Restrictions et limites concernant la certification ITAR
Cette page décrit les restrictions, les limites et d'autres options de configuration lorsque vous utilisez le package de contrôle ITAR.
Présentation
Le package de contrôle ITAR (International Traffic in Arms Regulations) offre des fonctionnalités de contrôle des accès aux données et de résidence pour les services Google Cloud concernés. Certaines des fonctionnalités de ces services sont limitées ou limitées par Google pour être compatibles avec ITAR. La plupart de ces restrictions et limites sont appliquées lors de la création d'un dossier Assured Workloads pour ITAR. Toutefois, certaines d'entre elles peuvent être modifiées ultérieurement en modifiant les règles d'administration. En outre, certaines restrictions et limitations impliquent l'utilisateur de se conformer aux conditions.
Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné, ou affectent l'accès aux données ou leur résidence. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir le maintien des restrictions d'accès aux données et de la résidence des données. De plus, si un paramètre de règle d'administration est modifié, cela peut avoir pour conséquence inattendue la copie de données d'une région à une autre.
Prérequis
Pour rester conforme en tant qu'utilisateur du package de contrôle ITAR, assurez-vous de remplir les conditions préalables suivantes:
- Créez un dossier ITAR à l'aide d'Assured Workloads et déployez vos charges de travail ITAR uniquement dans ce dossier.
- Activer et utiliser uniquement les services ITAR couverts pour les charges de travail ITAR
- Ne modifiez pas les valeurs de contrainte de règle d'administration par défaut, sauf si vous comprenez et acceptez les risques de résidence des données qui peuvent survenir.
- Lorsque vous vous connectez à des points de terminaison de service Google Cloud, vous devez utiliser des points de terminaison régionaux pour les services qui les proposent. Notez en outre les points suivants :
- Lorsque vous vous connectez à des points de terminaison de service Google Cloud à partir de VM autres que Google Cloud (telles que des VM sur site ou d'autres fournisseurs cloud), vous devez utiliser l'une des options d'accès privé disponibles acceptant les connexions à des VM autres que Google Cloud pour acheminer le trafic autre que Google Cloud vers Google Cloud.
- Lorsque vous vous connectez aux points de terminaison de service Google Cloud à partir de VM Google Cloud, vous pouvez utiliser l'une des options d'accès privé disponibles.
- Lorsque vous vous connectez à des VM Google Cloud exposées avec des adresses IP externes, consultez la page Accéder aux API à partir de VM avec des adresses IP externes.
- Pour tous les services utilisés dans un dossier ITAR, ne stockez pas de données techniques dans les types d'informations de configuration de sécurité ou définis par l'utilisateur suivants :
- Messages d'erreur
- Sortie vers la console
- Données d'attribut
- Données de configuration du service
- En-têtes de paquets réseau
- Identifiants de ressources
- Étiquettes de données
- N'utilisez que les points de terminaison régionaux ou locaux spécifiés pour les services qui les proposent. Pour en savoir plus, consultez la section Services ITAR couverts.
- Envisagez d'adopter les bonnes pratiques générales de sécurité fournies dans le Centre des bonnes pratiques de sécurité Google Cloud.
Services couverts
Les services suivants sont compatibles avec ITAR:
- Artifact Registry
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Cloud privé virtuel (VPC)
- VPC Service Controls
- Cloud Interconnect
- Cloud Router
- Identity-Aware Proxy
- Cloud Monitoring
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
Règles d'administration
Cette section décrit comment chaque service est affecté par les valeurs de contrainte de règle d'administration par défaut lorsque des dossiers ou des projets sont créés à l'aide de ITAR. D'autres contraintes applicables, même si elles ne sont pas définies par défaut, peuvent constituer une"défense en profondeur" supplémentaire pour mieux protéger les ressources Google Cloud de votre organisation.
Contraintes liées aux règles d'administration à l'échelle du cloud
Les contraintes liées aux règles d'administration suivantes s'appliquent à tout service Google Cloud applicable.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez in:us-locations en tant qu'élément de liste allowedValues.Cette valeur limite la création de ressources au groupe de valeurs "US". Lorsque cette option est définie, aucune ressource ne peut être créée dans d'autres régions, emplacements multirégionaux ni emplacements situés en dehors des États-Unis. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration. La modification de cette valeur en la rendant moins restrictive peut compromettre la résidence des données en permettant la création ou le stockage de données en dehors de la limite des données des États-Unis. Par exemple, vous pouvez remplacer le groupe de valeurs in:us-locations par le groupe de valeurs in:northamerica-locations.
|
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service répertorié nécessite des clés de chiffrement gérées par le client (CMEK). Le chiffrement CMEK garantit que les données au repos sont chiffrées à l'aide d'une clé que vous gérez, et non à l'aide des mécanismes de chiffrement par défaut de Google. Modifier cette valeur en supprimant un ou plusieurs services couverts de la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés de Google plutôt que des vôtres. Les données au repos existantes resteront chiffrées à l'aide de la clé que vous avez fournie. |
gcp.restrictCmekCryptoKeyProjects |
Définissez-le sur toutes les ressources du dossier ITAR que vous avez créé. Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés KMS pour chiffrer les données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou les projets non approuvés de fournir des clés de chiffrement, contribuant ainsi à garantir la souveraineté des données pour les données au repos des services couverts. |
gcp.restrictServiceUsage |
Définissez ce paramètre pour autoriser tous les services couverts. Détermine quels services peuvent être activés et utilisés. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail. |
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.disableGlobalLoadBalancing |
Défini sur True. Désactive la création de produits d'équilibrage de charge mondiaux. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie. |
compute.disableGlobalSelfManagedSslCertificate |
Défini sur True. Désactive la création de certificats SSL autogérés au niveau mondial. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie. |
compute.disableInstanceDataAccessApis |
Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot().L'activation de cette règle d'administration vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit :
|
compute.disableNestedVirtualization |
Défini sur True. Désactive la virtualisation imbriquée avec accélération matérielle pour toutes les VM Compute Engine du dossier ITAR. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie. |
compute.enableComplianceMemoryProtection |
Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour fournir une protection supplémentaire du contenu de la mémoire en cas de défaillance d'infrastructure. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie. |
compute.restrictNonConfidentialComputing |
(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur les Confidential VMs. |
compute.restrictLoadBalancerCreationForTypes |
Définissez ce paramètre pour autoriser toutes les valeurs, à l'exception de GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Pour en savoir plus, consultez la page
Choisir un équilibreur de charge.
|
Contraintes liées aux règles d'administration de Google Kubernetes Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données de votre charge de travail. Nous vous recommandons de conserver la valeur définie. |
Fonctionnalités concernées
Cette section décrit l'impact de la norme ITAR sur les fonctionnalités de chaque service, y compris les exigences des utilisateurs lors de l'utilisation d'une fonctionnalité.
Fonctionnalités de BigQuery
| Sélection | Description |
|---|---|
| Activer BigQuery sur un nouveau dossier | BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Ce processus se termine normalement en 10 minutes, mais peut prendre beaucoup plus de temps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit:
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. |
| Fonctionnalités non compatibles | Les fonctionnalités BigQuery suivantes ne sont pas compatibles avec la conformité ITAR et ne doivent pas être utilisées dans la CLI BigQuery. Il incombe au client de ne pas les utiliser dans BigQuery pour les charges de travail ITAR.
|
| Intégrations non compatibles | Les intégrations BigQuery suivantes ne sont pas compatibles avec la norme ITAR. Il incombe au client de ne pas les utiliser avec BigQuery pour les charges de travail ITAR.
|
| API BigQuery conformes | Les API BigQuery suivantes sont conformes à la norme ITAR:
|
| Régions | BigQuery est conforme à la norme ITAR pour toutes les régions BigQuery des États-Unis, à l'exception de l'emplacement multirégional des États-Unis. La conformité ITAR ne peut pas être garantie si un ensemble de données est créé dans un emplacement multirégional des États-Unis, une région en dehors des États-Unis ou un emplacement multirégional non américain. Il est de la responsabilité du client de spécifier une région conforme à la norme ITAR lorsque vous créez des ensembles de données BigQuery. Si une requête de liste de données de table est envoyée à l'aide d'une région des États-Unis, mais que l'ensemble de données a été créé dans une autre région américaine, BigQuery ne peut pas déduire la région souhaitée par le client et l'opération échoue et renvoie le message d'erreur "Ensemble de données introuvable". |
| Console Google Cloud | L'interface utilisateur de BigQuery dans la console Google Cloud est conforme à la norme ITAR.
|
| CLI BigQuery | La CLI BigQuery est conforme à la norme ITAR.
|
| SDK Google Cloud | Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour gérer les garanties de régionalisation des données techniques ITAR. Pour vérifier votre version actuelle de Google Cloud SDK, exécutez gcloud --version, puis gcloud components update pour passer à la version la plus récente.
|
| Commandes d'administration | BigQuery désactivera les API non conformes, mais les administrateurs du client disposant des autorisations suffisantes pour créer un dossier Assured Workloads peuvent activer une API non conforme. Le cas échéant, le client sera informé en cas de non-conformité potentielle via le tableau de bord de surveillance Assured Workloads. |
| Chargement des données | Les connecteurs de service de transfert de données BigQuery pour les applications SaaS (Software as a Service) Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas conformes à la norme ITAR. Il appartient au client de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour les charges de travail ITAR. |
| Transferts tiers | BigQuery ne vérifie pas la conformité ITAR pour les transferts tiers pour le service de transfert de données BigQuery. Il appartient au client de vérifier la conformité ITAR lorsqu'il utilise un transfert tiers pour le service de transfert de données BigQuery. |
| Modèles BQML non conformes | Les modèles BQML entraînés en externe ne sont pas conformes à la norme ITAR. |
| Tâches de requête | Les jobs de requête contenant des données techniques ITAR ne doivent être créés que dans des projets ITAR. |
| Requêtes sur des ensembles de données ITAR provenant de projets non-ITAR | BigQuery n'empêche pas les ensembles de données ITAR d'être interrogés à partir de projets non-ITAR. Les clients doivent s'assurer que toute requête comportant une lecture ou une jointure sur des données techniques ITAR doit être placée dans un dossier conforme à la norme ITAR.
Les clients peuvent spécifier un nom de table complet pour le résultat de leur requête à l'aide de projectname.dataset.table dans la CLI BigQuery. |
| Cloud Logging | BigQuery utilise Cloud Logging pour récupérer certaines données de journaux client.
Pour maintenir la conformité ITAR, les clients doivent désactiver leurs buckets de journalisation _default ou limiter leurs buckets _default aux régions des États-Unis à l'aide de la commande suivante:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkPour en savoir plus, consultez cette page. |
Fonctionnalités de Compute Engine
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI : |
| VM de la solution Bare Metal | Il est de votre responsabilité de ne pas utiliser les VM de la solution Bare Metal (VM o2), car celles de la solution Bare Metal ne sont pas conformes aux normes ITAR.
|
| VM Google Cloud VMware Engine | Il est de votre responsabilité de ne pas utiliser de VM Google Cloud VMware Engine, car celles-ci ne sont pas conformes aux normes ITAR.
|
| Créer une instance de VM C3 | Cette fonctionnalité est désactivée. |
| Utiliser des disques persistants ou leurs instantanés sans CMEK | Vous ne pouvez pas utiliser de disques persistants ni leurs instantanés, sauf s'ils ont été chiffrés à l'aide de CMEK. |
| Créer des VM imbriquées ou des VM utilisant la virtualisation imbriquée | Vous ne pouvez pas créer de VM imbriquées ni de VM qui utilisent la virtualisation imbriquée. Cette fonctionnalité est désactivée par la contrainte de règle d'administration compute.disableNestedVirtualization décrite dans la section ci-dessus.
|
| Ajouter un groupe d'instances à un équilibreur de charge global | Vous ne pouvez pas ajouter un groupe d'instances à un équilibreur de charge global. Cette fonctionnalité est désactivée par la contrainte de règle d'administration compute.disableGlobalLoadBalancing décrite dans la section ci-dessus.
|
| Acheminer des requêtes vers un équilibreur de charge HTTPS externe multirégional | Vous ne pouvez pas acheminer les requêtes vers un équilibreur de charge HTTPS externe multirégional. Cette fonctionnalité est désactivée par la contrainte de règle d'administration compute.restrictLoadBalancerCreationForTypes décrite dans la section ci-dessus.
|
| Partager un disque persistant SSD en mode multi-écrivain | Vous ne pouvez pas partager un disque persistant SSD en mode multi-écrivain entre les instances de VM. |
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un espace de stockage sur disque persistant. Le stockage sur disque persistant utilisé pour stocker l'état de la VM suspendue ne peut pas être chiffré à l'aide d'une clé CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité sur la résidence des données.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de clés CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité sur la résidence des données.
|
| Environnement invité |
Les scripts, les daemons et les binaires inclus dans l'environnement invité peuvent accéder aux données non chiffrées au repos et en cours d'utilisation.
Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Consultez la section
Environnement invité pour obtenir des informations spécifiques sur le contenu de chaque package, le code source, etc. Ces composants vous aident à respecter la résidence des données grâce à des contrôles et des processus de sécurité internes. Toutefois, pour les utilisateurs qui souhaitent davantage de contrôle, vous pouvez également sélectionner vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects.
Pour en savoir plus, consultez la page Créer une image personnalisée. |
instances.getSerialPortOutput() |
Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de
cette page.
|
instances.getScreenshot() |
Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de
cette page.
|
Fonctionnalités de Cloud DNS
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités Cloud DNS ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
Fonctionnalités de Cloud Interconnect
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités Cloud Interconnect ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
| VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation décrites dans cette section. |
Fonctionnalités de Cloud Load Balancing
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités de Cloud Load Balancing ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
| Équilibreurs de charge régionaux | Vous ne devez utiliser que des équilibreurs de charge régionaux avec ITAR. Consultez les pages suivantes pour en savoir plus sur la configuration des équilibreurs de charge régionaux: |
Fonctionnalités de Cloud Logging
Pour utiliser Cloud Logging avec des clés de chiffrement gérées par le client (CMEK), vous devez suivre la procédure décrite sur la page Activer CMEK pour une organisation dans la documentation Cloud Logging.
| Sélection | Description |
|---|---|
| Récepteurs de journaux | N'insérez pas d'informations sensibles (données client) dans les filtres de récepteurs. Les filtres de récepteurs sont traités comme des données de service. |
| Affichage en direct des dernières lignes des entrées de journal | Ne créez pas de filtres contenant des données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. Les journaux de fin ne stockent aucune donnée d'entrée de journal, mais peuvent interroger et transmettre des données d'une région à l'autre. |
| Alertes basées sur des journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud. |
| URL raccourcies pour les requêtes de l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud. |
| Enregistrer des requêtes dans l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud. |
| Analyse de journaux avec BigQuery | Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité Analyse de journaux. |
Fonctionnalités de Cloud Monitoring
| Sélection | Description |
|---|---|
| Écran synthétique | Cette fonctionnalité est désactivée. |
| Test de disponibilité | Cette fonctionnalité est désactivée. |
| Widgets de panneau de journal dans les tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journal à un tableau de bord. |
| Widgets de panneau Error Reporting dans les tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau Error Reporting à un tableau de bord. |
Filtrez dans EventAnnotation pour Tableaux de bord.
|
Cette fonctionnalité est désactivée. Le filtre EventAnnotation ne peut pas être défini dans un tableau de bord.
|
Fonctionnalités de Network Connectivity Center
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités de Network Connectivity Center ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
Fonctionnalités de Cloud NAT
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités Cloud NAT ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
Fonctionnalités de Cloud Router
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités Cloud Router ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
Fonctionnalités de Cloud SQL
| Sélection | Description |
|---|---|
| Exportation au format CSV | L'exportation au format CSV n'est pas conforme à la norme ITAR et ne doit pas être utilisée. Cette fonctionnalité est désactivée dans la console Google Cloud. |
executeSql |
La méthode executeSql de l'API Cloud SQL n'est pas conforme à la norme ITAR et ne doit pas être utilisée. |
Fonctionnalités de Cloud Storage
| Sélection | Description |
|---|---|
| Console Google Cloud | Pour assurer la conformité ITAR, il est de votre responsabilité d'utiliser la console Google Cloud juridictionnelle. La console Juridictionnelle empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison de l'API conforme ci-dessous. |
| Points de terminaison d'API conformes | Vous devez utiliser l'un des points de terminaison locaux conformes à la norme ITAR avec Cloud Storage. Les points de terminaison géographiques sont disponibles pour toutes les régions des États-Unis, l'emplacement multirégional des États-Unis et l'emplacement birégional prédéfini NAM4.
Les points de terminaison géographiques ne sont pas disponibles pour les emplacements birégionaux autres que l'emplacement birégional NAM4. Pour en savoir plus sur les emplacements dans Cloud Storage, consultez cette page.
|
| Restrictions | Vous devez utiliser les points de terminaison locaux Cloud Storage pour être conformes à la norme ITAR. Pour en savoir plus sur les points de terminaison locaux Cloud Storage pour l'ITAR, consultez la page Points de terminaison locaux pour la conformité ITAR. Les opérations suivantes ne sont pas compatibles avec les points de terminaison locaux. Toutefois, ces opérations ne portent pas sur les données client telles que définies dans les Conditions d'utilisation du service de résidence des données. Par conséquent, vous pouvez utiliser des points de terminaison mondiaux pour ces opérations si nécessaire, sans enfreindre la conformité ITAR : |
| Copier et réécrire des objets | Les opérations de copie et de réécriture pour les objets sont acceptées par les points de terminaison locaux si les buckets sources et de destination se trouvent dans la région spécifiée dans le point de terminaison. Toutefois, vous ne pouvez pas utiliser de points de terminaison locaux pour copier ou réécrire un objet d'un bucket à un autre si les buckets se trouvent à des emplacements différents. Il est possible d'utiliser des points de terminaison mondiaux pour copier ou réécrire d'un emplacement à un autre, mais nous vous déconseillons de le faire, car cela peut enfreindre la conformité ITAR. |
Fonctionnalités de GKE
| Sélection | Description |
|---|---|
| Restrictions de ressources de cluster | Assurez-vous que la configuration de votre cluster n'utilise pas de ressources pour des services non compatibles avec le programme de conformité ITAR. Par exemple, la configuration suivante n'est pas valide, car elle nécessite l'activation ou l'utilisation d'un service non compatible:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Fonctionnalités VPC
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités de mise en réseau VPC ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
Fonctionnalités de Cloud VPN
| Sélection | Description |
|---|---|
| Console Google Cloud | Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI. |
| Chiffrement | Vous ne devez utiliser que des algorithmes de chiffrement conformes à la norme FIPS 140-2 lorsque vous créez des certificats et configurez la sécurité de vos adresses IP. Pour en savoir plus sur les algorithmes de chiffrement compatibles avec Cloud VPN, consultez cette page. Pour savoir comment choisir un algorithme de chiffrement conforme aux normes FIPS 140-2, consultez cette page. Il n'existe actuellement aucun moyen de modifier un algorithme de chiffrement existant dans Google Cloud. Assurez-vous de configurer l'algorithme de chiffrement sur le dispositif tiers utilisé avec Cloud VPN. |
| Points de terminaison VPN | Vous ne devez utiliser que des points de terminaison Cloud VPN situés aux États-Unis. Assurez-vous que votre passerelle VPN est configurée pour être utilisée dans une région des États-Unis uniquement. |
Étapes suivantes
- Découvrez le package de contrôle ITAR.
- Découvrez les produits compatibles avec chaque package de contrôle.