Restrictions et limites concernant la certification ITAR
Cette page décrit les restrictions, les limites et d'autres configurations lorsque vous utilisez le package de contrôle ITAR.
Présentation
L'ensemble de contrôle ITAR (International Traffic in Arms Regulations) permet le contrôle des accès aux données et les fonctionnalités de résidence services Google Cloud couverts. Certains de ces services fonctionnalités sont restreintes ou limitées par Google afin d'être compatibles avec la norme ITAR. La plupart d'entre elles lorsque des restrictions et des limites sont appliquées Dossier Assured Workloads pour ITAR (certains d'entre eux peuvent toutefois être modifiés) en modifiant règles d'administration. De plus, certaines restrictions et limitations impliquent la responsabilité de l'utilisateur. d'adhésion.
Il est important de comprendre comment ces restrictions modifient le comportement service Google Cloud ou affectent l'accès aux données résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir que les données les restrictions d'accès et la résidence des données sont maintenues. En outre, si un paramètre de règle d'administration est modifié, cela peut avoir des conséquences inattendues de copier des données d'une région à une autre.
Prérequis
Pour rester en conformité en tant qu'utilisateur du package de contrôle ITAR, veillez à remplir et respecter les conditions préalables suivantes:
- Créez un dossier ITAR avec Assured Workloads et déployez votre ITAR les charges de travail dans ce dossier.
- Activer et utiliser uniquement les services ITAR couverts pour les charges de travail ITAR
- Ne pas modifier la valeur par défaut valeurs de contrainte des règles d'administration, sauf si vous comprenez et sont disposées à accepter les risques de résidence des données qui peuvent survenir.
- Lorsque vous vous connectez à des points de terminaison de service Google Cloud, vous devez utiliser
points de terminaison pour les services qui les proposent. Notez également les points suivants:
- Lors de la connexion à des points de terminaison de service Google Cloud depuis des environnements autres que Google Cloud Les VM (sur site ou d'autres fournisseurs cloud, par exemple) Des VM : vous doit utiliser l'une des options options d'accès privé qui acceptent les connexions à des VM autres que Google Cloud pour acheminer le le trafic extérieur à Google Cloud vers Google Cloud.
- Lorsque vous vous connectez à des points de terminaison de service Google Cloud depuis des VM Google Cloud, vous pouvez utiliser n'importe quelle options d'accès privé.
- Lors de la connexion à des VM Google Cloud exposées avec une adresse IP externe adresse e-mail, reportez-vous à Accédez aux API à partir de VM disposant d'adresses IP externes.
- Pour tous les services utilisés dans un dossier ITAR, ne stockez pas de données techniques dans le
les types d'informations de configuration définis par l'utilisateur ou de sécurité suivants:
- Messages d'erreur
- Sortie vers la console
- Données d'attribut
- Données de configuration du service
- En-têtes de paquets réseau
- Identifiants de ressources
- Étiquettes de données
- N'utilisez que les points de terminaison régionaux ou locaux spécifiés pour les services qui : leur proposer. Pour en savoir plus, consultez la section Services ITAR couverts.
- Pensez à adopter les bonnes pratiques générales de sécurité fournies dans le Centre des bonnes pratiques de sécurité dans Google Cloud
Services couverts
Les services suivants sont compatibles avec ITAR:
- Artifact Registry
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Cloud privé virtuel (VPC)
- VPC Service Controls
- Cloud Interconnect
- Cloud Router
- Identity-Aware Proxy
- Cloud Monitoring
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
Règles d'administration
Cette section décrit l'impact de l'organisation par défaut sur chaque service des valeurs de contrainte de règle lorsque des dossiers ou des projets sont créés avec ITAR. Autre applicables, même si elles ne sont pas définies par défaut, peuvent fournir de sécurité en profondeur pour mieux protéger la sécurité aux ressources Google Cloud.
Contraintes liées aux règles d'administration à l'échelle du cloud
Les éléments suivants : Contraintes liées aux règles d'administration applicables à tous les services Google Cloud applicables.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définir sur in:us-locations pour allowedValues
un élément de liste.Cette valeur limite la création de ressources au groupe de valeurs "US" uniquement. Si ce paramètre est défini, aucune ressource ne peut être créée dans d'autres régions, des emplacements multirégionaux ou des emplacements situés en dehors des États-Unis. Consultez le Groupes de valeurs des règles d'administration. Si vous modifiez cette valeur en la rendant moins restrictive, vous risquez d'affaiblir cette la résidence des données en autorisant la création ou le stockage de données en dehors des États-Unis ; limite de données. Par exemple: remplacer le Groupe de valeurs in:us-locations avec le paramètre
Groupe de valeurs in:northamerica-locations.
|
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service répertorié nécessite Clés de chiffrement gérées par le client (CMEK). Le chiffrement CMEK garantit que les données au repos sont chiffrées à l'aide d'une clé que vous gérez, les mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts par le champ d'application peut affaiblir les données souveraineté des données, car les nouvelles données au repos sont automatiquement chiffrées clés au lieu des vôtres. Les données au repos existantes restent chiffrées que vous avez fournie. |
gcp.restrictCmekCryptoKeyProjects |
Définissez-le sur toutes les ressources du dossier ITAR que vous avez créé. Limite le champ d'application des dossiers ou projets approuvés pouvant fournir Clés KMS pour chiffrer les données au repos à l'aide de clés CMEK. Cette contrainte empêche des dossiers ou projets non approuvés de fournir des clés de chiffrement, contribuant à garantir la souveraineté des données pour les services couverts. au repos. |
gcp.restrictServiceUsage |
Définissez ce paramètre pour autoriser tous les services couverts. Détermine quels services peuvent être activés et utilisés. Pour plus d'informations, voir Limitez l'utilisation des ressources pour les charges de travail. |
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.disableGlobalLoadBalancing |
Défini sur True. Désactive la création de produits d'équilibrage de charge mondiaux. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. nous recommande de conserver la valeur définie. |
compute.disableGlobalSelfManagedSslCertificate |
Défini sur True. Désactive la création de certificats SSL autogérés au niveau mondial. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. nous recommande de conserver la valeur définie. |
compute.disableInstanceDataAccessApis |
Défini sur True. Désactive globalement instances.getSerialPortOutput() et
instances.getScreenshot().L'activation de cette règle d'administration vous empêche de générer des identifiants sur des VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, suivantes:
|
compute.disableNestedVirtualization |
Défini sur True. Désactive la virtualisation imbriquée avec accélération matérielle pour tous VM Compute Engine dans le dossier ITAR. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. nous recommande de conserver la valeur définie. |
compute.enableComplianceMemoryProtection |
Défini sur True. Désactive certaines fonctionnalités de diagnostic interne afin de fournir la protection du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. nous recommande de conserver la valeur définie. |
compute.restrictNonConfidentialComputing |
(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour fournir une défense en profondeur. Consultez le Documentation sur Confidential VMs pour en savoir plus. |
compute.restrictLoadBalancerCreationForTypes |
Permet d'autoriser toutes les valeurs, à l'exception de
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS Voir
Choisissez un équilibreur de charge pour en savoir plus.
|
Contraintes liées aux règles d'administration de Google Kubernetes Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données de votre charge de travail. nous recommande de conserver la valeur définie. |
Fonctionnalités concernées
Cette section liste la manière dont les fonctionnalités de chaque service sont affectées par ITAR, y compris les exigences des utilisateurs lors de l'utilisation d'une fonctionnalité.
Fonctionnalités de BigQuery
| Caractéristique | Description |
|---|---|
| Activer BigQuery sur un nouveau dossier | BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un
Dossier Assured Workloads en raison d'un processus de configuration interne. Ce processus
normalement
se termine en dix minutes, mais peut prendre beaucoup plus de temps dans certaines circonstances. Pour vérifier si
est terminé et pour activer BigQuery, procédez comme suit:
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery Dossier Assured Workloads. |
| Fonctionnalités non compatibles | Les fonctionnalités BigQuery suivantes ne sont pas compatibles avec ITAR
et ne doivent pas être utilisées
dans la CLI BigQuery. Il s'agit
responsabilité du client de ne pas les utiliser dans BigQuery pour l'ITAR
et charges de travail.
|
| Intégrations non compatibles | Les intégrations BigQuery suivantes ne sont pas compatibles avec
Conformité ITAR Le client est tenu de ne pas les utiliser avec
BigQuery pour les charges de travail ITAR
|
| API BigQuery conformes | Les API BigQuery suivantes sont conformes à la norme ITAR:
|
| Régions | BigQuery est conforme à la norme ITAR pour tous les BigQuery États-Unis
à l'exception de l'emplacement multirégional des États-Unis. La conformité ITAR ne peut pas être garantie
Si un ensemble de données est créé dans un emplacement multirégional des États-Unis, une région en dehors des États-Unis ou en dehors des États-Unis
un emplacement multirégional. Il est de la responsabilité du client de spécifier
Région conforme à la norme ITAR lors de la création d'ensembles de données BigQuery. Si une requête de liste de données de table est envoyée via une région des États-Unis, mais que l'ensemble de données a été créé dans une autre région des États-Unis, BigQuery ne peut pas déterminer que le client l'a prévu et l'opération échouera avec un "ensemble de données trouvé" s'affiche. |
| console Google Cloud | L'interface utilisateur BigQuery de la console Google Cloud
Conformité ITAR.
|
| CLI BigQuery | La CLI BigQuery est conforme à la norme ITAR.
|
| SDK Google Cloud | Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour gérer les données
des garanties de régionalisation
pour les données techniques ITAR. Pour valider votre
Version de Google Cloud SDK, exécutez gcloud --version, puis
gcloud components update pour obtenir la dernière version.
|
| Commandes d'administration | BigQuery désactive les API non conformes, mais le client administrateurs disposant des autorisations nécessaires pour créer Le dossier Assured Workloads peut activer une API non conforme. Devrait le client sera informé de tout non-respect potentiel via le Surveillance Assured Workloads tableau de bord. |
| Charger des données | Les connecteurs de service de transfert de données BigQuery pour les applications SaaS (Software as a Service) Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas conformes à la norme ITAR. Il s'agit responsabilité du client de ne pas utiliser BigQuery Data Transfer Connecteurs de service pour les charges de travail ITAR |
| Transferts tiers | BigQuery ne vérifie pas la conformité ITAR pour les tiers pour le service de transfert de données BigQuery. Il s'agit de vérifier la conformité ITAR lors de l'utilisation un transfert tiers pour le service de transfert de données BigQuery. |
| Modèles BQML non conformes | Les modèles BQML entraînés en externe ne sont pas conformes à la norme ITAR. |
| Tâches de requête | Les jobs de requête contenant des données techniques ITAR ne doivent être créés que dans ce domaine projets. |
| Requêtes sur des ensembles de données ITAR provenant de projets non-ITAR | BigQuery n'empêche pas les ensembles de données ITAR d'être interrogés
projets non ITAR. Les clients doivent s'assurer que toute requête ayant un accès en lecture
ou une jointure avec des données techniques ITAR soit placée dans un dossier conforme à la norme ITAR.
Les clients peuvent spécifier un
complètement qualifiés
nom de la table pour le résultat de sa requête en utilisant projectname.dataset.table.
dans la CLI BigQuery. |
| Cloud Logging | BigQuery utilise Cloud Logging pour récupérer certaines données de journaux client.
Les clients doivent désactiver leurs buckets de journalisation _default ou
limiter _default buckets aux régions des États-Unis pour
maintenir la conformité ITAR à l'aide de la commande suivante:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkPour en savoir plus, consultez cette page. des informations. |
Fonctionnalités de Compute Engine
| Extraction | Description |
|---|---|
| console Google Cloud | Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans le
console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI:
|
| VM de la solution Bare Metal | Il est de votre responsabilité de ne pas utiliser de VM de solution Bare Metal (VM o2), car
Les VM de la solution Bare Metal ne sont pas conformes aux normes ITAR.
|
| VM Google Cloud VMware Engine | Il est de votre responsabilité de ne pas utiliser de VM Google Cloud VMware Engine, car
Les VM Google Cloud VMware Engine ne sont pas conformes à la norme ITAR.
|
| Créer une instance de VM C3 | Cette fonctionnalité est désactivée. |
| Utiliser des disques persistants ou leurs instantanés sans CMEK | Vous ne pouvez pas utiliser de disques persistants ni leurs instantanés, à moins qu'ils n'aient
a été chiffré à l'aide d'une clé CMEK. |
| Créer des VM imbriquées ou des VM qui utilisent la virtualisation imbriquée | Vous ne pouvez pas créer de VM imbriquées ni de VM qui utilisent la virtualisation imbriquée. Cette fonctionnalité est désactivée par le Règle d'administration compute.disableNestedVirtualization
décrite dans la section ci-dessus.
|
| Ajouter un groupe d'instances à un équilibreur de charge global | Vous ne pouvez pas ajouter un groupe d'instances à un équilibreur de charge global. Cette fonctionnalité est désactivée par le Contrainte de règle d'administration compute.disableGlobalLoadBalancing
décrites dans la section ci-dessus.
|
| Acheminer des requêtes vers un équilibreur de charge HTTPS externe multirégional | Vous ne pouvez pas acheminer les requêtes vers une charge HTTPS externe multirégionale
de votre équilibreur de charge. Cette fonctionnalité est désactivée par le Règle d'administration compute.restrictLoadBalancerCreationForTypes
décrite dans la section ci-dessus.
|
| Partager un disque persistant SSD en mode multi-écrivain | Vous ne pouvez pas partager un disque persistant SSD en mode multi-écrivain entre d'instances de VM. |
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la reprise d'une instance de VM nécessitent un espace de stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de la VM suspendue ne peut pas être chiffrées à l'aide d'une clé CMEK. Consultez le Organisation gcp.restrictNonCmekServices
dans la section ci-dessus pour comprendre la résidence des données
les conséquences de l'activation de cette fonctionnalité.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrées à l'aide d'une clé CMEK. Consultez le Organisation gcp.restrictNonCmekServices
dans la section ci-dessus pour comprendre la résidence des données
les conséquences de l'activation de cette fonctionnalité.
|
| Environnement invité |
Il est possible pour les scripts, les daemons et les binaires inclus dans
l'environnement invité pour accéder aux données non chiffrées
au repos et en cours d'utilisation.
Selon la configuration de votre VM, les mises à jour de ce logiciel
est installé par défaut. Voir
l'environnement invité pour obtenir des informations spécifiques
le contenu de chaque package, le code source, etc. Ces composants vous aident à respecter les exigences de résidence des données via la sécurité interne contrôles et processus. Toutefois, pour les utilisateurs qui souhaitent vous pouvez aussi sélectionner vos propres images ou agents, et utiliser la règle d'administration compute.trustedImageProjects
d'une contrainte.
Consultez les Créer une image personnalisée. |
instances.getSerialPortOutput() |
Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Modifier l'organisation compute.disableInstanceDataAccessApis
la valeur de la contrainte de règle sur False pour activer cette API. Vous pouvez également
activer et utiliser le port série interactif en suivant les instructions sur
cette page.
|
instances.getScreenshot() |
Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Modifier l'organisation compute.disableInstanceDataAccessApis
la valeur de la contrainte de règle sur False pour activer cette API. Vous pouvez également
activer et utiliser le port série interactif en suivant les instructions sur
cette page.
|
Fonctionnalités de Cloud DNS
| Caractéristique | Description |
|---|---|
| console Google Cloud | Les fonctionnalités Cloud DNS ne sont pas disponibles dans la console Google Cloud. Utilisez à l'aide de l'API ou de la Google Cloud CLI. |
Fonctionnalités de Cloud Interconnect
| Caractéristique | Description |
|---|---|
| console Google Cloud | Les fonctionnalités Cloud Interconnect ne sont pas disponibles console Google Cloud. Utilisez le API ou Google Cloud CLI à la place. |
| VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation présentées dans cette section. |
Fonctionnalités de Cloud Load Balancing
| Caractéristique | Description |
|---|---|
| console Google Cloud | Les fonctionnalités de Cloud Load Balancing ne sont pas disponibles dans le console Google Cloud. Utilisez les API ou Google Cloud CLI à la place. |
| Équilibreurs de charge régionaux | Vous ne devez utiliser que des équilibreurs de charge régionaux avec ITAR. Consultez les ressources suivantes :
pour en savoir plus sur la configuration des équilibreurs de charge régionaux: |
Fonctionnalités de Cloud Logging
Pour utiliser Cloud Logging avec des clés de chiffrement gérées par le client (CMEK), vous devez suivez les étapes du Activer les CMEK pour une organisation dans la documentation Cloud Logging.
| Caractéristique | Description |
|---|---|
| Récepteurs de journaux | N'insérez pas d'informations sensibles (données client) dans les filtres de récepteurs. Évier les filtres sont traités comme des données de service. |
| Affichage en direct des dernières lignes des entrées de journal | Ne créez pas de filtres contenant des données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. Les journaux de fin ne stockent aucune donnée d'entrée de journal eux-mêmes, mais peuvent interroger et transmettent des données entre régions. |
| Alertes basées sur des journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud. |
| URL raccourcies pour les requêtes de l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud. |
| Enregistrer des requêtes dans l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud. |
| Analyse de journaux avec BigQuery | Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité Analyse de journaux. |
Fonctionnalités de Cloud Monitoring
| Caractéristique | Description |
|---|---|
| Écran synthétique | Cette fonctionnalité est désactivée. |
| Test de disponibilité | Cette fonctionnalité est désactivée. |
| Widgets du panneau de journal dans Tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journalisation à un tableau de bord. |
| Widgets du panneau Error Reporting dans Tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de rapport d'erreur. à un tableau de bord. |
Filtrer dans
EventAnnotation
pour les tableaux de bord
|
Cette fonctionnalité est désactivée. Filtre sur EventAnnotation
ne peuvent pas être définies dans un tableau de bord.
|
Fonctionnalités de Network Connectivity Center
| Caractéristique | Description |
|---|---|
| console Google Cloud | Les fonctionnalités de Network Connectivity Center ne sont pas disponibles dans la console Google Cloud. Utilisez l'API ou la Google Cloud CLI à la place. |
Fonctionnalités de Cloud NAT
| Caractéristique | Description |
|---|---|
| console Google Cloud | Les fonctionnalités Cloud NAT ne sont pas disponibles dans la console Google Cloud. Utilisez à l'aide de l'API ou de la Google Cloud CLI. |
Fonctionnalités de Cloud Router
| Caractéristique | Description |
|---|---|
| console Google Cloud | Les fonctionnalités Cloud Router ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
Fonctionnalités de Cloud SQL
| Caractéristique | Description |
|---|---|
| Exportation au format CSV | Exportation au format CSV n'est pas conforme à la norme ITAR et ne doit pas être utilisé. Cette fonctionnalité est désactivée dans la console Google Cloud. |
executeSql |
La méthode executeSql de l'API Cloud SQL n'est pas
sont conformes à la norme ITAR et ne doivent pas être utilisées. |
Fonctionnalités de Cloud Storage
| Caractéristique | Description |
|---|---|
| console Google Cloud | Pour assurer la conformité ITAR, il est de votre responsabilité d'utiliser le Juridictionnel console Google Cloud. La console juridictionnelle empêche l'importation et télécharger des objets Cloud Storage. Pour importer et télécharger les objets Cloud Storage, reportez-vous à la ligne Points de terminaison de l'API conforme. ci-dessous. |
| Points de terminaison d'API conformes | Vous devez utiliser l'un des points de terminaison
localisés conformes à la norme ITAR
Cloud Storage. Ils sont disponibles pour toutes les régions des États-Unis,
l'emplacement multirégional des États-Unis et l'emplacement birégional prédéfini NAM4.
Les points de terminaison géographiques ne sont pas disponibles pour les emplacements birégionaux autres que les
Birégional NAM4. Voir
cette page pour en savoir plus
sur les emplacements dans Cloud Storage.
|
| Restrictions | Vous devez utiliser les points de terminaison
localisés Cloud Storage pour
Conformité ITAR. Pour en savoir plus sur les données de localisation Cloud Storage,
pour l'ITAR, consultez
Points de terminaison locaux pour
Conformité ITAR Les opérations suivantes ne sont pas compatibles avec les points de terminaison locaux. Cependant, ces opérations ne portent pas sur les données client telles que définies dans les Données les conditions du service de résidence. Par conséquent, vous pouvez utiliser des points de terminaison mondiaux pour ces opérations si nécessaire, sans enfreindre la conformité ITAR: |
| Copier et réécrire des objets | Opérations de copie et de réécriture pour sont pris en charge par les points de terminaison locaux si la source buckets de destination sont situés dans la région spécifiée dans le point de terminaison. Toutefois, vous ne pouvez pas utiliser de points de terminaison locaux pour copier ou réécrire un objet d'un bucket à un autre si les buckets existent à des emplacements différents. Il il est possible d'utiliser des points de terminaison mondiaux pour copier ou réécrire d'un emplacement à un autre, mais nous le déconseillons, car cela pourrait enfreindre la conformité ITAR. |
Fonctionnalités de GKE
| Caractéristique | Description |
|---|---|
| Restrictions de ressources de cluster | Assurez-vous que votre configuration de cluster n'utilise pas de ressources pour
les services non pris en charge par
le programme de conformité ITAR. Par exemple,
la configuration suivante n'est pas valide car elle nécessite l'activation
utilise un service non compatible:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Fonctionnalités VPC
| Caractéristique | Description |
|---|---|
| console Google Cloud | Les fonctionnalités de mise en réseau VPC ne sont pas disponibles console Google Cloud. Utilisez les API ou Google Cloud CLI à la place. |
Fonctionnalités de Cloud VPN
| Caractéristique | Description |
|---|---|
| console Google Cloud | Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud. Utilisez l'API ou Google Cloud CLI à la place. |
| Chiffrement | Vous ne devez utiliser que des algorithmes de chiffrement conformes à la norme FIPS 140-2 lorsque vous créez
les certificats et la configuration
de la sécurité de vos adresses IP. Voir
cette page
pour en savoir plus sur les algorithmes de chiffrement compatibles avec Cloud VPN. Pour
des conseils sur le choix d’un chiffrement
conforme aux normes FIPS 140-2,
consultez cette page. Il n'existe actuellement aucun moyen de modifier un chiffrement existant dans Google Cloud. Assurez-vous de configurer votre algorithme de chiffrement sur le dispositif tiers utilisé avec Cloud VPN. |
| Points de terminaison VPN | Vous ne devez utiliser que des points de terminaison Cloud VPN situés aux États-Unis. Assurez-vous que votre passerelle VPN est configurée pour être utilisée dans une région des États-Unis uniquement. |
Étape suivante
- Découvrez le package de contrôle ITAR.
- En savoir plus sur les produits compatibles pour chaque package de contrôle.