输数据。 |
| 基于日志的提醒 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建基于日志的提醒。 |
| 日志浏览器查询的缩短的网址 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建查询的缩短网址。 |
| 在日志浏览器中保存查询 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中保存任何查询。 |
| 使用 BigQuery 的日志分析 | 此功能处于禁用状态。 您无法使用日志分析功能。 |
Network Connectivity Center 的功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中无法使用 Network Connectivity Center 功能。请改用 API 或 Google Cloud CLI。 |
Cloud NAT 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud NAT 功能。请改用 API 或 Google Cloud CLI。 |
Cloud Router 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Router 功能。 请改用 API 或 Google Cloud CLI。 |
Cloud SQL 特性
| 特征 | 说明 |
|---|---|
| 导出为 CSV 文件 | 导出为 CSV 文件不符合 ITAR 要求,请勿使用。此功能在 Google Cloud 控制台中处于停用状态。 |
executeSql |
Cloud SQL API 的 executeSql 方法不符合 ITAR 要求,不应使用。 |
Cloud Storage 的功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | 为了保持 ITAR 合规性,您有责任使用管辖区 Google Cloud 控制台。管辖区控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象,请参阅下面的合规的 API 端点行。 |
| 合规的 API 端点 | 您必须将某个符合 ITAR 要求的位置端点与 Cloud Storage 搭配使用。位置端点适用于所有美国区域、美国多区域以及 NAM4 预定义的双区域。位置端点不适用于 NAM4 双区域之外的双区域。如需详细了解 Cloud Storage 中的位置,请参阅此页面。 |
| 限制 | 您必须使用 Cloud Storage 位置端点才能符合 ITAR 要求。如需详细了解 ITAR 的 Cloud Storage 位置端点,请参阅用于实现 ITAR 合规性的位置端点。 位置端点不支持以下操作。 但是,这些操作不包含数据驻留服务条款中定义的客户数据。因此,您可以根据需要使用全球端点来执行这些操作,而不会违反 ITAR 合规性: |
| 复制和重写对象 | 如果源存储分区和目标存储分区都位于端点中指定的区域,则位置端点支持对对象的复制和重写操作。但是,如果存储桶位于不同位置,则您无法使用位置端点将对象从一个存储桶复制或重写到另一个存储桶。您可以使用全局端点跨位置进行复制或重写,但我们不建议这样做,因为这样做可能会违反 ITAR 合规性。 |
GKE 特性
| 特征 | 说明 |
|---|---|
| 集群资源限制 | 确保您的集群配置未使用 ITAR 合规性计划中不受支持的服务的资源。例如,以下配置无效,因为它需要启用或使用不受支持的服务:
set `binaryAuthorization.evaluationMode` to `enabled`
|
VPC 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 VPC 网络功能。请改用 API 或 Google Cloud CLI。 |
Cloud VPN 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不支持 Cloud VPN 功能。请改用 API 或 Google Cloud CLI。 |
| 加密 | 创建证书和配置 IP 安全性时,您只能使用符合 FIPS 140-2 要求的加密方式。如需详细了解 Cloud VPN 中支持的加密,请参阅此页面。如需了解如何选择符合 FIPS 140-2 标准的加密,请参阅此页面。 目前无法更改 Google Cloud 中的现有加密。 确保在与 Cloud VPN 搭配使用的第三方设备上配置加密方式。 |
| VPN 端点 | 您只能使用位于美国境内的 Cloud VPN 端点。确保您的 VPN 网关已配置为仅在美国区域使用。 |