Questa pagina è stata tradotta dall'API Cloud Translation.

Restrizioni e limitazioni per ITAR

In questa pagina vengono descritte le restrizioni, le limitazioni e altre configurazioni quando utilizzi il pacchetto di controlli ITAR.

Panoramica

Il pacchetto di controllo International Traffic in Arms Regulations (ITAR) consente le funzionalità di controllo dell'accesso ai dati e di residenza servizi Google Cloud che rientrano nell'ambito. Alcuni di questi servizi funzionalità sono soggetti a restrizioni o limitazioni da parte di Google per la compatibilità con le normative ITAR. La maggior parte di questi quando viene creato un nuovo Cartella Assured Workloads per ITAR, ma alcuni possono essere modificati in seguito modificando criteri dell'organizzazione. Inoltre, alcune restrizioni e limitazioni richiedono la responsabilità dell'utente. per l'aderenza.

È importante capire in che modo queste restrizioni modificano il comportamento di un un determinato servizio Google Cloud o influisce sull'accesso ai dati residente dei dati. Ad esempio, alcune funzioni o capacità potrebbero essere disattivate automaticamente per garantire che i dati le limitazioni di accesso e la residenza dei dati. Inoltre, se dell'impostazione dei criteri dell'organizzazione potrebbe avere conseguenze indesiderate di copiare i dati da una regione all'altra.

Prerequisiti

Per mantenere la conformità come utente del pacchetto di controlli ITAR, assicurati di soddisfare e rispettare i seguenti prerequisiti:

Crea una cartella ITAR utilizzando Assured Workloads ed esegui il deployment del tuo ITAR carichi di lavoro solo in quella cartella.
Abilita e utilizza solo servizi ITAR che rientrano nell'ambito per i carichi di lavoro ITAR.
Non modificare l'impostazione predefinita i valori dei vincoli dei criteri dell'organizzazione, a meno che tu non comprenda e sono disposti ad accettare i rischi legati alla residenza dei dati.
Quando ti connetti agli endpoint dei servizi Google Cloud, devi utilizzare a livello di regione per i servizi che li offrono. Inoltre:
- Quando ti connetti agli endpoint di servizio Google Cloud da una piattaforma non Google Cloud VM, come quelle on-premise o di altri cloud provider VM— deve utilizzare uno dei opzioni di accesso privato che supportano le connessioni a VM non Google Cloud per instradare traffico non Google Cloud in Google Cloud.
- Quando ti connetti agli endpoint di servizio Google Cloud dalle VM Google Cloud, puoi utilizzare uno qualsiasi dei sistemi opzioni di accesso privato.
- Quando ti connetti alle VM di Google Cloud esposte con un IP esterno indirizzi IP, fare riferimento Accedi alle API da VM con indirizzi IP esterni.
Per tutti i servizi utilizzati in una cartella ITAR, non archiviare i dati tecnici nel seguenti tipi di informazioni di configurazione di sicurezza o definite dall'utente:
- Messaggi di errore
- Output console
- Dati attributi
- Dati di configurazione del servizio
- Intestazioni dei pacchetti di rete
- Identificatori di risorse
- Etichette dati
Utilizzare solo gli endpoint a livello di regione o località specificati per i servizi che che li offrono. Per ulteriori informazioni, consulta i servizi ITAR inclusi nell'ambito.
Si consiglia di adottare le best practice generali per la sicurezza fornite nel Centro best practice per la sicurezza di Google Cloud.

Servizi inclusi nell'ambito

I seguenti servizi sono compatibili con ITAR:

Artifact Registry
BigQuery
- Funzionalità interessate
Google Kubernetes Engine
- Criteri dell'organizzazione
- Funzionalità interessate
Identity and Access Management (IAM)
Google Compute Engine
- Criteri dell'organizzazione
- Funzionalità interessate
Cloud SQL
- Funzionalità interessate
Cloud Storage
- Funzionalità interessate
Persistent Disk
Cloud Load Balancing
- Funzionalità interessate
Cloud Logging
- Funzionalità interessate
Cloud VPN
- Funzionalità interessate
Virtual Private Cloud (VPC)
- Funzionalità interessate
Controlli di servizio VPC
Cloud Interconnect
- Funzionalità interessate
Router Cloud
- Funzionalità interessate
Identity-Aware Proxy
Cloud Monitoring
- Funzionalità interessate
Network Connectivity Center
- Funzionalità interessate
Cloud NAT
- Funzionalità interessate
Cloud DNS
- Funzionalità interessate
Cloud Key Management Service (Cloud KMS)
Cloud External Key Manager (Cloud EKM)
Cloud HSM

Criteri dell'organizzazione

Questa sezione descrive in che modo l'organizzazione predefinita influisce su ogni servizio dei criteri quando cartelle o progetti vengono creati utilizzando ITAR. Altro i vincoli applicabili, anche se non sono impostati per impostazione predefinita, "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse dell'accesso a specifiche risorse Google Cloud.

Vincoli dei criteri dell'organizzazione a livello di cloud

Le seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo dei criteri dell'organizzazione	Descrizione
`gcp.resourceLocations`	Impostato su `in:us-locations` come `allowedValues` voce dell'elenco. Questo valore limita la creazione di nuove risorse al gruppo di valori degli Stati Uniti . Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori degli Stati Uniti. Consulta le Per saperne di più, consulta la documentazione sui gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe compromettere il rendimento residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori degli Stati Uniti confine dati. Ad esempio, se sostituisci `in:us-locations` gruppo di valori con il Gruppo di valori `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Imposta su un elenco di tutte le opzioni nell'ambito Nomi dei servizi API, tra cui: . `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Alcune funzionalità potrebbero essere interessate da ogni servizio elencato sopra. Consulta consulta la sezione Funzionalità interessate di seguito. Ciascun servizio elencato richiede Chiavi di crittografia gestite dal cliente (CMEK). CMEK garantisce che i dati at-rest siano criptati con una chiave gestita da te, Meccanismi di crittografia predefiniti di Google. Modifica questo valore rimuovendo uno o più servizi nell'ambito dalla dell'elenco può compromettere i dati sovranità dei dati, poiché i nuovi dati at-rest verranno criptati automaticamente utilizzando le proprietà anziché le tue. I dati at-rest esistenti rimarranno criptati dal chiave che hai fornito.
`gcp.restrictCmekCryptoKeyProjects`	Impostalo su tutte le risorse all'interno della cartella ITAR che hai creato. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire Chiavi KMS per la crittografia dei dati at-rest mediante CMEK. Questo vincolo impedisce a cartelle o progetti non approvati di fornire chiavi di crittografia, contribuendo a garantire la sovranità dei dati per i servizi che rientrano nell'ambito dati at-rest.
`gcp.restrictServiceUsage`	Imposta questa opzione per consentire tutti i servizi inclusi nell'ambito. Determina quali servizi possono essere abilitati e utilizzati. Per ulteriori informazioni, vedi Limita l'utilizzo delle risorse per i carichi di lavoro.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`compute.disableGlobalLoadBalancing`	Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato.
`compute.disableGlobalSelfManagedSslCertificate`	Imposta su True. Disabilita la creazione di certificati SSL autogestiti globali. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disattiva a livello globale `instances.getSerialPortOutput()` e API `instances.getScreenshot()`. Se abiliti questo criterio dell'organizzazione, non potrai: generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, seguenti: Abilitare SSH per le VM Windows. Esegui questo comando per cambiare la password della VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sostituisci quanto segue: `VM_NAME`: il nome della VM per cui stai impostando la password . `USERNAME`: il nome utente dell'utente che stai impostando la password. `PASSWORD`: la nuova password.
`compute.disableNestedVirtualization`	Imposta su True. Disabilita la virtualizzazione nidificata con accelerazione hardware per tutti nelle VM di Compute Engine nella cartella ITAR. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato.
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire ulteriori della memoria in caso di errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriori una difesa in profondità. Consulta le Documentazione di Confidential VM per ulteriori informazioni.
`compute.restrictLoadBalancerCreationForTypes`	Imposta l'opzione per consentire tutti i valori tranne quelli `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS`. Consulta Scegli un bilanciatore del carico per saperne di più.

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantengono il controllo di sovranità di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato.

Funzionalità interessate

Questa sezione elenca in che modo le funzionalità o le capacità di ogni servizio sono interessate ITAR, inclusi i requisiti degli utenti quando si utilizza una funzionalità.

Funzionalità di BigQuery

Funzionalità	Descrizione
Abilitazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova Cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se processo completato. Per abilitare BigQuery, segui questi passaggi: Nella console Google Cloud, vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella della sezione Servizi consentiti, fai clic su Rivedi gli aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al Limitazione dell'utilizzo delle risorse criterio dell'organizzazione per la cartella. Se i servizi BigQuery sono elencati, fai clic su Consenti ai servizi di aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento del processo interno. Se servizi non vengono elencati entro 12 ore dalla creazione della cartella, contatta Assistenza clienti Google Cloud. Al termine del processo di abilitazione, puoi utilizzare BigQuery Cartella Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità di BigQuery non sono supportate per ITAR e non devono essere usati nell'interfaccia a riga di comando di BigQuery. È la responsabilità del cliente di non utilizzarli in BigQuery per ITAR carichi di lavoro con scale out impegnativi. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono conformi alle norme ITAR. I modelli BQML addestrati internamente sono conformi alle norme ITAR. Query pianificate e federate Mascheramento dinamico dei dati Esportazione di GDrive Funzioni remote Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, notebook sono non supportato.
Integrazioni non supportate	Le seguenti integrazioni di BigQuery non sono supportate per Conformità ITAR. È responsabilità del cliente non utilizzarli con per i carichi di lavoro ITAR. `CreateTag`, `SearchCatalog`, API `Bulk tagging` e `Business Glossary` i metodi di API Data Catalog elaborare e archiviare i dati tecnici ITAR in un modo che conforme alle normative ITAR. È responsabilità del cliente non utilizzarli per i carichi di lavoro ITAR.
API BigQuery conformi	Le seguenti API BigQuery sono conformi alla normativa ITAR: Set di dati Job Modelli Progetti Prenotazioni Routine Criteri di accesso alle righe Lettura spazio di archiviazione Archiviazione in scrittura Tabelle Dati tabella L'API Reservations non è abilitata per impostazione predefinita. Tu puoi abilitare l'API seguendo le istruzioni questa pagina.
Regioni	BigQuery è conforme alla normativa ITAR per tutti gli Stati Uniti di BigQuery regioni ad eccezione della multiregione Stati Uniti. Non è possibile garantire la conformità ITAR Se un set di dati viene creato in più regioni degli Stati Uniti, in una regione non statunitense o al di fuori degli Stati Uniti in più regioni. È responsabilità del cliente specificare Regione conforme a ITAR durante la creazione di set di dati BigQuery. Se una richiesta di elenco di dati della tabella viene inviata utilizzando una regione degli Stati Uniti ma il set di dati è stato creato in un'altra regione degli Stati Uniti, BigQuery non può dedurre quale regione dal cliente e l'operazione non riuscirà con un "set di dati non trovato" .
Console Google Cloud	L'interfaccia utente di BigQuery nella console Google Cloud conforme alle normative ITAR.
interfaccia a riga di comando di BigQuery	L'interfaccia a riga di comando di BigQuery è conforme a ITAR.
Google Cloud SDK	Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per gestire i dati regionali per i dati tecnici ITAR. Per verificare la tua identità attuale Versione Google Cloud SDK, esegui `gcloud --version` e `gcloud components update` per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disabiliterà le API non conformi, ma il cliente amministratori con autorizzazioni sufficienti per creare La cartella Assured Workloads può abilitare un'API non conforme. Dovrei ciò accade, il cliente verrà avvisato della potenziale mancata conformità tramite Monitoraggio di Assured Workloads dashboard.
Caricamento di dati	I connettori BigQuery Data Transfer Service per le app SaaS (Software as a Service), i fornitori di spazio di archiviazione sul cloud esterni e i data warehouse non sono conformi alla normativa ITAR. È la responsabilità del cliente di non utilizzare BigQuery Data Transfer Connettori di servizi per carichi di lavoro ITAR.
Trasferimenti di terze parti	BigQuery non verifica la conformità ITAR per terze parti per BigQuery Data Transfer Service. È la responsabilità del cliente di verificare la conformità ITAR durante l'utilizzo di trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono conformi alle norme ITAR.
Job di query	Le query dei job con dati tecnici ITAR devono essere create solo all'interno di ITAR in modo programmatico a gestire i progetti.
Query su set di dati ITAR da progetti non ITAR	BigQuery non impedisce l'esecuzione di query su set di dati ITAR progetti non ITAR. I clienti devono assicurarsi che ogni query o un join sui dati tecnici ITAR essere inseriti in una cartella conforme a ITAR. I clienti possono specificare completamente qualificato nome della tabella per il risultato della query utilizzando `projectname.dataset.table` nell'interfaccia a riga di comando di BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dati dei log dei clienti. I clienti devono disabilitare il proprio `_default` bucket di logging oppure limita `_default` bucket alle regioni degli Stati Uniti a mantenere la conformità ITAR usando questo comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Consulta questa pagina per ulteriori informazioni informazioni.

Funzionalità di Compute Engine

Funzionalità	Descrizione
Console Google Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nel nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI: Controlli di integrità Gruppi di endpoint di rete
VM Bare Metal Solution	È tua responsabilità non utilizzare le VM Bare Metal Solution (o2 VM) perché Le VM Bare Metal Solution non sono conformi alle normative ITAR.
VM di Google Cloud VMware Engine	È tua responsabilità non utilizzare le VM di Google Cloud VMware Engine, Le VM di Google Cloud VMware Engine non sono conformi alle normative ITAR.
Creazione di un'istanza VM C3	Questa funzionalità è disattivata.
Utilizzo di dischi permanenti o dei relativi snapshot senza CMEK	Non puoi utilizzare dischi permanenti o i relativi snapshot a meno che non siano è stato criptato tramite CMEK.
Creazione di VM nidificate o VM che utilizzano la virtualizzazione nidificata	Non puoi creare VM nidificate o VM che utilizzano la virtualizzazione nidificata. Questa funzionalità è disattivata `compute.disableNestedVirtualization` criterio dell'organizzazione di blocco descritto nella sezione precedente.
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata Vincolo del criterio dell'organizzazione `compute.disableGlobalLoadBalancing` descritti nella sezione precedente.
Routing delle richieste a un bilanciatore del carico HTTPS esterno a più regioni	Non puoi instradare richieste a un carico HTTPS esterno a più regioni con il bilanciatore del carico di rete passthrough esterno regionale. Questa funzionalità è disattivata `compute.restrictLoadBalancerCreationForTypes` criterio dell'organizzazione di blocco descritto nella sezione precedente.
Condivisione di un disco permanente SSD in modalità multi-writer	Non puoi condividere un disco permanente SSD in modalità multi-writer tra di istanze VM di Compute Engine.
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e il ripristino di un'istanza VM richiede l'archiviazione su disco permanente. mentre l'archiviazione su disco permanente utilizzata per l'archiviazione dello stato di una VM sospesa tramite CMEK. Consulta le `gcp.restrictNonCmekServices` organizzazione il vincolo del criterio nella sezione precedente per comprendere la residenza dei dati implicazioni derivanti dall'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati usando CMEK. Consulta le `gcp.restrictNonCmekServices` organizzazione il vincolo del criterio nella sezione precedente per comprendere la residenza dei dati implicazioni derivanti dall'attivazione di questa funzionalità.
Ambiente guest	È possibile utilizzare script, daemon e programmi binari inclusi con l'ambiente guest per accedere ai dati at-rest e in uso non criptati. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero sono già installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su i contenuti, il codice sorgente e altro di ogni pacchetto. Questi componenti ti aiutano a soddisfare la residenza dei dati attraverso la sicurezza interna di controllo e procedure. Tuttavia, per gli utenti che vogliono puoi anche selezionare le tue immagini o i tuoi agenti e, se vuoi, utilizzare il criterio dell'organizzazione `compute.trustedImageProjects` di blocco. Consulta Creazione di un'immagine personalizzata per ulteriori informazioni.
`instances.getSerialPortOutput()`	Questa API è disabilitata. non potrai ottenere un output della porta seriale dell'istanza specificata utilizzando questa API. Cambia l'organizzazione `compute.disableInstanceDataAccessApis` il valore del vincolo del criterio su False per abilitare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate su su questa pagina.
`instances.getScreenshot()`	Questa API è disabilitata. non potrai acquisire uno screenshot l'istanza specificata utilizzando questa API. Cambia l'organizzazione `compute.disableInstanceDataAccessApis` il valore del vincolo del criterio su False per abilitare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate su su questa pagina.

Funzionalità di Cloud DNS

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud DNS non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI.

Funzionalità di Cloud Interconnect

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud Interconnect non sono disponibili in nella console Google Cloud. Utilizza la API o Google Cloud CLI.
VPN ad alta disponibilità	Devi abilitare la funzionalità VPN ad alta disponibilità quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare ai requisiti di crittografia e regionalizzazione elencati in questa sezione.

Funzionalità di Cloud Load Balancing

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud Load Balancing non sono disponibili in nella console Google Cloud. Utilizza l'API o Google Cloud CLI.
Bilanciatori del carico a livello di regione	Devi utilizzare solo bilanciatori del carico regionali con ITAR. Consulta quanto segue: pagine per ulteriori informazioni sulla configurazione dei bilanciatori del carico a livello di regione: Bilanciatore del carico delle applicazioni interno Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico di rete passthrough interno Bilanciatore del carico di rete passthrough esterno

Funzionalità

Descrizione

Console Google Cloud

Le funzionalità di Cloud Load Balancing non sono disponibili in nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Bilanciatori del carico a livello di regione

Devi utilizzare solo bilanciatori del carico regionali con ITAR. Consulta quanto segue: pagine per ulteriori informazioni sulla configurazione dei bilanciatori del carico a livello di regione:

Funzionalità di Cloud Logging

Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi: completa i passaggi nella Abilita CMEK per un'organizzazione nella documentazione di Cloud Logging.

Funzionalità	Descrizione
Sink di log	Non inserire informazioni sensibili (dati dei clienti) nei filtri del sink. Lavabo e i filtri vengono trattati come dati di servizio.
Voci di log di tailing in tempo reale	Non creare filtri contenenti i dati dei clienti. Una sessione di tailing in tempo reale include un filtro che viene archiviato come configurazione. I log di coda non memorizzano alcun dato voce di log, ma possono eseguire query per la trasmissione dei dati tra regioni.
Avvisi basati su log	Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud.
URL abbreviati per le query di Esplora log	Questa funzionalità è disattivata. Non puoi creare URL abbreviati per le query nella console Google Cloud.
Salvataggio delle query in Esplora log	Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud.
Analisi dei log con BigQuery	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Analisi dei log.

Funzionalità di Cloud Monitoring

Funzionalità	Descrizione
Monitor sintetico	Questa funzionalità è disattivata.
Controllo di uptime	Questa funzionalità è disattivata.
Widget del riquadro dei log nelle dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un riquadro di log a un Fitbit.com.
Widget del riquadro di Error Reporting nelle dashboard	Questa funzionalità è disattivata. Non puoi aggiungere una segnalazione di errori in una dashboard.
Filtra in `EventAnnotation` per le dashboard	Questa funzionalità è disattivata. Filtro di `EventAnnotation` non possono essere impostati in una dashboard.

Funzionalità di Network Connectivity Center

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI .

Funzionalità di Cloud NAT

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud NAT non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI.

Funzionalità del router Cloud

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità del router Cloud non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI.

Funzionalità di Cloud SQL

Funzionalità	Descrizione
Esportazione in formato CSV in corso...	Esportazione in formato CSV non è conforme allo standard ITAR e non deve essere utilizzato. Questa funzione è disattivata in la console Google Cloud.
`executeSql`	Il metodo `executeSql` dell'API Cloud SQL non è conformi alle normative ITAR e non devono essere utilizzate.

Funzionalità di Cloud Storage

Funzionalità	Descrizione
Console Google Cloud	Per garantire la conformità ITAR, è tua responsabilità utilizzare Giurisdizionale console Google Cloud. La console giurisdizionale impedisce il caricamento il download di oggetti Cloud Storage. Per caricare e scaricare Per gli oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi	Devi utilizzare uno degli endpoint di localizzazione conformi a ITAR con di archiviazione ideale in Cloud Storage. Gli endpoint della località sono disponibili per tutte le regioni degli Stati Uniti, la località multiregionale degli Stati Uniti e la doppia regione predefinita di `NAM4`. Gli endpoint della località non sono disponibili per due regioni diverse da quella `NAM4` con due regioni. Consulta questa pagina per avere ulteriori informazioni sulle località in Cloud Storage.
Limitazioni	Devi utilizzare gli endpoint di località di Cloud Storage per conforme alle normative ITAR. Per ulteriori informazioni sulla località di Cloud Storage per ITAR, vedi Endpoint di località per Conformità ITAR. Le seguenti operazioni non sono supportate dagli endpoint di località. Tuttavia, queste operazioni non includono i dati dei clienti come definito nelle dati termini dei servizi di residenza. Pertanto, puoi utilizzare endpoint globali queste operazioni, se necessario, senza violare la conformità ITAR: Operazioni con le chiavi HMAC Operazioni dell'account di servizio IAM Notifiche Pub/Sub Notifiche di modifica degli oggetti Se un utente tenta di eseguire un'operazione non supportata utilizzando endpoint di località, Cloud Storage restituirà un errore HTTP 400 codice con messaggio di errore: `This endpoint does not implement this operation. Please use the global endpoint.`
Copia e riscrittura degli oggetti	Operazioni di copia e riscrittura per sono supportati da endpoint di località se sia l'origine che I bucket di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non è possibile utilizzare endpoint di località per copiare o riscrivere un oggetto da un bucket all'altro se i bucket esistono in località diverse. it è possibile utilizzare endpoint globali per copiare o riscrivere in più località, ma non lo consigliamo perché potrebbe violare la conformità ITAR.

Funzionalità di GKE

Funzionalità	Descrizione
Limitazioni delle risorse del cluster	Assicurati che la configurazione del cluster non utilizzi risorse per che non sono supportati dal programma di conformità ITAR. Ad esempio: la seguente configurazione non è valida perché richiede l'abilitazione o utilizzando un servizio non supportato: set `binaryAuthorization.evaluationMode` to `enabled`

Funzionalità VPC

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di networking VPC non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità di Cloud VPN

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI.
Crittografia	Devi utilizzare solo crittografie conformi a FIPS 140-2 durante la creazione certificati e configurazione della sicurezza IP. Consulta questa pagina per ulteriori informazioni sulle crittografie supportate in Cloud VPN. Per una guida alla scelta di una crittografia conforme agli standard FIPS 140-2, consulta questa pagina. Al momento non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la crittografia sull'appliance di terze parti utilizzata con Cloud VPN.
Endpoint VPN	Devi utilizzare solo endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione degli Stati Uniti.

Passaggi successivi

Scopri di più sul pacchetto di controlli ITAR.
Scopri quali prodotti sono supportati per ogni pacchetto di controlli.