Questa pagina è stata tradotta dall'API Cloud Translation.

Restrizioni e limitazioni per le ITAR

Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizza il pacchetto di controllo ITAR.

Panoramica

Il pacchetto di controllo ITAR (International Traffic in Arms Regulations) abilita le funzionalità di controllo dell'accesso ai dati e della residenza per i servizi Google Cloud in ambito. Alcune funzionalità di questi servizi sono limitate o vietate da Google per garantire la compatibilità con le norme ITAR. La maggior parte di queste limitazioni viene applicata quando viene creata una nuova cartella Assured Workloads per ITAR, ma alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione. Inoltre, alcune limitazioni e restrizioni richiedono la responsabilità dell'utente per l'adeguamento.

È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sull'accesso ai dati o sulla residenza dei dati. Ad esempio, alcune funzionalità o alcune opzioni potrebbero essere disattivate automaticamente per garantire il rispetto delle limitazioni di accesso ai dati e della residenza dei dati. Inoltre, se viene modificata un'impostazione dei criteri dell'organizzazione, la conseguenza indesiderata potrebbe essere la copia dei dati da una regione all'altra.

Prerequisiti

Per mantenere la conformità in qualità di utente del pacchetto di controllo ITAR, assicurati di soddisfare e rispettare i seguenti prerequisiti:

Crea una cartella ITAR utilizzando Assured Workloads ed esegui il deployment dei carichi di lavoro ITAR solo in quella cartella.
Attiva e utilizza solo i servizi ITAR pertinenti per i carichi di lavoro ITAR.
Non modificare i valori dei vincoli dei criteri dell'organizzazione predefiniti, a meno che tu non comprenda e non sia disposto ad accettare i rischi di residenza dei dati che potrebbero verificarsi.
Quando ti connetti agli endpoint dei servizi Google Cloud, devi utilizzare gli endpoint regionali per i servizi che li offrono. Inoltre:
- Quando ti connetti agli endpoint dei servizi Google Cloud da VM non Google Cloud, ad esempio VM on-premise o di altri provider cloud, devi utilizzare una delle opzioni di accesso privato disponibili che supportano le connessioni a VM non Google Cloud per instradare il traffico non Google Cloud in Google Cloud.
- Quando ti connetti agli endpoint dei servizi Google Cloud dalle VM Google Cloud, puoi utilizzare una delle opzioni di accesso privato disponibili.
- Quando ti connetti alle VM Google Cloud esposte con indirizzi IP esterni, consulta Accedere alle API da VM con indirizzi IP esterni.
Per tutti i servizi utilizzati in una cartella ITAR, non archiviare i dati tecnici nei seguenti tipi di informazioni di configurazione della sicurezza o definite dall'utente:
- Messaggi di errore
- Output console
- Dati degli attributi
- Dati di configurazione del servizio
- Intestazioni dei pacchetti di rete
- Identificatori delle risorse
- Etichette dati
Utilizza solo gli endpoint regionali o basati sulla posizione specificati per i servizi che li offrono. Per ulteriori informazioni, consulta i servizi ITAR coperti.
Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Centro best practice per la sicurezza di Google Cloud.

Servizi inclusi nell'ambito

Salvo diversa indicazione, gli utenti possono accedere a tutti i servizi inclusi nell'ambito tramite la console Google Cloud.

I seguenti servizi sono compatibili con le normative ITAR:

Prodotto supportato	Endpoint API conformi a ITAR	Restrizioni o limitazioni
Artifact Registry	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: artifactregistry.googleapis.com	Nessuno
BigQuery	Endpoint API regionali: bigquery.us-west1.rep.googleapis.com bigquery.us-east4.rep.googleapis.com bigquerymigration.us-west1.rep.googleapis.com bigquerymigration.us-east4.rep.googleapis.com bigqueryreservation.us-west1.rep.googleapis.com bigqueryreservation.us-east4.rep.googleapis.com bigquerystorage.us-west1.rep.googleapis.com bigquerystorage.us-east4.rep.googleapis.com bigquerydatatransfer.us-west1.rep.googleapis.com bigquerydatatransfer.us-east4.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Funzionalità interessate
Certificate Authority Service	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: privateca.googleapis.com	Nessuno
Cloud External Key Manager (Cloud EKM)	Gli endpoint API regionali non sono supportati. Endpoint API Locational: us-west1-cloudkms.googleapis.com us-east4-cloudkms.googleapis.com Gli endpoint API globali non sono supportati.	Nessuno
Cloud Run	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: run.googleapis.com	Funzionalità interessate
Compute Engine	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Cloud DNS	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: dns.googleapis.com	Funzionalità interessate
Dataflow	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: dataflow.googleapis.com datapipelines.googleapis.com	Nessuno
Dataproc	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: dataproc-control.googleapis.com dataproc.googleapis.com	Nessuno
Filestore	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: file.googleapis.com	Nessuno
Cloud Storage	Endpoint API regionali: storage.us-central1.rep.googleapis.com storage.us-central2.rep.googleapis.com storage.us-east1.rep.googleapis.com storage.us-east4.rep.googleapis.com storage.us-east5.rep.googleapis.com storage.us-east7.rep.googleapis.com storage.us-south1.rep.googleapis.com storage.us-west1.rep.googleapis.com storage.us-west2.rep.googleapis.com storage.us-west3.rep.googleapis.com storage.us-west4.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Funzionalità interessate
Google Kubernetes Engine	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: container.googleapis.com containersecurity.googleapis.com	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Cloud HSM	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: cloudkms.googleapis.com	Nessuno
Identity and Access Management (IAM)	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: iam.googleapis.com	Nessuno
Identity-Aware Proxy (IAP)	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: iap.googleapis.com	Nessuno
Cloud Interconnect	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Cloud Key Management Service (Cloud KMS)	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: cloudkms.googleapis.com	Nessuno
Cloud Load Balancing	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate
Cloud Logging	Endpoint API regionali: logging.us-west1.rep.googleapis.com logging.us-east4.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Funzionalità interessate
Cloud Monitoring	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: monitoring.googleapis.com	Funzionalità interessate
Cloud NAT	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Network Connectivity Center	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Persistent Disk	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Nessuno
Pub/Sub	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: pubsub.googleapis.com	Nessuno
Cloud Router	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Cloud SQL	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: sqladmin.googleapis.com	Funzionalità interessate
Virtual Private Cloud (VPC)	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate
Controlli di servizio VPC	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: accesscontextmanager.googleapis.com	Nessuno
Cloud VPN	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate

Criteri dell'organizzazione

Questa sezione descrive in che modo ogni servizio è interessato dai valori predefiniti dei vincoli delle norme dell'organizzazione quando vengono create cartelle o progetti utilizzando ITAR. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.

Vincoli dei criteri dell'organizzazione a livello di cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo dei criteri dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta `in:us-locations` come elemento dell'elenco `allowedValues`. Questo valore limita la creazione di nuove risorse solo al gruppo di valori US. Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori degli Stati Uniti. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe minare la residenza dei dati consentendo la creazione o la memorizzazione dei dati al di fuori del confine di dati degli Stati Uniti. Ad esempio, sostituendo il gruppo di valori `in:us-locations` con il gruppo di valori `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Impostato su un elenco di tutti i nomi dei servizi API in ambito, inclusi: `compute.googleapis.com` `container.googleapis.com` `run.googleapis.com` `storage.googleapis.com` Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Consulta la sezione Funzionalità interessate di seguito. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK garantisce che i dati a riposo siano criptati con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore mediante la rimozione di uno o più servizi inclusi nell'elenco potrebbe minare la sovranità dei dati, poiché i nuovi dati a riposo verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave che hai fornito.
`gcp.restrictCmekCryptoKeyProjects`	Impostato su tutte le risorse nella cartella ITAR che hai creato. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità sui dati per i dati a riposo dei servizi in ambito.
`gcp.restrictServiceUsage`	Impostato per consentire tutti i servizi inclusi nell'ambito. Determina quali servizi possono essere attivati e utilizzati. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`compute.disableGlobalLoadBalancing`	Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.
`compute.disableGlobalSelfManagedSslCertificate`	Imposta su True. Disabilita la creazione di certificati SSL autogestiti globali. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disattiva a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`. L'attivazione di questo criterio dell'organizzazione impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, svolgi i seguenti passaggi: Attiva SSH per le VM Windows. Esegui il comando seguente per modificare la password della VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sostituisci quanto segue: `VM_NAME`: il nome della VM per cui stai impostando la password. `USERNAME`: il nome utente dell'utente per cui stai impostando la password. `PASSWORD`: la nuova password.
`compute.disableNestedVirtualization`	Imposta su True. Disabilita la virtualizzazione nidificata con accelerazione hardware per tutte le VM Compute Engine nella cartella ITAR. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria in caso di guasto dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità. Per ulteriori informazioni, consulta la documentazione di Confidential VM.
`compute.restrictLoadBalancerCreationForTypes`	Impostato per consentire tutti i valori tranne `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS`. Per ulteriori informazioni, consulta Scelta di un bilanciatore del carico.

Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Viene utilizzato per disattivare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.

Funzionalità interessate

Questa sezione elenca in che modo le funzionalità o le capacità di ciascun servizio sono interessate dal regime ITAR, inclusi i requisiti utente per l'utilizzo di una funzionalità.

Funzionalità di BigQuery

Funzionalità	Descrizione
Attivazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova cartella Assured Workloads a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per attivare BigQuery, svolgi i seguenti passaggi: Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli della cartella della sezione Servizi consentiti, fai clic su Esamina gli aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se i servizi BigQuery sono elencati, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine della procedura di abilitazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità di BigQuery non sono supportate e sono disabilitate per la conformità a ITAR: I modelli BQML addestrati esternamente non sono conformi a ITAR. I modelli BQML addestrati internamente sono conformi a ITAR. Query federate Mascheramento dei dati e controllo dell'accesso a livello di colonna: La creazione di tassonomie di tag di criteri è disabilitata Analytics Hub Esportazione su GDrive Funzioni da remoto Query salvate Pianificazione del flusso di lavoro Per BigQuery Studio, i notebook non sono supportati. Query continue
API BigQuery conformi	Le seguenti API BigQuery sono conformi a ITAR: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com L'API Reservations non è abilitata per impostazione predefinita. Puoi attivare l'API seguendo le istruzioni riportate su questa pagina.
Regioni	BigQuery è conforme a ITAR per tutte le regioni BigQuery US tranne la regione multiregionale degli Stati Uniti. La conformità alle ITAR non può essere garantita se un set di dati viene creato in una regione con più regioni degli Stati Uniti, in una regione al di fuori degli Stati Uniti o in una regione con più regioni al di fuori degli Stati Uniti. È responsabilità del cliente specificare una regione conforme a ITAR quando crea set di dati BigQuery.
Caricamento di dati	I connettori di BigQuery Data Transfer Service per le app Google Software as a Service (SaaS), i fornitori di servizi di spazio di archiviazione sul cloud esterni e i data warehouse non sono conformi a ITAR. I clienti possono utilizzare Cloud Storage Transfer solo in un ambiente ITAR.
Connessioni a origini dati esterne	La responsabilità di conformità di Google è limitata alla funzionalità dell'API di connessione BigQuery. È responsabilità del cliente garantire la conformità dei prodotti di origine utilizzati con l'API BigQuery Connection.
Query sui set di dati ITAR da progetti non ITAR	BigQuery non impedisce l'esecuzione di query sui set di dati ITAR da progetti non ITAR. I clienti devono assicurarsi che qualsiasi query che includa una lettura o un join sui dati tecnici ITAR sia inserita in una cartella conforme a ITAR.

Funzionalità di Compute Engine

Funzionalità	Descrizione
Console Google Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI: Controlli di integrità Gruppi di endpoint di rete
VM Bare Metal Solution	È tua responsabilità non utilizzare le VM Bare Metal Solution (VM o2) perché le VM Bare Metal Solution non sono conformi alle ITAR.
VM Google Cloud VMware Engine	È tua responsabilità non utilizzare le VM Google Cloud VMware Engine, poiché le VM Google Cloud VMware Engine non sono conformi a ITAR.
Creazione di un'istanza VM C3	Questa funzionalità è disattivata.
Utilizzo di dischi permanenti o dei relativi snapshot senza CMEK	Non puoi utilizzare i dischi permanenti o i relativi snapshot a meno che non siano stati criptati utilizzando CMEK.
Creazione di VM nidificate o VM che utilizzano la virtualizzazione nidificata	Non puoi creare VM nidificate o VM che utilizzano la virtualizzazione nidificata. Questa funzionalità è disattivata dal vincolo delle norme dell'`compute.disableNestedVirtualization`organizzazione descritto nella sezione precedente.
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal `compute.disableGlobalLoadBalancing` vincolo delle norme dell'organizzazione descritto nella sezione precedente.
Instradare le richieste a un bilanciatore del carico HTTPS esterno a più regioni	Non puoi instradare le richieste a un bilanciatore del carico HTTPS esterno a più regioni. Questa funzionalità è disattivata dal vincolo delle norme dell'`compute.restrictLoadBalancerCreationForTypes` organizzazione descritto nella sezione precedente.
Condivisione di un disco permanente SSD in modalità multi-writer	Non puoi condividere un disco permanente SSD in modalità multi-autore tra le istanze VM.
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono spazio di archiviazione su disco permanente e lo spazio di archiviazione su disco permanente utilizzato per archiviare lo stato della VM sospesa non può essere criptato utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della residenza dei dati conseguenti all'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptate utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della residenza dei dati derivanti dall'attivazione di questa funzionalità.
Ambiente guest	È possibile che script, demoni e file binari inclusi nell'ambiente guest accedano a dati at-rest e in uso non criptati. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su i contenuti, il codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a soddisfare la residenza dei dati tramite controlli e procedure di sicurezza interna. Tuttavia, per gli utenti che vogliono un controllo aggiuntivo, puoi anche organizzare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo delle `compute.trustedImageProjects` norme dell'organizzazione. Per ulteriori informazioni, consulta la pagina Creazione di un'immagine personalizzata.
`instances.getSerialPortOutput()`	Questa API è disattivata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva.
`instances.getScreenshot()`	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva.

Funzionalità di Cloud DNS

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud DNS non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità di Cloud Interconnect

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud Interconnect non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.
VPN ad alta disponibilità	Devi attivare la funzionalità VPN ad alta disponibilità (HA) quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati in questa sezione.

Funzionalità di Cloud Load Balancing

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.
Bilanciatori del carico a livello di regione	Devi utilizzare solo bilanciatori del carico a livello di regione con ITAR. Per ulteriori informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine: Bilanciatore del carico delle applicazioni interno Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico di rete passthrough interno Bilanciatore del carico di rete passthrough esterno

Funzionalità

Descrizione

Console Google Cloud

Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Bilanciatori del carico a livello di regione

Devi utilizzare solo bilanciatori del carico a livello di regione con ITAR. Per ulteriori informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine:

Funzionalità di Cloud Logging

Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi descritti nella pagina Attivare CMEK per un'organizzazione della documentazione di Cloud Logging.

Funzionalità	Descrizione
Destinazioni dei log	Non inserire informazioni sensibili (dati dei clienti) nei filtri di destinazione. I filtri di destinazione vengono trattati come dati di servizio.
Voci di log di monitoraggio in tempo reale	Non creare filtri che contengono dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro archiviato come configurazione. I log di coda non memorizzano dati voce di log, ma possono eseguire query e trasmettere dati tra regioni.
Avvisi basati su log	Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud.
URL abbreviati per le query di Esplora log	Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud.
Salvataggio delle query in Esplora log	Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud.
Analisi dei log con BigQuery	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics.
Criteri di avviso basati su SQL	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL.

Funzionalità di Cloud Monitoring

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controllo di uptime	Questa funzionalità è disattivata.
Widget del riquadro dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un riquadro dei log a una dashboard.
Widget del riquadro di segnalazione degli errori in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un riquadro per la segnalazione di errori a una dashboard.
Filtra in `EventAnnotation` per Dashboard	Questa funzionalità è disattivata. Il filtro di `EventAnnotation` non può essere impostato in una dashboard.
`SqlCondition` in `alertPolicies`	Questa funzionalità è disattivata. Non puoi aggiungere un `SqlCondition` a un `alertPolicy`.

Funzionalità di Network Connectivity Center

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità di Cloud NAT

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità Cloud NAT non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità del router Cloud

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità del router Cloud non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità di Cloud Run

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Funzioni Cloud Run Trigger Eventarc

Funzionalità di Cloud SQL

Funzionalità	Descrizione
Esportazione in formato CSV	L'esportazione in formato CSV non è conforme alle norme ITAR e non deve essere utilizzata. Questa funzionalità è disattivata nella console Google Cloud.
`executeSql`	Il metodo `executeSql` dell'API Cloud SQL non è conforme a ITAR e non deve essere utilizzato.

Funzionalità di Cloud Storage

Funzionalità	Descrizione
Console Google Cloud	Per mantenere la conformità alle ITAR, è tua responsabilità utilizzare la console Google Cloud giurisdizionale. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi	Devi utilizzare uno degli endpoint regionali conformi a ITAR con Cloud Storage. Per ulteriori informazioni, consulta Endpoint regionali di Cloud Storage e Località di Cloud Storage.
Limitazioni	Per essere conforme a ITAR, devi utilizzare gli endpoint regionali di Cloud Storage. Per ulteriori informazioni sugli endpoint regionali di Cloud Storage per ITAR, consulta Endpoint regionali di Cloud Storage. Le seguenti operazioni non sono supportate dagli endpoint regionali. Tuttavia, queste operazioni non comportano il trasferimento dei dati dei clienti come definiti nei Termini di servizio per la residenza dei dati. Pertanto, puoi utilizzare gli endpoint globali per queste operazioni, se necessario, senza violare la conformità alle ITAR: Operazioni con le chiavi HMAC Operazioni degli account di servizio IAM Notifiche Pub/Sub Notifiche di modifica degli oggetti Se un utente tenta di eseguire un'operazione non supportata utilizzando endpoint regionali, Cloud Storage restituirà un codice di errore HTTP 400 con il messaggio di errore: `This endpoint does not implement this operation. Please use the global endpoint.`
Copia e riscrivi per gli oggetti	Le operazioni di copia e riscrittura per gli oggetti sono supportate dagli endpoint a livello di regione se sia i bucket di origine sia quelli di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non puoi utilizzare gli endpoint regionali per copiare o riscrivere un oggetto da un bucket all'altro se i bucket esistono in posizioni diverse. È possibile utilizzare endpoint globali per copiare o riscrivere i dati in più località, ma non lo consigliamo perché potrebbe violare la conformità alle ITAR.

Funzionalità di GKE

Funzionalità	Descrizione
Limitazioni delle risorse del cluster	Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nel programma di conformità ITAR. Ad esempio, la seguente configurazione non è valida perché richiede l'attivazione o l'utilizzo di un servizio non supportato: set `binaryAuthorization.evaluationMode` to `enabled`

Funzionalità VPC

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di networking VPC non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità di Cloud VPN

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità Cloud VPN non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.
Crittografia	Devi utilizzare solo algoritmi di crittografia conformi a FIPS 140-2 quando crei i certificati e configuri la sicurezza IP. Per ulteriori informazioni sulle crittografie supportate in Cloud VPN, consulta questa pagina. Per guidance sulla selezione di un'algoritmo di crittografia conforme agli standard FIPS 140-2, consulta questa pagina. Al momento non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare il tuo cifrario sull'appliance di terze parti utilizzata con Cloud VPN.
Endpoint VPN	Devi utilizzare solo endpoint Cloud VPN situati negli Stati Uniti. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione degli Stati Uniti.

Note a piè di pagina

2. BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova cartella Assured Workloads a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per attivare BigQuery, svolgi i seguenti passaggi:

Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti.
Vai ad Assured Workloads
Seleziona la nuova cartella Assured Workloads dall'elenco.
Nella pagina Dettagli della cartella della sezione Servizi consentiti, fai clic su Esamina gli aggiornamenti disponibili.
Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se i servizi BigQuery sono elencati, fai clic su Consenti servizi per aggiungerli.

Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud.

Al termine della procedura di abilitazione, puoi utilizzare BigQuery nella cartella Assured Workloads.

Gemini in BigQuery non è supportato da Assured Workloads.

Passaggi successivi

Scopri di più sul pacchetto di controllo ITAR.
Scopri quali prodotti sono supportati per ogni pacchetto di controllo.