Einschränkungen für ITAR

Auf dieser Seite werden die Einschränkungen und Einschränkungen sowie weitere wenn Sie das ITAR-Kontrollpaket verwenden.

Übersicht

Das Kontrollpaket „International Traffic in Arms Regulations (ITAR)“ Datenzugriffskontrolle und -standortfunktionen für enthaltene Google Cloud-Dienste. Einige dieser Dienste Funktionen Google hinsichtlich der Kompatibilität mit ITAR eingeschränkt oder eingeschränkt ist. Die meisten davon werden beim Erstellen eines neuen Assured Workloads-Ordner für ITAR, einige von ihnen können jedoch geändert werden später durch Ändern Organisationsrichtlinien. Außerdem erfordern einige Einschränkungen und Einschränkungen die Verantwortung der Nutzer. für die Einhaltung geltender Regeln.

Es ist wichtig zu verstehen, wie diese Einschränkungen Google Cloud-Dienst erhalten oder den Datenzugriff beeinträchtigen, Datenstandort. Zum Beispiel können automatisch deaktiviert werden, um sicherzustellen, Zugriffsbeschränkungen und Datenstandort aufrechtzuerhalten. Wenn außerdem ein Einstellung der Organisationsrichtlinie geändert wird, kann dies unbeabsichtigte Folgen haben von einer Region in eine andere zu kopieren.

Vorbereitung

Damit Sie als Nutzer des ITAR-Kontrollpakets die Konformität wahren, sollten Sie sicherstellen, die folgenden Voraussetzungen erfüllen:

• ITAR-Ordner mit Assured Workloads erstellen und ITAR bereitstellen Arbeitslasten nur in diesem Ordner.
• Aktivieren und verwenden Sie nur ITAR-Dienste, die unter die Vorgaben fallen, für ITAR-Arbeitslasten.
• Standardeinstellung nicht ändern Werte der Einschränkungen für Organisationsrichtlinien, es sei denn, Sie verstehen und bereit sind, die Risiken beim Datenstandort zu akzeptieren.
• Beim Herstellen einer Verbindung zu Google Cloud-Dienstendpunkten müssen Sie regionale und zwar für Dienste, die diese anbieten. Außerdem gilt: <ph type="x-smartling-placeholder">
  </ph>
  • Beim Herstellen einer Verbindung zu Google Cloud-Dienstendpunkten von einem Drittanbieter als Google Cloud VMs – z. B. lokal oder von anderen Cloud-Anbietern VMs – Sie muss eine der verfügbaren Optionen für den privaten Zugriff die Verbindungen zu Nicht-Google Cloud-VMs unterstützen, um nicht von Google Cloud stammenden Traffic zu Google Cloud.
  • Wenn Sie von Google Cloud-VMs eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff.
  • Beim Herstellen einer Verbindung zu Google Cloud-VMs, die mit externer IP-Adresse freigegeben wurden Adressen, siehe Über VMs mit externen IP-Adressen auf APIs zugreifen
• Speichern Sie für alle Dienste, die in einem ITAR-Ordner verwendet werden, keine technischen Daten im folgenden benutzerdefinierten Informationstypen oder Sicherheitskonfigurationstypen verwenden: <ph type="x-smartling-placeholder">
  </ph>
  • Fehlermeldungen
  • Console-Ausgabe
  • Attributdaten
  • Dienstkonfigurationsdaten
  • Header von Netzwerkpaketen
  • Ressourcenkennzeichnungen
  • Datenlabels
• Verwenden Sie nur die angegebenen regionalen oder geografischen Endpunkte für Dienste, die wie Sie sie anbieten können. Weitere Informationen finden Sie unter aufgenommene ITAR-Dienste.
• Erwägen Sie, die allgemeinen Best Practices für die Sicherheit in den Best Practices für die Sicherheit in Google Cloud

Dienste innerhalb des Geltungsbereichs

Die folgenden Dienste sind mit ITAR kompatibel:

• Artifact Registry
• BigQuery
  • Betroffene Funktionen
• Google Kubernetes Engine
  • Organisationsrichtlinien
  • Betroffene Funktionen
• Identity and Access Management (IAM)
• Compute Engine
  • Organisationsrichtlinien
  • Betroffene Funktionen
• Cloud SQL
  • Betroffene Funktionen
• Cloud Storage
  • Betroffene Funktionen
• Persistent Disk
• Cloud Load Balancing <ph type="x-smartling-placeholder">
  </ph>
  • Betroffene Funktionen
• Cloud Logging
  • Betroffene Funktionen
• Cloud VPN <ph type="x-smartling-placeholder">
  </ph>
  • Betroffene Funktionen
• Virtual Private Cloud (VPC) <ph type="x-smartling-placeholder">
  </ph>
  • Betroffene Funktionen
• VPC Service Controls
• Cloud Interconnect <ph type="x-smartling-placeholder">
  </ph>
  • Betroffene Funktionen
• Cloud Router <ph type="x-smartling-placeholder">
  </ph>
  • Betroffene Funktionen
• Identity-Aware Proxy
• Cloud Monitoring <ph type="x-smartling-placeholder">
  </ph>
  • Betroffene Funktionen
• Network Connectivity Center <ph type="x-smartling-placeholder">
  </ph>
  • Betroffene Funktionen
• Cloud NAT <ph type="x-smartling-placeholder">
  </ph>
  • Betroffene Funktionen
• Cloud DNS
  • Betroffene Funktionen
• Cloud Key Management Service (Cloud KMS)
• Cloud External Key Manager (Cloud EKM)
• Cloud HSM

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich die Standardorganisation auf die einzelnen Dienste auswirkt Werte für die Richtlinieneinschränkung, wenn Ordner oder Projekte mit ITAR erstellt werden. Sonstiges mit anwendbaren Einschränkungen – auch wenn sie nicht standardmäßig festgelegt sind – zusätzliche gestaffelte Sicherheitsebenen um die Daten Ihres Unternehmens Google Cloud-Ressourcen

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.

Organisationsrichtlinie-Beschränkung	Beschreibung
gcp.resourceLocations	Legen Sie in:us-locations als Listenelement allowedValues fest. Mit diesem Wert wird das Erstellen neuer Ressourcen auf die Wertgruppe in den USA beschränkt . Wenn dies festgelegt ist, können keine Ressourcen in anderen Regionen erstellt werden. oder Standorte außerhalb der USA. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert ändern, indem Sie ihn weniger restriktiv machen, kann dies zu einer Untergrabung führen. Datenstandort, da Daten außerhalb der USA erstellt oder gespeichert werden können Datengrenze. Beispiel: Ersetzen des Wertgruppe in:us-locations mit dem Wertgruppe in:northamerica-locations.
gcp.restrictNonCmekServices	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: compute.googleapis.com container.googleapis.com storage.googleapis.com Einige Funktionen können durch die oben aufgeführten Dienste beeinträchtigt werden. Weitere Informationen finden Sie unter im Abschnitt Betroffene Funktionen weiter unten. Für jeden aufgeführten Dienst müssen Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK): Mit einem CMEK wird sichergestellt, dass ruhende Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht Die Standardverschlüsselungsmechanismen von Google. Ändern Sie diesen Wert, indem Sie einen oder mehrere Dienste, die unter die Vorgaben fallen, aus der Liste kann Daten untergraben Datenhoheit, da neue ruhende Daten automatisch mit dem anstelle Ihrer Schlüssel. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
gcp.restrictCmekCryptoKeyProjects	Legen Sie als Wert alle Ressourcen im von Ihnen erstellten ITAR-Ordner fest. Beschränkt den Bereich genehmigter Ordner oder Projekte, die Inhalte bereitstellen können KMS-Schlüssel zur Verschlüsselung ruhender Daten mit CMEK. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
gcp.restrictServiceUsage	Legen Sie dies so fest, dass alle untergeordneten Dienste zugelassen werden. Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen Siehe Ressourcennutzung für Arbeitslasten einschränken

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung	Beschreibung
compute.disableGlobalLoadBalancing	Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.
compute.disableGlobalSelfManagedSslCertificate	Auf True festlegen. Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.
compute.disableInstanceDataAccessApis	Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot(). Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie Anmeldedaten auf Windows Server-VMs generieren Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, Folgendes: Aktivieren Sie SSH für Windows-VMs. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Ersetzen Sie dabei Folgendes: VM_NAME: Name der VM, für die Sie das Passwort festlegen für die Sie angegeben haben. USERNAME: Nutzername des Nutzers, den Sie festlegen das Passwort. PASSWORD: Das neue Passwort.
compute.disableNestedVirtualization	Auf True festlegen. Deaktiviert hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im ITAR-Ordner Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.
compute.enableComplianceMemoryProtection	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.
compute.restrictNonConfidentialComputing	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
compute.restrictLoadBalancerCreationForTypes	Legen Sie fest, dass alle Werte außer für GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Wählen Sie einen Load-Balancer aus, um weitere Informationen zu erhalten.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung	Beschreibung
container.restrictNoncompliantDiagnosticDataAccess	Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.

Betroffene Funktionen

In diesem Abschnitt wird aufgeführt, wie sich die ITAR, einschließlich Nutzeranforderungen bei der Verwendung einer Funktion.

BigQuery-Features

Feature	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie ein neues Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses. Dieser Vorgang wird normalerweise endet in zehn Minuten, kann aber unter bestimmten Umständen viel länger dauern. Um zu prüfen, ob die abgeschlossen ist. Führen Sie die folgenden Schritte aus, um BigQuery zu aktivieren: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. <ph type="x-smartling-placeholder"></ph> Zu Assured Workloads Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus. Klicken Sie auf der Seite Ordnerdetails im Abschnitt Zulässige Dienste auf Verfügbare Updates ansehen Überprüfen Sie im Bereich Zulässige Dienste die Dienste, die dem Beschränkung der Ressourcennutzung Organisationsrichtlinie für den Ordner. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Erlauben Sie den Diensten, sie hinzuzufügen. Wenn die BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Wenn die nicht innerhalb von 12 Stunden nach Ordnererstellung aufgelistet sind, wenden Sie sich Cloud Customer Care Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Features werden für ITAR nicht unterstützt Compliance-Anforderungen und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es handelt sich um die ist der Kunde dafür verantwortlich, sie nicht in BigQuery für ITAR zu verwenden. Arbeitsbelastungen. Interaktion mit Remote-Datenquellen <ph type="x-smartling-placeholder"></ph> Extern trainierte BQML-Modelle sind nicht ITAR-konform. <ph type="x-smartling-placeholder"></ph> Intern trainierte BQML-Modelle sind ITAR-konform. Geplante und föderierte Abfragen Dynamische Datenmaskierung GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Bei BigQuery Studio Notebooks sind nicht unterstützt.
Nicht unterstützte Integrationen	Die folgenden BigQuery-Integrationen werden nicht unterstützt für ITAR-Compliance. Es liegt in der Verantwortung des Kunden, sie nicht mit BigQuery für ITAR-Arbeitslasten CreateTag, SearchCatalog Bulk tagging und Business Glossary API Methoden der Data Catalog API ITAR-technische Daten auf eine Weise verarbeiten und speichern können, ITAR-konform. Es liegt in der Verantwortung des Kunden, diese für ITAR-Arbeitslasten.
Konforme BigQuery APIs	Die folgenden BigQuery APIs sind ITAR-konform: Datasets Jobs Modelle Projekte Reservierungen Abläufe Zeilenzugriffsrichtlinien Speicherlesevorgänge Schreiben im Speicher Tables Tabellendaten
Regionen	BigQuery ist ITAR-konform für alle BigQuery US mit Ausnahme des multiregionalen Standorts "US". Die Einhaltung des ITARs kann nicht garantiert werden Ein Dataset wird an einem multiregionalen Standort in den USA, einer Region außerhalb der USA oder außerhalb der USA erstellt. multiregional. Es liegt in der Verantwortung des Kunden, eine ITAR-kompatible Region beim Erstellen von BigQuery-Datasets. Wenn eine Anfrage zur Listendatenliste für Tabellen mit einer US-Region gesendet wird, aber das Dataset in einer anderen US-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region was vom Kunden beabsichtigt war, und der Vorgang schlägt mit der Meldung „Dataset, das nicht gefunden" Fehlermeldung erhalten.
Google Cloud Console	Die BigQuery-Benutzeroberfläche in der Google Cloud Console ITAR-konform.
BigQuery-Befehlszeile	Die BigQuery-Befehlszeile ist ITAR-konform.
Google Cloud SDK	Sie müssen Version 403.0.0 oder höher des Google Cloud SDK verwenden, um Daten zu verwalten Regionalisierungssicherungen für technische ITAR-Daten Bestätigen Sie Ihre aktuelle Google Cloud SDK-Version, führen Sie gcloud --version aus und dann gcloud components update, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren	BigQuery deaktiviert nicht konforme APIs, aber der Kunde Administratoren mit den erforderlichen Berechtigungen zum Erstellen Der Assured Workloads-Ordner kann eine nicht konforme API aktivieren. Sollte wird der Kunde über einen möglichen Verstoß informiert. über die Assured Workloads-Monitoring Dashboard.
Daten laden	BigQuery Data Transfer Service-Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, externe Cloud Storage-Anbieter und Data Warehouses sind nicht ITAR-konform. Es handelt sich um die in der Verantwortung des Kunden, BigQuery Data Transfer Dienst-Connectors für ITAR-Arbeitslasten.
Drittanbieter-Übertragungen	BigQuery überprüft nicht die ITAR-Konformität für Drittanbieter für den BigQuery Data Transfer Service. Es handelt sich um die ist der Kunde für die Überprüfung der ITAR-Konformität verantwortlich, wenn Drittanbieter-Übertragungen für den BigQuery Data Transfer Service.
Nicht konforme BQML-Modelle	<ph type="x-smartling-placeholder"></ph> Extern trainierte BQML-Modelle sind nicht ITAR-konform.
Abfragejobs	Abfragejobs mit technischen ITAR-Daten sollten nur innerhalb von ITAR erstellt werden Projekten.
Abfragen von ITAR-Datasets aus Nicht-ITAR-Projekten	BigQuery verhindert nicht, dass ITAR-Datasets abgefragt werden nicht-ITAR-Projekten. Kunden sollten dafür sorgen, dass jede Abfrage, die einen Lesevorgang enthält, oder ein Join zu technischen ITAR-Daten in einem ITAR-konformen Ordner abgelegt werden. Kunden können Folgendes angeben: vollständig qualifiziert Tabellenname für das Abfrageergebnisse unter Verwendung von projectname.dataset.table. in der BigQuery-Befehlszeile.
Cloud Logging	BigQuery verwendet Cloud Logging für einige Kundenlogdaten. Kunden sollten ihre _default-Logging-Buckets deaktivieren oder _default Buckets auf US-Regionen beschränken auf Verwenden Sie folgenden Befehl, um die ITAR-Compliance zu wahren: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Weitere Informationen findest du auf dieser Seite. Informationen.

Compute Engine Features

Funktion	Beschreibung
Google Cloud Console	Die folgenden Compute Engine-Funktionen sind in der Google Cloud Console Verwenden Sie stattdessen die API oder die Google Cloud CLI: Systemdiagnosen Netzwerk-Endpunktgruppen
VMs von Bare-Metal-Lösungen	Es liegt in Ihrer Verantwortung, keine VMs für Bare-Metal-Lösungen (o2-VMs) zu verwenden, Die VMs der Bare-Metal-Lösung entsprechen nicht dem ITAR.
<ph type="x-smartling-placeholder"></ph> Google Cloud VMware Engine-VMs	Es liegt in Ihrer Verantwortung, keine Google Cloud VMware Engine-VMs zu verwenden, Google Cloud VMware Engine-VMs sind nicht mit ITAR konform.
<ph type="x-smartling-placeholder"></ph> C3-VM-Instanz erstellen	Diese Funktion ist deaktiviert.
<ph type="x-smartling-placeholder"></ph> Nichtflüchtige Speicher oder deren Snapshots ohne CMEK verwenden	Sie können nichtflüchtige Speicher oder deren Snapshots nur verwenden, wenn wurden mit CMEK verschlüsselt.
<ph type="x-smartling-placeholder"></ph> Verschachtelte VMs oder VMs mit verschachtelter Virtualisierung erstellen	Sie können keine verschachtelten VMs oder VMs erstellen, die verschachtelte Virtualisierung verwenden. Diese Funktion wurde vom Organisationsrichtlinie „compute.disableNestedVirtualization“ oben beschriebene Einschränkung.
<ph type="x-smartling-placeholder"></ph> Instanzgruppe einem globalen Load-Balancer hinzufügen	Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen. Diese Funktion wurde vom Einschränkung der Organisationsrichtlinie „compute.disableGlobalLoadBalancing“ wie im obigen Abschnitt beschrieben.
<ph type="x-smartling-placeholder"></ph> Anfragen an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten	Sie können Anfragen nicht an eine multiregionale externe HTTPS-Last weiterleiten aus. Diese Funktion wurde vom compute.restrictLoadBalancerCreationForTypes Organisationsrichtlinie oben beschriebene Einschränkung.
<ph type="x-smartling-placeholder"></ph> Nichtflüchtiger SSD-Speicher im Multi-Writer-Modus freigeben	Sie können einen nichtflüchtiger SSD-Speicher nicht im Multi-Writer-Modus zwischen VM-Instanzen:
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher, Der zum Speichern des Status der angehaltenen VM verwendete nichtflüchtige Speicher mit CMEK verschlüsselt werden. Weitere Informationen finden Sie in der gcp.restrictNonCmekServices Organisation Richtlinieneinschränkung im obigen Abschnitt, um den Datenstandort zu verstehen Auswirkungen der Aktivierung dieser Funktion.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, kann nicht mit CMEK verschlüsselt werden. Weitere Informationen finden Sie in der gcp.restrictNonCmekServices Organisation Richtlinieneinschränkung im obigen Abschnitt, um den Datenstandort zu verstehen Auswirkungen der Aktivierung dieser Funktion.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Mit diesen Komponenten können Sie den Datenstandort durch interne Sicherheit besser einhalten Kontrollen und Prozesse. Für Nutzer, die zusätzliche haben, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinie „compute.trustedImageProjects“ Einschränkung. Siehe Weitere Informationen finden Sie auf der Seite „Benutzerdefiniertes Image erstellen“.
instances.getSerialPortOutput()	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Organisation "compute.disableInstanceDataAccessApis" ändern Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port zu aktivieren und zu verwenden. Folgen Sie dazu der Anleitung auf der <ph type="x-smartling-placeholder"></ph> auf dieser Seite.
instances.getScreenshot()	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Organisation „compute.disableInstanceDataAccessApis“ ändern Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port zu aktivieren und zu verwenden. Folgen Sie dazu der Anleitung auf der <ph type="x-smartling-placeholder"></ph> auf dieser Seite.

Cloud DNS-Features

Feature	Beschreibung
Google Cloud Console	Cloud DNS-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI verwenden.

Features von Cloud Interconnect

Feature	Beschreibung
Google Cloud Console	Cloud Interconnect-Features sind in der Google Cloud Console Verwenden Sie die Methode API oder Google Cloud CLI.
Hochverfügbarkeits-VPN	Sie müssen VPN-Funktionen für Hochverfügbarkeit aktivieren, wenn Sie die Cloud Interconnect mit Cloud VPN Darüber hinaus müssen Sie die Anforderungen an die Verschlüsselung und Regionalisierung diesem Abschnitt.

Features von Cloud Load Balancing

Feature	Beschreibung
Google Cloud Console	Cloud Load Balancing-Features sind in der Google Cloud Console Verwenden Sie die API oder Google Cloud CLI.
Regionale Load-Balancer	Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen: finden Sie unter weitere Informationen zum Konfigurieren regionaler Load-Balancer. Interner Application Load Balancer Regionaler externer Application Load Balancer Interner Passthrough-Network Load Balancer Externer Passthrough Network Load Balancer

Features von Cloud Logging

Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verwenden möchten, müssen Sie führen Sie die Schritte im CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation.

Feature	Beschreibung
Logsenken	Geben Sie keine vertraulichen Informationen (Kundendaten) in Senkenfilter ein. Waschbecken werden als Dienstdaten behandelt.
Live-Tailing-Logeinträge	Erstellen Sie keine Filter, die Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. Tailing-Logs speichern selbst keine Logeintragsdaten, können aber Abfragen und Daten über Regionen hinweg zu übertragen.
Logbasierte Benachrichtigungen	Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery	Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden.

Cloud Monitoring-Features

Feature	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose	Die Funktion ist deaktiviert.
Widgets für das Logfeld in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard.
Widgets für das Steuerfeld für Fehlerberichte in Dashboards	Diese Funktion ist deaktiviert. Sie können keine Error Reporting hinzufügen. zu einem Dashboard.
Filtern nach EventAnnotation für Dashboards	Diese Funktion ist deaktiviert. Filter von EventAnnotation kann in einem Dashboard nicht festgelegt werden.

Funktionen von Network Connectivity Center

Feature	Beschreibung
Google Cloud Console	Die Features von Network Connectivity Center sind in der Google Cloud Console nicht verfügbar. Verwenden Sie API oder Google Cloud CLI .

Cloud NAT-Features

Feature	Beschreibung
Google Cloud Console	Cloud NAT-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI verwenden.

Cloud Router-Features

Feature	Beschreibung
Google Cloud Console	Cloud Router-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud SQL-Features

Feature	Beschreibung
Export in CSV wird ausgeführt	Export in CSV nicht ITAR-konform ist und nicht verwendet werden sollte. Diese Funktion ist deaktiviert in in der Google Cloud Console.
executeSql	Die Methode executeSql der Cloud SQL API ist nicht ITAR-konform und nicht verwendet werden.

Cloud Storage-Funktionen

Feature	Beschreibung
Google Cloud Console	Zur Wahrung der ITAR-Compliance sind Sie dafür verantwortlich, das Rechtsprechung Google Cloud Console Die Konsole für die Rechtsprechung verhindert Uploads und Cloud Storage-Objekte herunterladen. Hoch- und Herunterladen Cloud Storage-Objekte (siehe Zeile Konforme API-Endpunkte) weiter unten.
Konforme API-Endpunkte	Sie müssen einen der ITAR-konformen Standortendpunkte mit Cloud Storage Standortendpunkte sind für alle US-Regionen verfügbar, die Multiregion US und die vordefinierte Dual-Region NAM4. Standortendpunkte sind nur für die Dual-Regionen verfügbar. NAM4 Dual-Region. Weitere Informationen finden Sie unter finden Sie auf dieser Seite. zu Cloud Storage-Speicherorten.
Einschränkungen	Sie müssen Standortendpunkte von Cloud Storage verwenden, um ITAR-konform. Weitere Informationen zu Cloud Storage-Speicherorten Endpunkte für ITAR, siehe Standortendpunkte für ITAR-Konformität. Die folgenden Vorgänge werden von Standortendpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten übertragen, wie in den Daten Nutzungsbedingungen des ortsansässigen Dienstes. Daher können Sie globale Endpunkte diese Vorgänge bei Bedarf durchführen, ohne die ITAR-Compliance zu verletzen: <ph type="x-smartling-placeholder"> </ph> HMAC-Schlüsselvorgänge IAM-Dienstkontovorgänge Pub/Sub-Benachrichtigungen Benachrichtigungen über Objektänderungen
Für Objekte kopieren und umschreiben	Kopier- und Umschreibungsvorgänge für -Objekte werden von Standortendpunkten unterstützt, wenn sowohl die Quelle Ziel-Buckets befinden sich in der für den Endpunkt angegebenen Region. Sie können jedoch keine Standortendpunkte verwenden, um ein Objekt zu kopieren oder umzuschreiben von einem Bucket in einen anderen verschieben, wenn sich die Buckets an verschiedenen Standorten befinden. Es globale Endpunkte standortübergreifend kopieren oder Wir raten jedoch davon ab, da sie sonst gegen die ITAR-Konformität verstoßen könnten.

GKE-Features

Feature	Beschreibung
Einschränkungen für Clusterressourcen	Achten Sie darauf, dass Ihre Clusterkonfiguration keine Ressourcen verwendet für die im ITAR-Compliance-Programm nicht unterstützt werden. Beispiel: ist die folgende Konfiguration ungültig, da sie aktiviert oder mit einem nicht unterstützten Dienst: set `binaryAuthorization.evaluationMode` to `enabled`

VPC-Features

Feature	Beschreibung
Google Cloud Console	VPC-Netzwerkfeatures sind in der Google Cloud Console Verwenden Sie die API oder Google Cloud CLI.

Cloud VPN-Features

Feature	Beschreibung
Google Cloud Console	Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie das API oder Google Cloud CLI.
Verschlüsselung	Sie dürfen beim Erstellen nur mit FIPS 140-2 konformen Chiffren verwenden. und die IP-Sicherheit konfigurieren. Weitere Informationen finden Sie unter dieser Seite finden Sie weitere Informationen zu unterstützten Chiffren in Cloud VPN. Für Anleitungen zur Auswahl einer Chiffre, die den Standards von FIPS 140-2 entspricht, Weitere Informationen Derzeit gibt es keine Möglichkeit, eine vorhandene Chiffre in Google Cloud zu ändern. Achten Sie darauf, dass Sie Ihre Verschlüsselung auf der Drittanbieter-Appliance konfigurieren, die die mit Cloud VPN verwendet werden.
VPN-Endpunkte	Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region in den USA konfiguriert ist.

Nächste Schritte

• Informationen zum ITAR-Kontrollpaket
• Weitere Informationen zu unterstützten Produkten für jedes Kontrollpaket.