Einschränkungen für ITAR

Auf dieser Seite werden die Einschränkungen, Einschränkungen und weiteren Konfigurationsoptionen für die Verwendung des ITAR-Kontrollpakets beschrieben.

Überblick

Das Kontrollpaket „International Traffic in Arms Regulations“ (ITAR) ermöglicht die Datenzugriffssteuerung und Standortfunktionen für Google Cloud-Dienste, die unter die Vorgaben fallen. Einige Funktionen dieser Dienste werden von Google eingeschränkt oder eingeschränkt, um mit ITAR kompatibel zu sein. Die meisten dieser Einschränkungen und Einschränkungen gelten beim Erstellen eines neuen Assured Workloads-Ordners für ITAR. Einige können jedoch später durch Ändern der Organisationsrichtlinien geändert werden. Außerdem erfordern einige Einschränkungen und Einschränkungen die Nutzerverantwortung für die Einhaltung.

Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud-Dienst verändern oder sich auf den Datenzugriff oder den Datenstandort auswirken. Beispielsweise können einige Features oder Funktionen automatisch deaktiviert werden, um die Datenzugriffsbeschränkungen und den Datenstandort aufrechtzuerhalten. Wenn eine Einstellung für eine Organisationsrichtlinie geändert wird, kann dies darüber hinaus unbeabsichtigt dazu führen, dass Daten von einer Region in eine andere kopiert werden.

Vorbereitung

Um als Nutzer des ITAR-Kontrollpakets die Compliance zu wahren, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Erstellen Sie mit Assured Workloads einen ITAR-Ordner und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
  • Aktivieren und verwenden Sie nur ITAR-Dienste, die unter die Vorgaben fallen, für ITAR-Arbeitslasten.
  • Ändern Sie die standardmäßigen Werte für die Einschränkungen der Organisationsrichtlinien nur dann, wenn Sie die Risiken für den Datenstandort verstehen und akzeptieren.
  • Wenn Sie eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, müssen Sie regionale Endpunkte für Dienste verwenden, die sie anbieten. Außerdem gilt:
    • Wenn Sie eine Verbindung zu Google Cloud-Dienstendpunkten von VMs außerhalb von Google Cloud herstellen (z. B. von VMs vor Ort oder von anderen Cloud-Anbietern), müssen Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden, die Verbindungen zu Nicht-Google Cloud-VMs unterstützen, um den Nicht-Google Cloud-Traffic zu Google Cloud weiterzuleiten.
    • Wenn Sie von Google Cloud-VMs eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
    • Informationen zum Herstellen einer Verbindung zu Google Cloud-VMs, die mit externen IP-Adressen verfügbar gemacht wurden, finden Sie unter Über VMs mit externen IP-Adressen auf APIs zugreifen.
  • Speichern Sie bei allen Diensten, die in einem ITAR-Ordner verwendet werden, keine technischen Daten in den folgenden benutzerdefinierten Informationstypen oder Informationstypen für Sicherheitskonfigurationen:
    • Fehlermeldungen
    • Console-Ausgabe
    • Attributdaten
    • Dienstkonfigurationsdaten
    • Header von Netzwerkpaketen
    • Ressourcenkennzeichnungen
    • Datenlabels
  • Verwenden Sie nur die angegebenen regionalen oder geografischen Endpunkte für Dienste, die sie anbieten. Weitere Informationen finden Sie unter aufgenommene ITAR-Dienste.
  • Sie können die allgemeinen Best Practices für die Sicherheit im Best Practices-Center für die Sicherheit von Google Cloud anwenden.

Dienste innerhalb des Geltungsbereichs

Die folgenden Dienste sind mit ITAR kompatibel:

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich die standardmäßigen Einschränkungswerte für Organisationsrichtlinien auf jeden Dienst auswirken, wenn Ordner oder Projekte mit ITAR erstellt werden. Andere anwendbare Einschränkungen – auch wenn sie nicht standardmäßig festgelegt sind – können zusätzliche „gestaffelte Sicherheitsebenen“ bieten, um die Google Cloud-Ressourcen Ihrer Organisation noch besser zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.

Organisationsrichtlinie-Beschränkung Beschreibung
gcp.resourceLocations Legen Sie in:us-locations als Listenelement allowedValues fest.

Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die Wertgruppe in den USA. Wenn dies festgelegt ist, können keine Ressourcen in anderen Regionen, Multiregionen oder Standorten außerhalb der USA erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.

Wenn Sie diesen Wert durch weniger restriktiver Wert ändern, wird möglicherweise der Datenstandort untergraben, da Daten außerhalb der US-Datengrenze erstellt oder gespeichert werden können. Beispiel: Ersetzen der Wertgruppe in:us-locations durch die Wertgruppe in:northamerica-locations.
gcp.restrictNonCmekServices Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Für jeden der oben aufgeführten Dienste kann sich das auf einige Funktionen auswirken. Weitere Informationen finden Sie unten im Abschnitt Betroffene Funktionen.

Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit einem CMEK wird sichergestellt, dass ruhende Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden und nicht mit den Standardverschlüsselungsmechanismen von Google.

Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste, die unter die Vorgaben fallen, aus der Liste entfernen, kann dies die Datenhoheit beeinträchtigen, da neue ruhende Daten automatisch mit den eigenen Schlüsseln von Google statt mit Ihrem verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
gcp.restrictCmekCryptoKeyProjects Legen Sie als Wert alle Ressourcen im von Ihnen erstellten ITAR-Ordner fest.

Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel zum Verschlüsseln ruhender Daten mit CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
gcp.restrictServiceUsage Legen Sie dies so fest, dass alle untergeordneten Dienste zugelassen werden.

Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung Beschreibung
compute.disableGlobalLoadBalancing Auf True festlegen.

Deaktiviert das Erstellen von globalen Load-Balancing-Produkten.

Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.
compute.disableGlobalSelfManagedSslCertificate Auf True festlegen.

Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate.

Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.
compute.disableInstanceDataAccessApis Auf True festlegen.

Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().

Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren.

Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor:
  1. Aktivieren Sie SSH für Windows-VMs.
  2. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern:
    gcloud compute ssh
    VM_NAME --command "net user USERNAME PASSWORD"
    
    Ersetzen Sie Folgendes:
    • VM_NAME: Der Name der VM, für die Sie das Passwort festlegen.
    • USERNAME: Der Nutzername des Nutzers, für den Sie das Passwort festlegen.
    • PASSWORD: Das neue Passwort.
compute.disableNestedVirtualization Auf True festlegen.

Deaktiviert die hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im ITAR-Ordner.

Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.
compute.enableComplianceMemoryProtection Auf True festlegen.

Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten.

Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.
compute.restrictNonConfidentialComputing

(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen bereitzustellen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
compute.restrictLoadBalancerCreationForTypes

Legen Sie diese Option so fest, dass alle Werte außer GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS zugelassen werden. Weitere Informationen finden Sie unter Load-Balancer auswählen.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung Beschreibung
container.restrictNoncompliantDiagnosticDataAccess Auf True festlegen.

Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten.

Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.

Betroffene Funktionen

In diesem Abschnitt wird aufgeführt, wie sich ITAR auf die Features oder Funktionen der einzelnen Dienste auswirkt, einschließlich der Nutzeranforderungen bei der Verwendung eines Features.

BigQuery-Features

Feature Beschreibung
BigQuery für einen neuen Ordner aktivieren BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses erstellen. Dieser Vorgang ist normalerweise innerhalb von zehn Minuten abgeschlossen, kann unter Umständen aber auch viel länger dauern. Mit den folgenden Schritten können Sie prüfen, ob der Vorgang abgeschlossen ist, und BigQuery aktivieren:
  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu Assured Workloads

  2. Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Abschnitt Zulässige Dienste auf Verfügbare Updates ansehen.
  4. Prüfen Sie im Bereich Zulässige Dienste die Dienste, die der Organisationsrichtlinie Ressourcennutzungsbeschränkung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.

    Wenn die BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Falls die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgelistet werden, wenden Sie sich an Cloud Customer Care.

Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.

Nicht unterstützte Funktionen Die folgenden BigQuery-Features werden für die ITAR-Compliance nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in der Verantwortung des Kunden, diese nicht in BigQuery für ITAR-Arbeitslasten zu verwenden.
Nicht unterstützte Integrationen Die folgenden BigQuery-Integrationen werden für die ITAR-Compliance nicht unterstützt. Es liegt in der Verantwortung des Kunden, diese nicht mit BigQuery für ITAR-Arbeitslasten zu verwenden.
  • Mit den API-Methoden CreateTag, SearchCatalog, Bulk tagging und Business Glossary der Data Catalog API können technische ITAR-Daten nicht ITAR-konform verarbeitet und gespeichert werden. Es liegt in der Verantwortung des Kunden, diese Methoden nicht für ITAR-Arbeitslasten zu verwenden.
Konforme BigQuery APIs Die folgenden BigQuery APIs sind ITAR-konform:


Regionen BigQuery ist für alle BigQuery-Regionen in den USA mit Ausnahme des multiregionalen Standorts "US" ITAR-konform. Die ITAR-Compliance kann nicht garantiert werden, wenn ein Dataset an einem multiregionalen Standort in den USA, einer Nicht-US-Region oder einem multiregionalen Standort außerhalb der USA erstellt wird. Es liegt in der Verantwortung des Kunden, beim Erstellen von BigQuery-Datasets eine ITAR-kompatible Region anzugeben.

Wenn eine Anfrage zur Liste von Tabellendaten mit einer US-Region gesendet wird, das Dataset jedoch in einer anderen US-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region der Kunde beabsichtigte. Der Vorgang schlägt mit der Fehlermeldung „Dataset nicht gefunden“ fehl.
Google Cloud Console Die BigQuery-Benutzeroberfläche in der Google Cloud Console ist ITAR-konform.

BigQuery-Befehlszeile Die BigQuery-Befehlszeile ist ITAR-konform.

Google Cloud SDK Sie müssen das Google Cloud SDK in der Version 403.0.0 oder höher verwenden, um die Zusicherungen der Regionalisierung von Daten für technische ITAR-Daten beizubehalten. Führen Sie zum Prüfen Ihrer aktuellen Google Cloud SDK-Version gcloud --version und dann gcloud components update aus, um ein Update auf die neueste Version durchzuführen.
Steuerelemente für Administratoren BigQuery deaktiviert nicht konforme APIs, aber Kundenadministratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können eine nicht konforme API aktivieren. In diesem Fall wird der Kunde über das Monitoring-Dashboard von Assured Workloads über potenzielle Verstöße informiert.
Daten laden BigQuery Data Transfer Service-Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, externe Cloud Storage-Anbieter und Data Warehouses sind nicht ITAR-konform. Der Kunde ist dafür verantwortlich, keine BigQuery Data Transfer Service-Connectors für ITAR-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen BigQuery überprüft nicht die ITAR-Compliance für Drittanbieterübertragungen mit dem BigQuery Data Transfer Service. Es liegt in der Verantwortung des Kunden, die ITAR-Konformität zu prüfen, wenn Drittanbieterübertragungen für BigQuery Data Transfer Service verwendet werden.
Nicht konforme BQML-Modelle Extern trainierte BQML-Modelle sind nicht ITAR-konform.
Abfragejobs Abfragejobs mit technischen ITAR-Daten sollten nur in ITAR-Projekten erstellt werden.
Abfragen von ITAR-Datasets aus Nicht-ITAR-Projekten BigQuery verhindert nicht, dass ITAR-Datasets aus Nicht-ITAR-Projekten abgefragt werden. Kunden sollten dafür sorgen, dass Abfragen, für die ein Lese- oder Join zu technischen ITAR-Daten vorliegt, in einem ITAR-konformen Ordner abgelegt werden. Kunden können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für ihr Abfrageergebnis angeben.
Cloud Logging BigQuery verwendet Cloud Logging für einige Kundenlogdaten. Kunden sollten ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf US-Regionen beschränken, um die ITAR-Compliance durch den folgenden Befehl aufrechtzuerhalten:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Weitere Informationen finden Sie auf dieser Seite.

Compute Engine Features

Feature Beschreibung
Google Cloud Console Die folgenden Compute Engine-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI:

  1. Systemdiagnosen
  2. Netzwerk-Endpunktgruppen
VMs von Bare-Metal-Lösungen Sie sind dafür verantwortlich, keine VMs von Bare-Metal-Lösungen (o2-VMs) zu verwenden, da VMs von Bare-Metal-Lösungen nicht dem ITAR entsprechen.

Google Cloud VMware Engine-VMs Sie sind dafür verantwortlich, keine Google Cloud VMware Engine-VMs zu verwenden, da Google Cloud VMware Engine-VMs nicht ITAR-konform sind.

C3-VM-Instanz erstellen Diese Funktion ist deaktiviert.

Nichtflüchtige Speicher oder deren Snapshots ohne CMEK verwenden Sie können nichtflüchtige Speicher oder deren Snapshots nur verwenden, wenn sie mit CMEK verschlüsselt wurden.

Verschachtelte VMs oder VMs mit verschachtelter Virtualisierung erstellen Sie können keine verschachtelten VMs oder VMs erstellen, die verschachtelte Virtualisierung verwenden.

Dieses Feature ist durch die oben beschriebene Einschränkung der Organisationsrichtlinie compute.disableNestedVirtualization deaktiviert.
Instanzgruppe zu einem globalen Load-Balancer hinzufügen Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen.

Dieses Feature ist durch die oben beschriebene Einschränkung der Organisationsrichtlinie compute.disableGlobalLoadBalancing deaktiviert.
Anfragen an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten Sie können Anfragen nicht an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten.

Dieses Feature ist durch die oben beschriebene Einschränkung der Organisationsrichtlinie compute.restrictLoadBalancerCreationForTypes deaktiviert.
nichtflüchtiger SSD-Speicher im Multi-Writer-Modus freigeben Sie können einen nichtflüchtiger SSD-Speicher nicht im Multi-Writer-Modus zwischen VM-Instanzen gemeinsam nutzen.
VM-Instanz anhalten bzw. fortsetzen Die Funktion ist deaktiviert.

Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Lesen Sie im obigen Abschnitt die Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices, um die Auswirkungen der Aktivierung dieses Features auf den Datenstandort zu verstehen.
Lokale SSDs Die Funktion ist deaktiviert.

Sie können keine Instanz mit lokalen SSDs erstellen, da diese nicht mit CMEK verschlüsselt werden können. Lesen Sie im obigen Abschnitt die Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices, um die Auswirkungen der Aktivierung dieses Features auf den Datenstandort zu verstehen.
Gastumgebung Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung.

Diese Komponenten unterstützen Sie bei der Einhaltung des Datenstandorts durch interne Sicherheitskontrollen und -prozesse. Für Nutzer, die zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Einschränkung compute.trustedImageProjects der Organisationsrichtlinie verwenden.

Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
instances.getSerialPortOutput() Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen.

Ändern Sie den Wert der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden. Folgen Sie dazu der Anleitung auf dieser Seite.
instances.getScreenshot() Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten.

Ändern Sie den Wert der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden. Folgen Sie dazu der Anleitung auf dieser Seite.

Cloud DNS-Features

Feature Beschreibung
Google Cloud Console Cloud DNS-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Features von Cloud Interconnect

Feature Beschreibung
Google Cloud Console Cloud Interconnect-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Hochverfügbarkeits-VPN Sie müssen VPN-Funktionalität für Hochverfügbarkeit aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Darüber hinaus müssen Sie die in diesem Abschnitt aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten.

Features von Cloud Load Balancing

Feature Beschreibung
Google Cloud Console Die Cloud Load Balancing-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Regionale Load-Balancer Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen zum Konfigurieren regionaler Load-Balancer finden Sie auf den folgenden Seiten:

Features von Cloud Logging

Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verwenden möchten, müssen Sie die Schritte auf der Seite CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation ausführen.

Feature Beschreibung
Logsenken Geben Sie keine vertraulichen Informationen (Kundendaten) in Senkenfilter ein. Senkenfilter werden als Dienstdaten behandelt.
Live-Tailing-Logeinträge Erstellen Sie keine Filter, die Kundendaten enthalten.

Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. Tailing-Logs speichern selbst keine Logeintragsdaten, können aber Daten regionsübergreifend abfragen und übertragen.
Logbasierte Benachrichtigungen Die Funktion ist deaktiviert.

Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery Die Funktion ist deaktiviert.

Das Feature "Loganalyse" kann nicht verwendet werden.

Cloud Monitoring-Features

Feature Beschreibung
Synthetischer Monitor Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose Die Funktion ist deaktiviert.
Widgets für das Logfeld unter Dashboards Diese Funktion ist deaktiviert.

Sie können einem Dashboard keinen Logbereich hinzufügen.
Widgets für das Steuerfeld für Fehlerberichte in Dashboards Diese Funktion ist deaktiviert.

Sie können einem Dashboard keinen Bereich für Error Reporting hinzufügen.
In EventAnnotation nach Dashboards filtern Diese Funktion ist deaktiviert.

Der Filter von EventAnnotation kann in einem Dashboard nicht festgelegt werden.

Funktionen von Network Connectivity Center

Feature Beschreibung
Google Cloud Console Die Features von Network Connectivity Center sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud NAT-Features

Feature Beschreibung
Google Cloud Console Cloud NAT-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud Router-Features

Feature Beschreibung
Google Cloud Console Cloud Router-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud SQL-Features

Feature Beschreibung
Export in CSV wird ausgeführt Der Export in eine CSV-Datei ist nicht ITAR-konform und sollte nicht verwendet werden. Dieses Feature ist in der Google Cloud Console deaktiviert.
executeSql Die Methode executeSql der Cloud SQL API ist nicht ITAR-konform und sollte nicht verwendet werden.

Cloud Storage-Funktionen

Feature Beschreibung
Google Cloud Console Zur Aufrechterhaltung der ITAR-Compliance sind Sie dafür verantwortlich, die Google Cloud Console für die Gerichtsbarkeit zu verwenden. Die Konsole für die Rechtsprechung verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hoch- und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte unten.
Konforme API-Endpunkte Sie müssen einen der ITAR-konformen Standortendpunkte mit Cloud Storage verwenden. Standortendpunkte sind für alle US-Regionen, den multiregionalen Standort „US“ und die vordefinierte Dual-Region NAM4 verfügbar. Standortendpunkte sind nur für die Dual-Region NAM4 verfügbar. Weitere Informationen zu Speicherorten in Cloud Storage finden Sie auf dieser Seite.
Einschränkungen Sie müssen Standortendpunkte von Cloud Storage verwenden, um ITAR-konform zu sein. Weitere Informationen zu Cloud Storage-Standortendpunkten für ITAR finden Sie unter Standortendpunkte für ITAR-Compliance.

Die folgenden Vorgänge werden von Standortendpunkten nicht unterstützt. Diese Vorgänge übertragen jedoch keine Kundendaten gemäß der Definition in den Nutzungsbedingungen für den Datenstandortdienst. Daher können Sie bei Bedarf globale Endpunkte für diese Vorgänge verwenden, ohne die ITAR-Compliance zu verletzen:
Für Objekte kopieren und umschreiben Kopier- und Umschreibvorgänge für Objekte werden von Standortendpunkten unterstützt, wenn sich sowohl der Quell- als auch der Ziel-Bucket in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine Standortendpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zum standortübergreifenden Kopieren oder Umschreiben zu verwenden. Wir raten jedoch davon ab, da dies gegen die ITAR-Compliance verstoßen kann.

GKE-Features

Feature Beschreibung
Einschränkungen für Clusterressourcen Achten Sie darauf, dass Ihre Clusterkonfiguration keine Ressourcen für Dienste verwendet, die im ITAR-Compliance-Programm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da sie die Aktivierung oder Verwendung eines nicht unterstützten Dienstes erfordert:

set `binaryAuthorization.evaluationMode` to `enabled`

VPC-Features

Feature Beschreibung
Google Cloud Console VPC-Netzwerkfeatures sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud VPN-Features

Feature Beschreibung
Google Cloud Console Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Verschlüsselung Sie dürfen nur mit FIPS 140-2 konforme Chiffren verwenden, wenn Sie Zertifikate erstellen und Ihre IP-Sicherheit konfigurieren. Weitere Informationen zu unterstützten Chiffren in Cloud VPN finden Sie auf dieser Seite. Eine Anleitung zur Auswahl einer Chiffre, die den FIPS 140-2-Standards entspricht, finden Sie auf dieser Seite.

Es gibt derzeit keine Möglichkeit, eine vorhandene Chiffre in Google Cloud zu ändern. Konfigurieren Sie Ihre Chiffre auf der Drittanbieter-Appliance, die mit Cloud VPN verwendet wird.
VPN-Endpunkte Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region in den USA konfiguriert ist.

Nächste Schritte