Restrizioni e limitazioni per ITAR
In questa pagina vengono descritte le restrizioni, le limitazioni e altre configurazioni quando utilizzi il pacchetto di controlli ITAR.
Panoramica
Il pacchetto di controllo International Traffic in Arms Regulations (ITAR) consente le funzionalità di controllo dell'accesso ai dati e di residenza servizi Google Cloud che rientrano nell'ambito. Alcuni di questi servizi funzionalità sono soggetti a restrizioni o limitazioni da parte di Google per la compatibilità con le normative ITAR. La maggior parte di questi quando viene creato un nuovo Cartella Assured Workloads per ITAR, ma alcuni possono essere modificati in seguito modificando criteri dell'organizzazione. Inoltre, alcune restrizioni e limitazioni richiedono la responsabilità dell'utente. per l'aderenza.
È importante capire in che modo queste restrizioni modificano il comportamento di un un determinato servizio Google Cloud o influisce sull'accesso ai dati residente dei dati. Ad esempio, alcune funzioni o capacità potrebbero essere disattivate automaticamente per garantire che i dati le limitazioni di accesso e la residenza dei dati. Inoltre, se dell'impostazione dei criteri dell'organizzazione potrebbe avere conseguenze indesiderate di copiare i dati da una regione all'altra.
Prerequisiti
Per mantenere la conformità come utente del pacchetto di controlli ITAR, assicurati di soddisfare e rispettare i seguenti prerequisiti:
- Crea una cartella ITAR utilizzando Assured Workloads ed esegui il deployment del tuo ITAR carichi di lavoro solo in quella cartella.
- Abilita e utilizza solo servizi ITAR che rientrano nell'ambito per i carichi di lavoro ITAR.
- Non modificare l'impostazione predefinita i valori dei vincoli dei criteri dell'organizzazione, a meno che tu non comprenda e sono disposti ad accettare i rischi legati alla residenza dei dati.
- Quando ti connetti agli endpoint dei servizi Google Cloud, devi utilizzare a livello di regione
per i servizi che li offrono. Inoltre:
- Quando ti connetti agli endpoint di servizio Google Cloud da una piattaforma non Google Cloud VM, come quelle on-premise o di altri cloud provider VM— deve utilizzare uno dei opzioni di accesso privato che supportano le connessioni a VM non Google Cloud per instradare traffico non Google Cloud in Google Cloud.
- Quando ti connetti agli endpoint di servizio Google Cloud dalle VM Google Cloud, puoi utilizzare uno qualsiasi dei sistemi opzioni di accesso privato.
- Quando ti connetti alle VM di Google Cloud esposte con un IP esterno indirizzi IP, fare riferimento Accedi alle API da VM con indirizzi IP esterni.
- Per tutti i servizi utilizzati in una cartella ITAR, non archiviare i dati tecnici nel
seguenti tipi di informazioni di configurazione di sicurezza o definite dall'utente:
- Messaggi di errore
- Output console
- Dati attributi
- Dati di configurazione del servizio
- Intestazioni dei pacchetti di rete
- Identificatori di risorse
- Etichette dati
- Utilizzare solo gli endpoint a livello di regione o località specificati per i servizi che che li offrono. Per ulteriori informazioni, consulta i servizi ITAR inclusi nell'ambito.
- Si consiglia di adottare le best practice generali per la sicurezza fornite nel Centro best practice per la sicurezza di Google Cloud.
Servizi inclusi nell'ambito
I seguenti servizi sono compatibili con ITAR:
- Artifact Registry
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Google Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Virtual Private Cloud (VPC)
- Controlli di servizio VPC
- Cloud Interconnect
- Router Cloud
- Identity-Aware Proxy
- Cloud Monitoring
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
Criteri dell'organizzazione
Questa sezione descrive in che modo l'organizzazione predefinita influisce su ogni servizio dei criteri quando cartelle o progetti vengono creati utilizzando ITAR. Altro i vincoli applicabili, anche se non sono impostati per impostazione predefinita, "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse dell'accesso a specifiche risorse Google Cloud.
Vincoli dei criteri dell'organizzazione a livello di cloud
Le seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
Vincolo dei criteri dell'organizzazione | Descrizione |
---|---|
gcp.resourceLocations |
Impostato su in:us-locations come allowedValues
voce dell'elenco.Questo valore limita la creazione di nuove risorse al gruppo di valori degli Stati Uniti . Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori degli Stati Uniti. Consulta le Per saperne di più, consulta la documentazione sui gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe compromettere il rendimento residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori degli Stati Uniti confine dati. Ad esempio, se sostituisci in:us-locations gruppo di valori con il
Gruppo di valori in:northamerica-locations .
|
gcp.restrictNonCmekServices |
Imposta su un elenco di tutte le opzioni nell'ambito
Nomi dei servizi API,
tra cui:
Ciascun servizio elencato richiede Chiavi di crittografia gestite dal cliente (CMEK). CMEK garantisce che i dati at-rest siano criptati con una chiave gestita da te, Meccanismi di crittografia predefiniti di Google. Modifica questo valore rimuovendo uno o più servizi nell'ambito dalla dell'elenco può compromettere i dati sovranità dei dati, poiché i nuovi dati at-rest verranno criptati automaticamente utilizzando le proprietà anziché le tue. I dati at-rest esistenti rimarranno criptati dal chiave che hai fornito. |
gcp.restrictCmekCryptoKeyProjects |
Impostalo su tutte le risorse all'interno della cartella ITAR che hai creato. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire Chiavi KMS per la crittografia dei dati at-rest mediante CMEK. Questo vincolo impedisce a cartelle o progetti non approvati di fornire chiavi di crittografia, contribuendo a garantire la sovranità dei dati per i servizi che rientrano nell'ambito dati at-rest. |
gcp.restrictServiceUsage |
Imposta questa opzione per consentire tutti i servizi inclusi nell'ambito. Determina quali servizi possono essere abilitati e utilizzati. Per ulteriori informazioni, vedi Limita l'utilizzo delle risorse per i carichi di lavoro. |
Vincoli dei criteri dell'organizzazione di Compute Engine
Vincolo dei criteri dell'organizzazione | Descrizione |
---|---|
compute.disableGlobalLoadBalancing |
Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato. |
compute.disableGlobalSelfManagedSslCertificate |
Imposta su True. Disabilita la creazione di certificati SSL autogestiti globali. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato. |
compute.disableInstanceDataAccessApis |
Imposta su True. Disattiva a livello globale instances.getSerialPortOutput() e
API instances.getScreenshot() .Se abiliti questo criterio dell'organizzazione, non potrai: generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, seguenti:
|
compute.disableNestedVirtualization |
Imposta su True. Disabilita la virtualizzazione nidificata con accelerazione hardware per tutti nelle VM di Compute Engine nella cartella ITAR. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato. |
compute.enableComplianceMemoryProtection |
Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire ulteriori della memoria in caso di errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato. |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire ulteriori una difesa in profondità. Consulta le Documentazione di Confidential VM per ulteriori informazioni. |
compute.restrictLoadBalancerCreationForTypes |
Imposta l'opzione per consentire tutti i valori tranne quelli
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS . Consulta
Scegli un bilanciatore del carico per saperne di più.
|
Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine
Vincolo dei criteri dell'organizzazione | Descrizione |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantengono il controllo di sovranità di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato. |
Funzionalità interessate
Questa sezione elenca in che modo le funzionalità o le capacità di ogni servizio sono interessate ITAR, inclusi i requisiti degli utenti quando si utilizza una funzionalità.
Funzionalità di BigQuery
Funzionalità | Descrizione |
---|---|
Abilitazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova
Cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente
termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se
processo completato. Per abilitare BigQuery, segui questi passaggi:
Al termine del processo di abilitazione, puoi utilizzare BigQuery Cartella Assured Workloads. |
Funzionalità non supportate | Le seguenti funzionalità di BigQuery non sono supportate per ITAR
e non devono essere usati
nell'interfaccia a riga di comando di BigQuery. È la
responsabilità del cliente di non utilizzarli in BigQuery per ITAR
carichi di lavoro con scale out impegnativi.
|
Integrazioni non supportate | Le seguenti integrazioni di BigQuery non sono supportate per
Conformità ITAR. È responsabilità del cliente non utilizzarli con
per i carichi di lavoro ITAR.
|
API BigQuery conformi | Le seguenti API BigQuery sono conformi alla normativa ITAR:
|
Regioni | BigQuery è conforme alla normativa ITAR per tutti gli Stati Uniti di BigQuery
regioni ad eccezione della multiregione Stati Uniti. Non è possibile garantire la conformità ITAR
Se un set di dati viene creato in più regioni degli Stati Uniti, in una regione non statunitense o al di fuori degli Stati Uniti
in più regioni. È responsabilità del cliente specificare
Regione conforme a ITAR durante la creazione di set di dati BigQuery. Se una richiesta di elenco di dati della tabella viene inviata utilizzando una regione degli Stati Uniti ma il set di dati è stato creato in un'altra regione degli Stati Uniti, BigQuery non può dedurre quale regione dal cliente e l'operazione non riuscirà con un "set di dati non trovato" . |
Console Google Cloud | L'interfaccia utente di BigQuery nella console Google Cloud
conforme alle normative ITAR.
|
interfaccia a riga di comando di BigQuery | L'interfaccia a riga di comando di BigQuery è conforme a ITAR.
|
Google Cloud SDK | Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per gestire i dati
regionali per i dati tecnici ITAR. Per verificare la tua identità attuale
Versione Google Cloud SDK, esegui gcloud --version e
gcloud components update per eseguire l'aggiornamento alla versione più recente.
|
Controlli per gli amministratori | BigQuery disabiliterà le API non conformi, ma il cliente amministratori con autorizzazioni sufficienti per creare La cartella Assured Workloads può abilitare un'API non conforme. Dovrei ciò accade, il cliente verrà avvisato della potenziale mancata conformità tramite Monitoraggio di Assured Workloads dashboard. |
Caricamento di dati | I connettori BigQuery Data Transfer Service per le app SaaS (Software as a Service), i fornitori di spazio di archiviazione sul cloud esterni e i data warehouse non sono conformi alla normativa ITAR. È la responsabilità del cliente di non utilizzare BigQuery Data Transfer Connettori di servizi per carichi di lavoro ITAR. |
Trasferimenti di terze parti | BigQuery non verifica la conformità ITAR per terze parti per BigQuery Data Transfer Service. È la responsabilità del cliente di verificare la conformità ITAR durante l'utilizzo di trasferimento di terze parti per BigQuery Data Transfer Service. |
Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono conformi alle norme ITAR. |
Job di query | Le query dei job con dati tecnici ITAR devono essere create solo all'interno di ITAR in modo programmatico a gestire i progetti. |
Query su set di dati ITAR da progetti non ITAR | BigQuery non impedisce l'esecuzione di query su set di dati ITAR
progetti non ITAR. I clienti devono assicurarsi che ogni query
o un join sui dati tecnici ITAR essere inseriti in una cartella conforme a ITAR.
I clienti possono specificare
completamente qualificato
nome della tabella per il risultato della query utilizzando projectname.dataset.table
nell'interfaccia a riga di comando di BigQuery. |
Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dati dei log dei clienti.
I clienti devono disabilitare il proprio _default bucket di logging oppure
limita _default bucket alle regioni degli Stati Uniti a
mantenere la conformità ITAR usando questo comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulta questa pagina per ulteriori informazioni informazioni. |
Funzionalità di Compute Engine
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le seguenti funzionalità di Compute Engine non sono disponibili nel
nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI:
|
VM Bare Metal Solution | È tua responsabilità non utilizzare le VM Bare Metal Solution (o2 VM) perché
Le VM Bare Metal Solution non sono conformi alle normative ITAR.
|
VM di Google Cloud VMware Engine | È tua responsabilità non utilizzare le VM di Google Cloud VMware Engine,
Le VM di Google Cloud VMware Engine non sono conformi alle normative ITAR.
|
Creazione di un'istanza VM C3 | Questa funzionalità è disattivata. |
Utilizzo di dischi permanenti o dei relativi snapshot senza CMEK | Non puoi utilizzare dischi permanenti o i relativi snapshot a meno che non siano
è stato criptato tramite CMEK. |
Creazione di VM nidificate o VM che utilizzano la virtualizzazione nidificata | Non puoi creare VM nidificate o VM che utilizzano la virtualizzazione nidificata. Questa funzionalità è disattivata compute.disableNestedVirtualization criterio dell'organizzazione
di blocco descritto nella sezione precedente.
|
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale | Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata Vincolo del criterio dell'organizzazione compute.disableGlobalLoadBalancing
descritti nella sezione precedente.
|
Routing delle richieste a un bilanciatore del carico HTTPS esterno a più regioni | Non puoi instradare richieste a un carico HTTPS esterno a più regioni
con il bilanciatore del carico di rete
passthrough esterno regionale. Questa funzionalità è disattivata compute.restrictLoadBalancerCreationForTypes criterio dell'organizzazione
di blocco descritto nella sezione precedente.
|
Condivisione di un disco permanente SSD in modalità multi-writer | Non puoi condividere un disco permanente SSD in modalità multi-writer tra di istanze VM di Compute Engine. |
Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e il ripristino di un'istanza VM richiede l'archiviazione su disco permanente. mentre l'archiviazione su disco permanente utilizzata per l'archiviazione dello stato di una VM sospesa tramite CMEK. Consulta le gcp.restrictNonCmekServices organizzazione
il vincolo del criterio nella sezione precedente per comprendere la residenza dei dati
implicazioni derivanti dall'attivazione di questa funzionalità.
|
SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati usando CMEK. Consulta le gcp.restrictNonCmekServices organizzazione
il vincolo del criterio nella sezione precedente per comprendere la residenza dei dati
implicazioni derivanti dall'attivazione di questa funzionalità.
|
Ambiente guest |
È possibile utilizzare script, daemon e programmi binari inclusi con
l'ambiente guest per accedere ai dati at-rest e in uso non criptati.
A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero
sono già installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche su
i contenuti, il codice sorgente e altro di ogni pacchetto. Questi componenti ti aiutano a soddisfare la residenza dei dati attraverso la sicurezza interna di controllo e procedure. Tuttavia, per gli utenti che vogliono puoi anche selezionare le tue immagini o i tuoi agenti e, se vuoi, utilizzare il criterio dell'organizzazione compute.trustedImageProjects
di blocco.
Consulta Creazione di un'immagine personalizzata per ulteriori informazioni. |
instances.getSerialPortOutput() |
Questa API è disabilitata. non potrai ottenere un output della porta seriale
dell'istanza specificata utilizzando questa API. Cambia l'organizzazione compute.disableInstanceDataAccessApis
il valore del vincolo del criterio su False per abilitare questa API. Puoi anche
attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate su
su questa pagina.
|
instances.getScreenshot() |
Questa API è disabilitata. non potrai acquisire uno screenshot
l'istanza specificata utilizzando questa API. Cambia l'organizzazione compute.disableInstanceDataAccessApis
il valore del vincolo del criterio su False per abilitare questa API. Puoi anche
attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate su
su questa pagina.
|
Funzionalità di Cloud DNS
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le funzionalità di Cloud DNS non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI. |
Funzionalità di Cloud Interconnect
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le funzionalità di Cloud Interconnect non sono disponibili in nella console Google Cloud. Utilizza la API o Google Cloud CLI. |
VPN ad alta disponibilità | Devi abilitare la funzionalità VPN ad alta disponibilità quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare ai requisiti di crittografia e regionalizzazione elencati in questa sezione. |
Funzionalità di Cloud Load Balancing
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le funzionalità di Cloud Load Balancing non sono disponibili in nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Bilanciatori del carico a livello di regione | Devi utilizzare solo bilanciatori del carico regionali con ITAR. Consulta quanto segue:
pagine per ulteriori informazioni sulla configurazione dei bilanciatori del carico a livello di regione: |
Funzionalità di Cloud Logging
Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi: completa i passaggi nella Abilita CMEK per un'organizzazione nella documentazione di Cloud Logging.
Funzionalità | Descrizione |
---|---|
Sink di log | Non inserire informazioni sensibili (dati dei clienti) nei filtri del sink. Lavabo e i filtri vengono trattati come dati di servizio. |
Voci di log di tailing in tempo reale | Non creare filtri contenenti i dati dei clienti. Una sessione di tailing in tempo reale include un filtro che viene archiviato come configurazione. I log di coda non memorizzano alcun dato voce di log, ma possono eseguire query per la trasmissione dei dati tra regioni. |
Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud. |
URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati per le query nella console Google Cloud. |
Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud. |
Analisi dei log con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Analisi dei log. |
Funzionalità di Cloud Monitoring
Funzionalità | Descrizione |
---|---|
Monitor sintetico | Questa funzionalità è disattivata. |
Controllo di uptime | Questa funzionalità è disattivata. |
Widget del riquadro dei log nelle dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un riquadro di log a un Fitbit.com. |
Widget del riquadro di Error Reporting nelle dashboard | Questa funzionalità è disattivata. Non puoi aggiungere una segnalazione di errori in una dashboard. |
Filtra in
EventAnnotation
per le dashboard
|
Questa funzionalità è disattivata. Filtro di EventAnnotation
non possono essere impostati in una dashboard.
|
Funzionalità di Network Connectivity Center
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI . |
Funzionalità di Cloud NAT
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le funzionalità di Cloud NAT non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI. |
Funzionalità del router Cloud
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le funzionalità del router Cloud non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Funzionalità di Cloud SQL
Funzionalità | Descrizione |
---|---|
Esportazione in formato CSV in corso... | Esportazione in formato CSV non è conforme allo standard ITAR e non deve essere utilizzato. Questa funzione è disattivata in la console Google Cloud. |
executeSql |
Il metodo executeSql dell'API Cloud SQL non è
conformi alle normative ITAR e non devono essere utilizzate. |
Funzionalità di Cloud Storage
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Per garantire la conformità ITAR, è tua responsabilità utilizzare Giurisdizionale console Google Cloud. La console giurisdizionale impedisce il caricamento il download di oggetti Cloud Storage. Per caricare e scaricare Per gli oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito. |
Endpoint API conformi | Devi utilizzare uno degli endpoint di localizzazione conformi a ITAR con
di archiviazione ideale in Cloud Storage. Gli endpoint della località sono disponibili per tutte le regioni degli Stati Uniti,
la località multiregionale degli Stati Uniti e la doppia regione predefinita di NAM4 .
Gli endpoint della località non sono disponibili per due regioni diverse da quella
NAM4 con due regioni. Consulta
questa pagina per avere ulteriori informazioni
sulle località in Cloud Storage.
|
Limitazioni | Devi utilizzare gli endpoint di località di Cloud Storage per
conforme alle normative ITAR. Per ulteriori informazioni sulla località di Cloud Storage
per ITAR, vedi
Endpoint di località per
Conformità ITAR. Le seguenti operazioni non sono supportate dagli endpoint di località. Tuttavia, queste operazioni non includono i dati dei clienti come definito nelle dati termini dei servizi di residenza. Pertanto, puoi utilizzare endpoint globali queste operazioni, se necessario, senza violare la conformità ITAR: |
Copia e riscrittura degli oggetti | Operazioni di copia e riscrittura per sono supportati da endpoint di località se sia l'origine che I bucket di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non è possibile utilizzare endpoint di località per copiare o riscrivere un oggetto da un bucket all'altro se i bucket esistono in località diverse. it è possibile utilizzare endpoint globali per copiare o riscrivere in più località, ma non lo consigliamo perché potrebbe violare la conformità ITAR. |
Funzionalità di GKE
Funzionalità | Descrizione |
---|---|
Limitazioni delle risorse del cluster | Assicurati che la configurazione del cluster non utilizzi risorse per
che non sono supportati dal programma di conformità ITAR. Ad esempio:
la seguente configurazione non è valida perché richiede l'abilitazione o
utilizzando un servizio non supportato:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Funzionalità VPC
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le funzionalità di networking VPC non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Funzionalità di Cloud VPN
Funzionalità | Descrizione |
---|---|
Console Google Cloud | Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI. |
Crittografia | Devi utilizzare solo crittografie conformi a FIPS 140-2 durante la creazione
certificati e configurazione della sicurezza IP. Consulta
questa pagina
per ulteriori informazioni sulle crittografie supportate in Cloud VPN. Per
una guida alla scelta di una crittografia conforme agli standard FIPS 140-2,
consulta questa pagina. Al momento non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la crittografia sull'appliance di terze parti utilizzata con Cloud VPN. |
Endpoint VPN | Devi utilizzare solo endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione degli Stati Uniti. |
Passaggi successivi
- Scopri di più sul pacchetto di controlli ITAR.
- Scopri quali prodotti sono supportati per ogni pacchetto di controlli.