Esta página foi traduzida pela API Cloud Translation.

Restrições e limitações da ITAR

Esta página descreve as restrições, limitações e outras opções de configuração ao usar o pacote de controle ITAR.

Visão geral

O pacote de controle da Regulamentação sobre Tráfico Internacional de Armas (ITAR, na sigla em inglês) ativa recursos de controle de acesso a dados e residência para serviços do Google Cloud no escopo. Alguns dos recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com a ITAR. A maioria dessas restrições e limitações é aplicada durante a criação de uma nova pasta do Assured Workloads para o ITAR. No entanto, algumas delas podem ser alteradas mais tarde modificando as políticas da organização. Além disso, algumas restrições e limitações exigem a responsabilidade do usuário pela adesão.

É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam o acesso ou a residência dos dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir que as restrições de acesso aos dados e a residência dos dados sejam mantidas. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.

Pré-requisitos

Para continuar em conformidade como usuário do pacote de controle ITAR, você precisa atender e aderir aos seguintes pré-requisitos:

Crie uma pasta ITAR usando Assured Workloads e implante suas cargas de trabalho ITAR apenas nessa pasta.
Só ative e use serviços ITAR no escopo para cargas de trabalho ITAR.
Não altere os valores de restrição da política da organização padrão, a menos que você entenda e esteja disposto a aceitar os riscos que podem ocorrer na residência de dados.
Ao se conectar a endpoints de serviço do Google Cloud, você precisa usar endpoints regionais para serviços que os oferecem. Além disso:
- Ao se conectar a endpoints de serviço do Google Cloud de VMs que não são do Google Cloud, como VMs locais ou de outros provedores de nuvem, você precisa usar uma das opções de acesso particular disponíveis que são compatíveis com conexões a VMs que não são do Google Cloud para rotear o tráfego que não é do Google Cloud para o Google Cloud.
- Ao se conectar a endpoints de serviço do Google Cloud nas VMs do Google Cloud, é possível usar qualquer uma das opções de acesso particular disponíveis.
- Ao se conectar a VMs do Google Cloud que foram expostas com endereços IP externo, consulte Acessar APIs de VMs com IP externo externos.
Para todos os serviços usados em uma pasta ITAR, não armazene dados técnicos nos seguintes tipos de informações de configuração definidas pelo usuário ou de configuração de segurança:
- Mensagens de erro
- Saída do console
- Dados do atributo
- Dados de configuração do serviço
- Cabeçalhos de pacotes de rede
- Identificadores de recursos
- Rótulos de dados
Use apenas os endpoints regionais ou de localização especificados para os serviços que os oferecem. Consulte serviços ITAR no escopo para mais informações.
Adote as práticas recomendadas gerais de segurança fornecidas na Central de práticas recomendadas de segurança do Google Cloud.

Serviços em escopo

Os seguintes serviços são compatíveis com o ITAR:

Artifact Registry
BigQuery
- Recursos afetados
Google Kubernetes Engine
- Políticas da organização
- Recursos afetados
Identity and Access Management (IAM)
Compute Engine
- Políticas da organização
- Recursos afetados
Cloud SQL
- Recursos afetados
Cloud Storage
- Recursos afetados
Persistent Disk
Cloud Load Balancing
- Recursos afetados
Cloud Logging
- Recursos afetados
Cloud VPN
- Recursos afetados
Nuvem privada virtual (VPC)
- Recursos afetados
VPC Service Controls
Cloud Interconnect
- Recursos afetados
Cloud Router
- Recursos afetados
Identity-Aware Proxy
Cloud Monitoring
- Recursos afetados
Network Connectivity Center
- Recursos afetados
Cloud NAT
- Recursos afetados
Cloud DNS
- Recursos afetados
Cloud Key Management Service (Cloud KMS)
Cloud External Key Manager (Cloud EKM)
Cloud HSM

Políticas da organização

Nesta seção, descrevemos como cada serviço é afetado pelos valores de restrição da política padrão da organização quando pastas ou projetos são criados usando o ITAR. Outras restrições aplicáveis, mesmo que não definidas por padrão, podem fornecer uma "defesa em profundidade" adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.

Restrição da política da organização	Descrição
`gcp.resourceLocations`	Defina como `in:us-locations` como o item da lista `allowedValues`. Esse valor restringe a criação de novos recursos apenas ao grupo de valor dos EUA. Quando definido, nenhum recurso pode ser criado em outras regiões, multirregiões ou locais fora dos EUA. Consulte a documentação Grupos de valores de política da organização para mais informações. Mudar esse valor tornando-o menos restritivo pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite de dados dos EUA. Por exemplo: substituir o grupo de valores `in:us-locations` pelo grupo de valores `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Alguns recursos podem ser afetados para cada um dos serviços listados acima. Consulte a seção Recursos afetados abaixo. Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). A CMEK garante que os dados em repouso sejam criptografados com uma chave gerenciada por você, e não com os mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços do escopo da lista pode prejudicar a soberania de dados, já que os novos dados em repouso serão criptografados automaticamente usando as próprias chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
`gcp.restrictCmekCryptoKeyProjects`	Defina como todos os recursos na pasta ITAR que você criou. Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves KMS para criptografar dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo.
`gcp.restrictServiceUsage`	Defina para permitir todos os serviços no escopo. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
`compute.disableGlobalLoadBalancing`	Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga globais. Mudar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.
`compute.disableGlobalSelfManagedSslCertificate`	Definido como Verdadeiro. Desativa a criação de certificados SSL globais e autogerenciados. Mudar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.
`compute.disableInstanceDataAccessApis`	Definido como Verdadeiro. Desativa globalmente as APIs `instances.getSerialPortOutput()` e `instances.getScreenshot()`. A ativação desta política da organização impede a geração de credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte: Ative o SSH para VMs do Windows. Execute o seguinte comando para alterar a senha da VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Substitua: `VM_NAME`: o nome da VM para a qual você está definindo a senha. `USERNAME`: o nome de usuário do usuário para quem você está definindo a senha. `PASSWORD`: a nova senha.
`compute.disableNestedVirtualization`	Definido como Verdadeiro. Desativa a virtualização aninhada acelerada por hardware para todas as VMs do Compute Engine na pasta ITAR. Mudar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.
`compute.enableComplianceMemoryProtection`	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Mudar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.
`compute.restrictNonConfidentialComputing`	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Consulte a documentação sobre VMs confidenciais para mais informações.
`compute.restrictLoadBalancerCreationForTypes`	Defina para permitir todos os valores, exceto `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS`. Consulte Escolher um balanceador de carga para mais informações.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
`container.restrictNoncompliantDiagnosticDataAccess`	Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a soberania de dados na carga de trabalho. Recomendamos manter o valor definido.

Recursos afetados

Esta seção lista como os recursos de cada serviço são afetados pela ITAR, incluindo requisitos do usuário ao usar um recurso.

Recursos do BigQuery

Engenharia de	Descrição
Como ativar o BigQuery em uma nova pasta	O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Esse processo normalmente termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas: No console do Google Cloud, acesse a página Assured Workloads. Acessar o Assured Workloads Selecione sua nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Analisar atualizações disponíveis. No painel Serviços permitidos, revise os serviços a serem adicionados à política da organização Restrição de uso de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los. Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care. Depois que o processo de ativação for concluído, será possível usar o BigQuery na sua pasta do Assured Workloads.
Recursos não compatíveis	Os recursos do BigQuery a seguir não têm suporte na conformidade com a ITAR e não podem ser usados na CLI do BigQuery. É responsabilidade do cliente não usá-los no BigQuery para cargas de trabalho ITAR. Interação com fontes de dados remotas Os modelos BQML treinados externamente não estão em conformidade com a ITAR. Os modelos do BQML treinados internamente estão em conformidade com a ITAR. Consultas programadas e federadas Mascaramento de dados dinâmico Exportação para o GDrive Funções remotas Consultas salvas Programação do fluxo de trabalho No BigQuery Studio, os notebooks não são compatíveis.
Integrações não compatíveis	As integrações do BigQuery a seguir não são compatíveis com a ITAR. É responsabilidade do cliente não usá-los com o BigQuery para cargas de trabalho ITAR. Os métodos de API `CreateTag`, `SearchCatalog`, `Bulk tagging` e `Business Glossary` da API Data Catalog podem processar e armazenar dados técnicos ITAR de uma maneira que não é compatível com ITAR. É responsabilidade do cliente não usar esses métodos para cargas de trabalho ITAR.
APIs do BigQuery em conformidade	As seguintes APIs do BigQuery são compatíveis com a ITAR: Conjuntos de dados Jobs Modelos Projetos Reservas Rotinas Políticas de acesso de linha Leitura de armazenamento Gravação de armazenamento Tables Dados da tabela A API Reservas não está ativada por padrão. Ative a API seguindo as instruções nesta página.
Regiões	O BigQuery é compatível com a ITAR em todas as regiões dos EUA do BigQuery, exceto a multirregião dos EUA. A conformidade com a ITAR não pode ser garantida se um conjunto de dados for criado em uma multirregião dos EUA, região fora dos EUA ou multirregião fora dos EUA. É responsabilidade do cliente especificar uma região em conformidade com a ITAR ao criar conjuntos de dados do BigQuery. Se uma solicitação de lista de dados de tabela for enviada usando uma região dos EUA, mas o conjunto de dados tiver sido criado em outra, o BigQuery não poderá inferir a região que o cliente queria e a operação falhará com a mensagem de erro "conjunto de dados não encontrado".
Console do Google Cloud	A interface do usuário do BigQuery no console do Google Cloud é compatível com a ITAR.
CLI do BigQuery	A CLI do BigQuery é compatível com ITAR.
SDK Google Cloud	Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados para dados técnicos da ITAR. Para verificar sua versão atual do SDK Google Cloud, execute `gcloud --version` e, em seguida, `gcloud components update` para atualizar para a versão mais recente.
Controles do administrador	O BigQuery vai desativar as APIs que não estiverem em conformidade, mas administradores de clientes com permissões suficientes para criar uma pasta do Assured Workloads poderão ativar uma API incompatível. Se isso ocorrer, o cliente será notificado sobre possíveis não conformidades por meio do painel de monitoramento do Assured Workloads.
Como carregar os dados	Os conectores do serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) do Google, provedores externos de armazenamento em nuvem e data warehouses não estão em conformidade com a ITAR. É responsabilidade do cliente não usar os conectores do serviço de transferência de dados do BigQuery para cargas de trabalho ITAR.
Transferências de terceiros	O BigQuery não verifica a conformidade com a ITAR em transferências de terceiros para o serviço de transferência de dados do BigQuery. É responsabilidade do cliente verificar a conformidade com a ITAR ao usar qualquer transferência de terceiros no serviço de transferência de dados do BigQuery.
Modelos do BQML sem compliance	Os modelos BQML treinados externamente não estão em conformidade com a ITAR.
Jobs de consulta	Jobs de consulta com dados técnicos ITAR devem ser criados apenas dentro de projetos ITAR.
Consultas em conjuntos de dados ITAR de projetos não ITAR	O BigQuery não impede que os conjuntos de dados ITAR sejam consultados em projetos não ITAR. Os clientes precisam garantir que qualquer consulta que tenha uma leitura ou uma junção de dados técnicos da ITAR seja colocada em uma pasta compatível com a ITAR. Os clientes podem especificar um nome de tabela totalmente qualificado para o resultado da consulta usando `projectname.dataset.table` na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dados de registro dos clientes. Os clientes precisam desativar os buckets do Logging `_default` ou restringir os buckets do `_default` às regiões dos EUA para manter a conformidade com a ITAR usando o seguinte comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Consulte esta página para mais informações.

Recursos do Compute Engine

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI: Verificações de integridade Grupos de endpoints de rede
VMs da Solução Bare Metal	Você é responsável por não usar VMs da Solução Bare Metal (o2 VMs) porque as VMs da Solução Bare Metal não estão em conformidade com o ITAR.
VMs do Google Cloud VMware Engine	Você é responsável por não usar VMs do Google Cloud VMware Engine, porque elas não estão em conformidade com o ITAR.
Como criar uma instância de VM C3	Esse recurso está desativado.
Usar discos permanentes ou os snapshots deles sem CMEKs	Não é possível usar discos permanentes ou os snapshots deles, a menos que tenham sido criptografados com CMEK.
Como criar VMs aninhadas ou que usam virtualização aninhada	Não é possível criar VMs aninhadas ou VMs que usam virtualização aninhada. Esse recurso foi desativado pela restrição da política da organização `compute.disableNestedVirtualization` descrita na seção acima.
Como adicionar um grupo de instâncias a um balanceador de carga global	Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Esse recurso foi desativado pela restrição da política da organização `compute.disableGlobalLoadBalancing` descrita na seção acima.
Rotear solicitações para um balanceador de carga HTTPS externo multirregional	Não é possível rotear solicitações para um balanceador de carga HTTPS externo multirregional. Esse recurso foi desativado pela restrição da política da organização `compute.restrictLoadBalancerCreationForTypes` descrita na seção acima.
Como compartilhar um disco permanente SSD no modo de vários gravadores	Não é possível compartilhar um disco permanente SSD no modo de vários gravadores entre instâncias de VM.
Como suspender e retomar uma instância de VM	Este recurso está desativado. Suspender e retomar uma instância de VM requer armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado com CMEK. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da residência de dados de ativar esse recurso.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados com CMEK. Consulte a restrição da política da organização `gcp.restrictNonCmekServices` na seção acima para entender as implicações da residência de dados de ativar esse recurso.
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para ver informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam você a atender à residência dos dados por meio de processos e controles de segurança internos. No entanto, para usuários que querem mais controle, também é possível selecionar suas próprias imagens ou agentes e, opcionalmente, usar a restrição da política da organização `compute.trustedImageProjects`. Consulte a página Como criar uma imagem personalizada para mais informações.
`instances.getSerialPortOutput()`	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções nesta página.
`instances.getScreenshot()`	Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API. Mude o valor da restrição da política da organização `compute.disableInstanceDataAccessApis` para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções nesta página.

Recursos do Cloud DNS

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Cloud DNS não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.

Recursos do Cloud Interconnect

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Cloud Interconnect não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.
VPN de alta disponibilidade (HA)	Ative a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, é preciso aderir aos requisitos de criptografia e regionalização listados nesta seção.

Recursos do Cloud Load Balancing

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Cloud Load Balancing não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.
Balanceadores de carga regionais	Use apenas balanceadores de carga regionais com o ITAR. Consulte as páginas a seguir para mais informações sobre como configurar balanceadores de carga regionais: Balanceador de carga de aplicativo interno Balanceador de carga de aplicativo externo regional Balanceador de carga de rede de passagem interna Balanceador de carga de rede de passagem externo

Recursos do Cloud Logging

Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK), é preciso concluir as etapas na página Ativar CMEK para uma organização na documentação do Cloud Logging.

Engenharia de	Descrição
Coletores de registros	Não coloque informações sensíveis (dados do cliente) em filtros de coletor. Os filtros de coletor são tratados como dados de serviço.
Entradas de registro de acompanhamento ao vivo	Não crie filtros com dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de acompanhamento não armazenam dados de entrada de registro, mas podem consultar e transmitir dados entre regiões.
Alertas com base em registros	Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud.
URLs encurtados para consultas do Buscador de registros	Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console do Google Cloud.
Salvar consultas no Buscador de registros	Este recurso está desativado. Não é possível salvar consultas no console do Google Cloud.
Registrar análises usando o BigQuery	Este recurso está desativado. Não é possível usar o recurso de análise de registros.

Recursos do Cloud Monitoring

Engenharia de	Descrição
Monitor sintético	Este recurso está desativado.
Verificação de tempo de atividade	Este recurso está desativado.
Widgets do painel de registros em Painéis	Este recurso está desativado. Não é possível adicionar um painel de registro a um painel.
Widgets do painel do Error Reporting em Painéis	Este recurso está desativado. Não é possível adicionar um painel de relatórios de erros a um painel.
Filtre em `EventAnnotation` para Painéis	Este recurso está desativado. O filtro de `EventAnnotation` não pode ser definido em um painel.

Recursos do Network Connectivity Center

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Network Connectivity Center não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.

Recursos do Cloud NAT

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Cloud NAT não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.

Recursos do Cloud Router

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Cloud Router não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.

Recursos do Cloud SQL

Engenharia de	Descrição
Exportando para CSV	A exportação para CSV não está em conformidade com a ITAR e não pode ser usada. Esse recurso está desativado no console do Google Cloud.
`executeSql`	O método `executeSql` da API Cloud SQL não está em conformidade com a ITAR e não pode ser usado.

Recursos do Cloud Storage

Engenharia de	Descrição
Console do Google Cloud	Para manter a conformidade com a ITAR, é sua responsabilidade usar o Console legal do Google Cloud. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints da API em conformidade abaixo.
Endpoints de API em conformidade	Use um dos endpoints de localização em conformidade com a ITAR com o Cloud Storage. Os endpoints de localização estão disponíveis para todas as regiões dos EUA, a multirregião dos EUA e a birregional `NAM4` predefinida. Os endpoints de localização não estão disponíveis para regiões birregionais além da `NAM4` local birregional. Consulte esta página para mais informações sobre locais no Cloud Storage.
Restrições	É preciso usar os endpoints de localização do Cloud Storage para estar em conformidade com a ITAR. Para mais informações sobre endpoints de localização do Cloud Storage para ITAR, consulte Endpoints de localização para conformidade com a ITAR. As operações a seguir não são compatíveis com endpoints de localização. No entanto, essas operações não transportam dados do cliente conforme definido nos termos do serviço de residência de dados. Portanto, é possível usar endpoints globais para essas operações conforme necessário sem violar a conformidade com a ITAR: Operações de chave HMAC Operações da conta de serviço do IAM Notificações do Pub/Sub Notificações de alteração de objetos Se um usuário tentar executar uma operação sem suporte usando endpoints de localização, o Cloud Storage retornará um código de erro HTTP 400 com a mensagem de erro: `This endpoint does not implement this operation. Please use the global endpoint.`
Copiar e reescrever para objetos	As operações de cópia e regravação de objetos serão compatíveis com endpoints de localização se os buckets de origem e de destino estiverem na região especificada no endpoint. No entanto, não é possível usar endpoints de localização para copiar ou regravar um objeto de um bucket para outro se os buckets estiverem em locais diferentes. É possível usar endpoints globais para copiar ou reescrever em vários locais, mas isso não é recomendado porque pode violar a conformidade com a ITAR.

Recursos do GKE

Engenharia de	Descrição
Restrições de recursos do cluster	Verifique se a configuração do cluster não usa recursos para serviços que não são compatíveis com o programa de conformidade ITAR. Por exemplo, a configuração a seguir é inválida porque exige a ativação ou o uso de um serviço sem suporte: set `binaryAuthorization.evaluationMode` to `enabled`

Recursos da VPC

Engenharia de	Descrição
Console do Google Cloud	Os recursos de rede VPC não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.

Recursos do Cloud VPN

Engenharia de	Descrição
Console do Google Cloud	Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.
Criptografia	Use apenas criptografias compatíveis com FIPS 140-2 ao criar certificados e configurar a segurança de IP. Consulte esta página para mais informações sobre criptografias aceitas no Cloud VPN. Para orientações sobre como selecionar uma criptografia em conformidade com os padrões FIPS 140-2, consulte esta página. No momento, não é possível alterar uma criptografia atual no Google Cloud. Configure sua criptografia no dispositivo de terceiros usado com o Cloud VPN.
Endpoints de VPN	Use somente endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway de VPN está configurado para uso apenas na região dos EUA.

A seguir

Saiba mais sobre o pacote de controle ITAR.
Saiba quais produtos são aceitos em cada pacote de controle.