Einschränkungen für den Export von Rüstungsgütern
Auf dieser Seite werden die Einschränkungen und Einschränkungen sowie weitere wenn Sie das ITAR-Kontrollpaket verwenden.
Übersicht
Das Kontrollpaket für die Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR) ermöglicht die Datenzugriffssteuerung und Funktionen für den Datenstandort für Google Cloud-Dienste im Geltungsbereich. Einige dieser Dienste Funktionen Google hinsichtlich der Kompatibilität mit ITAR eingeschränkt oder eingeschränkt ist. Die meisten davon werden beim Erstellen eines neuen Assured Workloads-Ordner für ITAR, einige von ihnen können jedoch geändert werden später durch Ändern Organisationsrichtlinien. Außerdem sind Nutzer für die Einhaltung einiger Einschränkungen und Beschränkungen verantwortlich.
Es ist wichtig zu verstehen, wie diese Einschränkungen Google Cloud-Dienst erhalten oder den Datenzugriff beeinträchtigen, Datenstandort. Zum Beispiel können automatisch deaktiviert werden, um sicherzustellen, Zugriffsbeschränkungen und Datenstandort aufrechtzuerhalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.
Vorbereitung
Damit Sie als Nutzer des ITAR-Kontrollpakets weiterhin konform bleiben, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:
- Erstellen Sie mit Assured Workloads einen ITAR-Ordner und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
- Aktivieren und verwenden Sie nur ITAR-Dienste, die den Vorgaben von ITAR entsprechen, für ITAR-Arbeitslasten.
- Ändern Sie die Standardwerte der Einschränkungen der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenstandort kennen und bereit sind, sie in Kauf zu nehmen.
- Beim Herstellen einer Verbindung zu Google Cloud-Dienstendpunkten müssen Sie regionale
und zwar für Dienste,
die diese anbieten. Außerdem gilt:
- Wenn Sie eine Verbindung zu Google Cloud-Dienstendpunkten von VMs außerhalb von Google Cloud herstellen, z. B. von VMs in lokalen Umgebungen oder von anderen Cloud-Anbietern, müssen Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden, die Verbindungen zu VMs außerhalb von Google Cloud unterstützen, um den Traffic außerhalb von Google Cloud in Google Cloud weiterzuleiten.
- Wenn Sie von Google Cloud-VMs eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
- Beim Herstellen einer Verbindung zu Google Cloud-VMs, die mit externer IP-Adresse freigegeben wurden Adressen, siehe Über VMs mit externen IP-Adressen auf APIs zugreifen
- Speichern Sie für alle Dienste, die in einem ITAR-Ordner verwendet werden, keine technischen Daten in den folgenden Typen von benutzerdefinierten oder Sicherheitskonfigurationsinformationen:
- Fehlermeldungen
- Console-Ausgabe
- Attributdaten
- Daten zur Dienstkonfiguration
- Header von Netzwerkpaketen
- Ressourcenkennzeichnungen
- Datenlabels
- Verwenden Sie nur die angegebenen regionalen oder geografischen Endpunkte für Dienste, die wie Sie sie anbieten können. Weitere Informationen finden Sie unter in den Geltungsbereich fallende ITAR-Dienste.
- Erwägen Sie, die allgemeinen Best Practices für die Sicherheit in den Best Practices für die Sicherheit in Google Cloud
Dienste innerhalb des Geltungsbereichs
Sofern nicht anders angegeben, können Nutzer über in der Google Cloud Console.
Die folgenden Dienste sind mit ITAR kompatibel:
Unterstütztes Produkt | ITAR-konforme API-Endpunkte | Einschränkungen |
---|---|---|
Artifact Registry |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
BigQuery |
Regionale API-Endpunkte:
Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Betroffene Funktionen |
Certificate Authority Service |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud External Key Manager (Cloud EKM) |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte:
Globale API-Endpunkte werden nicht unterstützt. |
Keine |
Compute Engine |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
Cloud DNS |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Dataflow |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Dataproc |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Filestore |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Storage |
Regionale API-Endpunkte werden nicht unterstützt. Standort-API-Endpunkte:
Globale API-Endpunkte werden nicht unterstützt. |
Betroffene Funktionen |
Google Kubernetes Engine |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
Cloud HSM |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Identitäts- und Zugriffsverwaltung |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Identity-Aware Proxy (IAP) |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Interconnect |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Cloud Key Management Service (Cloud KMS) |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Load Balancing |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Cloud Logging |
Regionale API-Endpunkte:
Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt. |
Betroffene Funktionen |
Cloud Monitoring |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Cloud NAT |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Network Connectivity Center |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Persistent Disk |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Pub/Sub |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud Router |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Cloud SQL |
Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Virtual Private Cloud (VPC) |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
VPC Service Controls |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Keine |
Cloud VPN |
Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte:
|
Betroffene Funktionen |
Organisationsrichtlinien
In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von ITAR erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud-Ressourcen Ihrer Organisation weiter zu schützen.
Einschränkungen für Cloud-Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.
Organisationsrichtlinie-Beschränkung | Beschreibung |
---|---|
gcp.resourceLocations |
Legen Sie in:us-locations als Listenelement allowedValues fest.Mit diesem Wert wird das Erstellen neuer Ressourcen auf die Wertgruppe in den USA beschränkt . Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der USA erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der Datengrenze der USA zulassen. Beispiel: Ersetzen der Wertgruppe in:us-locations durch die Wertgruppe in:northamerica-locations .
|
gcp.restrictNonCmekServices |
Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
Für jeden aufgeführten Dienst müssen Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK): Mit einem CMEK wird sichergestellt, dass ruhende Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht Die Standardverschlüsselungsmechanismen von Google. Ändern Sie diesen Wert, indem Sie einen oder mehrere Dienste, die unter die Vorgaben fallen, aus der Liste kann Daten untergraben Datenhoheit, da neue ruhende Daten automatisch mit dem anstelle Ihrer Schlüssel. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt. |
gcp.restrictCmekCryptoKeyProjects |
Wählen Sie alle Ressourcen im von Ihnen erstellten ITAR-Ordner aus. Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs. |
gcp.restrictServiceUsage |
Legen Sie fest, dass alle relevanten Dienste zugelassen werden. Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken. |
Einschränkungen für Compute Engine-Organisationsrichtlinien
Organisationsrichtlinie-Beschränkung | Beschreibung |
---|---|
compute.disableGlobalLoadBalancing |
Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten. |
compute.disableGlobalSelfManagedSslCertificate |
Auf True festlegen. Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten. |
compute.disableInstanceDataAccessApis |
Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot() .Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie Anmeldedaten auf Windows Server-VMs generieren Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten möchten, gehen Sie so vor:
|
compute.disableNestedVirtualization |
Auf True festlegen. Deaktiviert hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im ITAR-Ordner Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten. |
compute.enableComplianceMemoryProtection |
Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten. |
compute.restrictNonConfidentialComputing |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation. |
compute.restrictLoadBalancerCreationForTypes |
Alle Werte außer GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS sind zulässig. Weitere Informationen finden Sie unter
Wählen Sie einen Load-Balancer aus, um weitere Informationen zu erhalten.
|
Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine
Organisationsrichtlinie-Beschränkung | Beschreibung |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten. |
Betroffene Funktionen
In diesem Abschnitt wird aufgeführt, wie sich die ITAR, einschließlich Nutzeranforderungen bei der Verwendung einer Funktion.
BigQuery-Funktionen
Funktion | Beschreibung |
---|---|
BigQuery für einen neuen Ordner aktivieren | BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang wird normalerweise
endet in zehn Minuten, kann aber unter bestimmten Umständen viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt. |
Nicht unterstützte Funktionen | Die folgenden BigQuery-Features werden für ITAR nicht unterstützt
Compliance-Anforderungen und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es handelt sich um die
ist der Kunde dafür verantwortlich, sie nicht in BigQuery für ITAR zu verwenden.
Arbeitsbelastungen.
|
Nicht unterstützte Integrationen | Die folgenden BigQuery-Integrationen werden nicht für die Einhaltung der ITAR-Bestimmungen unterstützt. Es liegt in der Verantwortung des Kunden, sie nicht mit BigQuery für ITAR-Arbeitslasten zu verwenden.
|
Konforme BigQuery APIs | Die folgenden BigQuery APIs sind ITAR-konform: |
Regionen | BigQuery ist ITAR-konform für alle BigQuery US
mit Ausnahme des multiregionalen Standorts "US". Die Einhaltung des ITAR-Programms kann nicht garantiert werden
Dataset wird an einem multiregionalen Standort in den USA, einer Region außerhalb der USA oder außerhalb der USA erstellt
multiregional. Es liegt in der Verantwortung des Kunden, eine
ITAR-kompatible Region beim Erstellen von BigQuery-Datasets. Wenn eine Anfrage für eine Liste von Tabellendaten mit einer US-Region gesendet wird, das Dataset aber in einer anderen US-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region der Kunde beabsichtigt hat. Der Vorgang schlägt mit der Fehlermeldung „Dataset nicht gefunden“ fehl. |
Google Cloud Console | Die BigQuery-Benutzeroberfläche in der Google Cloud Console
ITAR-konform.
|
BigQuery-Befehlszeile | Die BigQuery-Befehlszeile entspricht den ITAR-Bestimmungen.
|
Google Cloud SDK | Sie müssen die Google Cloud SDK-Version 403.0.0 oder höher verwenden, um die Datenregionalisierung für technische ITAR-Daten aufrechtzuerhalten. Führen Sie gcloud --version aus, um die aktuelle Version des Google Cloud SDK zu prüfen, und dann gcloud components update , um auf die neueste Version zu aktualisieren.
|
Steuerelemente für Administratoren | Nicht konforme APIs werden in BigQuery deaktiviert. Kundenadministratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können eine nicht konforme API jedoch aktivieren. Sollte wird der Kunde über einen möglichen Verstoß informiert. über die Assured Workloads-Monitoring Dashboard. |
Daten laden | BigQuery Data Transfer Service-Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, externe Cloud Storage-Anbieter und Data Warehouses sind nicht ITAR-konform. Es liegt in der Verantwortung des Kunden, BigQuery Data Transfer Service-Connectors nicht für ITAR-Arbeitslasten zu verwenden. |
Drittanbieter-Übertragungen | BigQuery überprüft nicht die ITAR-Konformität für Drittanbieter für den BigQuery Data Transfer Service. Es liegt in der Verantwortung des Kunden, die Einhaltung der ITAR-Bestimmungen zu überprüfen, wenn er eine Übertragung durch Dritte für den BigQuery Data Transfer Service verwendet. |
Nicht konforme BQML-Modelle | Extern trainierte BQML-Modelle sind nicht ITAR-konform. |
Abfragejobs | Abfragejobs mit technischen ITAR-Daten dürfen nur in ITAR-Projekten erstellt werden. |
Abfragen zu ITAR-Datasets aus nicht ITAR-Projekten | In BigQuery kann nicht verhindert werden, dass ITAR-Datasets von nicht ITAR-Projekten abgefragt werden. Kunden sollten darauf achten,
dass jede Abfrage mit einem Lesevorgang
oder ein Join zu technischen ITAR-Daten in einem ITAR-konformen Ordner abgelegt werden.
Kunden können Folgendes angeben:
vollständig qualifiziert
Tabellenname für das Abfrageergebnisse mit projectname.dataset.table .
in der BigQuery-Befehlszeile. |
Cloud Logging | BigQuery nutzt Cloud Logging für einige Kundenprotokolldaten.
Kunden sollten ihre _default -Logging-Buckets deaktivieren oder _default -Buckets mit dem folgenden Befehl auf US-Regionen beschränken, um die ITAR-Compliance aufrechtzuerhalten:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Weitere Informationen finden Sie auf dieser Seite. |
Compute Engine Features
Funktion | Beschreibung |
---|---|
Google Cloud Console | Die folgenden Compute Engine-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI:
|
VMs von Bare-Metal-Lösungen | Es liegt in Ihrer Verantwortung, keine VMs für Bare-Metal-Lösungen (o2-VMs) zu verwenden,
Die VMs der Bare-Metal-Lösung entsprechen nicht dem ITAR.
|
Google Cloud VMware Engine-VMs | Sie sind dafür verantwortlich, keine Google Cloud VMware Engine-VMs zu verwenden, da diese nicht den ITAR-Bestimmungen entsprechen.
|
C3-VM-Instanz erstellen | Diese Funktion ist deaktiviert. |
Nichtflüchtige Speicher oder ihre Snapshots ohne CMEK verwenden | Sie können nichtflüchtige Speicher oder deren Snapshots nur verwenden,
wurden mit CMEK verschlüsselt. |
Verschachtelte VMs oder VMs mit verschachtelter Virtualisierung erstellen | Sie können keine verschachtelten VMs oder VMs mit verschachtelter Virtualisierung erstellen. Diese Funktion ist durch die im Abschnitt oben beschriebene Einschränkung der compute.disableNestedVirtualization -Organisationsrichtlinie deaktiviert.
|
Instanzgruppe einem globalen Load Balancer hinzufügen | Sie können einem globalen Load Balancer keine Instanzgruppe hinzufügen. Diese Funktion wurde vom compute.disableGlobalLoadBalancing Einschränkung der Organisationsrichtlinie
wie im obigen Abschnitt beschrieben.
|
Anfragen an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten | Sie können Anfragen nicht an eine multiregionale externe HTTPS-Last weiterleiten
aus. Diese Funktion wird durch die im Abschnitt oben beschriebene Einschränkung der compute.restrictLoadBalancerCreationForTypes -Organisationsrichtlinie deaktiviert.
|
Nichtflüchtiger SSD-Speicher im Multi-Writer-Modus freigeben | Sie können einen nichtflüchtigen SSD-Speicher im Modus für mehrere Autoren nicht für VM-Instanzen freigeben. |
VM-Instanz anhalten bzw. fortsetzen | Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Weitere Informationen finden Sie in der gcp.restrictNonCmekServices Organisation
Richtlinieneinschränkung im obigen Abschnitt, um den Datenstandort zu verstehen
welche Auswirkungen die Aktivierung dieser Funktion hat.
|
Lokale SSDs | Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Im Abschnitt oben finden Sie Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf die Datenspeicherorte. |
Gastumgebung |
Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen.
Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter
Gastumgebung. Diese Komponenten unterstützen Sie bei der Erfüllung des Datenstandorts durch interne Sicherheit Kontrollen und Prozesse. Nutzer, die zusätzliche Kontrolle wünschen, können jedoch auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.
Siehe Weitere Informationen finden Sie auf der Seite „Benutzerdefiniertes Image erstellen“. |
instances.getSerialPortOutput() |
Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Organisation „ compute.disableInstanceDataAccessApis “ ändern
Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch
den interaktiven seriellen Port aktivieren und verwenden
|
instances.getScreenshot() |
Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch
den interaktiven seriellen Port aktivieren und verwenden
|
Cloud DNS-Features
Funktion | Beschreibung |
---|---|
Google Cloud Console | Cloud DNS-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Cloud Interconnect-Funktionen
Funktion | Beschreibung |
---|---|
Google Cloud Console | Cloud Interconnect-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die Methode API oder Google Cloud CLI. |
Hochverfügbarkeits-VPN | Sie müssen VPN-Funktionen für Hochverfügbarkeit aktivieren, wenn Sie die Cloud Interconnect mit Cloud VPN Außerdem müssen Sie die in diesem Abschnitt aufgeführten Anforderungen an die Verschlüsselung und Regionalisierung einhalten. |
Cloud Load Balancing-Funktionen
Funktion | Beschreibung |
---|---|
Google Cloud Console | Cloud Load Balancing-Features sind in der Google Cloud Console Verwenden Sie die API oder Google Cloud CLI. |
Regionale Load Balancer | Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen:
finden Sie unter weitere Informationen zum Konfigurieren regionaler Load-Balancer. |
Features von Cloud Logging
Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verwenden möchten, müssen Sie führen Sie die Schritte im CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation.
Funktion | Beschreibung |
---|---|
Logsenken | Vertrauliche Informationen (Kundendaten) dürfen nicht in Senkenfilter aufgenommen werden. Senkenfilter werden als Dienstdaten behandelt. |
Live-Tailing-Logeinträge | Erstellen Sie keine Filter, die Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. Tailing-Logs speichern selbst keine Logeintragsdaten, können aber Abfragen und Daten über Regionen hinweg zu übertragen. |
Logbasierte Benachrichtigungen | Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden. |
Gekürzte URLs für Log-Explorer-Abfragen | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen. |
Abfragen im Log-Explorer speichern | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern. |
Loganalysen mit BigQuery | Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden. |
Cloud Monitoring-Features
Funktion | Beschreibung |
---|---|
Synthetischer Monitor | Die Funktion ist deaktiviert. |
Verfügbarkeitsdiagnose | Die Funktion ist deaktiviert. |
Widgets für das Logfeld in Dashboards | Diese Funktion ist deaktiviert. Sie können einem Dashboard. |
Widgets für das Steuerfeld für Fehlerberichte in Dashboards | Diese Funktion ist deaktiviert. Sie können keine Error Reporting hinzufügen. zu einem Dashboard. |
In EventAnnotation nach Dashboards filtern
|
Diese Funktion ist deaktiviert. Der Filter für EventAnnotation kann nicht in einem Dashboard festgelegt werden.
|
Funktionen des Network Connectivity Center
Funktion | Beschreibung |
---|---|
Google Cloud Console | Die Features von Network Connectivity Center sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Cloud NAT-Features
Funktion | Beschreibung |
---|---|
Google Cloud Console | Cloud NAT-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI verwenden. |
Cloud Router-Features
Funktion | Beschreibung |
---|---|
Google Cloud Console | Cloud Router-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Cloud SQL-Features
Funktion | Beschreibung |
---|---|
Export in CSV-Datei | Der Export in CSV-Dateien ist nicht ITAR-konform und sollte nicht verwendet werden. Diese Funktion ist in der Google Cloud Console deaktiviert. |
executeSql |
Die executeSql -Methode der Cloud SQL API entspricht nicht den ITAR-Bestimmungen und sollte nicht verwendet werden. |
Cloud Storage-Funktionen
Funktion | Beschreibung |
---|---|
Google Cloud Console | Um die ITAR-Compliance aufrechtzuerhalten, sind Sie dafür verantwortlich, die Google Cloud Console für die Rechtsprechung zu verwenden. Die Jurisdictional Console verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hochladen und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte unten. |
Konforme API-Endpunkte | Sie müssen einen der ITAR-konformen Standortendpunkte mit
Cloud Storage Standortendpunkte sind für alle US-Regionen, den multiregionalen Standort „USA“ und die vordefinierte Dual-Region „NAM4 “ verfügbar.
Standortendpunkte sind nur für die Dual-Regionen verfügbar.
NAM4 Dual-Region. Weitere Informationen finden Sie unter
Cloud Storage-Speicherorte für
erhalten Sie weitere Informationen.
|
Beschränkungen | Sie müssen Cloud Storage-Standortendpunkte verwenden, um ITAR-konform zu sein. Weitere Informationen zu Cloud Storage-Speicherorten
Endpunkte für ITAR siehe
Standortendpunkte für
ITAR-Konformität. Die folgenden Vorgänge werden von Standortendpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten übertragen, wie in den Daten Nutzungsbedingungen des ortsansässigen Dienstes. Daher können Sie für diese Vorgänge bei Bedarf globale Endpunkte verwenden, ohne gegen die ITAR-Compliance zu verstoßen: |
Kopieren und Umschreiben für Objekte | Kopier- und Umschreibvorgänge für Objekte werden von Standortendpunkten unterstützt, wenn sich sowohl die Quell- als auch die Ziel-Buckets in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine Standortendpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zu verwenden, um Daten an verschiedenen Standorten zu kopieren oder umzuschreiben. Wir raten jedoch davon ab, da dies gegen die ITAR-Compliance verstoßen kann. |
GKE-Features
Funktion | Beschreibung |
---|---|
Einschränkungen für Clusterressourcen | Achten Sie darauf, dass in Ihrer Clusterkonfiguration keine Ressourcen für Dienste verwendet werden, die im ITAR-Compliance-Programm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da ein nicht unterstützter Dienst aktiviert oder verwendet werden muss:
set `binaryAuthorization.evaluationMode` to `enabled`
|
VPC-Funktionen
Funktion | Beschreibung |
---|---|
Google Cloud Console | VPC-Netzwerkfunktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Cloud VPN-Features
Funktion | Beschreibung |
---|---|
Google Cloud Console | Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Verschlüsselung | Beim Erstellen von Zertifikaten und Konfigurieren der IP-Sicherheit dürfen nur FIPS 140-2-konforme Chiffren verwendet werden. Weitere Informationen finden Sie unter
dieser Seite
finden Sie weitere Informationen zu unterstützten Chiffren in Cloud VPN. Auf dieser Seite finden Sie eine Anleitung zum Auswählen einer Chiffre, die den FIPS 140-2-Standards entspricht. Derzeit gibt es keine Möglichkeit, eine vorhandene Chiffre in Google Cloud zu ändern. Achten Sie darauf, dass Sie Ihre Verschlüsselung auf der Drittanbieter-Appliance konfigurieren, die die mit Cloud VPN verwendet werden. |
VPN-Endpunkte | Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region in den USA konfiguriert ist. |
Fußnoten
2. BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie ein neues
Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. Um zu prüfen, ob die
abgeschlossen ist. Führen Sie die folgenden Schritte aus, um BigQuery zu aktivieren:
- Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.
- Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus.
- Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen.
- Überprüfen Sie im Bereich Zulässige Dienste die Dienste, die dem
Beschränkung der Ressourcennutzung
Organisationsrichtlinie für den Ordner. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf
Erlauben Sie den Diensten, sie hinzuzufügen.
Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn der Parameter nicht innerhalb von 12 Stunden nach Ordnererstellung aufgelistet sind, wenden Sie sich Cloud Customer Care
Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.
Gemini in BigQuery wird von Assured Workloads nicht unterstützt.