Batasan dan limitasi untuk ITAR

Halaman ini menjelaskan pembatasan, batasan, dan opsi konfigurasi lainnya saat menggunakan paket kontrol ITAR.

Ringkasan

Paket kontrol International Traffic in Arms Regulations (ITAR) memungkinkan fitur kontrol akses data dan residensi untuk layanan Google Cloud dalam cakupan. Beberapa fitur layanan ini dibatasi atau dibatasi oleh Google agar kompatibel dengan ITAR. Sebagian besar pembatasan dan batasan ini diterapkan saat membuat folder Assured Workloads baru untuk ITAR, tetapi beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi. Selain itu, beberapa batasan dan batasan mengharuskan pengguna bertanggung jawab untuk mematuhinya.

Penting untuk memahami cara batasan ini mengubah perilaku layanan Google Cloud tertentu atau memengaruhi akses data atau residensi data. Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memastikan batasan akses data dan residensi data tetap dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, hal tersebut mungkin mengakibatkan konsekuensi yang tidak diinginkan, yaitu penyalinan data dari satu region ke region lain.

Prasyarat

Agar tetap mematuhi kebijakan sebagai pengguna paket kontrol ITAR, pastikan Anda memenuhi dan mematuhi prasyarat berikut:

  • Buat folder ITAR menggunakan Assured Workloads dan deploy workload ITAR Anda hanya di folder tersebut.
  • Hanya aktifkan dan gunakan layanan ITAR dalam cakupan untuk beban kerja ITAR.
  • Jangan ubah nilai batasan kebijakan organisasi default kecuali jika Anda memahami dan bersedia menerima risiko residensi data yang mungkin terjadi.
  • Saat terhubung ke endpoint layanan Google Cloud, Anda harus menggunakan endpoint regional untuk layanan yang menawarkannya. Selain itu:
    • Saat terhubung ke endpoint layanan Google Cloud dari VM non-Google Cloud, misalnya VM lokal atau VM penyedia cloud lainnya, Anda harus menggunakan salah satu opsi akses pribadi yang tersedia, yang mendukung koneksi ke VM non-Google Cloud untuk merutekan traffic non-Google Cloud ke Google Cloud.
    • Saat terhubung ke endpoint layanan Google Cloud dari VM Google Cloud, Anda dapat menggunakan salah satu opsi akses pribadi yang tersedia.
    • Saat terhubung ke VM Google Cloud yang telah terekspos dengan alamat IP eksternal, lihat Mengakses API dari VM dengan alamat IP eksternal.
  • Untuk semua layanan yang digunakan dalam folder ITAR, jangan simpan data teknis dalam jenis informasi konfigurasi keamanan atau yang ditetapkan pengguna berikut:
    • Pesan error
    • Output konsol
    • Data atribut
    • Data konfigurasi layanan
    • Header paket jaringan
    • ID resource
    • Label data
  • Hanya gunakan endpoint regional atau lokasi yang ditentukan untuk layanan yang menawarkannya. Lihat layanan ITAR dalam cakupan untuk informasi selengkapnya.
  • Pertimbangkan untuk mengadopsi praktik terbaik keamanan umum yang disediakan di pusat praktik terbaik keamanan Google Cloud.

Layanan dalam ruang lingkup

Layanan berikut kompatibel dengan ITAR:

Kebijakan organisasi

Bagian ini menjelaskan pengaruh nilai batasan kebijakan organisasi default pada setiap layanan saat folder atau project dibuat menggunakan ITAR. Batasan lain yang berlaku —meskipun tidak ditetapkan secara default— dapat memberikan "defense-in-depth" tambahan untuk melindungi resource Google Cloud organisasi lebih lanjut.

Batasan kebijakan organisasi di seluruh cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan Kebijakan Organisasi Deskripsi
gcp.resourceLocations Tetapkan ke in:us-locations sebagai item daftar allowedValues.

Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai AS. Jika ditetapkan, resource tidak dapat dibuat di region, multi-region, atau lokasi lain di luar AS. Lihat dokumentasi Grup nilai kebijakan organisasi untuk informasi selengkapnya.

Mengubah nilai ini dengan membuatnya tidak terlalu ketat berpotensi mengurangi residensi data karena memungkinkan data dibuat atau disimpan di luar batas data AS. Misalnya: mengganti grup nilai in:us-locations dengan grup nilai in:northamerica-locations.
gcp.restrictNonCmekServices Tetapkan ke daftar semua nama layanan API dalam cakupan, termasuk:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Lihat bagian Fitur yang Terpengaruh di bawah.

Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memastikan bahwa data dalam penyimpanan dienkripsi dengan kunci yang Anda kelola, bukan mekanisme enkripsi default Google.

Mengubah nilai ini dengan menghapus satu atau beberapa layanan dalam cakupan dari daftar dapat merusak kedaulatan data data, karena data dalam penyimpanan baru akan otomatis dienkripsi menggunakan kunci Google, bukan kunci Anda. Data dalam penyimpanan yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
gcp.restrictCmekCryptoKeyProjects Tetapkan ke semua resource dalam folder ITAR yang Anda buat.

Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci KMS untuk mengenkripsi data dalam penyimpanan menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data dalam penyimpanan layanan dalam cakupan.
gcp.restrictServiceUsage Setel untuk mengizinkan semua layanan dalam cakupan.

Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.

Batasan kebijakan organisasi Compute Engine

Batasan Kebijakan Organisasi Deskripsi
compute.disableGlobalLoadBalancing Tetapkan ke True.

Menonaktifkan pembuatan produk load balancing global.

Mengubah nilai ini dapat memengaruhi residensi data dalam workload Anda. Sebaiknya pertahankan nilai yang ditetapkan.
compute.disableGlobalSelfManagedSslCertificate Tetapkan ke True.

Menonaktifkan pembuatan sertifikat SSL global yang dikelola sendiri.

Mengubah nilai ini dapat memengaruhi residensi data dalam workload Anda. Sebaiknya pertahankan nilai yang ditetapkan.
compute.disableInstanceDataAccessApis Tetapkan ke True.

Menonaktifkan API instances.getSerialPortOutput() dan instances.getScreenshot() secara global.

Jika kebijakan organisasi ini diaktifkan, Anda tidak akan dapat membuat kredensial di VM Windows Server.

Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan langkah berikut:
  1. Aktifkan SSH untuk VM Windows.
  2. Jalankan perintah berikut untuk mengubah sandi VM:
    
    gcloud compute ssh
    VM_NAME --command "net user USERNAME PASSWORD"
    
    Ganti kode berikut:
    • VM_NAME: Nama VM yang sandinya Anda setel.
    • USERNAME: Nama pengguna dari pengguna yang sandinya Anda setel.
    • PASSWORD: Sandi baru.
compute.disableNestedVirtualization Tetapkan ke True.

Menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk semua VM Compute Engine di folder ITAR.

Mengubah nilai ini dapat memengaruhi residensi data dalam workload Anda. Sebaiknya pertahankan nilai yang ditetapkan.
compute.enableComplianceMemoryProtection Tetapkan ke True.

Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan konten memori saat terjadi kesalahan infrastruktur.

Mengubah nilai ini dapat memengaruhi residensi data dalam workload Anda. Sebaiknya pertahankan nilai yang ditetapkan.
compute.restrictNonConfidentialComputing

(Opsional) Nilai belum ditetapkan. Tetapkan nilai ini untuk memberikan defense in depth tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
compute.restrictLoadBalancerCreationForTypes

Tetapkan untuk mengizinkan semua nilai kecuali untuk GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Lihat Memilih load balancer untuk mengetahui informasi selengkapnya.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan Kebijakan Organisasi Deskripsi
container.restrictNoncompliantDiagnosticDataAccess Tetapkan ke True.

Digunakan untuk menonaktifkan analisis agregat masalah kernel, yang diperlukan untuk mempertahankan kontrol workload yang berdaulat.

Mengubah nilai ini dapat memengaruhi kedaulatan data dalam workload Anda; sebaiknya pertahankan nilai yang ditetapkan.

Fitur yang terpengaruh

Bagian ini mencantumkan pengaruh ITAR terhadap fitur atau kemampuan setiap layanan, termasuk persyaratan pengguna saat menggunakan suatu fitur.

Fitur BigQuery

Fitur Deskripsi
Mengaktifkan BigQuery di folder baru BigQuery didukung, tetapi tidak diaktifkan secara otomatis saat Anda membuat folder Assured Workloads baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dapat memerlukan waktu lebih lama dalam situasi tertentu. Untuk memeriksa apakah proses ini telah selesai dan untuk mengaktifkan BigQuery, selesaikan langkah-langkah berikut:
  1. Di konsol Google Cloud, buka halaman Assured Workloads.

    Buka Assured Workloads

  2. Pilih folder Assured Workloads baru dari daftar.
  3. Pada halaman Folder Details di bagian Layanan yang diizinkan, klik Review Available Updates.
  4. Di panel Allowed services, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Resource Usage Restriction untuk folder. Jika layanan BigQuery tercantum, klik Allow Services untuk menambahkannya.

    Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam sejak pembuatan folder, hubungi Cloud Customer Care.

Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Assured Workloads.

Fitur yang tidak didukung Fitur BigQuery berikut tidak didukung untuk kepatuhan ITAR dan tidak boleh digunakan di BigQuery CLI. Pelanggan bertanggung jawab untuk tidak menggunakannya di BigQuery untuk workload ITAR.
Integrasi yang tidak didukung Integrasi BigQuery berikut tidak didukung untuk kepatuhan ITAR. Pelanggan bertanggung jawab untuk tidak menggunakannya dengan BigQuery untuk workload ITAR.
  • Metode API CreateTag, SearchCatalog, Bulk tagging, dan Business Glossary dari Data Catalog API dapat memproses dan menyimpan data teknis ITAR dengan cara yang tidak mematuhi ITAR. Pelanggan bertanggung jawab untuk tidak menggunakan metode tersebut untuk workload ITAR.
Mematuhi BigQuery API BigQuery API berikut mematuhi ITAR:


Region BigQuery mematuhi ITAR untuk semua region BigQuery AS kecuali multi-region di AS. Kepatuhan ITAR tidak dapat dijamin jika set data dibuat di multi-region AS, region non-AS, atau multi-region non-AS. Pelanggan bertanggung jawab untuk menentukan region yang sesuai dengan ITAR saat membuat set data BigQuery.

Jika permintaan daftar data tabel dikirim menggunakan satu region AS, tetapi set data dibuat di region AS lainnya, BigQuery tidak dapat menyimpulkan region mana yang diinginkan pelanggan dan operasi akan gagal dengan pesan error "set data tidak ditemukan".
Konsol Google Cloud Antarmuka pengguna BigQuery di konsol Google Cloud mematuhi ITAR.

CLI BigQuery BigQuery CLI mematuhi ITAR.

Google Cloud SDK Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru guna mempertahankan jaminan regionalisasi data untuk data teknis ITAR. Untuk memverifikasi versi Google Cloud SDK saat ini, jalankan gcloud --version, lalu gcloud components update untuk mengupdate ke versi terbaru.
Kontrol administrator BigQuery akan menonaktifkan API yang tidak mematuhi kebijakan, tetapi administrator pelanggan dengan izin yang memadai untuk membuat folder Assured Workloads dapat mengaktifkan API yang tidak mematuhi kebijakan. Jika hal ini terjadi, pelanggan akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak mematuhi ITAR. Pelanggan bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk workload ITAR.
Transfer pihak ketiga BigQuery tidak memverifikasi kepatuhan ITAR untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Pelanggan bertanggung jawab untuk memverifikasi kepatuhan ITAR saat menggunakan transfer pihak ketiga apa pun untuk BigQuery Data Transfer Service.
Model BQML yang tidak mematuhi kebijakan Model BQML yang dilatih secara eksternal tidak mematuhi ITAR.
Tugas kueri Tugas kueri dengan data teknis ITAR harus dibuat hanya dalam project ITAR.
Kueri pada set data ITAR dari project non-ITAR BigQuery tidak mencegah set data ITAR dikueri dari project non-ITAR. Pelanggan harus memastikan bahwa kueri apa pun yang memiliki operasi baca atau gabungan pada data teknis ITAR ditempatkan di folder yang sesuai dengan ITAR. Pelanggan dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kuerinya menggunakan projectname.dataset.table di BigQuery CLI.
Cloud Logging BigQuery menggunakan Cloud Logging untuk sejumlah data log pelanggan. Pelanggan harus menonaktifkan bucket logging _default atau membatasi bucket _default ke region AS guna menjaga kepatuhan ITAR menggunakan perintah berikut:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Lihat halaman ini untuk informasi selengkapnya.

Fitur Compute Engine

Fitur Deskripsi
Konsol Google Cloud Fitur Compute Engine berikut tidak tersedia di Konsol Google Cloud. Gunakan API atau Google Cloud CLI:

  1. Health check
  2. Grup endpoint jaringan
VM Solusi Bare Metal Anda bertanggung jawab untuk tidak menggunakan VM Solusi Bare Metal (o2 VM) karena VM Solusi Bare Metal tidak mematuhi ITAR.

VM Google Cloud VMware Engine Anda bertanggung jawab untuk tidak menggunakan VM Google Cloud VMware Engine, karena VM Google Cloud VMware Engine tidak mematuhi persyaratan ITAR.

Membuat instance VM C3 Fitur ini dinonaktifkan.

Menggunakan persistent disk atau snapshot-nya tanpa CMEK Anda tidak dapat menggunakan persistent disk atau snapshot-nya kecuali jika telah dienkripsi menggunakan CMEK.

Membuat VM atau VM bertingkat yang menggunakan virtualisasi bertingkat Anda tidak dapat membuat VM bertingkat atau VM yang menggunakan virtualisasi bertingkat.

Fitur ini dinonaktifkan karena batasan kebijakan organisasi compute.disableNestedVirtualization yang dijelaskan di bagian di atas.
Menambahkan grup instance ke load balancer global Anda tidak dapat menambahkan grup instance ke load balancer global.

Fitur ini dinonaktifkan karena batasan kebijakan org compute.disableGlobalLoadBalancing yang dijelaskan di bagian atas.
Merutekan permintaan ke load balancer HTTPS eksternal multi-region Anda tidak dapat mengarahkan permintaan ke load balancer HTTPS eksternal multi-region.

Fitur ini dinonaktifkan karena batasan kebijakan org compute.restrictLoadBalancerCreationForTypes yang dijelaskan di bagian di atas.
Berbagi persistent disk SSD dalam mode multi-writer Anda tidak dapat membagikan persistent disk SSD dalam mode multi-writer antara instance VM.
Menangguhkan dan melanjutkan instance VM Fitur ini dinonaktifkan.

Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan org gcp.restrictNonCmekServices di bagian di atas untuk memahami implikasi residensi data jika fitur ini diaktifkan.
SSD lokal Fitur ini dinonaktifkan.

Anda tidak akan dapat membuat instance dengan SSD Lokal karena tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan org gcp.restrictNonCmekServices di bagian di atas untuk memahami implikasi residensi data jika fitur ini diaktifkan.
Lingkungan tamu Skrip, daemon, dan biner dapat disertakan dengan lingkungan tamu untuk mengakses data nonaktif maupun data aktif yang tidak dienkripsi. Bergantung pada konfigurasi VM Anda, update untuk software ini dapat diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang setiap konten paket, kode sumber, dan lainnya.

Komponen ini membantu Anda memenuhi residensi data melalui kontrol dan proses keamanan internal. Namun, untuk pengguna yang menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan, jika diinginkan, menggunakan batasan kebijakan organisasi compute.trustedImageProjects.

Lihat halaman Membuat gambar kustom untuk mengetahui informasi selengkapnya.
instances.getSerialPortOutput() API ini dinonaktifkan; Anda tidak akan bisa mendapatkan output port serial dari instance yang ditentukan menggunakan API ini.

Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di halaman ini.
instances.getScreenshot() API ini dinonaktifkan; Anda tidak akan bisa mengambil screenshot dari instance yang ditentukan menggunakan API ini.

Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di halaman ini.

Fitur Cloud DNS

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud DNS tidak tersedia di Konsol Google Cloud. Gunakan API atau Google Cloud CLI sebagai gantinya.

Fitur Cloud Interconnect

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud Interconnect tidak tersedia di Konsol Google Cloud. Gunakan API atau Google Cloud CLI sebagai gantinya.
VPN ketersediaan tinggi (HA) Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian ini.

Fitur-fitur Cloud Load Balancing

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud Load Balancing tidak tersedia di Konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.
Load balancer regional Anda hanya boleh menggunakan load balancer regional dengan ITAR. Lihat halaman berikut untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi load balancer regional:

Fitur Cloud Logging

Untuk menggunakan Cloud Logging dengan kunci enkripsi yang dikelola pelanggan (CMEK), Anda harus menyelesaikan langkah-langkah di halaman Mengaktifkan CMEK untuk organisasi dalam dokumentasi Cloud Logging.

Fitur Deskripsi
Sink log Jangan masukkan informasi sensitif (data pelanggan) di filter sink. Filter sink diperlakukan sebagai data layanan.
Entri log tailing live Jangan membuat filter yang berisi data pelanggan.

Sesi live tailing menyertakan filter yang disimpan sebagai konfigurasi. Log tailing tidak menyimpan data entri log itu sendiri, tetapi dapat mengkueri dan mengirimkan data lintas region.
Pemberitahuan berbasis log Fitur ini dinonaktifkan.

Anda tidak dapat membuat pemberitahuan berbasis log di Konsol Google Cloud.
URL yang dipersingkat untuk kueri Logs Explorer Fitur ini dinonaktifkan.

Anda tidak dapat membuat URL kueri yang disingkat di Konsol Google Cloud.
Menyimpan kueri di Logs Explorer Fitur ini dinonaktifkan.

Anda tidak dapat menyimpan kueri apa pun di Konsol Google Cloud.
Mencatat data ke dalam log Analytics menggunakan BigQuery Fitur ini dinonaktifkan.

Anda tidak dapat menggunakan fitur Log Analytics.

Fitur Network Connectivity Center

Fitur Deskripsi
Konsol Google Cloud Fitur Network Connectivity Center tidak tersedia di Konsol Google Cloud. Gunakan API atau Google Cloud CLI sebagai gantinya.

Fitur Cloud NAT

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud NAT tidak tersedia di Konsol Google Cloud. Gunakan API atau Google Cloud CLI sebagai gantinya.

Fitur Cloud Router

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud Router tidak tersedia di Konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Fitur Cloud Storage

Fitur Deskripsi
Konsol Google Cloud Untuk menjaga kepatuhan ITAR, Anda bertanggung jawab untuk menggunakan konsol Google Cloud wilayah hukum. Konsol wilayah hukum mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Compliant API endpoint di bawah.
Endpoint API yang mematuhi kebijakan Anda harus menggunakan salah satu endpoint lokasi yang sesuai dengan ITAR dengan Cloud Storage. Endpoint lokasi tersedia untuk semua region AS, multiregion AS, dan region ganda NAM4 yang telah ditetapkan. Endpoint lokasi tidak tersedia untuk region ganda selain region ganda NAM4. Lihat halaman ini untuk informasi selengkapnya tentang lokasi di Cloud Storage.
Pembatasan Anda harus menggunakan endpoint lokasi Cloud Storage agar sesuai dengan ITAR. Guna mengetahui informasi selengkapnya tentang endpoint lokasi Cloud Storage untuk ITAR, lihat Endpoint lokasi untuk kepatuhan ITAR.

Operasi berikut tidak didukung oleh endpoint lokasi. Namun, operasi ini tidak membawa data pelanggan seperti yang ditetapkan dalam persyaratan layanan residensi data. Oleh karena itu, Anda dapat menggunakan endpoint global untuk operasi ini sesuai kebutuhan tanpa melanggar kepatuhan ITAR:
Menyalin dan menulis ulang untuk objek Operasi penyalinan dan penulisan ulang untuk objek didukung oleh endpoint lokasi jika bucket sumber dan tujuan berada di region yang ditentukan pada endpoint. Namun, Anda tidak dapat menggunakan endpoint lokasi untuk menyalin atau menulis ulang objek dari satu bucket ke bucket lain jika bucket ada di lokasi yang berbeda. Endpoint global dapat digunakan untuk menyalin atau menulis ulang lintas lokasi, tetapi kami tidak merekomendasikannya karena hal ini dapat melanggar kepatuhan ITAR.

Fitur GKE

Fitur Deskripsi
Pembatasan resource cluster Pastikan konfigurasi cluster Anda tidak menggunakan resource untuk layanan yang tidak didukung dalam program kepatuhan ITAR. Misalnya, konfigurasi berikut tidak valid karena mengharuskan pengaktifan atau penggunaan layanan yang tidak didukung:

set `binaryAuthorization.evaluationMode` to `enabled`

Fitur VPC

Fitur Deskripsi
Konsol Google Cloud Fitur jaringan VPC tidak tersedia di Konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Fitur Cloud VPN

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud VPN tidak tersedia di Konsol Google Cloud. Gunakan API atau Google Cloud CLI sebagai gantinya.
Enkripsi Anda hanya boleh menggunakan cipher yang mematuhi FIPS 140-2 saat membuat sertifikat dan mengonfigurasi keamanan IP. Lihat halaman ini untuk mengetahui informasi selengkapnya tentang cipher yang didukung di Cloud VPN. Untuk panduan tentang memilih cipher yang sesuai dengan standar FIPS 140-2, lihat halaman ini.

Saat ini, belum ada cara untuk mengubah cipher yang ada di Google Cloud. Pastikan Anda mengonfigurasi cipher di perangkat pihak ketiga yang digunakan dengan Cloud VPN.
Endpoint VPN Anda hanya boleh menggunakan endpoint Cloud VPN yang berlokasi di Amerika Serikat. Pastikan gateway VPN Anda dikonfigurasi untuk digunakan hanya di region AS.

Langkah selanjutnya