ITAR 的限制
本页将介绍相关限制、局限性 使用 ITAR 控制包时的选项。
概览
《国际军品交易条例》(ITAR) 控制包支持 数据访问权限控制和驻留功能, 涵盖的 Google Cloud 服务。其中部分服务的功能 受 Google 限制或限制才能与 ITAR 兼容。以上大部分 创建新的代码时 适用于 ITAR 的 Assured Workloads 文件夹,但其中一些文件夹可以更改 修改 组织政策。 此外,一些限制和约束需要用户自行承担责任 以确保合规性。
您有必要了解这些限制是如何改变 或影响数据访问或 数据驻留。例如,一些 功能。 访问限制和数据驻留。此外,如果 组织政策设置发生更改,可能会导致意外后果 即将数据从一个区域复制到另一个区域
前提条件
作为 ITAR 控制包用户,为保持合规,请确保您: 满足并遵循以下前提条件:
- 使用 Assured Workloads 创建 ITAR 文件夹并部署您的 ITAR 管理工作负载
- 仅为 ITAR 工作负载启用和使用适用范围内的 ITAR 服务。
- 不更改默认设置 组织政策限制条件值,除非您了解 并愿意接受可能发生的数据驻留风险。
- 连接到 Google Cloud 服务端点时,您必须使用区域级
端点。此外:
<ph type="x-smartling-placeholder">
- </ph>
- 从非 Google Cloud 连接到 Google Cloud 服务端点时 例如本地虚拟机或其他云服务提供商的虚拟机数量 必须使用 专用访问通道选项 支持连接到非 Google Cloud 虚拟机, 将非 Google Cloud 流量传输到 Google Cloud。
- 从 Google Cloud 虚拟机连接到 Google Cloud 服务端点时, 您可以使用任何可用的 专用访问通道选项。
- 连接到已使用外部 IP 地址公开的 Google Cloud 虚拟机时 请参阅 从具有外部 IP 地址的虚拟机访问 API。
- 对于 ITAR 文件夹中使用的所有服务,请勿将技术数据存储在
用户定义的或安全配置信息类型:
<ph type="x-smartling-placeholder">
- </ph>
- 错误消息
- 控制台输出
- 属性数据
- 服务配置数据
- 网络数据包标头
- 资源标识符
- 数据标签
- 仅将指定的区域端点或位置端点用于 提供。如需了解详情,请参阅适用范围内的 ITAR 服务。
- 考虑采用 Google Cloud 安全措施最佳实践中心。
范围内的服务
以下服务与 ITAR 兼容:
- Artifact Registry
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
<ph type="x-smartling-placeholder">
- </ph>
- 受影响的功能
- Cloud Logging
- Cloud VPN
<ph type="x-smartling-placeholder">
- </ph>
- 受影响的功能
- 虚拟私有云 (VPC)
<ph type="x-smartling-placeholder">
- </ph>
- 受影响的功能
- VPC Service Controls
- Cloud Interconnect
<ph type="x-smartling-placeholder">
- </ph>
- 受影响的功能
- Cloud Router 路由器
<ph type="x-smartling-placeholder">
- </ph>
- 受影响的功能
- Identity-Aware Proxy
- Cloud Monitoring
<ph type="x-smartling-placeholder">
- </ph>
- 受影响的功能
- Network Connectivity Center
<ph type="x-smartling-placeholder">
- </ph>
- 受影响的功能
- Cloud NAT
<ph type="x-smartling-placeholder">
- </ph>
- 受影响的功能
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
组织政策
本部分介绍默认组织对各项服务的影响 使用 ITAR 创建文件夹或项目时的政策限制条件值。其他 即使没有默认设置,适用的限制条件也能提供 额外的“深度防御”进一步保护贵组织的数据 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 in:us-locations 作为 allowedValues 列表项。此值将创建任何新资源的范围限制为美国价值组 。设置后,无法在任何其他区域中创建任何资源, 多区域或美国以外的位置。如需了解详情,请参阅组织政策值组文档。 通过降低限制来降低此值可能会造成危害,从而更改此值 数据驻留(允许在美国境外创建或存储数据) 数据边界。例如:将 “ in:us-locations”值组,其中包含
“in:northamerica-locations”值组。
|
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
列出的每项服务都需要 客户管理的加密密钥 (CMEK)。 CMEK 可确保使用由您(而不是)您管理的密钥来加密静态数据, Google 的默认加密机制。 要更改此值,只需从 列表可能会破坏数据 数据主权、 新的静态数据将使用 Google 自己的 密钥,而不是您的密钥。现有的静态数据将由 密钥。 |
gcp.restrictCmekCryptoKeyProjects |
设置为您创建的 ITAR 文件夹下的所有资源。 限制已批准的文件夹或项目的范围, KMS 密钥 使用 CMEK 加密静态数据的功能。此限制条件可防止 未获批准的文件夹或项目提供加密密钥, 帮助保证适用范围内服务的数据主权静态数据 |
gcp.restrictServiceUsage |
设置为允许所有范围内的服务。 决定可以启用和使用哪些服务。如需更多信息 请参阅 限制工作负载的资源用量。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalLoadBalancing |
设置为 True。 禁止创建全球负载均衡产品。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.disableGlobalSelfManagedSslCertificate |
设置为 True。 禁止创建自行管理的全球 SSL 证书。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策会阻止您 在 Windows Server 虚拟机上生成凭据。 如果您需要在 Windows 虚拟机上管理用户名和密码,请执行以下操作: 以下:
|
compute.disableNestedVirtualization |
设置为 True。 为所有区域停用硬件加速的嵌套虚拟化 ITAR 文件夹中的 Compute Engine 虚拟机。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。请参阅 机密虚拟机文档 。 |
compute.restrictLoadBalancerCreationForTypes |
设置为允许除以下项之外的所有值:
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS.请参阅
<ph type="x-smartling-placeholder"></ph>
选择负载均衡器以了解详情。
|
Google Kubernetes Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载的数据主权;三 建议保留这个设定的值 |
受影响的功能
本部分列出了每项服务的特性或功能受到的影响 ITAR,包括用户使用某项功能时需满足的要求。
BigQuery 特性
| 特征 | 说明 |
|---|---|
| 在新文件夹上启用 BigQuery | 支持 BigQuery,但创建新的
Assured Workloads 文件夹,因为存在内部配置过程。此过程通常
只需 10 分钟即可完成,但在某些情况下可能需要更长时间。要检查
若要启用 BigQuery,请完成以下步骤:
启用流程完成后,您可以在自己的 Assured Workloads 文件夹。 |
| 不受支持的功能 | ITAR 不支持以下 BigQuery 功能
不应在 BigQuery CLI 中使用。它是
客户有责任不为 ITAR 使用 BigQuery 中的服务
工作负载
|
| 不支持的集成 | 以下 BigQuery 集成不支持
ITAR 合规性。客户有责任不将其用于
适用于 ITAR 工作负载的 BigQuery。
|
| 合规的 BigQuery API | 以下 BigQuery API 符合 ITAR 规定: |
| 区域 | BigQuery 在美国的所有 BigQuery 都符合 ITAR 规定
除美国多区域之外的其他区域无法保证符合 ITAR 规定
如果数据集是在美国多区域、非美国区域或非美国中创建的,则会发生此错误
多区域位置客户有责任为其指定
创建 BigQuery 数据集时,符合 ITAR 要求的区域。 如果使用一个美国区域发送表数据列表请求,但使用数据集 是在美国另一个区域创建的,BigQuery 无法推断具体的区域 符合客户的预期,操作将失败,并显示“数据集不是 “已找到”错误消息。 |
| Google Cloud 控制台 | Google Cloud 控制台中的 BigQuery 界面是
符合 ITAR 规定。
|
| BigQuery CLI | BigQuery CLI 符合 ITAR 规定。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本来维护数据
ITAR 技术数据的区域化保证。验证您当前的
Google Cloud SDK 版本,运行 gcloud --version,然后
gcloud components update即可更新到最新版本。
|
| 管理员控制功能 | BigQuery 将停用不合规的 API,但客户 拥有足够权限创建 Assured Workloads 文件夹可以启用不合规的 API。应该 如果客户发现潜在的违规情况, 通过 Assured Workloads 监控 信息中心。 |
| 正在加载数据 | 适用于 Google 软件即服务 (SaaS) 应用、外部云存储服务提供商和数据仓库的 BigQuery Data Transfer Service 连接器不符合 ITAR 规定。它是 客户不得使用 BigQuery Data Transfer 的责任 适用于 ITAR 工作负载的服务连接器。 |
| 第三方转移作业 | BigQuery 不会验证第三方的 ITAR 合规性 为 BigQuery Data Transfer Service 转移数据的过程。它是 客户有责任验证 ITAR 是否遵守了任何 BigQuery Data Transfer Service 的第三方转移作业。 |
| 不合规的 BQML 模型 | <ph type="x-smartling-placeholder"></ph> 外部训练的 BQML 模型不符合 ITAR 要求。 |
| 查询作业 | 只能在 ITAR 中创建包含 ITAR 技术数据的查询作业 项目。 |
| 针对非 ITAR 项目的 ITAR 数据集查询 | BigQuery 不会阻止从以下来源查询 ITAR 数据集
非 ITAR 项目。客户应确保所有具备读取权限的查询
或将 ITAR 技术数据联接放入符合 ITAR 的文件夹中。
客户可以指定
完全限定
使用 projectname.dataset.table 为查询结果添加表名称
(在 BigQuery CLI 中)。 |
| Cloud Logging | BigQuery 利用 Cloud Logging 处理某些客户日志数据。
客户应停用其 _default 日志记录存储分区,或
将 _default 个存储分区限制为美国区域
可使用以下命令确保 ITAR 合规性:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink如需了解详情,请参阅此页面 信息。 |
Compute Engine 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | 以下 Compute Engine 功能在
Google Cloud 控制台。请改用 API 或 Google Cloud CLI:
|
| 裸金属解决方案虚拟机 | 您应不使用裸金属解决方案虚拟机 (o2 VM),因为
裸金属解决方案虚拟机不符合 ITAR 要求。
|
| <ph type="x-smartling-placeholder"></ph> Google Cloud VMware Engine 虚拟机 | 您有责任不使用 Google Cloud VMware Engine 虚拟机,
Google Cloud VMware Engine 虚拟机不符合 ITAR 要求。
|
| <ph type="x-smartling-placeholder"></ph> 创建 C3 虚拟机实例 | 此功能已禁用。 |
| <ph type="x-smartling-placeholder"></ph> 在没有 CMEK 的情况下使用永久性磁盘或其快照 | 除非满足以下条件,否则您无法使用永久性磁盘或其快照
已使用 CMEK 进行加密。 |
| <ph type="x-smartling-placeholder"></ph> 创建嵌套虚拟机或使用嵌套虚拟化的虚拟机 | 您无法创建嵌套虚拟机或使用嵌套虚拟化的虚拟机。 此功能已被 compute.disableNestedVirtualization 项组织政策
约束条件。
|
| <ph type="x-smartling-placeholder"></ph> 将实例组添加到全局负载均衡器 | 您无法将实例组添加到全局负载均衡器。 此功能已被 compute.disableGlobalLoadBalancing 项组织政策限制条件
具体说明。
|
| <ph type="x-smartling-placeholder"></ph> 将请求路由到多区域外部 HTTPS 负载均衡器 | 您无法将请求路由到多区域外部 HTTPS 负载
进行负载均衡。 此功能已被 compute.restrictLoadBalancerCreationForTypes 项组织政策
约束条件。
|
| <ph type="x-smartling-placeholder"></ph> 在多写入者模式下共享 SSD 永久性磁盘 | 您不能在两个写入者之间共享多写入者模式下的 SSD 永久性磁盘 虚拟机实例 |
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间, 和永久性磁盘存储空间(用于存储已暂停的虚拟机状态) 使用 CMEK 进行加密。请参阅 gcp.restrictNonCmekServices 个组织
上一部分中的政策限制条件,以了解数据驻留
启用此功能带来的影响。
|
| 本地 SSD | 此功能处于禁用状态。 您将无法创建使用本地 SSD 的实例,因为它们 无法使用 CMEK 进行加密。请参阅 gcp.restrictNonCmekServices 个组织
上一部分中的政策限制条件,以了解数据驻留
启用此功能带来的影响。
|
| 客机环境 |
客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全机制来满足数据驻留要求 控制措施和流程。不过,如果用户希望 还可以挑选自己的图片或代理 compute.trustedImageProjects 组织政策
限制条件。
请参阅 构建自定义映像页面。 |
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 更改 compute.disableInstanceDataAccessApis 组织
将政策限制条件值设置为 False,以启用此 API。您还可以
按照
<ph type="x-smartling-placeholder"></ph>
此页面。
|
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 更改 compute.disableInstanceDataAccessApis 组织
将政策限制条件值设置为 False,以启用此 API。您还可以
按照
<ph type="x-smartling-placeholder"></ph>
此页面。
|
Cloud DNS 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud DNS 功能。使用 请改用 API 或 Google Cloud CLI。 |
Cloud Interconnect 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Cloud Interconnect 功能在 Google Cloud 控制台。使用 API 或 Google Cloud CLI。 |
| 高可用性 (HA) VPN | 使用 Cloud Interconnect 与 Cloud VPN。此外,您还必须遵守 列出的加密和区域化要求 此部分。 |
Cloud Load Balancing 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Cloud Load Balancing 功能 Google Cloud 控制台。使用 API 或 Google Cloud CLI。 |
| 区域级负载均衡器 | 您只能将区域级负载平衡器与 ITAR 搭配使用。请参阅以下内容
如需详细了解如何配置区域级负载平衡器,请参阅以下内容: |
Cloud Logging 功能
如需将 Cloud Logging 与 CMEK 搭配使用,您必须 完成 为组织启用 CMEK 页面。
| 特征 | 说明 |
|---|---|
| 日志接收器 | 请勿在接收器过滤条件中输入敏感信息(客户数据)。水槽 过滤器将被视为服务数据。 |
| Live Tailing 日志条目 | 请勿创建包含客户数据的过滤条件。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志本身不存储任何日志条目数据,但可以查询和 跨区域传输数据 |
| 基于日志的提醒 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建基于日志的提醒。 |
| 日志浏览器查询的缩短的网址 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建查询的缩短网址。 |
| 在日志浏览器中保存查询 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中保存任何查询。 |
| 使用 BigQuery 的日志分析 | 此功能处于禁用状态。 您无法使用日志分析功能。 |
Cloud Monitoring 功能
| 特征 | 说明 |
|---|---|
| 合成监控工具 | 此功能处于禁用状态。 |
| 拨测 | 此功能处于禁用状态。 |
| 日志面板微件 在信息中心中 | 此功能已停用。 您无法将日志面板添加到 信息中心。 |
| 错误报告面板微件 在信息中心中 | 此功能已停用。 您无法添加错误报告 添加到信息中心 |
过滤条件
EventAnnotation
对于信息中心
|
此功能已停用。 过滤条件: EventAnnotation
无法在信息中心内设置。
|
Network Connectivity Center 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Network Connectivity Center 功能。使用 使用 API 或 Google Cloud CLI 。 |
Cloud NAT 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud NAT 功能。使用 请改用 API 或 Google Cloud CLI。 |
Cloud Router 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Router 功能。 请改用 API 或 Google Cloud CLI。 |
Cloud SQL 特性
| 特征 | 说明 |
|---|---|
| 导出为 CSV 文件 | 导出为 CSV 文件 不符合 ITAR 规定,不得使用。此功能已在以下版本中停用: Google Cloud 控制台 |
executeSql |
Cloud SQL API 的 executeSql 方法不是
符合 ITAR 规定,不应使用。 |
Cloud Storage 的功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | 为了保持 ITAR 合规性,您有责任使用 管辖区 Google Cloud 控制台。管辖区控制台会阻止上传和 下载 Cloud Storage 对象。上传和下载 Cloud Storage 对象,请参阅合规 API 端点行 。 |
| 合规的 API 端点 | 您必须使用某个符合 ITAR 要求的营业地点端点,
Cloud Storage位置端点适用于所有美国区域
美国多区域和 NAM4 预定义双区域。
位置端点不适用于除
NAM4 双区域。请参阅
此页面了解详情
Cloud Storage 中的位置。
|
| 限制 | 您必须使用 Cloud Storage 位置端点
符合 ITAR 规定。如需详细了解 Cloud Storage 位置
端点,请参阅
ITAR 合规性。 位置端点不支持以下操作。 但是,这些操作不会传送 数据 驻留服务条款。因此,您可以将全球端点用于 在不违反 ITAR 合规性的前提下,执行这些必要的操作: <ph type="x-smartling-placeholder">
|
| 复制和重写对象 | 以下对象的复制和重写操作: 对象,且来源和 目标存储分区位于端点中指定的区域。 但是,您无法使用位置端点来复制或重写对象 将存储桶从一个存储桶复制到另一个存储桶中(如果存储桶位于不同位置)。它 可以使用全球端点跨位置复制或重写 但我们并不建议您这样做,因为这可能会违反 ITAR 规定。 |
GKE 功能
| 特征 | 说明 |
|---|---|
| 集群资源限制 | 确保您的集群配置没有将资源用于
ITAR 合规性计划不支持的服务。例如:
以下配置无效,因为它需要启用或
使用的是不受支持的服务:
set `binaryAuthorization.evaluationMode` to `enabled`
|
VPC 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | VPC 网络功能在 Google Cloud 控制台。使用 API 或 Google Cloud CLI。 |
Cloud VPN 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud VPN 功能。使用 API 或 Google Cloud CLI。 |
| 加密 | 创建时,您只能使用符合 FIPS 140-2 规定的加密方式
证书和配置 IP 安全。请参阅
此页面
详细了解 Cloud VPN 中支持的加密方式。对于
有关如何选择符合 FIPS 140-2 标准的加密方式的指南,
请参阅此页面。 目前无法更改 Google Cloud 中的现有加密方式。 请确保您在 与 Cloud VPN 搭配使用 |
| VPN 端点 | 您只能使用位于美国的 Cloud VPN 端点。 确保您的 VPN 网关已配置为仅在美国区域使用。 |