Diese Seite wurde von der Cloud Translation API übersetzt.

Einschränkungen für ITAR

Auf dieser Seite werden die Einschränkungen, Einschränkungen und weiteren Konfigurationsoptionen für die Verwendung des ITAR-Kontrollpakets beschrieben.

Überblick

Das Kontrollpaket „International Traffic in Arms Regulations“ (ITAR) ermöglicht die Datenzugriffssteuerung und Standortfunktionen für Google Cloud-Dienste, die unter die Vorgaben fallen. Einige Funktionen dieser Dienste werden von Google eingeschränkt oder eingeschränkt, um mit ITAR kompatibel zu sein. Die meisten dieser Einschränkungen und Einschränkungen gelten beim Erstellen eines neuen Assured Workloads-Ordners für ITAR. Einige können jedoch später durch Ändern der Organisationsrichtlinien geändert werden. Außerdem erfordern einige Einschränkungen und Einschränkungen die Nutzerverantwortung für die Einhaltung.

Es ist wichtig zu verstehen, wie diese Einschränkungen das Verhalten für einen bestimmten Google Cloud-Dienst verändern oder sich auf den Datenzugriff oder den Datenstandort auswirken. Beispielsweise können einige Features oder Funktionen automatisch deaktiviert werden, um die Datenzugriffsbeschränkungen und den Datenstandort aufrechtzuerhalten. Wenn eine Einstellung für eine Organisationsrichtlinie geändert wird, kann dies darüber hinaus unbeabsichtigt dazu führen, dass Daten von einer Region in eine andere kopiert werden.

Vorbereitung

Um als Nutzer des ITAR-Kontrollpakets die Compliance zu wahren, müssen Sie die folgenden Voraussetzungen erfüllen:

Erstellen Sie mit Assured Workloads einen ITAR-Ordner und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
Aktivieren und verwenden Sie nur ITAR-Dienste, die unter die Vorgaben fallen, für ITAR-Arbeitslasten.
Ändern Sie die standardmäßigen Werte für die Einschränkungen der Organisationsrichtlinien nur dann, wenn Sie die Risiken für den Datenstandort verstehen und akzeptieren.
Wenn Sie eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, müssen Sie regionale Endpunkte für Dienste verwenden, die sie anbieten. Außerdem gilt:
- Wenn Sie eine Verbindung zu Google Cloud-Dienstendpunkten von VMs außerhalb von Google Cloud herstellen (z. B. von VMs vor Ort oder von anderen Cloud-Anbietern), müssen Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden, die Verbindungen zu Nicht-Google Cloud-VMs unterstützen, um den Nicht-Google Cloud-Traffic zu Google Cloud weiterzuleiten.
- Wenn Sie von Google Cloud-VMs eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
- Informationen zum Herstellen einer Verbindung zu Google Cloud-VMs, die mit externen IP-Adressen verfügbar gemacht wurden, finden Sie unter Über VMs mit externen IP-Adressen auf APIs zugreifen.
Speichern Sie bei allen Diensten, die in einem ITAR-Ordner verwendet werden, keine technischen Daten in den folgenden benutzerdefinierten Informationstypen oder Informationstypen für Sicherheitskonfigurationen:
- Fehlermeldungen
- Console-Ausgabe
- Attributdaten
- Dienstkonfigurationsdaten
- Header von Netzwerkpaketen
- Ressourcenkennzeichnungen
- Datenlabels
Verwenden Sie nur die angegebenen regionalen oder geografischen Endpunkte für Dienste, die sie anbieten. Weitere Informationen finden Sie unter aufgenommene ITAR-Dienste.
Sie können die allgemeinen Best Practices für die Sicherheit im Best Practices-Center für die Sicherheit von Google Cloud anwenden.

Dienste innerhalb des Geltungsbereichs

Die folgenden Dienste sind mit ITAR kompatibel:

Artifact Registry
BigQuery
- Betroffene Funktionen
Google Kubernetes Engine
- Organisationsrichtlinien
- Betroffene Funktionen
Identity and Access Management (IAM)
Compute Engine
- Organisationsrichtlinien
- Betroffene Funktionen
Cloud SQL
- Betroffene Funktionen
Cloud Storage
- Betroffene Funktionen
Persistent Disk
Cloud Load Balancing
- Betroffene Funktionen
Cloud Logging
- Betroffene Funktionen
Cloud VPN
- Betroffene Funktionen
Virtual Private Cloud (VPC)
- Betroffene Funktionen
VPC Service Controls
Cloud Interconnect
- Betroffene Funktionen
Cloud Router
- Betroffene Funktionen
Identity-Aware Proxy
Cloud Monitoring
- Betroffene Funktionen
Network Connectivity Center
- Betroffene Funktionen
Cloud NAT
- Betroffene Funktionen
Cloud DNS
- Betroffene Funktionen
Cloud Key Management Service (Cloud KMS)
Cloud External Key Manager (Cloud EKM)
Cloud HSM

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich die standardmäßigen Einschränkungswerte für Organisationsrichtlinien auf jeden Dienst auswirken, wenn Ordner oder Projekte mit ITAR erstellt werden. Andere anwendbare Einschränkungen – auch wenn sie nicht standardmäßig festgelegt sind – können zusätzliche „gestaffelte Sicherheitsebenen“ bieten, um die Google Cloud-Ressourcen Ihrer Organisation noch besser zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.

Organisationsrichtlinie-Beschränkung	Beschreibung
`gcp.resourceLocations`	Legen Sie `in:us-locations` als Listenelement `allowedValues` fest. Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die Wertgruppe in den USA. Wenn dies festgelegt ist, können keine Ressourcen in anderen Regionen, Multiregionen oder Standorten außerhalb der USA erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert durch weniger restriktiver Wert ändern, wird möglicherweise der Datenstandort untergraben, da Daten außerhalb der US-Datengrenze erstellt oder gespeichert werden können. Beispiel: Ersetzen der Wertgruppe `in:us-locations` durch die Wertgruppe `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Für jeden der oben aufgeführten Dienste kann sich das auf einige Funktionen auswirken. Weitere Informationen finden Sie unten im Abschnitt Betroffene Funktionen. Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit einem CMEK wird sichergestellt, dass ruhende Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden und nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste, die unter die Vorgaben fallen, aus der Liste entfernen, kann dies die Datenhoheit beeinträchtigen, da neue ruhende Daten automatisch mit den eigenen Schlüsseln von Google statt mit Ihrem verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictCmekCryptoKeyProjects`	Legen Sie als Wert alle Ressourcen im von Ihnen erstellten ITAR-Ordner fest. Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel zum Verschlüsseln ruhender Daten mit CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
`gcp.restrictServiceUsage`	Legen Sie dies so fest, dass alle untergeordneten Dienste zugelassen werden. Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung	Beschreibung
`compute.disableGlobalLoadBalancing`	Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.
`compute.disableGlobalSelfManagedSslCertificate`	Auf True festlegen. Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.
`compute.disableInstanceDataAccessApis`	Auf True festlegen. Deaktiviert global die APIs `instances.getSerialPortOutput()` und `instances.getScreenshot()`. Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor: Aktivieren Sie SSH für Windows-VMs. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Ersetzen Sie Folgendes: `VM_NAME`: Der Name der VM, für die Sie das Passwort festlegen. `USERNAME`: Der Nutzername des Nutzers, für den Sie das Passwort festlegen. `PASSWORD`: Das neue Passwort.
`compute.disableNestedVirtualization`	Auf True festlegen. Deaktiviert die hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im ITAR-Ordner. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.
`compute.enableComplianceMemoryProtection`	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen bereitzustellen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.restrictLoadBalancerCreationForTypes`	Legen Sie diese Option so fest, dass alle Werte außer `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS` zugelassen werden. Weitere Informationen finden Sie unter Load-Balancer auswählen.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung	Beschreibung
`container.restrictNoncompliantDiagnosticDataAccess`	Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten.

Betroffene Funktionen

In diesem Abschnitt wird aufgeführt, wie sich ITAR auf die Features oder Funktionen der einzelnen Dienste auswirkt, einschließlich der Nutzeranforderungen bei der Verwendung eines Features.

BigQuery-Features

Feature	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses erstellen. Dieser Vorgang ist normalerweise innerhalb von zehn Minuten abgeschlossen, kann unter Umständen aber auch viel länger dauern. Mit den folgenden Schritten können Sie prüfen, ob der Vorgang abgeschlossen ist, und BigQuery aktivieren: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu Assured Workloads Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus. Klicken Sie auf der Seite Ordnerdetails im Abschnitt Zulässige Dienste auf Verfügbare Updates ansehen. Prüfen Sie im Bereich Zulässige Dienste die Dienste, die der Organisationsrichtlinie Ressourcennutzungsbeschränkung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen. Wenn die BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Falls die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgelistet werden, wenden Sie sich an Cloud Customer Care. Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Features werden für die ITAR-Compliance nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in der Verantwortung des Kunden, diese nicht in BigQuery für ITAR-Arbeitslasten zu verwenden. Interaktion mit Remote-Datenquellen Extern trainierte BQML-Modelle sind nicht ITAR-konform. Intern trainierte BQML-Modelle sind ITAR-konform. Geplante und föderierte Abfragen Dynamische Datenmaskierung GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Für BigQuery Studio werden notebooks nicht unterstützt.
Nicht unterstützte Integrationen	Die folgenden BigQuery-Integrationen werden für die ITAR-Compliance nicht unterstützt. Es liegt in der Verantwortung des Kunden, diese nicht mit BigQuery für ITAR-Arbeitslasten zu verwenden. Mit den API-Methoden `CreateTag`, `SearchCatalog`, `Bulk tagging` und `Business Glossary` der Data Catalog API können technische ITAR-Daten nicht ITAR-konform verarbeitet und gespeichert werden. Es liegt in der Verantwortung des Kunden, diese Methoden nicht für ITAR-Arbeitslasten zu verwenden.
Konforme BigQuery APIs	Die folgenden BigQuery APIs sind ITAR-konform: Datasets Jobs Modelle Projekte Reservierungen Abläufe Zeilenzugriffsrichtlinien Speicherlesevorgänge Schreiben im Speicher Tables Tabellendaten Die Reservations API ist nicht standardmäßig aktiviert. Sie können die API entsprechend der Anleitung auf dieser Seite aktivieren.
Regionen	BigQuery ist für alle BigQuery-Regionen in den USA mit Ausnahme des multiregionalen Standorts "US" ITAR-konform. Die ITAR-Compliance kann nicht garantiert werden, wenn ein Dataset an einem multiregionalen Standort in den USA, einer Nicht-US-Region oder einem multiregionalen Standort außerhalb der USA erstellt wird. Es liegt in der Verantwortung des Kunden, beim Erstellen von BigQuery-Datasets eine ITAR-kompatible Region anzugeben. Wenn eine Anfrage zur Liste von Tabellendaten mit einer US-Region gesendet wird, das Dataset jedoch in einer anderen US-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region der Kunde beabsichtigte. Der Vorgang schlägt mit der Fehlermeldung „Dataset nicht gefunden“ fehl.
Google Cloud Console	Die BigQuery-Benutzeroberfläche in der Google Cloud Console ist ITAR-konform.
BigQuery-Befehlszeile	Die BigQuery-Befehlszeile ist ITAR-konform.
Google Cloud SDK	Sie müssen das Google Cloud SDK in der Version 403.0.0 oder höher verwenden, um die Zusicherungen der Regionalisierung von Daten für technische ITAR-Daten beizubehalten. Führen Sie zum Prüfen Ihrer aktuellen Google Cloud SDK-Version `gcloud --version` und dann `gcloud components update` aus, um ein Update auf die neueste Version durchzuführen.
Steuerelemente für Administratoren	BigQuery deaktiviert nicht konforme APIs, aber Kundenadministratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können eine nicht konforme API aktivieren. In diesem Fall wird der Kunde über das Monitoring-Dashboard von Assured Workloads über potenzielle Verstöße informiert.
Daten laden	BigQuery Data Transfer Service-Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, externe Cloud Storage-Anbieter und Data Warehouses sind nicht ITAR-konform. Der Kunde ist dafür verantwortlich, keine BigQuery Data Transfer Service-Connectors für ITAR-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen	BigQuery überprüft nicht die ITAR-Compliance für Drittanbieterübertragungen mit dem BigQuery Data Transfer Service. Es liegt in der Verantwortung des Kunden, die ITAR-Konformität zu prüfen, wenn Drittanbieterübertragungen für BigQuery Data Transfer Service verwendet werden.
Nicht konforme BQML-Modelle	Extern trainierte BQML-Modelle sind nicht ITAR-konform.
Abfragejobs	Abfragejobs mit technischen ITAR-Daten sollten nur in ITAR-Projekten erstellt werden.
Abfragen von ITAR-Datasets aus Nicht-ITAR-Projekten	BigQuery verhindert nicht, dass ITAR-Datasets aus Nicht-ITAR-Projekten abgefragt werden. Kunden sollten dafür sorgen, dass Abfragen, für die ein Lese- oder Join zu technischen ITAR-Daten vorliegt, in einem ITAR-konformen Ordner abgelegt werden. Kunden können mit `projectname.dataset.table` in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für ihr Abfrageergebnis angeben.
Cloud Logging	BigQuery verwendet Cloud Logging für einige Kundenlogdaten. Kunden sollten ihre `_default`-Logging-Buckets deaktivieren oder `_default`-Buckets auf US-Regionen beschränken, um die ITAR-Compliance durch den folgenden Befehl aufrechtzuerhalten: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Weitere Informationen finden Sie auf dieser Seite.

Compute Engine Features

Feature	Beschreibung
Google Cloud Console	Die folgenden Compute Engine-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI: Systemdiagnosen Netzwerk-Endpunktgruppen
VMs von Bare-Metal-Lösungen	Sie sind dafür verantwortlich, keine VMs von Bare-Metal-Lösungen (o2-VMs) zu verwenden, da VMs von Bare-Metal-Lösungen nicht dem ITAR entsprechen.
Google Cloud VMware Engine-VMs	Sie sind dafür verantwortlich, keine Google Cloud VMware Engine-VMs zu verwenden, da Google Cloud VMware Engine-VMs nicht ITAR-konform sind.
C3-VM-Instanz erstellen	Diese Funktion ist deaktiviert.
Nichtflüchtige Speicher oder deren Snapshots ohne CMEK verwenden	Sie können nichtflüchtige Speicher oder deren Snapshots nur verwenden, wenn sie mit CMEK verschlüsselt wurden.
Verschachtelte VMs oder VMs mit verschachtelter Virtualisierung erstellen	Sie können keine verschachtelten VMs oder VMs erstellen, die verschachtelte Virtualisierung verwenden. Dieses Feature ist durch die oben beschriebene Einschränkung der Organisationsrichtlinie `compute.disableNestedVirtualization` deaktiviert.
Instanzgruppe zu einem globalen Load-Balancer hinzufügen	Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen. Dieses Feature ist durch die oben beschriebene Einschränkung der Organisationsrichtlinie `compute.disableGlobalLoadBalancing` deaktiviert.
Anfragen an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten	Sie können Anfragen nicht an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten. Dieses Feature ist durch die oben beschriebene Einschränkung der Organisationsrichtlinie `compute.restrictLoadBalancerCreationForTypes` deaktiviert.
nichtflüchtiger SSD-Speicher im Multi-Writer-Modus freigeben	Sie können einen nichtflüchtiger SSD-Speicher nicht im Multi-Writer-Modus zwischen VM-Instanzen gemeinsam nutzen.
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Lesen Sie im obigen Abschnitt die Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`, um die Auswirkungen der Aktivierung dieses Features auf den Datenstandort zu verstehen.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da diese nicht mit CMEK verschlüsselt werden können. Lesen Sie im obigen Abschnitt die Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`, um die Auswirkungen der Aktivierung dieses Features auf den Datenstandort zu verstehen.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten unterstützen Sie bei der Einhaltung des Datenstandorts durch interne Sicherheitskontrollen und -prozesse. Für Nutzer, die zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Einschränkung `compute.trustedImageProjects` der Organisationsrichtlinie verwenden. Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
`instances.getSerialPortOutput()`	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden. Folgen Sie dazu der Anleitung auf dieser Seite.
`instances.getScreenshot()`	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden. Folgen Sie dazu der Anleitung auf dieser Seite.

Cloud DNS-Features

Feature	Beschreibung
Google Cloud Console	Cloud DNS-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Features von Cloud Interconnect

Feature	Beschreibung
Google Cloud Console	Cloud Interconnect-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Hochverfügbarkeits-VPN	Sie müssen VPN-Funktionalität für Hochverfügbarkeit aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Darüber hinaus müssen Sie die in diesem Abschnitt aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten.

Features von Cloud Load Balancing

Feature	Beschreibung
Google Cloud Console	Die Cloud Load Balancing-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Regionale Load-Balancer	Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen zum Konfigurieren regionaler Load-Balancer finden Sie auf den folgenden Seiten: Interner Application Load Balancer Regionaler externer Application Load Balancer Interner Passthrough-Network Load Balancer Externer Passthrough Network Load Balancer

Features von Cloud Logging

Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verwenden möchten, müssen Sie die Schritte auf der Seite CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation ausführen.

Feature	Beschreibung
Logsenken	Geben Sie keine vertraulichen Informationen (Kundendaten) in Senkenfilter ein. Senkenfilter werden als Dienstdaten behandelt.
Live-Tailing-Logeinträge	Erstellen Sie keine Filter, die Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. Tailing-Logs speichern selbst keine Logeintragsdaten, können aber Daten regionsübergreifend abfragen und übertragen.
Logbasierte Benachrichtigungen	Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery	Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden.

Cloud Monitoring-Features

Feature	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose	Die Funktion ist deaktiviert.
Widgets für das Logfeld unter Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard keinen Logbereich hinzufügen.
Widgets für das Steuerfeld für Fehlerberichte in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard keinen Bereich für Error Reporting hinzufügen.
In `EventAnnotation` nach Dashboards filtern	Diese Funktion ist deaktiviert. Der Filter von `EventAnnotation` kann in einem Dashboard nicht festgelegt werden.

Funktionen von Network Connectivity Center

Feature	Beschreibung
Google Cloud Console	Die Features von Network Connectivity Center sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud NAT-Features

Feature	Beschreibung
Google Cloud Console	Cloud NAT-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud Router-Features

Feature	Beschreibung
Google Cloud Console	Cloud Router-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud SQL-Features

Feature	Beschreibung
Export in CSV wird ausgeführt	Der Export in eine CSV-Datei ist nicht ITAR-konform und sollte nicht verwendet werden. Dieses Feature ist in der Google Cloud Console deaktiviert.
`executeSql`	Die Methode `executeSql` der Cloud SQL API ist nicht ITAR-konform und sollte nicht verwendet werden.

Cloud Storage-Funktionen

Feature	Beschreibung
Google Cloud Console	Zur Aufrechterhaltung der ITAR-Compliance sind Sie dafür verantwortlich, die Google Cloud Console für die Gerichtsbarkeit zu verwenden. Die Konsole für die Rechtsprechung verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hoch- und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte unten.
Konforme API-Endpunkte	Sie müssen einen der ITAR-konformen Standortendpunkte mit Cloud Storage verwenden. Standortendpunkte sind für alle US-Regionen, den multiregionalen Standort „US“ und die vordefinierte Dual-Region `NAM4` verfügbar. Standortendpunkte sind nur für die Dual-Region `NAM4` verfügbar. Weitere Informationen zu Speicherorten in Cloud Storage finden Sie auf dieser Seite.
Einschränkungen	Sie müssen Standortendpunkte von Cloud Storage verwenden, um ITAR-konform zu sein. Weitere Informationen zu Cloud Storage-Standortendpunkten für ITAR finden Sie unter Standortendpunkte für ITAR-Compliance. Die folgenden Vorgänge werden von Standortendpunkten nicht unterstützt. Diese Vorgänge übertragen jedoch keine Kundendaten gemäß der Definition in den Nutzungsbedingungen für den Datenstandortdienst. Daher können Sie bei Bedarf globale Endpunkte für diese Vorgänge verwenden, ohne die ITAR-Compliance zu verletzen: HMAC-Schlüsselvorgänge IAM-Dienstkontovorgänge Pub/Sub-Benachrichtigungen Benachrichtigungen über Objektänderungen Wenn ein Nutzer versucht, einen nicht unterstützten Vorgang mithilfe von Standortendpunkten auszuführen, gibt Cloud Storage einen HTTP-400-Fehlercode mit folgender Fehlermeldung zurück: `This endpoint does not implement this operation. Please use the global endpoint.`
Für Objekte kopieren und umschreiben	Kopier- und Umschreibvorgänge für Objekte werden von Standortendpunkten unterstützt, wenn sich sowohl der Quell- als auch der Ziel-Bucket in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine Standortendpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zum standortübergreifenden Kopieren oder Umschreiben zu verwenden. Wir raten jedoch davon ab, da dies gegen die ITAR-Compliance verstoßen kann.

GKE-Features

Feature	Beschreibung
Einschränkungen für Clusterressourcen	Achten Sie darauf, dass Ihre Clusterkonfiguration keine Ressourcen für Dienste verwendet, die im ITAR-Compliance-Programm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da sie die Aktivierung oder Verwendung eines nicht unterstützten Dienstes erfordert: set `binaryAuthorization.evaluationMode` to `enabled`

VPC-Features

Feature	Beschreibung
Google Cloud Console	VPC-Netzwerkfeatures sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud VPN-Features

Feature	Beschreibung
Google Cloud Console	Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Verschlüsselung	Sie dürfen nur mit FIPS 140-2 konforme Chiffren verwenden, wenn Sie Zertifikate erstellen und Ihre IP-Sicherheit konfigurieren. Weitere Informationen zu unterstützten Chiffren in Cloud VPN finden Sie auf dieser Seite. Eine Anleitung zur Auswahl einer Chiffre, die den FIPS 140-2-Standards entspricht, finden Sie auf dieser Seite. Es gibt derzeit keine Möglichkeit, eine vorhandene Chiffre in Google Cloud zu ändern. Konfigurieren Sie Ihre Chiffre auf der Drittanbieter-Appliance, die mit Cloud VPN verwendet wird.
VPN-Endpunkte	Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region in den USA konfiguriert ist.

Nächste Schritte

Informationen zum ITAR-Kontrollpaket
Hier erfahren Sie, welche Produkte für die einzelnen Kontrollpakete unterstützt werden.