ITAR에 대한 제한 및 한도

이 페이지에서는 ITAR 제어 패키지를 사용할 때의 제한, 한도 및 기타 구성 옵션을 설명합니다.

개요

국제 무기 거래 규정(ITAR) 제어 패키지는 범위 내 Google Cloud 서비스에 대한 데이터 액세스 제어 및 상주 기능을 사용 설정합니다. 이러한 서비스 중 일부는 ITAR와 호환되도록 Google에서 제한 또는 한도를 적용합니다. 이러한 제한사항 및 제약조건의 대부분은 ITAR용 Assured Workloads 폴더를 만들 때 적용되지만 일부는 나중에 조직 정책을 수정하여 변경할 수 있습니다. 또한 일부 제한 및 한도에 대해서는 사용자의 규정 준수에 대한 책임이 있습니다.

이러한 제한사항이 특정 Google Cloud 서비스의 동작을 수정하거나 데이터 액세스 또는 데이터 상주에 영향을 미치는 방식을 이해하는 것이 중요합니다. 예를 들어 데이터 액세스 제한 및 데이터 상주를 유지하기 위해 일부 기능을 자동으로 사용 중지할 수 있습니다. 또한 조직 정책 설정이 변경되면 한 리전에서 다른 리전으로 데이터를 복사하는 의도하지 않은 결과가 발생할 수 있습니다.

기본 요건

ITAR 제어 패키지 사용자로서 규정을 준수하려면 다음 기본 요건을 충족 및 준수해야 합니다.

  • Assured Workloads를 사용하여 ITAR 폴더를 만들고 이 폴더에만 ITAR 워크로드를 배포합니다.
  • ITAR 워크로드에 범위 내 ITAR 서비스만 사용 설정하고 사용합니다.
  • 데이터 상주 위험이 발생할 수 있음을 이해하고 수락하려는 경우가 아니라면 기본 조직 정책 제약조건 값을 변경하지 마세요.
  • Google Cloud 서비스 엔드포인트에 연결할 때는 이를 제공하는 서비스에 리전 엔드포인트를 사용해야 합니다. 또한 다음 사항도 적용됩니다.
    • 온프레미스 또는 다른 클라우드 제공업체의 VM과 같은 Google Cloud 이외의 VM에서 Google Cloud 서비스 엔드포인트에 연결할 때는 Google Cloud 이외의 트래픽을 Google Cloud로 라우팅하기 위한 Google Cloud VM 연결을 지원하는 사용 가능한 비공개 액세스 옵션 중 하나를 사용해야 합니다.
    • Google Cloud VM에서 Google Cloud 서비스 엔드포인트에 연결할 때 사용 가능한 비공개 액세스 옵션을 사용할 수 있습니다.
    • 외부 IP 주소로 노출된 Google Cloud VM에 연결하는 경우 외부 IP 주소를 사용하여 VM에서 API에 액세스를 참조하세요.
  • ITAR 폴더에서 사용되는 모든 서비스에 대해 다음 사용자 정의 또는 보안 구성 정보 유형에 기술 데이터를 저장하지 마세요.
    • 오류 메시지
    • 콘솔 출력
    • 속성 데이터
    • 서비스 구성 데이터
    • 네트워크 패킷 헤더
    • 리소스 식별자
    • 데이터 라벨
  • 제공하는 서비스에 대해 지정된 리전 또는 위치 엔드포인트만 사용합니다. 자세한 내용은 범위 내 ITAR 서비스를 참조하세요.
  • Google Cloud 보안 권장사항 센터에서 제공되는 일반적인 보안 권장사항 채택을 고려하세요.

범위 내 서비스

참고: 달리 명시되지 않는 한, 사용자는 Google Cloud 콘솔을 통해 모든 범위 내 서비스에 액세스할 수 있습니다.

다음 서비스는 ITAR과 호환됩니다.

지원되는 제품 ITAR 준수 API 엔드포인트 영향을 받는 기능 또는 조직 정책
Artifact Registry 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • artifactregistry.googleapis.com
없음
BigQuery [2] 리전 API 엔드포인트:
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquery.us-east7.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigquerymigration.us-east7.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigqueryreservation.us-east7.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerystorage.us-east7.rep.googleapis.com

위치 API 엔드포인트는 지원되지 않습니다.
전역 API 엔드포인트는 지원되지 않습니다.
영향을 받는 기능
Cloud DNS 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • dns.googleapis.com
영향을 받는 기능
Cloud 외부 키 관리자(Cloud EKM) 리전 API 엔드포인트는 지원되지 않습니다.

위치 API 엔드포인트:
  • us-west1-cloudkms.googleapis.com
  • us-east4-cloudkms.googleapis.com

전역 API 엔드포인트는 지원되지 않습니다.
없음
Cloud HSM 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • cloudkms.googleapis.com
없음
Cloud Interconnect 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • networkconnectivity.googleapis.com
영향을 받는 기능
Cloud Key Management Service(Cloud KMS) 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • cloudkms.googleapis.com
없음
Cloud Load Balancing 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • compute.googleapis.com
영향을 받는 기능
Cloud Logging 리전 API 엔드포인트:
  • logging.us-west1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com

위치 API 엔드포인트는 지원되지 않습니다.
전역 API 엔드포인트는 지원되지 않습니다.
영향을 받는 기능
Cloud Monitoring 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • monitoring.googleapis.com
영향을 받는 기능
Cloud NAT 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • networkconnectivity.googleapis.com
영향을 받는 기능
Cloud Router 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • networkconnectivity.googleapis.com
영향을 받는 기능
Cloud SQL 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • sqladmin.googleapis.com
영향을 받는 기능
Cloud Storage 리전 API 엔드포인트는 지원되지 않습니다.

위치 API 엔드포인트:
  • us-west1-storage.googleapis.com
  • us-east4-storage.googleapis.com

전역 API 엔드포인트는 지원되지 않습니다.
영향을 받는 기능
Cloud VPN 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • compute.googleapis.com
영향을 받는 기능
Compute Engine 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • compute.googleapis.com
영향을 받는 기능조직 정책 제약조건
Google Kubernetes Engine 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • container.googleapis.com
  • containersecurity.googleapis.com
영향을 받는 기능조직 정책 제약조건
Identity and Access Management(IAM) 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • iam.googleapis.com
없음
IAP(Identity-Aware Proxy) 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • iap.googleapis.com
없음
Network Connectivity Center 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • networkconnectivity.googleapis.com
영향을 받는 기능
Persistent Disk 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • compute.googleapis.com
없음
Virtual Private Cloud(VPC) 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • compute.googleapis.com
영향을 받는 기능
VPC 서비스 제어 리전 API 엔드포인트는 지원되지 않습니다.
위치 API 엔드포인트는 지원되지 않습니다.

전역 API 엔드포인트:
  • accesscontextmanager.googleapis.com
없음

조직 정책

이 섹션에서는 ITAR를 사용하여 폴더 또는 프로젝트를 만들 때 각 서비스가 기본 조직 정책 제약조건 값의 영향을 받는 방법을 설명합니다. 적용 가능한 다른 제약조건은 기본적으로 설정되지 않더라도 조직의 Google Cloud 리소스를 추가로 보호하기 위해 '심층 방어' 기능을 추가로 제공할 수 있습니다.

클라우드 전체의 조직 정책 제약조건

다음 조직 정책 제약조건은 적용 가능한 모든 Google Cloud 서비스에 적용됩니다.

조직 정책 제약조건 설명
gcp.resourceLocations in:us-locations을(를) allowedValues 목록 항목으로 설정합니다.

이 값은 새 리소스 생성을 미국 리소스 그룹만으로 제한합니다. 설정하면 미국 외부의 다른 리전, 멀티 리전 또는 위치에 리소스를 만들 수 없습니다. 자세한 내용은 조직 정책 값 그룹 문서를 참조하세요.

이 값을 덜 제한적인 값으로 변경하면 데이터가 미국 데이터 경계 외부에서 생성되거나 저장될 수 있으므로 데이터 상주를 훼손할 수 있습니다. 예를 들어 in:us-locations 값 그룹을 in:northamerica-locations 값 그룹으로 바꿉니다.
gcp.restrictNonCmekServices 다음을 포함한 모든 범위 내 API 서비스 이름 목록으로 설정합니다.
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
위에 나열된 각 서비스의 기능 중 일부가 영향을 받을 수 있습니다. 아래의 영향을 받는 기능 섹션을 참조하세요.

나열된 각 서비스에는 고객 관리 암호화 키(CMEK)가 필요합니다. CMEK를 사용하면 저장 데이터는 Google의 기본 암호화 메커니즘이 아닌 사용자가 관리하는 키로 암호화되도록 보장합니다.

목록에서 범위 내 서비스를 하나 이상 제거하여 이 값을 변경하면 새로운 저장 데이터가 사용자의 키 대신 Google의 자체 키를 사용하여 자동으로 암호화되므로 데이터 주권이 훼손될 수 있습니다. 기존 저장 데이터는 제공한 키를 통해 암호화 상태로 유지됩니다.
gcp.restrictCmekCryptoKeyProjects 만든 ITAR 폴더 아래에 있는 모든 리소스로 설정합니다.

CMEK를 사용하여 저장 데이터를 암호화하기 위해 KMS 키를 제공할 수 있는 승인된 폴더 또는 프로젝트의 범위를 제한합니다. 이 제약조건은 승인되지 않은 폴더 또는 프로젝트가 암호화 키를 제공하지 못하게 하여 범위 내 서비스의 저장 데이터에 대한 데이터 주권을 보장하는 데 도움이 됩니다.
gcp.restrictServiceUsage 모든 범위 내 서비스를 허용하도록 설정합니다.

사용 설정할 수 있고 사용할 수 있는 서비스를 결정합니다. 자세한 내용은 워크로드의 리소스 사용 제한을 참조하세요.

Compute Engine 조직 정책 제약조건

조직 정책 제약조건 설명
compute.disableGlobalLoadBalancing True로 설정합니다.

전역 부하 분산 제품 만들기를 사용 중지합니다.

이 값을 변경하면 워크로드의 데이터 상주에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.
compute.disableGlobalSelfManagedSslCertificate True로 설정합니다.

전역 자체 관리형 SSL 인증서 만들기를 사용 중지합니다.

이 값을 변경하면 워크로드의 데이터 상주에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.
compute.disableInstanceDataAccessApis True로 설정합니다.

instances.getSerialPortOutput()instances.getScreenshot() API를 전역적으로 사용 중지합니다.

이 조직 정책을 사용 설정하면 Windows Server VM에서 사용자 인증 정보를 생성할 수 없습니다.

Windows VM에서 사용자 이름과 비밀번호를 관리해야 하는 경우 다음을 수행합니다.
  1. Windows VM에 SSH 사용 설정.
  2. 다음 명령어를 실행하여 VM의 비밀번호를 변경합니다.
    gcloud compute ssh
    VM_NAME --command "net user USERNAME PASSWORD"
    다음을 바꿉니다.
    • VM_NAME: 비밀번호를 설정할 VM의 이름입니다.
    • USERNAME: 비밀번호를 설정할 사용자의 사용자 이름입니다.
    • PASSWORD: 새 비밀번호입니다.
compute.disableNestedVirtualization True로 설정합니다.

ITAR 폴더의 모든 Compute Engine VM에 대해 하드웨어 가속 중첩 가상화를 사용 중지합니다.

이 값을 변경하면 워크로드의 데이터 상주에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.
compute.enableComplianceMemoryProtection True로 설정합니다.

인프라 오류 발생 시 메모리 콘텐츠를 추가로 보호하기 위해 일부 내부 진단 기능을 사용 중지합니다.

이 값을 변경하면 워크로드의 데이터 상주에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.
compute.restrictNonConfidentialComputing

(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 자세한 내용은 컨피덴셜 VM 문서를 참조하세요.
compute.restrictLoadBalancerCreationForTypes

GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS를 제외한 모든 값을 허용하도록 설정합니다. 자세한 내용은 부하 분산기 선택을 참조하세요.

Google Kubernetes Engine 조직 정책 제약조건

조직 정책 제약조건 설명
container.restrictNoncompliantDiagnosticDataAccess True로 설정합니다.

워크로드의 주권 제어를 유지하는 데 필요한 커널 문제의 집계 분석을 비활성화하는 데 사용됩니다.

이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.

영향을 받는 기능

이 섹션에는 기능을 사용할 때 사용자 요구사항을 포함하여 각 서비스의 기능이 ITAR의 영향을 받는 방식을 보여줍니다.

BigQuery 특징

기능 설명
새 폴더에서 BigQuery 사용 설정 BigQuery가 지원되지만 내부 구성 프로세스로 인해 새 Assured Workloads 폴더를 만들 때 자동으로 사용 설정되지 않습니다. 일반적으로 이 프로세스는 10분 내에 완료되지만 상황에 따 더 오래 걸릴 수 있습니다. 프로세스가 완료되었는지 확인하고 BigQuery를 사용 설정하려면 다음 단계를 수행합니다.
  1. Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다.

    Assured Workloads로 이동

  2. 목록에서 새 Assured Workloads 폴더를 선택합니다.
  3. 허용된 서비스 섹션의 폴더 세부정보 페이지에서 사용 가능한 업데이트 검토를 클릭합니다.
  4. 허용된 서비스 창에서 폴더에 대해 리소스 사용량 제한 조직 정책에 추가할 서비스를 검토합니다. BigQuery 서비스가 나열되면 서비스 허용을 클릭하여 추가합니다.

    BigQuery 서비스가 나열되지 않았으면 내부 프로세스가 완료될 때까지 기다립니다. 폴더를 만든 지 12시간 내에 서비스가 나열되지 않으면 Cloud Customer Care에 문의하세요.

사용 설정 프로세스가 완료되면 Assured Workloads 폴더에서 BigQuery를 사용할 수 있습니다.

BigQuery의 Gemini는 Assured Workloads에서 지원되지 않습니다.

지원되지 않는 기능 다음 BigQuery 기능은 ITAR 규정 준수에서 지원되지 않으며 BigQuery CLI에서 사용해서는 안 됩니다. BigQuery에서 ITAR 워크로드에 대해 사용하지 않는 것은 고객의 책임입니다.
지원되지 않는 통합 다음 BigQuery 통합은 ITAR 규정 준수에 지원되지 않습니다. BigQuery와 함께 ITAR 워크로드에 대해 사용하지 않는 것은 고객의 책임입니다.
  • Data Catalog APICreateTag, SearchCatalog, Bulk tagging, Business Glossary API 메서드가 ITAR을 준수하지 않는 방식으로 ITAR 기술 데이터를 처리하고 저장할 수 있습니다. ITAR 워크로드에 이러한 메서드를 사용하지 않는 것은 고객의 책임입니다.
호환되는 BigQuery API 다음 BigQuery API는 ITAR와 호환됩니다.


리전 BigQuery는 미국 멀티 리전을 제외한 모든 BigQuery 미국 리전에 대해 ITAR와 호환됩니다. 미국 멀티 리전, 미국 외 리전 또는 미국 외 멀티 리전에서 데이터 세트를 만들 때는 ITAR 규정 준수를 보장할 수 없습니다. BigQuery 데이터 세트를 만들 때 ITAR 준수 리전을 지정하는 것은 고객의 책임입니다.

하나의 미국 리전을 사용하여 테이블 데이터 목록 요청이 전송되었지만 데이터 세트가 다른 미국 리전에서 생성된 경우 BigQuery는 고객이 의도한 리전을 추론할 수 없으며 'dataset not found' 오류 메시지가 표시되면서 작업이 실패합니다.
Google Cloud 콘솔 Google Cloud 콘솔의 BigQuery 사용자 인터페이스는 ITAR을 준수합니다.

BigQuery CLI BigQuery CLI는 ITAR와 호환됩니다.

Google Cloud SDK ITAR 기술 데이터에 대한 데이터 지역화 보장을 유지하려면 Google Cloud SDK 버전 403.0.0 이상을 사용해야 합니다. 현재 Google Cloud SDK 버전을 확인하려면 gcloud --version을 실행한 다음 gcloud components update을 실행하여 최신 버전으로 업데이트합니다.
관리자 통제 기능 BigQuery는 미준수 API를 사용 중지하지만 Assured Workloads 폴더를 만들 수 있는 충분한 권한이 있는 고객 관리자는 정책을 준수하지 않는 API를 사용 설정할 수 있습니다. 이 경우 Assured Workloads 모니터링 대시보드를 통해 규정을 준수하지 않을 가능성이 있는 고객에게 알림이 전송됩니다.
데이터 로드 Google Software as a Service(SaaS) 앱, 외부 클라우드 스토리지 제공업체, 데이터 웨어하우스용 BigQuery Data Transfer Service 커넥터는 ITAR와 호환되지 않습니다. ITAR 워크로드에 BigQuery Data Transfer Service 커넥터를 사용하지 않는 것은 고객의 책임입니다.
타사 전송 BigQuery는 BigQuery Data Transfer Service에 대한 타사 전송의 ITAR 규정 준수를 확인하지 않습니다. BigQuery Data Transfer Service에 타사 전송을 사용할 때 ITAR 규정 준수를 확인하는 것은 고객의 책임입니다.
규정 미준수 BQML 모델 외부에서 학습된 BQML 모델은 ITAR와 호환되지 않습니다.
쿼리 작업 ITAR 기술 데이터가 포함된 쿼리 작업은 ITAR 프로젝트 내에서만 만들어야 합니다.
비 ITAR 프로젝트에서 ITAR 데이터 세트 쿼리 BigQuery는 비 ITAR 프로젝트에서 ITAR 데이터 세트가 쿼리되는 것을 방지하지 않습니다. 고객은 ITAR 기술 데이터에 대한 읽기 또는 조인이 있는 모든 쿼리가 ITAR 준수 폴더에 배치되도록 해야 합니다. 고객은 BigQuery CLI에서 projectname.dataset.table을(를) 사용하여 쿼리 결과에 대한 정규화된 테이블 이름을 지정할 수 있습니다.
Cloud Logging BigQuery는 일부 고객 로그 데이터에 Cloud Logging을 활용합니다. 고객은 ITAR 규정 준수를 유지하기 위해 _default 로깅 버킷을 사용 중지하거나 다음 명령어를 사용하여 _default 버킷을 미국 리전으로 제한해야 합니다.

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

자세한 내용은 이 페이지를 참조하세요.

Compute Engine의 특징

기능 설명
Google Cloud 콘솔 Google Cloud Console에서는 다음 Compute Engine 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.

  1. 상태 확인
  2. 네트워크 엔드포인트 그룹
베어메탈 솔루션 VM 베어메탈 솔루션 VM은 ITAR를 준수하지 않으므로 베어메탈 솔루션 VM(o2 VM)을 사용하지 않는 것은 사용자의 책임입니다.

Google Cloud VMware Engine VM Google Cloud VMware Engine VM은 ITAR을 준수하지 않으므로 Google Cloud VMware Engine VM을 사용하지 않는 것은 사용자의 책임입니다.

C3 VM 인스턴스 만들기 이 기능은 사용 중지되었습니다.

CMEK 없이 영구 디스크 또는 스냅샷 사용 영구 디스크 또는 스냅샷은 CMEK를 사용하여 암호화되지 않은 한 사용할 수 없습니다.

중첩된 VM 또는 중첩된 가상화를 사용하는 VM 만들기 중첩된 VM 또는 중첩된 가상화를 사용하는 VM을 만들 수 없습니다.

이 기능은 위 섹션에서 설명한 compute.disableNestedVirtualization 조직 정책 제약조건에 의해 사용 중지됩니다.
인스턴스 그룹을 전역 부하 분산기에 추가 인스턴스 그룹을 전역 부하 분산기에 추가할 수 없습니다.

이 기능은 위 섹션에서 설명한 compute.disableGlobalLoadBalancing 조직 정책 제약조건에 의해 사용 중지됩니다.
멀티 리전 외부 HTTPS 부하 분산기로 요청 라우팅 멀티 리전 외부 HTTPS 부하 분산기로 요청을 라우팅할 수 없습니다.

이 기능은 위 섹션에서 설명한 compute.restrictLoadBalancerCreationForTypes 조직 정책 제약조건에 의해 사용 중지됩니다.
멀티 작성자 모드에서 SSD 영구 디스크 공유 VM 인스턴스 간에 멀티 작성자 모드로 SSD 영구 디스크를 공유할 수 없습니다.
VM 인스턴스 정지 및 재개 이 기능은 사용 중지되었습니다.

VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 CMEK를 사용하여 암호화할 수 없습니다. 이 기능을 사용 설정할 때의 데이터 상주 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참조하세요.
로컬 SSD 이 기능은 사용 중지되었습니다.

로컬 SSD는 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능을 사용 설정할 때의 데이터 상주 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참조하세요.
게스트 환경 게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다. VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참조하세요.

이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 상주를 충족하는 데 도움이 됩니다. 하지만 추가 제어를 원하는 사용자의 경우 고유 이미지 또는 에이전트를 선별하고 선택적으로 compute.trustedImageProjects 조직 정책 제약조건을 사용할 수 있습니다.

자세한 내용은 커스텀 이미지 빌드 페이지를 참조하세요.
instances.getSerialPortOutput() 이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 직렬 포트 출력을 가져올 수 없습니다.

이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
instances.getScreenshot() 이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 스크린샷을 가져올 수 없습니다.

이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.

Cloud DNS 기능

기능 설명
Google Cloud 콘솔 Google Cloud 콘솔에서는 Cloud DNS 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.

Cloud Interconnect의 특징

기능 설명
Google Cloud 콘솔 Google Cloud 콘솔에서는 Cloud Interconnect 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.
고가용성(HA) VPN Cloud VPN에서 Cloud Interconnect를 사용할 때 고가용성(HA) VPN 기능을 사용 설정해야 합니다. 또한 이 섹션에 나열된 암호화 및 리전화 요구사항을 준수해야 합니다.

Cloud Load Balancing의 특징

기능 설명
Google Cloud 콘솔 Google Cloud 콘솔에서는 Cloud Load Balancing 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.
리전별 부하 분산기 ITAR을 사용하는 리전 부하 분산기만 사용해야 합니다. 리전 부하 분산기 구성에 대한 자세한 내용은 다음 페이지를 참조하세요.

Cloud Logging의 특징

고객 관리 암호화 키(CMEK)로 Cloud Logging을 사용하려면 Cloud Logging 문서의 조직에 CMEK 사용 설정 페이지의 단계를 완료해야 합니다.

기능 설명
로그 싱크 싱크 필터에 민감한 정보(고객 데이터)를 넣지 마세요. 싱크 필터는 서비스 데이터로 취급됩니다.
실시간 테일링 로그 항목 고객 데이터가 포함된 필터를 만들지 마세요.

실시간 테일링 세션에는 구성으로 저장된 필터가 포함됩니다. 테일링 로그는 로그 항목 데이터 자체를 저장하지는 않지만 지역 간에 데이터를 쿼리하고 전송할 수 있습니다.
로그 기반 알림 이 기능은 사용 중지되었습니다.

Google Cloud 콘솔에서는 로그 기반 알림을 만들 수 없습니다.
로그 탐색기 쿼리의 단축된 URL 이 기능은 사용 중지되었습니다.

Google Cloud 콘솔에서는 쿼리의 단축된 URL을 만들 수 없습니다.
로그 탐색기에 쿼리 저장 이 기능은 사용 중지되었습니다.

Google Cloud 콘솔에서는 쿼리를 저장할 수 없습니다.
BigQuery를 사용한 로그 애널리틱스 이 기능은 사용 중지되었습니다.

로그 분석 기능을 사용할 수 없습니다.

Cloud Monitoring 기능

기능 설명
합성 모니터 이 기능은 사용 중지되었습니다.
업타임 체크 이 기능은 사용 중지되었습니다.
대시보드로그 패널 위젯 이 기능은 사용 중지되었습니다.

대시보드에 로그 패널을 추가할 수 없습니다.
대시보드오류 보고 패널 위젯 이 기능은 사용 중지되었습니다.

대시보드에 오류 보고 패널을 추가할 수 없습니다.
대시보드EventAnnotation 필터 이 기능은 사용 중지되었습니다.

EventAnnotation 필터는 대시보드에서 설정할 수 없습니다.

Network Connectivity Center 기능

기능 설명
Google Cloud 콘솔 Google Cloud 콘솔에서는 Network Connectivity Center 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.

Cloud NAT 기능

기능 설명
Google Cloud 콘솔 Google Cloud 콘솔에서는 Cloud NAT 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.

Cloud Router 기능

기능 설명
Google Cloud 콘솔 Google Cloud 콘솔에서는 Cloud Router 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.

Cloud SQL 기능

기능 설명
CSV로 내보내기 CSV로 내보내기는 ITAR을 준수하지 않으며 사용해서는 안 됩니다. 이 기능은 Google Cloud 콘솔에서 사용 중지되었습니다.
executeSql Cloud SQL API의 executeSql 메서드는 ITAR을 준수하지 않으며 사용해서는 안 됩니다.

Cloud Storage의 기능

기능 설명
Google Cloud 콘솔 ITAR 규정 준수를 유지하기 위해서는 관할권의 Google Cloud 콘솔을 사용할 책임이 있습니다. 관할권의 콘솔에서 Cloud Storage 객체를 업로드하고 다운로드하는 것을 방지합니다. Cloud Storage 객체를 업로드 및 다운로드하려면 아래의 규정 준수 API 엔드포인트 행을 참조하세요.
호환되는 API 엔드포인트 Cloud Storage에서 ITAR 준수 위치 엔드포인트 중 하나를 사용해야 합니다. 위치 엔드포인트는 모든 미국 리전, 미국 멀티 리전, NAM4 사전 정의된 이중 리전에서 사용할 수 있습니다. NAM4 이중 리전 이외의 이중 리전에는 위치 엔드포인트를 사용할 수 없습니다. 자세한 내용은 Cloud Storage 위치를 참조하세요.
제한사항 ITAR을 준수하려면 Cloud Storage 위치 엔드포인트를 사용해야 합니다. ITAR을 위한 Cloud Storage 위치 엔드포인트에 대한 자세한 내용은 ITAR 규정 준수를 위한 위치 엔드포인트를 참조하세요.

다음 작업은 위치 엔드포인트에서 지원되지 않습니다. 하지만 이러한 작업은 데이터 상주 서비스 약관에 정의된 대로 고객 데이터를 포함하지 않습니다. 따라서 ITAR 규정 준수를 위반하지 않고 필요에 따라 이러한 작업에 전역 엔드포인트를 사용할 수 있습니다.
객체 복사 및 재작성 소스 및 대상 버킷이 모두 엔드포인트에 지정된 리전에 있는 경우 객체의 복사 및 재작성 작업이 위치 엔드포인트에서 지원됩니다. 그러나 버킷이 다른 위치에 있는 경우 위치 엔드포인트를 사용하여 한 버킷에서 다른 버킷으로 객체를 복사하거나 다시 작성할 수 없습니다. 전역 엔드포인트를 사용하여 여러 위치에서 복사하거나 재작성할 수 있지만 권장하지 않으며, 이 경우 ITAR 규정 준수를 위반할 수 있습니다.

GKE 기능

기능 설명
클러스터 리소스 제한사항 클러스터 구성이 ITAR 규정 준수 프로그램에서 지원되지 않는 서비스의 리소스를 사용하지 않는지 확인합니다. 예를 들어 다음 구성은 지원되지 않는 서비스를 사용 설정하거나 사용해야 하므로 잘못되었습니다.

set `binaryAuthorization.evaluationMode` to `enabled`

VPC의 특징

기능 설명
Google Cloud 콘솔 Google Cloud 콘솔에서는 VPC 네트워킹 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.

Cloud VPN의 특징

기능 설명
Google Cloud 콘솔 Google Cloud 콘솔에서는 Cloud VPN 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.
암호화 인증서를 만들고 IP 보안을 구성할 때는 FIPS 140-2 규정 준수 암호화만 사용해야 합니다. Cloud VPN에서 지원되는 암호화에 대한 자세한 내용은 이 페이지를 참조하세요. FIPS 140-2 표준을 준수하는 암호화를 선택하는 방법은 이 페이지를 참조하세요.

현재 Google Cloud에서 기존 암호화를 변경할 수 있는 방법은 없습니다. Cloud VPN에서 사용되는 타사 어플라이언스에서 암호화를 구성해야 합니다.
VPN 엔드포인트 미국에 있는 Cloud VPN 엔드포인트만 사용해야 합니다. VPN 게이트웨이가 US 리전에서만 구성되었는지 확인합니다.

각주

2. BigQuery가 지원되지만 내부 구성 프로세스로 인해 새 Assured Workloads 폴더를 만들 때 자동으로 사용 설정되지 않습니다. 일반적으로 이 프로세스는 10분 내에 완료되지만 상황에 따 더 오래 걸릴 수 있습니다. 프로세스가 완료되었는지 확인하고 BigQuery를 사용 설정하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다.

    Assured Workloads로 이동

  2. 목록에서 새 Assured Workloads 폴더를 선택합니다.
  3. 허용된 서비스 섹션의 폴더 세부정보 페이지에서 사용 가능한 업데이트 검토를 클릭합니다.
  4. 허용된 서비스 창에서 폴더에 대해 리소스 사용량 제한 조직 정책에 추가할 서비스를 검토합니다. BigQuery 서비스가 나열되면 서비스 허용을 클릭하여 추가합니다.

    BigQuery 서비스가 나열되지 않았으면 내부 프로세스가 완료될 때까지 기다립니다. 폴더를 만든 지 12시간 내에 서비스가 나열되지 않으면 Cloud Customer Care에 문의하세요.

사용 설정 프로세스가 완료되면 Assured Workloads 폴더에서 BigQuery를 사용할 수 있습니다.

BigQuery의 Gemini는 Assured Workloads에서 지원되지 않습니다.

다음 단계