Einschränkungen für den Export von Rüstungsgütern

Auf dieser Seite werden die Einschränkungen und Einschränkungen sowie weitere wenn Sie das ITAR-Kontrollpaket verwenden.

Übersicht

Das Kontrollpaket für die Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR) ermöglicht die Datenzugriffssteuerung und Funktionen für den Datenstandort für Google Cloud-Dienste im Geltungsbereich. Einige dieser Dienste Funktionen Google hinsichtlich der Kompatibilität mit ITAR eingeschränkt oder eingeschränkt ist. Die meisten davon werden beim Erstellen eines neuen Assured Workloads-Ordner für ITAR, einige von ihnen können jedoch geändert werden später durch Ändern Organisationsrichtlinien. Außerdem sind Nutzer für die Einhaltung einiger Einschränkungen und Beschränkungen verantwortlich.

Es ist wichtig zu verstehen, wie diese Einschränkungen Google Cloud-Dienst erhalten oder den Datenzugriff beeinträchtigen, Datenstandort. Zum Beispiel können automatisch deaktiviert werden, um sicherzustellen, Zugriffsbeschränkungen und Datenstandort aufrechtzuerhalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.

Vorbereitung

Damit Sie als Nutzer des ITAR-Kontrollpakets weiterhin konform bleiben, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:

  • Erstellen Sie mit Assured Workloads einen ITAR-Ordner und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
  • Aktivieren und verwenden Sie nur ITAR-Dienste, die den Vorgaben von ITAR entsprechen, für ITAR-Arbeitslasten.
  • Ändern Sie die Standardwerte der Einschränkungen der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenstandort kennen und bereit sind, sie in Kauf zu nehmen.
  • Beim Herstellen einer Verbindung zu Google Cloud-Dienstendpunkten müssen Sie regionale und zwar für Dienste, die diese anbieten. Außerdem gilt:
    • Wenn Sie eine Verbindung zu Google Cloud-Dienstendpunkten von VMs außerhalb von Google Cloud herstellen, z. B. von VMs in lokalen Umgebungen oder von anderen Cloud-Anbietern, müssen Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden, die Verbindungen zu VMs außerhalb von Google Cloud unterstützen, um den Traffic außerhalb von Google Cloud in Google Cloud weiterzuleiten.
    • Wenn Sie von Google Cloud-VMs eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
    • Beim Herstellen einer Verbindung zu Google Cloud-VMs, die mit externer IP-Adresse freigegeben wurden Adressen, siehe Über VMs mit externen IP-Adressen auf APIs zugreifen
  • Speichern Sie für alle Dienste, die in einem ITAR-Ordner verwendet werden, keine technischen Daten in den folgenden Typen von benutzerdefinierten oder Sicherheitskonfigurationsinformationen:
    • Fehlermeldungen
    • Console-Ausgabe
    • Attributdaten
    • Daten zur Dienstkonfiguration
    • Header von Netzwerkpaketen
    • Ressourcenkennzeichnungen
    • Datenlabels
  • Verwenden Sie nur die angegebenen regionalen oder geografischen Endpunkte für Dienste, die wie Sie sie anbieten können. Weitere Informationen finden Sie unter in den Geltungsbereich fallende ITAR-Dienste.
  • Erwägen Sie, die allgemeinen Best Practices für die Sicherheit in den Best Practices für die Sicherheit in Google Cloud

Dienste innerhalb des Geltungsbereichs

Sofern nicht anders angegeben, können Nutzer über in der Google Cloud Console.

Die folgenden Dienste sind mit ITAR kompatibel:

Unterstütztes Produkt ITAR-konforme API-Endpunkte Einschränkungen
Artifact Registry Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • artifactregistry.googleapis.com
 Keine
BigQuery Regionale API-Endpunkte:
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquery.us-east7.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigquerymigration.us-east7.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigqueryreservation.us-east7.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerystorage.us-east7.rep.googleapis.com

Locational API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Betroffene Funktionen
Certificate Authority Service Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • privateca.googleapis.com
 Keine
Cloud External Key Manager (Cloud EKM) Regionale API-Endpunkte werden nicht unterstützt.

Locational API-Endpunkte:
  • us-west1-cloudkms.googleapis.com
  • us-east4-cloudkms.googleapis.com

Globale API-Endpunkte werden nicht unterstützt.
 Keine
Compute Engine Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud DNS Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • dns.googleapis.com
 Betroffene Funktionen
Dataflow Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
 Keine
Dataproc Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
 Keine
Filestore Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • file.googleapis.com
 Keine
Cloud Storage Regionale API-Endpunkte werden nicht unterstützt.

Standort-API-Endpunkte:
  • us-west1-storage.googleapis.com
  • us-east4-storage.googleapis.com

Globale API-Endpunkte werden nicht unterstützt.
 Betroffene Funktionen
Google Kubernetes Engine Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud HSM Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • cloudkms.googleapis.com
 Keine
Identitäts- und Zugriffsverwaltung Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • iam.googleapis.com
 Keine
Identity-Aware Proxy (IAP) Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • iap.googleapis.com
 Keine
Cloud Interconnect Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Cloud Key Management Service (Cloud KMS) Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • cloudkms.googleapis.com
 Keine
Cloud Load Balancing Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen
Cloud Logging Regionale API-Endpunkte:
  • logging.us-west1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com

Standortbezogene API-Endpunkte werden nicht unterstützt.
Globale API-Endpunkte werden nicht unterstützt.
 Betroffene Funktionen
Cloud Monitoring Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • monitoring.googleapis.com
 Betroffene Funktionen
Cloud NAT Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Network Connectivity Center Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Persistent Disk Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Keine
Pub/Sub Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • pubsub.googleapis.com
 Keine
Cloud Router Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • networkconnectivity.googleapis.com
 Betroffene Funktionen
Cloud SQL Regionale API-Endpunkte werden nicht unterstützt.
Standortbezogene API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • sqladmin.googleapis.com
 Betroffene Funktionen
Virtual Private Cloud (VPC) Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen
VPC Service Controls Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • accesscontextmanager.googleapis.com
 Keine
Cloud VPN Regionale API-Endpunkte werden nicht unterstützt.
Locational API-Endpunkte werden nicht unterstützt.

Globale API-Endpunkte:
  • compute.googleapis.com
 Betroffene Funktionen

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von ITAR erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um die Google Cloud-Ressourcen Ihrer Organisation weiter zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.

Organisationsrichtlinie-Beschränkung Beschreibung
gcp.resourceLocations Legen Sie in:us-locations als Listenelement allowedValues fest.

Mit diesem Wert wird das Erstellen neuer Ressourcen auf die Wertgruppe in den USA beschränkt . Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der USA erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.

Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der Datengrenze der USA zulassen. Beispiel: Ersetzen der Wertgruppe in:us-locations durch die Wertgruppe in:northamerica-locations.
gcp.restrictNonCmekServices Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Einige Funktionen können durch die oben aufgeführten Dienste beeinträchtigt werden. Weitere Informationen finden Sie unten im Abschnitt Betroffene Funktionen.

Für jeden aufgeführten Dienst müssen Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK): Mit einem CMEK wird sichergestellt, dass ruhende Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht Die Standardverschlüsselungsmechanismen von Google.

Ändern Sie diesen Wert, indem Sie einen oder mehrere Dienste, die unter die Vorgaben fallen, aus der Liste kann Daten untergraben Datenhoheit, da neue ruhende Daten automatisch mit dem anstelle Ihrer Schlüssel. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
gcp.restrictCmekCryptoKeyProjects Wählen Sie alle Ressourcen im von Ihnen erstellten ITAR-Ordner aus.

Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
gcp.restrictServiceUsage Legen Sie fest, dass alle relevanten Dienste zugelassen werden.

Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung Beschreibung
compute.disableGlobalLoadBalancing Auf True festlegen.

Deaktiviert das Erstellen von globalen Load-Balancing-Produkten.

Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.
compute.disableGlobalSelfManagedSslCertificate Auf True festlegen.

Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate.

Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.
compute.disableInstanceDataAccessApis Auf True festlegen.

Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().

Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie Anmeldedaten auf Windows Server-VMs generieren

Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten möchten, gehen Sie so vor:
  1. Aktivieren Sie SSH für Windows-VMs.
  2. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: 
    gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
     Ersetzen Sie dabei Folgendes:
    • VM_NAME: Name der VM, für die Sie das Passwort festlegen für die Sie angegeben haben.
    • USERNAME: Der Nutzername des Nutzers, für den Sie das Passwort festlegen.
    • PASSWORD: Das neue Passwort.
compute.disableNestedVirtualization Auf True festlegen.

Deaktiviert hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im ITAR-Ordner

Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.
compute.enableComplianceMemoryProtection Auf True festlegen.

Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten.

Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.
compute.restrictNonConfidentialComputing

 (Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
compute.restrictLoadBalancerCreationForTypes

 Alle Werte außer GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS sind zulässig. Weitere Informationen finden Sie unter Wählen Sie einen Load-Balancer aus, um weitere Informationen zu erhalten.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung Beschreibung
container.restrictNoncompliantDiagnosticDataAccess Auf True festlegen.

Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten.

Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.

Betroffene Funktionen

In diesem Abschnitt wird aufgeführt, wie sich die ITAR, einschließlich Nutzeranforderungen bei der Verwendung einer Funktion.

BigQuery-Funktionen

Funktion Beschreibung
BigQuery für einen neuen Ordner aktivieren BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang wird normalerweise endet in zehn Minuten, kann aber unter bestimmten Umständen viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu Assured Workloads

  2. Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen.
  4. Überprüfen Sie im Bereich Zugelassene Dienste die Dienste, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.

    Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care.

Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen Die folgenden BigQuery-Features werden für ITAR nicht unterstützt Compliance-Anforderungen und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es handelt sich um die ist der Kunde dafür verantwortlich, sie nicht in BigQuery für ITAR zu verwenden. Arbeitsbelastungen.
Nicht unterstützte Integrationen Die folgenden BigQuery-Integrationen werden nicht für die Einhaltung der ITAR-Bestimmungen unterstützt. Es liegt in der Verantwortung des Kunden, sie nicht mit BigQuery für ITAR-Arbeitslasten zu verwenden.
  • Mit den API-Methoden CreateTag, SearchCatalog, Bulk tagging und Business Glossary der Data Catalog API können technische ITAR-Daten auf eine Weise verarbeitet und gespeichert werden, die nicht ITAR-konform ist. Der Kunde ist dafür verantwortlich, diese Methoden nicht für ITAR-Arbeitslasten zu verwenden.
Konforme BigQuery APIs Die folgenden BigQuery APIs sind ITAR-konform:
Regionen BigQuery ist ITAR-konform für alle BigQuery US mit Ausnahme des multiregionalen Standorts "US". Die Einhaltung des ITAR-Programms kann nicht garantiert werden Dataset wird an einem multiregionalen Standort in den USA, einer Region außerhalb der USA oder außerhalb der USA erstellt multiregional. Es liegt in der Verantwortung des Kunden, eine ITAR-kompatible Region beim Erstellen von BigQuery-Datasets.

Wenn eine Anfrage für eine Liste von Tabellendaten mit einer US-Region gesendet wird, das Dataset aber in einer anderen US-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region der Kunde beabsichtigt hat. Der Vorgang schlägt mit der Fehlermeldung „Dataset nicht gefunden“ fehl.
Google Cloud Console Die BigQuery-Benutzeroberfläche in der Google Cloud Console ITAR-konform.

BigQuery-Befehlszeile Die BigQuery-Befehlszeile entspricht den ITAR-Bestimmungen.

Google Cloud SDK Sie müssen die Google Cloud SDK-Version 403.0.0 oder höher verwenden, um die Datenregionalisierung für technische ITAR-Daten aufrechtzuerhalten. Führen Sie gcloud --version aus, um die aktuelle Version des Google Cloud SDK zu prüfen, und dann gcloud components update, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren Nicht konforme APIs werden in BigQuery deaktiviert. Kundenadministratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können eine nicht konforme API jedoch aktivieren. Sollte wird der Kunde über einen möglichen Verstoß informiert. über die Assured Workloads-Monitoring Dashboard.
Daten laden BigQuery Data Transfer Service-Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, externe Cloud Storage-Anbieter und Data Warehouses sind nicht ITAR-konform. Es liegt in der Verantwortung des Kunden, BigQuery Data Transfer Service-Connectors nicht für ITAR-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen BigQuery überprüft nicht die ITAR-Konformität für Drittanbieter für den BigQuery Data Transfer Service. Es liegt in der Verantwortung des Kunden, die Einhaltung der ITAR-Bestimmungen zu überprüfen, wenn er eine Übertragung durch Dritte für den BigQuery Data Transfer Service verwendet.
Nicht konforme BQML-Modelle Extern trainierte BQML-Modelle sind nicht ITAR-konform.
Abfragejobs Abfragejobs mit technischen ITAR-Daten dürfen nur in ITAR-Projekten erstellt werden.
Abfragen zu ITAR-Datasets aus nicht ITAR-Projekten In BigQuery kann nicht verhindert werden, dass ITAR-Datasets von nicht ITAR-Projekten abgefragt werden. Kunden sollten darauf achten, dass jede Abfrage mit einem Lesevorgang oder ein Join zu technischen ITAR-Daten in einem ITAR-konformen Ordner abgelegt werden. Kunden können Folgendes angeben: vollständig qualifiziert Tabellenname für das Abfrageergebnisse mit projectname.dataset.table. in der BigQuery-Befehlszeile.
Cloud Logging BigQuery nutzt Cloud Logging für einige Kundenprotokolldaten. Kunden sollten ihre _default-Logging-Buckets deaktivieren oder _default-Buckets mit dem folgenden Befehl auf US-Regionen beschränken, um die ITAR-Compliance aufrechtzuerhalten:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Weitere Informationen finden Sie auf dieser Seite.

Compute Engine Features

Funktion Beschreibung
Google Cloud Console Die folgenden Compute Engine-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI:

  1. Systemdiagnosen
  2. Netzwerk-Endpunktgruppen
VMs von Bare-Metal-Lösungen Es liegt in Ihrer Verantwortung, keine VMs für Bare-Metal-Lösungen (o2-VMs) zu verwenden, Die VMs der Bare-Metal-Lösung entsprechen nicht dem ITAR.

Google Cloud VMware Engine-VMs Sie sind dafür verantwortlich, keine Google Cloud VMware Engine-VMs zu verwenden, da diese nicht den ITAR-Bestimmungen entsprechen.

C3-VM-Instanz erstellen Diese Funktion ist deaktiviert.
Nichtflüchtige Speicher oder ihre Snapshots ohne CMEK verwenden Sie können nichtflüchtige Speicher oder deren Snapshots nur verwenden, wurden mit CMEK verschlüsselt.
Verschachtelte VMs oder VMs mit verschachtelter Virtualisierung erstellen Sie können keine verschachtelten VMs oder VMs mit verschachtelter Virtualisierung erstellen.

Diese Funktion ist durch die im Abschnitt oben beschriebene Einschränkung der compute.disableNestedVirtualization-Organisationsrichtlinie deaktiviert.
Instanzgruppe einem globalen Load Balancer hinzufügen Sie können einem globalen Load Balancer keine Instanzgruppe hinzufügen.

Diese Funktion wurde vom compute.disableGlobalLoadBalancing Einschränkung der Organisationsrichtlinie wie im obigen Abschnitt beschrieben.
Anfragen an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten Sie können Anfragen nicht an eine multiregionale externe HTTPS-Last weiterleiten aus.

Diese Funktion wird durch die im Abschnitt oben beschriebene Einschränkung der compute.restrictLoadBalancerCreationForTypes-Organisationsrichtlinie deaktiviert.
Nichtflüchtiger SSD-Speicher im Multi-Writer-Modus freigeben Sie können einen nichtflüchtigen SSD-Speicher im Modus für mehrere Autoren nicht für VM-Instanzen freigeben.
VM-Instanz anhalten bzw. fortsetzen Die Funktion ist deaktiviert.

Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Weitere Informationen finden Sie in der gcp.restrictNonCmekServices Organisation Richtlinieneinschränkung im obigen Abschnitt, um den Datenstandort zu verstehen welche Auswirkungen die Aktivierung dieser Funktion hat.
Lokale SSDs Die Funktion ist deaktiviert.

Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Im Abschnitt oben finden Sie Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf die Datenspeicherorte.
Gastumgebung Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung.

Diese Komponenten unterstützen Sie bei der Erfüllung des Datenstandorts durch interne Sicherheit Kontrollen und Prozesse. Nutzer, die zusätzliche Kontrolle wünschen, können jedoch auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden.

Siehe Weitere Informationen finden Sie auf der Seite „Benutzerdefiniertes Image erstellen“.
instances.getSerialPortOutput() Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen.

Organisation „compute.disableInstanceDataAccessApis“ ändern Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden
instances.getScreenshot() Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten.

Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden

Cloud DNS-Features

Funktion Beschreibung
Google Cloud Console Cloud DNS-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud Interconnect-Funktionen

Funktion Beschreibung
Google Cloud Console Cloud Interconnect-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die Methode API oder Google Cloud CLI.
Hochverfügbarkeits-VPN Sie müssen VPN-Funktionen für Hochverfügbarkeit aktivieren, wenn Sie die Cloud Interconnect mit Cloud VPN Außerdem müssen Sie die in diesem Abschnitt aufgeführten Anforderungen an die Verschlüsselung und Regionalisierung einhalten.

Cloud Load Balancing-Funktionen

Funktion Beschreibung
Google Cloud Console Cloud Load Balancing-Features sind in der Google Cloud Console Verwenden Sie die API oder Google Cloud CLI.
Regionale Load Balancer Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen: finden Sie unter
weitere Informationen zum Konfigurieren regionaler Load-Balancer.

Features von Cloud Logging

Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verwenden möchten, müssen Sie führen Sie die Schritte im CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation.

Funktion Beschreibung
Logsenken Vertrauliche Informationen (Kundendaten) dürfen nicht in Senkenfilter aufgenommen werden. Senkenfilter werden als Dienstdaten behandelt.
Live-Tailing-Logeinträge Erstellen Sie keine Filter, die Kundendaten enthalten.

Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. Tailing-Logs speichern selbst keine Logeintragsdaten, können aber Abfragen und Daten über Regionen hinweg zu übertragen.
Logbasierte Benachrichtigungen Die Funktion ist deaktiviert.

Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern Die Funktion ist deaktiviert.

In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery Die Funktion ist deaktiviert.

Das Feature "Loganalyse" kann nicht verwendet werden.

Cloud Monitoring-Features

Funktion Beschreibung
Synthetischer Monitor Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose Die Funktion ist deaktiviert.
Widgets für das Logfeld in Dashboards Diese Funktion ist deaktiviert.

Sie können einem Dashboard.
Widgets für das Steuerfeld für Fehlerberichte in Dashboards Diese Funktion ist deaktiviert.

Sie können keine Error Reporting hinzufügen. zu einem Dashboard.
In EventAnnotation nach Dashboards filtern Diese Funktion ist deaktiviert.

Der Filter für EventAnnotation kann nicht in einem Dashboard festgelegt werden.

Funktionen des Network Connectivity Center

Funktion Beschreibung
Google Cloud Console Die Features von Network Connectivity Center sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud NAT-Features

Funktion Beschreibung
Google Cloud Console Cloud NAT-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI verwenden.

Cloud Router-Features

Funktion Beschreibung
Google Cloud Console Cloud Router-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud SQL-Features

Funktion Beschreibung
Export in CSV-Datei Der Export in CSV-Dateien ist nicht ITAR-konform und sollte nicht verwendet werden. Diese Funktion ist in der Google Cloud Console deaktiviert.
executeSql Die executeSql-Methode der Cloud SQL API entspricht nicht den ITAR-Bestimmungen und sollte nicht verwendet werden.

Cloud Storage-Funktionen

Funktion Beschreibung
Google Cloud Console Um die ITAR-Compliance aufrechtzuerhalten, sind Sie dafür verantwortlich, die Google Cloud Console für die Rechtsprechung zu verwenden. Die Jurisdictional Console verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hochladen und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte unten.
Konforme API-Endpunkte Sie müssen einen der ITAR-konformen Standortendpunkte mit Cloud Storage Standortendpunkte sind für alle US-Regionen, den multiregionalen Standort „USA“ und die vordefinierte Dual-Region „NAM4“ verfügbar. Standortendpunkte sind nur für die Dual-Regionen verfügbar. NAM4 Dual-Region. Weitere Informationen finden Sie unter Cloud Storage-Speicherorte für erhalten Sie weitere Informationen.
Beschränkungen Sie müssen Cloud Storage-Standortendpunkte verwenden, um ITAR-konform zu sein. Weitere Informationen zu Cloud Storage-Speicherorten Endpunkte für ITAR siehe Standortendpunkte für ITAR-Konformität.

Die folgenden Vorgänge werden von Standortendpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten übertragen, wie in den Daten Nutzungsbedingungen des ortsansässigen Dienstes. Daher können Sie für diese Vorgänge bei Bedarf globale Endpunkte verwenden, ohne gegen die ITAR-Compliance zu verstoßen:
Kopieren und Umschreiben für Objekte Kopier- und Umschreibvorgänge für Objekte werden von Standortendpunkten unterstützt, wenn sich sowohl die Quell- als auch die Ziel-Buckets in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine Standortendpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zu verwenden, um Daten an verschiedenen Standorten zu kopieren oder umzuschreiben. Wir raten jedoch davon ab, da dies gegen die ITAR-Compliance verstoßen kann.

GKE-Features

Funktion Beschreibung
Einschränkungen für Clusterressourcen Achten Sie darauf, dass in Ihrer Clusterkonfiguration keine Ressourcen für Dienste verwendet werden, die im ITAR-Compliance-Programm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da ein nicht unterstützter Dienst aktiviert oder verwendet werden muss:

set `binaryAuthorization.evaluationMode` to `enabled`

VPC-Funktionen

Funktion Beschreibung
Google Cloud Console VPC-Netzwerkfunktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud VPN-Features

Funktion Beschreibung
Google Cloud Console Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Verschlüsselung Beim Erstellen von Zertifikaten und Konfigurieren der IP-Sicherheit dürfen nur FIPS 140-2-konforme Chiffren verwendet werden. Weitere Informationen finden Sie unter dieser Seite finden Sie weitere Informationen zu unterstützten Chiffren in Cloud VPN. Auf dieser Seite finden Sie eine Anleitung zum Auswählen einer Chiffre, die den FIPS 140-2-Standards entspricht.

Derzeit gibt es keine Möglichkeit, eine vorhandene Chiffre in Google Cloud zu ändern. Achten Sie darauf, dass Sie Ihre Verschlüsselung auf der Drittanbieter-Appliance konfigurieren, die die mit Cloud VPN verwendet werden.
VPN-Endpunkte Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region in den USA konfiguriert ist.

Fußnoten

2. BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie ein neues Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. Um zu prüfen, ob die abgeschlossen ist. Führen Sie die folgenden Schritte aus, um BigQuery zu aktivieren:

  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu Assured Workloads

  2. Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus.
  3. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen.
  4. Überprüfen Sie im Bereich Zulässige Dienste die Dienste, die dem Beschränkung der Ressourcennutzung Organisationsrichtlinie für den Ordner. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Erlauben Sie den Diensten, sie hinzuzufügen.

    Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn der Parameter nicht innerhalb von 12 Stunden nach Ordnererstellung aufgelistet sind, wenden Sie sich Cloud Customer Care

Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.

Nächste Schritte