ITAR 的限制
本页将介绍相关限制、局限性 使用 ITAR 控制包时的选项。
概览
《国际军品交易条例》(ITAR) 控制包支持 数据访问权限控制和驻留功能, 涵盖的 Google Cloud 服务。其中部分服务的功能 受 Google 限制或限制才能与 ITAR 兼容。以上大部分 创建新的代码时 适用于 ITAR 的 Assured Workloads 文件夹,但其中一些文件夹可以更改 修改 组织政策。 此外,一些限制和约束需要用户自行承担责任 以确保合规性。
您有必要了解这些限制是如何改变 或影响数据访问或 数据驻留。例如,一些 功能。 访问限制和数据驻留。此外,如果 组织政策设置发生更改,可能会导致意外后果 即将数据从一个区域复制到另一个区域
前提条件
作为 ITAR 控制包用户,为保持合规,请确保您: 满足并遵循以下前提条件:
- 使用 Assured Workloads 创建一个 ITAR 文件夹,并仅在该文件夹中部署 ITAR 工作负载。
- 仅为 ITAR 工作负载启用和使用适用范围内的 ITAR 服务。
- 不更改默认设置 组织政策限制条件值,除非您了解 并愿意接受可能发生的数据驻留风险。
- 连接到 Google Cloud 服务端点时,您必须使用区域级
端点。此外:
- 从非 Google Cloud 连接到 Google Cloud 服务端点时 例如本地虚拟机或其他云服务提供商的虚拟机数量 必须使用 专用访问通道选项 支持连接到非 Google Cloud 虚拟机, 将非 Google Cloud 流量传输到 Google Cloud。
- 从 Google Cloud 虚拟机连接到 Google Cloud 服务端点时, 您可以使用任何可用的 专用访问通道选项。
- 连接到已使用外部 IP 地址公开的 Google Cloud 虚拟机时 请参阅 从具有外部 IP 地址的虚拟机访问 API。
- 对于 ITAR 文件夹中使用的所有服务,请勿将技术数据存储在
用户定义的或安全配置信息类型:
- 错误消息
- 控制台输出
- 属性数据
- 服务配置数据
- 网络数据包标头
- 资源标识符
- 数据标签
- 仅针对提供区域级或位置级端点的服务使用指定的区域级或位置级端点。如需了解详情,请参阅适用范围内的 ITAR 服务。
- 不妨考虑采用 Google Cloud 安全措施最佳实践中心中提供的常规安全最佳实践。
范围内的服务
除非另有说明,否则用户可以通过 Google Cloud 控制台
以下服务与 ITAR 兼容:
支持的产品 | 符合 ITAR 要求的 API 端点 | 受影响的功能或组织政策 |
---|---|---|
Artifact Registry |
不支持区域级 API 端点。 不支持位置 API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
BigQuery [2] |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 受影响的功能 |
Cloud DNS |
不支持区域级 API 端点。 不支持 Locational API 端点。 全局 API 端点:
| 受影响的功能 |
Cloud External Key Manager (Cloud EKM) |
不支持区域级 API 端点。 Locational API 端点: <ph type="x-smartling-placeholder">
不支持全球 API 端点。 | 无 |
Cloud HSM |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Cloud Interconnect |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Cloud Key Management Service (Cloud KMS) |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Cloud Load Balancing |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Cloud Logging |
区域级 API 端点:
不支持 Locational API 端点。 不支持全球 API 端点。 | 受影响的功能 |
Cloud Monitoring |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Cloud NAT |
不支持区域性 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Cloud Router 路由器 |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Cloud SQL |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Cloud Storage |
不支持区域性 API 端点。 Locational API 端点: <ph type="x-smartling-placeholder">
不支持全球 API 端点。 | 受影响的功能 |
Cloud VPN |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Compute Engine |
不支持区域级 API 端点。 不支持 Locational API 端点。 全局 API 端点:
| 受影响的功能 和组织政策限制条件 |
Google Kubernetes Engine |
不支持区域级 API 端点。 不支持位置 API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 和组织政策限制条件 |
Identity and Access Management (IAM) |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Identity-Aware Proxy |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
Network Connectivity Center |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
Persistent Disk |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
虚拟私有云 (VPC) |
不支持区域性 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 受影响的功能 |
VPC Service Controls |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点: <ph type="x-smartling-placeholder">
| 无 |
组织政策
本部分介绍默认组织对各项服务的影响 使用 ITAR 创建文件夹或项目时的政策限制条件值。其他 即使没有默认设置,适用的限制条件也能提供 额外的“深度防御”进一步保护贵组织的数据 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
组织政策限制条件 | 说明 |
---|---|
gcp.resourceLocations |
设置为 in:us-locations 作为 allowedValues 列表项。此值将创建任何新资源的范围限制为美国价值组 。设置后,无法在任何其他区域中创建任何资源, 多区域或美国以外的位置。如需了解详情,请参阅组织政策值组文档。 通过降低限制来降低此值可能会造成危害,从而更改此值 数据驻留(允许在美国境外创建或存储数据) 数据边界。例如:将 “ in:us-locations ”值组,其中包含
“in:northamerica-locations ”值组。
|
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 可确保使用由您(而不是)您管理的密钥来加密静态数据, Google 的默认加密机制。 要更改此值,只需从 列表可能会破坏数据 数据主权、 新的静态数据将使用 Google 自己的 密钥,而不是您的密钥。现有的静态数据将由 密钥。 |
gcp.restrictCmekCryptoKeyProjects |
将其设置为您创建的 ITAR 文件夹下的所有资源。 限制已获批准的文件夹或项目的范围(这些文件夹或项目可提供 KMS 密钥 用于使用 CMEK 加密静态数据)。此限制条件可防止 未获批准的文件夹或项目提供加密密钥, 帮助保证适用范围内服务的数据主权静态数据 |
gcp.restrictServiceUsage |
设置为允许所有范围内的服务。 决定可以启用和使用哪些服务。如需了解详情,请参阅限制工作负载的资源使用量。 |
Compute Engine 组织政策限制条件
组织政策限制条件 | 说明 |
---|---|
compute.disableGlobalLoadBalancing |
设置为 True。 禁止创建全球负载均衡产品。 更改此值可能会影响工作负载中的数据驻留;我们建议您保留此值。 |
compute.disableGlobalSelfManagedSslCertificate |
设置为 True。 禁止创建自行管理的全球 SSL 证书。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策会阻止您 在 Windows Server 虚拟机上生成凭据。 如果您需要在 Windows 虚拟机上管理用户名和密码,请执行以下操作: 以下: <ph type="x-smartling-placeholder">
|
compute.disableNestedVirtualization |
设置为 True。 为所有区域停用硬件加速的嵌套虚拟化 ITAR 文件夹中的 Compute Engine 虚拟机。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.restrictLoadBalancerCreationForTypes |
设置为允许除以下项之外的所有值:
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS 。请参阅
选择负载均衡器以了解详情。
|
Google Kubernetes Engine 组织政策限制条件
组织政策限制条件 | 说明 |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载的数据主权;三 建议保留这个设定的值 |
受影响的功能
本部分列出了每项服务的特性或功能受到的影响 ITAR,包括用户使用某项功能时需满足的要求。
BigQuery 特性
特征 | 说明 |
---|---|
在新文件夹上启用 BigQuery | 支持 BigQuery,但创建新的
Assured Workloads 文件夹,因为存在内部配置过程。此过程通常
但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery,请完成以下步骤:
启用流程完成后,您就可以在 Assured Workloads 文件夹中使用 BigQuery。 Assured Workloads 不支持 Gemini in BigQuery。 |
不受支持的功能 | ITAR 不支持以下 BigQuery 功能
不应在 BigQuery CLI 中使用。它是
客户有责任不为 ITAR 使用 BigQuery 中的服务
工作负载
|
不支持的集成 | 以下 BigQuery 集成不支持
ITAR 合规性。客户有责任不将其用于
适用于 ITAR 工作负载的 BigQuery。
|
合规的 BigQuery API | 以下 BigQuery API 符合 ITAR 规定: <ph type="x-smartling-placeholder">。 |
区域 | BigQuery 在美国的所有 BigQuery 都符合 ITAR 规定
除美国多区域之外的其他区域如果数据集是在美国多区域、非美国区域或非美国多区域中创建的,我们无法保证其符合 ITAR 要求。客户有责任为其指定
创建 BigQuery 数据集时,符合 ITAR 要求的区域。 如果使用一个美国区域发送表数据列表请求,但使用数据集 是在美国另一个区域创建的,BigQuery 无法推断具体的区域 符合客户的预期,操作将失败,并显示“数据集不是 “已找到”错误消息。 |
Google Cloud 控制台 | Google Cloud 控制台中的 BigQuery 界面是
符合 ITAR 规定。
|
BigQuery CLI | BigQuery CLI 符合 ITAR 要求。
|
Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本来维护数据
ITAR 技术数据的区域化保证。验证您当前的
Google Cloud SDK 版本,运行 gcloud --version ,然后
gcloud components update 即可更新到最新版本。
|
管理员控制功能 | BigQuery 将停用不合规的 API,但客户 拥有足够权限创建 Assured Workloads 文件夹可以启用不合规的 API。应该 如果客户发现潜在的违规情况, 通过 Assured Workloads 监控 信息中心。 |
正在加载数据 | 适用于 Google 软件即服务 (SaaS) 应用、外部云存储服务商和数据仓库的 BigQuery Data Transfer Service 连接器不符合 ITAR 规定。它是 客户不得使用 BigQuery Data Transfer 的责任 适用于 ITAR 工作负载的服务连接器。 |
第三方转移作业 | BigQuery 不会验证第三方的 ITAR 合规性 为 BigQuery Data Transfer Service 转移数据的过程。它是 客户有责任验证 ITAR 是否遵守了任何 BigQuery Data Transfer Service 的第三方转移作业。 |
不合规的 BQML 模型 | 外部训练的 BQML 模型不符合 ITAR 要求。 |
查询作业 | 只能在 ITAR 中创建包含 ITAR 技术数据的查询作业 项目。 |
针对非 ITAR 项目的 ITAR 数据集查询 | BigQuery 不会阻止从非 ITAR 项目查询 ITAR 数据集。客户应确保所有具备读取权限的查询
或将 ITAR 技术数据联接放入符合 ITAR 的文件夹中。
客户可以指定
完全限定
使用 projectname.dataset.table 为查询结果添加表名称
(在 BigQuery CLI 中)。 |
Cloud Logging | BigQuery 利用 Cloud Logging 处理某些客户日志数据。
客户应停用其 _default 日志记录存储分区,或
将 _default 个存储分区限制为美国区域
可使用以下命令确保 ITAR 合规性:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink 如需了解详情,请参阅此页面 信息。 |
Compute Engine 功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | 以下 Compute Engine 功能在
Google Cloud 控制台。请改用 API 或 Google Cloud CLI:
|
裸金属解决方案虚拟机 | 您应不使用裸金属解决方案虚拟机 (o2 VM),因为
裸金属解决方案虚拟机不符合 ITAR 要求。
|
Google Cloud VMware Engine 虚拟机 | 您有责任不使用 Google Cloud VMware Engine 虚拟机,
Google Cloud VMware Engine 虚拟机不符合 ITAR 要求。
|
创建 C3 虚拟机实例 | 此功能已停用。 |
在不使用 CMEK 的情况下使用永久性磁盘或其快照 | 除非永久性磁盘或其快照已使用 CMEK 加密,否则您无法使用它们。 |
创建嵌套虚拟机或使用嵌套虚拟化的虚拟机 | 您无法创建嵌套虚拟机或使用嵌套虚拟化的虚拟机。 此功能已因上述部分中所述的 compute.disableNestedVirtualization 组织政策限制条件而被停用。
|
将实例组添加到全局负载均衡器 | 您无法将实例组添加到全局负载均衡器。 此功能已被 compute.disableGlobalLoadBalancing 项组织政策限制条件
具体说明。
|
将请求路由到多区域外部 HTTPS 负载均衡器 | 您无法将请求路由到多区域外部 HTTPS 负载均衡器。 此功能已被 compute.restrictLoadBalancerCreationForTypes 项组织政策
约束条件。
|
在多写入者模式下共享 SSD 永久性磁盘 | 您不能在两个写入者之间共享多写入者模式下的 SSD 永久性磁盘 虚拟机实例 |
暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间, 和永久性磁盘存储空间(用于存储已暂停的虚拟机状态) 使用 CMEK 进行加密。请参阅 gcp.restrictNonCmekServices 个组织
上一部分中的政策限制条件,以了解数据驻留
启用此功能带来的影响。
|
本地 SSD | 此功能处于禁用状态。 您将无法创建具有本地 SSD 的实例,因为它们 无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据驻留的影响。 |
客机环境 |
客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全机制来满足数据驻留要求 控制措施和流程。不过,如果用户希望 还可以挑选自己的图片或代理 compute.trustedImageProjects 组织政策
限制条件。
如需了解详情,请参阅构建自定义映像页面。 |
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以
启用并使用交互式串行端口。
|
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以
启用并使用交互式串行端口。
|
Cloud DNS 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud DNS 功能。使用 请改用 API 或 Google Cloud CLI。 |
Cloud Interconnect 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Cloud Interconnect 功能在 Google Cloud 控制台。使用 API 或 Google Cloud CLI。 |
高可用性 (HA) VPN | 使用 Cloud Interconnect 与 Cloud VPN。此外,您还必须遵守 列出的加密和区域化要求 此部分。 |
Cloud Load Balancing 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Cloud Load Balancing 功能 Google Cloud 控制台。使用 API 或 Google Cloud CLI。 |
区域级负载均衡器 | 您只能将区域级负载平衡器与 ITAR 搭配使用。请参阅以下内容
如需详细了解如何配置区域级负载平衡器,请参阅以下内容: <ph type="x-smartling-placeholder"> |
Cloud Logging 功能
如需将 Cloud Logging 与 CMEK 搭配使用,您必须 完成 为组织启用 CMEK 页面。
特征 | 说明 |
---|---|
日志接收器 | 请勿在接收器过滤条件中输入敏感信息(客户数据)。水槽 过滤器将被视为服务数据。 |
Live Tailing 日志条目 | 请勿创建包含客户数据的过滤条件。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志本身不存储任何日志条目数据,但可以查询和 跨区域传输数据 |
基于日志的提醒 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建基于日志的提醒。 |
日志浏览器查询的缩短的网址 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建查询的缩短网址。 |
在日志浏览器中保存查询 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中保存任何查询。 |
使用 BigQuery 的日志分析 | 此功能处于禁用状态。 您无法使用日志分析功能。 |
Cloud Monitoring 功能
特征 | 说明 |
---|---|
合成监控工具 | 此功能处于禁用状态。 |
拨测 | 此功能处于禁用状态。 |
信息中心中的日志面板微件 | 此功能已停用。 您无法将日志面板添加到 信息中心。 |
错误报告面板微件 在信息中心中 | 此功能已停用。 您无法添加错误报告 添加到信息中心 |
在 EventAnnotation 中过滤信息中心
|
此功能已停用。 过滤条件: EventAnnotation
无法在信息中心内设置。
|
Network Connectivity Center 功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Network Connectivity Center 功能。使用 使用 API 或 Google Cloud CLI 。 |
Cloud NAT 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud NAT 功能。使用 请改用 API 或 Google Cloud CLI。 |
Cloud Router 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Router 功能。 请改用 API 或 Google Cloud CLI。 |
Cloud SQL 特性
特征 | 说明 |
---|---|
导出为 CSV 文件 | 导出为 CSV 文件 不符合 ITAR 规定,不得使用。此功能已在以下版本中停用: Google Cloud 控制台 |
executeSql |
Cloud SQL API 的 executeSql 方法不是
符合 ITAR 规定,不应使用。 |
Cloud Storage 的功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | 为了保持 ITAR 合规性,您有责任使用 管辖区 Google Cloud 控制台。管辖区控制台会阻止上传和 下载 Cloud Storage 对象。上传和下载 Cloud Storage 对象,请参阅合规 API 端点行 。 |
合规的 API 端点 | 您必须使用某个符合 ITAR 要求的营业地点端点,
Cloud Storage位置端点适用于所有美国区域
美国多区域和 NAM4 预定义双区域。
位置端点不适用于除
NAM4 双区域。如需了解详情,请参阅 Cloud Storage 位置。
|
限制 | 您必须使用 Cloud Storage 位置端点
符合 ITAR 规定。如需详细了解 Cloud Storage 位置
端点,请参阅
ITAR 合规性。 位置端点不支持以下操作。 但是,这些操作不会传送 数据 驻留服务条款。因此,您可以将全球端点用于 在不违反 ITAR 合规性的前提下,执行这些必要的操作: 。 |
针对对象的复制和重写 | 以下对象的复制和重写操作: 对象,且来源和 目标存储分区位于端点中指定的区域。 但是,您无法使用位置端点来复制或重写对象 如果存储桶位于不同位置,则可以在存储桶之间转移。它 可以使用全球端点跨位置复制或重写 但我们并不建议您这样做,因为这可能会违反 ITAR 规定。 |
GKE 功能
特征 | 说明 |
---|---|
集群资源限制 | 确保您的集群配置没有将资源用于
ITAR 合规性计划不支持的服务。例如:
以下配置无效,因为它需要启用或
使用的是不受支持的服务:
set `binaryAuthorization.evaluationMode` to `enabled`
|
VPC 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | VPC 网络功能在 Google Cloud 控制台。使用 API 或 Google Cloud CLI。 |
Cloud VPN 功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud VPN 功能。使用 API 或 Google Cloud CLI。 |
加密 | 创建时,您只能使用符合 FIPS 140-2 规定的加密方式
证书和配置 IP 安全。请参阅
此页面
详细了解 Cloud VPN 中支持的加密方式。如需了解如何选择符合 FIPS 140-2 标准的加密方式,请参阅此页面。 目前无法更改 Google Cloud 中的现有加密方式。 请确保您在 与 Cloud VPN 搭配使用 |
VPN 端点 | 您只能使用位于美国的 Cloud VPN 端点。 确保您的 VPN 网关已配置为仅在美国区域使用。 |
脚注
2.支持 BigQuery,但创建新的
Assured Workloads 文件夹,因为存在内部配置过程。此过程通常
只需 10 分钟即可完成,但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery,请完成以下步骤:
- 在 Google Cloud 控制台中,转到 Assured Workloads 页面。
- 从列表中选择新的 Assured Workloads 文件夹。
- 在文件夹详细信息页面的允许的服务部分,点击 查看可用更新。
- 在允许的服务窗格中,查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务,请点击允许服务将其添加。
如果其中未列出 BigQuery 服务,请等待内部流程完成。如果 服务未在文件夹创建 12 小时内列出,请联系 Cloud Customer Care。
启用流程完成后,您可以在自己的 Assured Workloads 文件夹。
可靠工作负载不支持 BigQuery 中的 Gemini。