Halaman ini diterjemahkan oleh Cloud Translation API.

Batasan dan limitasi untuk ITAR

Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan paket kontrol ITAR.

Ringkasan

Paket kontrol International Traffic in Arms Regulations (ITAR) memungkinkan kontrol akses data dan fitur residensi untuk layanan Google Cloud dalam cakupan. Beberapa fitur layanan ini dibatasi atau dibatasi oleh Google agar kompatibel dengan ITAR. Sebagian besar pembatasan dan batasan ini diterapkan saat membuat folder Assured Workloads baru untuk ITAR, tetapi beberapa di antaranya dapat diubah nanti dengan mengubah kebijakan organisasi. Selain itu, beberapa batasan dan pembatasan memerlukan tanggung jawab pengguna untuk kepatuhan.

Penting untuk memahami bagaimana batasan ini mengubah perilaku untuk layanan Google Cloud tertentu atau memengaruhi akses data atau residensi data. Misalnya, beberapa fitur atau kemampuan dapat dinonaktifkan secara otomatis untuk memastikan bahwa pembatasan akses data dan retensi data dipertahankan. Selain itu, jika setelan kebijakan organisasi diubah, tindakan ini dapat menyebabkan konsekuensi yang tidak diinginkan, yaitu menyalin data dari satu region ke region lain.

Prasyarat

Agar tetap mematuhi kebijakan sebagai pengguna paket kontrol ITAR, pastikan Anda memenuhi dan mematuhi prasyarat berikut:

Buat folder ITAR menggunakan Assured Workloads dan deploy workload ITAR Anda hanya di folder tersebut.
Hanya aktifkan dan gunakan layanan ITAR dalam cakupan untuk beban kerja ITAR.
Jangan ubah nilai batasan kebijakan organisasi default kecuali jika Anda memahami dan bersedia menerima risiko retensi data yang mungkin terjadi.
Saat terhubung ke endpoint layanan Google Cloud, Anda harus menggunakan endpoint regional untuk layanan yang menawarkannya. Selain itu:
- Saat terhubung ke endpoint layanan Google Cloud dari VM non-Google Cloud, seperti VM infrastruktur lokal atau penyedia cloud lainnya, Anda harus menggunakan salah satu opsi akses pribadi yang tersedia dan mendukung koneksi ke VM non-Google Cloud untuk merutekan traffic non-Google Cloud ke Google Cloud.
- Saat terhubung ke endpoint layanan Google Cloud dari VM Google Cloud, Anda dapat menggunakan salah satu opsi akses pribadi yang tersedia.
- Saat menghubungkan ke VM Google Cloud yang telah diekspos dengan alamat IP eksternal, lihat Mengakses API dari VM dengan alamat IP eksternal.
Untuk semua layanan yang digunakan di folder ITAR, jangan simpan data teknis dalam jenis informasi konfigurasi keamanan atau yang ditentukan pengguna berikut:
- Pesan error
- Output konsol
- Data atribut
- Data konfigurasi layanan
- Header paket jaringan
- ID resource
- Label data
Hanya gunakan endpoint regional atau lokasi yang ditentukan untuk layanan yang menawarkannya. Lihat layanan ITAR dalam cakupan untuk mengetahui informasi selengkapnya.
Pertimbangkan untuk mengadopsi praktik terbaik keamanan umum yang diberikan di pusat praktik terbaik keamanan Google Cloud.

Layanan dalam cakupan

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua layanan dalam cakupan melalui konsol Google Cloud.

Layanan berikut kompatibel dengan ITAR:

Produk yang didukung	Endpoint API yang mematuhi ITAR	Pembatasan atau batasan
Artifact Registry	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: artifactregistry.googleapis.com	Tidak ada
BigQuery	Endpoint API regional: bigquery.us-west1.rep.googleapis.com bigquery.us-east4.rep.googleapis.com bigquerymigration.us-west1.rep.googleapis.com bigquerymigration.us-east4.rep.googleapis.com bigqueryreservation.us-west1.rep.googleapis.com bigqueryreservation.us-east4.rep.googleapis.com bigquerystorage.us-west1.rep.googleapis.com bigquerystorage.us-east4.rep.googleapis.com bigquerydatatransfer.us-west1.rep.googleapis.com bigquerydatatransfer.us-east4.rep.googleapis.com Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung.	Fitur yang terpengaruh
Certificate Authority Service	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: privateca.googleapis.com	Tidak ada
Cloud External Key Manager (Cloud EKM)	Endpoint API regional tidak didukung. Endpoint Locational API: us-west1-cloudkms.googleapis.com us-east4-cloudkms.googleapis.com Endpoint API global tidak didukung.	Tidak ada
Cloud Run	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: run.googleapis.com	Fitur yang terpengaruh
Compute Engine	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: compute.googleapis.com	Fitur yang terpengaruh dan batasan kebijakan organisasi
Cloud DNS	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: dns.googleapis.com	Fitur yang terpengaruh
Dataflow	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: dataflow.googleapis.com datapipelines.googleapis.com	Tidak ada
Dataproc	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: dataproc-control.googleapis.com dataproc.googleapis.com	Tidak ada
Filestore	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: file.googleapis.com	Tidak ada
Cloud Storage	Endpoint API regional: storage.us-central1.rep.googleapis.com storage.us-central2.rep.googleapis.com storage.us-east1.rep.googleapis.com storage.us-east4.rep.googleapis.com storage.us-east5.rep.googleapis.com storage.us-east7.rep.googleapis.com storage.us-south1.rep.googleapis.com storage.us-west1.rep.googleapis.com storage.us-west2.rep.googleapis.com storage.us-west3.rep.googleapis.com storage.us-west4.rep.googleapis.com Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung.	Fitur yang terpengaruh
Google Kubernetes Engine	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: container.googleapis.com containersecurity.googleapis.com	Fitur yang terpengaruh dan batasan kebijakan organisasi
Cloud HSM	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: cloudkms.googleapis.com	Tidak ada
Identity and Access Management (IAM)	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: iam.googleapis.com	Tidak ada
Identity-Aware Proxy (IAP)	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: iap.googleapis.com	Tidak ada
Cloud Interconnect	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: networkconnectivity.googleapis.com	Fitur yang terpengaruh
Cloud Key Management Service (Cloud KMS)	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: cloudkms.googleapis.com	Tidak ada
Cloud Load Balancing	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: compute.googleapis.com	Fitur yang terpengaruh
Cloud Logging	Endpoint API regional: logging.us-west1.rep.googleapis.com logging.us-east4.rep.googleapis.com Endpoint API lokasi tidak didukung. Endpoint API global tidak didukung.	Fitur yang terpengaruh
Cloud Monitoring	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: monitoring.googleapis.com	Fitur yang terpengaruh
Cloud NAT	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: networkconnectivity.googleapis.com	Fitur yang terpengaruh
Network Connectivity Center	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: networkconnectivity.googleapis.com	Fitur yang terpengaruh
Persistent Disk	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: compute.googleapis.com	Tidak ada
Pub/Sub	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: pubsub.googleapis.com	Tidak ada
Cloud Router	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: networkconnectivity.googleapis.com	Fitur yang terpengaruh
Cloud SQL	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: sqladmin.googleapis.com	Fitur yang terpengaruh
Virtual Private Cloud (VPC)	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: compute.googleapis.com	Fitur yang terpengaruh
Kontrol Layanan VPC	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: accesscontextmanager.googleapis.com	Tidak ada
Cloud VPN	Endpoint API regional tidak didukung. Endpoint API lokasi tidak didukung. Endpoint API global: compute.googleapis.com	Fitur yang terpengaruh

Kebijakan organisasi

Bagian ini menjelaskan pengaruh setiap layanan terhadap nilai batasan kebijakan organisasi default saat folder atau project dibuat menggunakan ITAR. Batasan lain yang berlaku —meskipun tidak ditetapkan secara default— dapat memberikan "pertahanan menyeluruh" tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Batasan kebijakan organisasi di seluruh cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan Kebijakan Organisasi	Deskripsi
`gcp.resourceLocations`	Tetapkan ke `in:us-locations` sebagai item daftar `allowedValues`. Nilai ini membatasi pembuatan resource baru hanya untuk grup nilai Amerika Serikat. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar Amerika Serikat. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya. Mengubah nilai ini dengan membuatnya kurang membatasi dapat berpotensi melemahkan residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data Amerika Serikat. Misalnya: mengganti grup nilai `in:us-locations` dengan grup nilai `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Tetapkan ke daftar semua nama layanan API dalam cakupan, termasuk: `compute.googleapis.com` `container.googleapis.com` `run.googleapis.com` `storage.googleapis.com` Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Lihat bagian Fitur yang Terpengaruh di bawah. Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memastikan bahwa data dalam penyimpanan dienkripsi dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan dalam cakupan dari daftar dapat merusak data kedaulatan data, karena data dalam penyimpanan baru akan otomatis dienkripsi menggunakan kunci milik Google, bukan kunci Anda. Data dalam penyimpanan yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
`gcp.restrictCmekCryptoKeyProjects`	Tetapkan ke semua resource dalam folder ITAR yang Anda buat. Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci KMS untuk mengenkripsi data dalam penyimpanan menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui untuk menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data dalam penyimpanan layanan dalam cakupan.
`gcp.restrictServiceUsage`	Tetapkan untuk mengizinkan semua layanan dalam cakupan. Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.

Batasan kebijakan organisasi Compute Engine

Batasan Kebijakan Organisasi	Deskripsi
`compute.disableGlobalLoadBalancing`	Tetapkan ke True. Menonaktifkan pembuatan produk load balancing global. Mengubah nilai ini dapat memengaruhi retensi data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.
`compute.disableGlobalSelfManagedSslCertificate`	Tetapkan ke True. Menonaktifkan pembuatan sertifikat SSL global yang dikelola sendiri. Mengubah nilai ini dapat memengaruhi retensi data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.
`compute.disableInstanceDataAccessApis`	Tetapkan ke True. Menonaktifkan `instances.getSerialPortOutput()` dan `instances.getScreenshot()` API secara global. Mengaktifkan kebijakan organisasi ini akan mencegah Anda membuat kredensial di VM Windows Server. Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan hal berikut: Aktifkan SSH untuk Windows VM. Jalankan perintah berikut untuk mengubah sandi VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Ganti kode berikut: `VM_NAME`: Nama VM yang akan Anda tetapkan sandinya. `USERNAME`: Nama pengguna yang sandinya Anda tetapkan. `PASSWORD`: Sandi baru.
`compute.disableNestedVirtualization`	Tetapkan ke True. Menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk semua VM Compute Engine di folder ITAR. Mengubah nilai ini dapat memengaruhi retensi data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.
`compute.enableComplianceMemoryProtection`	Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kerusakan infrastruktur. Mengubah nilai ini dapat memengaruhi retensi data dalam beban kerja Anda; sebaiknya pertahankan nilai yang ditetapkan.
`compute.restrictNonConfidentialComputing`	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan defense-in-depth tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
`compute.restrictLoadBalancerCreationForTypes`	Tetapkan untuk mengizinkan semua nilai kecuali `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS`. Lihat Memilih load balancer untuk mengetahui informasi selengkapnya.

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan Kebijakan Organisasi	Deskripsi
`container.restrictNoncompliantDiagnosticDataAccess`	Tetapkan ke True. Digunakan untuk menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol kedaulatan atas beban kerja. Mengubah nilai ini dapat memengaruhi kedaulatan data dalam beban kerja Anda; sebaiknya tetap gunakan nilai yang ditetapkan.

Fitur yang terpengaruh

Bagian ini mencantumkan pengaruh ITAR terhadap fitur atau kemampuan setiap layanan, termasuk persyaratan pengguna saat menggunakan fitur.

Fitur BigQuery

Fitur	Deskripsi
Mengaktifkan BigQuery di folder baru	BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Workload Terjamin baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dalam beberapa situasi dapat memerlukan waktu lebih lama. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut: Di konsol Google Cloud, buka halaman Workloads Terjamin. Buka Assured Workloads Pilih folder Assured Workloads baru dari daftar. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Batasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya. Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care. Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Workload Terjamin. Gemini di BigQuery tidak didukung oleh Assured Workloads.
Fitur yang tidak didukung	Fitur BigQuery berikut tidak didukung dan dinonaktifkan untuk kepatuhan ITAR: Model BQML yang dilatih secara eksternal tidak mematuhi ITAR. Model BQML yang dilatih secara internal mematuhi ITAR. Kueri gabungan Penyamaran data dan kontrol akses tingkat kolom: Pembuatan taksonomi tag kebijakan dinonaktifkan Analytics Hub Ekspor GDrive Fungsi jarak jauh Kueri tersimpan Penjadwalan alur kerja Untuk BigQuery Studio, notebook tidak didukung. Kueri berkelanjutan
BigQuery API yang Sesuai	BigQuery API berikut mematuhi ITAR: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com Reservations API tidak diaktifkan secara default. Anda dapat mengaktifkan API menggunakan petunjuk di halaman ini.
Region	BigQuery mematuhi ITAR untuk semua region BigQuery di Amerika Serikat, kecuali multi-region Amerika Serikat. Kepatuhan ITAR tidak dapat dijamin jika set data dibuat di multi-region AS, region non-AS, atau multi-region non-AS. Pelanggan bertanggung jawab untuk menentukan region yang mematuhi ITAR saat membuat set data BigQuery.
Memuat data	Konektor BigQuery Data Transfer Service untuk aplikasi Google Software as a Service (SaaS), penyedia penyimpanan cloud eksternal, dan data warehouse tidak mematuhi ITAR. Pelanggan hanya dapat menggunakan Cloud Storage Transfer di lingkungan ITAR.
Koneksi ke sumber data eksternal	Tanggung jawab kepatuhan Google terbatas pada kemampuan BigQuery Connection API. Pelanggan bertanggung jawab untuk memastikan kepatuhan produk sumber yang digunakan dengan BigQuery Connection API.
Kueri pada set data ITAR dari project non-ITAR	BigQuery tidak mencegah set data ITAR dikueri dari project non-ITAR. Pelanggan harus memastikan bahwa kueri apa pun yang memiliki operasi baca atau join pada data teknis ITAR ditempatkan di folder yang mematuhi ITAR.

Fitur Compute Engine

Fitur	Deskripsi
Konsol Google Cloud	Fitur Compute Engine berikut tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI: Health check Grup endpoint jaringan
VM Solusi Bare Metal	Anda bertanggung jawab untuk tidak menggunakan VM Solusi Bare Metal (VM o2) karena VM Solusi Bare Metal tidak mematuhi ITAR.
VM Google Cloud VMware Engine	Anda bertanggung jawab untuk tidak menggunakan VM Google Cloud VMware Engine, karena VM Google Cloud VMware Engine tidak mematuhi ITAR.
Membuat instance VM C3	Fitur ini dinonaktifkan.
Menggunakan persistent disk atau snapshot-nya tanpa CMEK	Anda tidak dapat menggunakan persistent disk atau snapshot-nya kecuali jika telah terenkripsi menggunakan CMEK.
Membuat VM bertingkat atau VM yang menggunakan virtualisasi bertingkat	Anda tidak dapat membuat VM bertingkat atau VM yang menggunakan virtualisasi bertingkat. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `compute.disableNestedVirtualization` yang dijelaskan di bagian atas.
Menambahkan grup instance ke load balancer global	Anda tidak dapat menambahkan grup instance ke load balancer global. Fitur ini dinonaktifkan oleh `compute.disableGlobalLoadBalancing` batasan kebijakan organisasi yang dijelaskan di bagian di atas.
Memilih rute permintaan ke load balancer HTTPS eksternal multi-region	Anda tidak dapat merutekan permintaan ke load balancer HTTPS eksternal multi-region. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi `compute.restrictLoadBalancerCreationForTypes` yang dijelaskan di bagian di atas.
Membagikan persistent disk SSD dalam mode multi-penulis	Anda tidak dapat membagikan persistent disk SSD dalam mode multi-penulis antara instance VM.
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Penangguhan dan pengaktifan kembali instance VM memerlukan penyimpanan disk persisten, dan penyimpanan disk persisten yang digunakan untuk menyimpan status VM yang ditangguhkan tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian atas untuk memahami implikasi retensi data dari mengaktifkan fitur ini.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena SSD Lokal tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi `gcp.restrictNonCmekServices` di bagian atas untuk memahami implikasi retensi data dari mengaktifkan fitur ini.
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data dalam penyimpanan dan data yang sedang digunakan yang tidak dienkripsi. Bergantung pada konfigurasi VM Anda, update untuk software ini dapat diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi residensi data melalui kontrol dan proses keamanan internal. Namun, untuk pengguna yang menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi `compute.trustedImageProjects`. Lihat halaman Mem-build image kustom untuk mengetahui informasi selengkapnya.
`instances.getSerialPortOutput()`	API ini dinonaktifkan; Anda tidak akan dapat mendapatkan output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif.
`instances.getScreenshot()`	API ini dinonaktifkan; Anda tidak akan dapat mendapatkan screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi `compute.disableInstanceDataAccessApis` menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif.

Fitur Cloud DNS

Fitur	Deskripsi
Konsol Google Cloud	Fitur Cloud DNS tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Fitur Cloud Interconnect

Fitur	Deskripsi
Konsol Google Cloud	Fitur Cloud Interconnect tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.
VPN ketersediaan tinggi (HA)	Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian ini.

Fitur Cloud Load Balancing

Fitur	Deskripsi
Konsol Google Cloud	Fitur Cloud Load Balancing tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.
Load balancer regional	Anda hanya boleh menggunakan load balancer regional dengan ITAR. Lihat halaman berikut untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi load balancer regional: Load Balancer Aplikasi Internal Load Balancer Aplikasi eksternal regional Load Balancer Jaringan passthrough internal Load Balancer Jaringan passthrough eksternal

Fitur Cloud Logging

Untuk menggunakan Cloud Logging dengan kunci enkripsi yang dikelola pelanggan (CMEK), Anda harus menyelesaikan langkah-langkah di halaman Mengaktifkan CMEK untuk organisasi dalam dokumentasi Cloud Logging.

Fitur	Deskripsi
Sink log	Jangan masukkan informasi sensitif (data pelanggan) di filter sink. Filter sink diperlakukan sebagai data layanan.
Entri log pelacakan langsung	Jangan membuat filter yang berisi data pelanggan. Sesi pelacakan langsung menyertakan filter yang disimpan sebagai konfigurasi. Log tailing tidak menyimpan data entri log apa pun, tetapi dapat membuat kueri dan mengirimkan data di seluruh region.
Pemberitahuan berbasis log	Fitur ini dinonaktifkan. Anda tidak dapat membuat pemberitahuan berbasis log di konsol Google Cloud.
URL yang dipersingkat untuk kueri Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat membuat URL kueri yang disingkat di konsol Google Cloud.
Menyimpan kueri di Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat menyimpan kueri apa pun di konsol Google Cloud.
Log Analytics menggunakan BigQuery	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur Log Analytics.
Kebijakan pemberitahuan berbasis SQL	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur kebijakan pemberitahuan berbasis SQL.

Fitur Cloud Monitoring

Fitur	Deskripsi
Synthetic Monitor	Fitur ini dinonaktifkan.
Pemeriksaan uptime	Fitur ini dinonaktifkan.
Widget panel log di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di `EventAnnotation` untuk Dasbor	Fitur ini dinonaktifkan. Filter `EventAnnotation` tidak dapat ditetapkan di dasbor.
`SqlCondition` di `alertPolicies`	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan `SqlCondition` ke `alertPolicy`.

Fitur Network Connectivity Center

Fitur	Deskripsi
Konsol Google Cloud	Fitur Network Connectivity Center tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Fitur Cloud NAT

Fitur	Deskripsi
Konsol Google Cloud	Fitur Cloud NAT tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Fitur Cloud Router

Fitur	Deskripsi
Konsol Google Cloud	Fitur Cloud Router tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Fitur Cloud Run

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur Cloud Run berikut tidak didukung: Integrasi Cloud Trace Cloud Run Functions Pemicu Eventarc

Fitur Cloud SQL

Fitur	Deskripsi
Mengekspor ke CSV	Mengekspor ke CSV tidak mematuhi ITAR dan tidak boleh digunakan. Fitur ini dinonaktifkan di konsol Google Cloud.
`executeSql`	Metode `executeSql` Cloud SQL API tidak mematuhi ITAR dan tidak boleh digunakan.

Fitur Cloud Storage

Fitur	Deskripsi
Konsol Google Cloud	Untuk mempertahankan kepatuhan ITAR, Anda bertanggung jawab untuk menggunakan Konsol Google Cloud Yurisdiksi. Konsol Yurisdiksi mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Endpoint API yang mematuhi kebijakan di bawah.
Endpoint API yang mematuhi kebijakan	Anda harus menggunakan salah satu endpoint regional yang mematuhi ITAR dengan Cloud Storage. Lihat Endpoint regional Cloud Storage dan Lokasi Cloud Storage untuk mengetahui informasi selengkapnya.
Pembatasan	Anda harus menggunakan endpoint regional Cloud Storage agar mematuhi ITAR. Untuk mengetahui informasi selengkapnya tentang endpoint regional Cloud Storage untuk ITAR, lihat Endpoint regional Cloud Storage. Operasi berikut tidak didukung oleh endpoint regional. Namun, operasi ini tidak membawa data pelanggan seperti yang ditentukan dalam persyaratan layanan residensi data. Oleh karena itu, Anda dapat menggunakan endpoint global untuk operasi ini sesuai kebutuhan tanpa melanggar kepatuhan ITAR: Operasi kunci HMAC Operasi akun layanan IAM Notifikasi Pub/Sub Notifikasi perubahan objek Jika pengguna mencoba menjalankan operasi yang tidak didukung menggunakan endpoint regional, Cloud Storage akan menampilkan kode error HTTP 400 dengan pesan error: `This endpoint does not implement this operation. Please use the global endpoint.`
Menyalin dan menulis ulang untuk objek	Operasi salin dan tulis ulang untuk objek didukung oleh endpoint regional jika bucket sumber dan tujuan berada di region yang ditentukan di endpoint. Namun, Anda tidak dapat menggunakan endpoint regional untuk menyalin atau menulis ulang objek dari satu bucket ke bucket lain jika bucket ada di lokasi yang berbeda. Anda dapat menggunakan endpoint global untuk menyalin atau menulis ulang di seluruh lokasi, tetapi sebaiknya jangan melakukannya karena dapat melanggar kepatuhan ITAR.

Fitur GKE

Fitur	Deskripsi
Batasan resource cluster	Pastikan konfigurasi cluster Anda tidak menggunakan resource untuk layanan yang tidak didukung dalam program kepatuhan ITAR. Misalnya, konfigurasi berikut tidak valid karena memerlukan pengaktifan atau penggunaan layanan yang tidak didukung: set `binaryAuthorization.evaluationMode` to `enabled`

Fitur VPC

Fitur	Deskripsi
Konsol Google Cloud	Fitur jaringan VPC tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Fitur Cloud VPN

Fitur	Deskripsi
Konsol Google Cloud	Fitur Cloud VPN tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.
Enkripsi	Anda hanya boleh menggunakan cipher yang sesuai dengan FIPS 140-2 saat membuat sertifikat dan mengonfigurasi keamanan IP. Lihat halaman ini untuk mengetahui informasi selengkapnya tentang cipher yang didukung di Cloud VPN. Untuk panduan tentang cara memilih cipher yang sesuai dengan standar FIPS 140-2, lihat halaman ini. Saat ini tidak ada cara untuk mengubah cipher yang ada di Google Cloud. Pastikan Anda mengonfigurasi cipher di perangkat pihak ketiga yang digunakan dengan Cloud VPN.
Endpoint VPN	Anda hanya boleh menggunakan endpoint Cloud VPN yang berada di Amerika Serikat. Pastikan gateway VPN Anda dikonfigurasi untuk digunakan hanya di wilayah AS.

Catatan kaki

2. BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Workload Terjamin baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dalam beberapa situasi dapat memerlukan waktu lebih lama. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut:

Di konsol Google Cloud, buka halaman Workloads Terjamin.
Buka Assured Workloads
Pilih folder Assured Workloads baru Anda dari daftar.
Di halaman Folder Details di bagian Allowed services, klik Review Available Updates.
Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Batasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya.

Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care.

Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Workload Terjamin.

Gemini di BigQuery tidak didukung oleh Assured Workloads.

Langkah selanjutnya

Pelajari paket kontrol ITAR.
Pelajari produk yang didukung untuk setiap paket kontrol.