Diese Seite wurde von der Cloud Translation API übersetzt.

Einschränkungen und Beschränkungen für ITAR

Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie das ITAR-Kontrollpaket verwenden.

Übersicht

Das Kontrollpaket für die Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR) ermöglicht die Datenzugriffssteuerung und Funktionen für den Speicherort für entsprechende Dienste Google Cloud . Einige Funktionen dieser Dienste sind von Google eingeschränkt oder begrenzt, um mit ITAR kompatibel zu sein. Die meisten dieser Einschränkungen werden angewendet, wenn ein neuer Assured Workloads-Ordner für ITAR erstellt wird. Einige davon können jedoch später durch Änderungen der Organisationsrichtlinien geändert werden. Außerdem sind Nutzer für die Einhaltung einiger Einschränkungen und Beschränkungen selbst verantwortlich.

Es ist wichtig zu verstehen, wie sich diese Einschränkungen auf das Verhalten eines bestimmten Google Cloud Dienstes auswirken oder den Datenzugriff oder den Datenstandort beeinflussen. Einige Features oder Funktionen können beispielsweise automatisch deaktiviert werden, um die Einschränkungen des Datenzugriffs und den Datenstandort beizubehalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.

Vorbereitung

Damit Sie als Nutzer des ITAR-Kontrollpakets weiterhin gesetzeskonform bleiben, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:

Erstellen Sie mit Assured Workloads einen ITAR-Ordner und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
Aktivieren und verwenden Sie nur ITAR-Dienste, die den Vorgaben von ITAR entsprechen, für ITAR-Arbeitslasten.
Ändern Sie die Standardwerte der Einschränkungen der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenstandort kennen und bereit sind, sie in Kauf zu nehmen.
Wenn Sie eine Verbindung zu Google Cloud -Dienstendpunkten herstellen, müssen Sie regionale Endpunkte für Dienste verwenden, die diese anbieten. Außerdem gilt:
- Wenn Sie eine Verbindung zu Google Cloud -Dienstendpunkten von nichtGoogle Cloud-VMs herstellen, z. B. von VMs lokal oder anderer Cloud-Anbieter, müssen Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden, die Verbindungen zu nichtGoogle Cloud -VMs unterstützen, um den nichtGoogle Cloud -Traffic an Google Cloudweiterzuleiten.
- Wenn Sie eine Verbindung zu Google Cloud Dienstendpunkten von Google Cloud VMs herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
- Wenn Sie eine Verbindung zu Google Cloud VMs herstellen, die mit externen IP-Adressen freigegeben wurden, lesen Sie den Hilfeartikel Auf APIs über VMs mit externen IP-Adressen zugreifen.
Speichern Sie für alle Dienste, die in einem ITAR-Ordner verwendet werden, keine technischen Daten in den folgenden Typen von benutzerdefinierten oder Sicherheitskonfigurationsinformationen:
- Fehlermeldungen
- Console-Ausgabe
- Attributdaten
- Daten zur Dienstkonfiguration
- Netzwerkpaket-Header
- Ressourcen-IDs
- Datenlabels
Verwenden Sie nur die angegebenen regionalen oder Standortendpunkte für Dienste, die diese anbieten. Weitere Informationen finden Sie unter in den Geltungsbereich fallende ITAR-Dienste.
Sie sollten die allgemeinen Best Practices für die Sicherheit im Google Cloud Center für Sicherheits-Best-Practices berücksichtigen.

Dienste innerhalb des Geltungsbereichs

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle betroffenen Dienste zugreifen.

Die folgenden Dienste sind mit ITAR kompatibel:

Unterstütztes Produkt	ITAR-konforme API-Endpunkte	Einschränkungen
Artifact Registry	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: artifactregistry.googleapis.com	Keine
BigQuery	Regionale API-Endpunkte: bigquery.us-west1.rep.googleapis.com bigquery.us-east4.rep.googleapis.com bigquerymigration.us-west1.rep.googleapis.com bigquerymigration.us-east4.rep.googleapis.com bigqueryreservation.us-west1.rep.googleapis.com bigqueryreservation.us-east4.rep.googleapis.com bigquerystorage.us-west1.rep.googleapis.com bigquerystorage.us-east4.rep.googleapis.com bigquerydatatransfer.us-west1.rep.googleapis.com bigquerydatatransfer.us-east4.rep.googleapis.com Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt.	Betroffene Funktionen
Certificate Authority Service	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: privateca.googleapis.com	Keine
Cloud External Key Manager (Cloud EKM)	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte: us-west1-cloudkms.googleapis.com us-east4-cloudkms.googleapis.com Globale API-Endpunkte werden nicht unterstützt.	Keine
Cloud Run	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: run.googleapis.com	Betroffene Funktionen
Compute Engine	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: compute.googleapis.com	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud DNS	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: dns.googleapis.com	Betroffene Funktionen
Dataflow	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: dataflow.googleapis.com datapipelines.googleapis.com	Keine
Dataproc	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: dataproc-control.googleapis.com dataproc.googleapis.com	Keine
Filestore	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: file.googleapis.com	Keine
Cloud Storage	Regionale API-Endpunkte: storage.us-central1.rep.googleapis.com storage.us-central2.rep.googleapis.com storage.us-east1.rep.googleapis.com storage.us-east4.rep.googleapis.com storage.us-east5.rep.googleapis.com storage.us-east7.rep.googleapis.com storage.us-south1.rep.googleapis.com storage.us-west1.rep.googleapis.com storage.us-west2.rep.googleapis.com storage.us-west3.rep.googleapis.com storage.us-west4.rep.googleapis.com Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt.	Betroffene Funktionen
Google Kubernetes Engine	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: container.googleapis.com containersecurity.googleapis.com	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud HSM	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: cloudkms.googleapis.com	Keine
Identitäts- und Zugriffsverwaltung	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: iam.googleapis.com	Keine
Identity-Aware Proxy (IAP)	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: iap.googleapis.com	Keine
Cloud Interconnect	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: networkconnectivity.googleapis.com	Betroffene Funktionen
Cloud Key Management Service (Cloud KMS)	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: cloudkms.googleapis.com	Keine
Cloud Load Balancing	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: compute.googleapis.com	Betroffene Funktionen
Cloud Logging	Regionale API-Endpunkte: logging.us-west1.rep.googleapis.com logging.us-east4.rep.googleapis.com Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt.	Betroffene Funktionen
Cloud Monitoring	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: monitoring.googleapis.com	Betroffene Funktionen
Cloud NAT	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: networkconnectivity.googleapis.com	Betroffene Funktionen
Network Connectivity Center	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: networkconnectivity.googleapis.com	Betroffene Funktionen
Persistent Disk	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: compute.googleapis.com	Keine
Pub/Sub	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: pubsub.googleapis.com	Keine
Cloud Router	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: networkconnectivity.googleapis.com	Betroffene Funktionen
Cloud SQL	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: sqladmin.googleapis.com	Betroffene Funktionen
Virtual Private Cloud (VPC)	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: compute.googleapis.com	Betroffene Funktionen
VPC Service Controls	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: accesscontextmanager.googleapis.com	Keine
Cloud VPN	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: compute.googleapis.com	Betroffene Funktionen

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von ITAR erstellt werden. Andere anwendbare Einschränkungen, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche „gestaffelte Sicherheitsebene“ bieten, um dieGoogle Cloud -Ressourcen Ihrer Organisation weiter zu schützen.

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud Dienste.

Organisationsrichtlinie-Beschränkung	Beschreibung
`gcp.resourceLocations`	Legen Sie `in:us-locations` als Listenelement `allowedValues` fest. Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die USA-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der USA erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der Datengrenze der USA zulassen. Beispiel: Ersetzen der Wertgruppe `in:us-locations` durch die Wertgruppe `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `compute.googleapis.com` `container.googleapis.com` `run.googleapis.com` `storage.googleapis.com` Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Weitere Informationen finden Sie unten im Abschnitt Betroffene Funktionen. Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK werden inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictCmekCryptoKeyProjects`	Legen Sie diese Einstellung für alle Ressourcen im von Ihnen erstellten ITAR-Ordner fest. Beschränkt den Bereich genehmigter Ordner oder Projekte, die KMS-Schlüssel für die Verschlüsselung von Daten im Ruhzustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
`gcp.restrictServiceUsage`	Legen Sie fest, dass alle relevanten Dienste zugelassen werden. Bestimmt, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung	Beschreibung
`compute.disableGlobalLoadBalancing`	Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.
`compute.disableGlobalSelfManagedSslCertificate`	Auf True festlegen. Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.
`compute.disableInstanceDataAccessApis`	Auf True festlegen. Deaktiviert global die APIs `instances.getSerialPortOutput()` und `instances.getScreenshot()`. Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten möchten, gehen Sie so vor: Aktivieren Sie SSH für Windows-VMs. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Ersetzen Sie Folgendes: `VM_NAME`: Der Name der VM, für die Sie das Passwort festlegen. `USERNAME`: Der Nutzername des Nutzers, für den Sie das Passwort festlegen. `PASSWORD`: Das neue Passwort.
`compute.disableNestedVirtualization`	Auf True festlegen. Deaktiviert die hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im ITAR-Ordner. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.
`compute.enableComplianceMemoryProtection`	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.restrictLoadBalancerCreationForTypes`	Alle Werte außer `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS` zulassen Weitere Informationen finden Sie unter Load Balancer auswählen.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung	Beschreibung
`container.restrictNoncompliantDiagnosticDataAccess`	Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen dringend, den Wert beizubehalten.

Betroffene Funktionen

In diesem Abschnitt wird beschrieben, wie sich die Features oder Funktionen der einzelnen Dienste von ITAR auswirken, einschließlich der Nutzeranforderungen bei der Verwendung einer Funktion.

BigQuery-Funktionen

Funktion	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu „Assured Workloads“ Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen. Überprüfen Sie im Bereich Zugelassene Dienste die Dienste, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen. Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care. Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Features werden nicht unterstützt und sind aus Compliance-Gründen gemäß dem International Traffic in Arms Regulations (ITAR) deaktiviert: Extern trainierte BQML-Modelle sind nicht ITAR-konform. Intern trainierte BQML-Modelle entsprechen den ITAR-Bestimmungen. Föderierte Abfragen Datenmaskierung und Zugriffssteuerung auf Spaltenebene: Das Erstellen von Taxonomien für Richtlinien-Tags ist deaktiviert. Analytics Hub GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Notebooks werden in BigQuery Studio nicht unterstützt. Kontinuierliche Abfragen
Konforme BigQuery APIs	Die folgenden BigQuery APIs sind ITAR-konform: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com Die Reservations API ist standardmäßig nicht aktiviert. Sie können die API mithilfe der Anleitung auf dieser Seite aktivieren.
Regionen	BigQuery ist ITAR-konform für alle BigQuery-Regionen in den USA mit Ausnahme der Multiregion USA. Die Einhaltung der ITAR kann nicht garantiert werden, wenn ein Datensatz in einer Multi-Region in den USA, in einer Region außerhalb der USA oder in einer Multi-Region außerhalb der USA erstellt wird. Es liegt in der Verantwortung des Kunden, beim Erstellen von BigQuery-Datasets eine ITAR-konforme Region anzugeben.
Daten laden	BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service), externe Cloud-Speicheranbieter und Data Warehouses sind nicht ITAR-konform. Kunden können Cloud Storage Transfer nur in einer ITAR-Umgebung verwenden.
Verbindungen zu externen Datenquellen herstellen	Die Compliance-Verantwortung von Google ist auf die BigQuery Connection API beschränkt. Der Kunde ist dafür verantwortlich, dass die Quellprodukte, die mit der BigQuery Connection API verwendet werden, den Anforderungen entsprechen.
Abfragen zu ITAR-Datasets aus nicht ITAR-Projekten	In BigQuery kann nicht verhindert werden, dass ITAR-Datasets von nicht ITAR-Projekten abgefragt werden. Kunden müssen dafür sorgen, dass alle Abfragen, die Lese- oder Join-Vorgänge auf technische ITAR-Daten umfassen, in einem ITAR-konformen Ordner abgelegt werden.

Compute Engine Features

Funktion	Beschreibung
Google Cloud Console	Die folgenden Compute Engine-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI: Systemdiagnosen Netzwerk-Endpunktgruppen
VMs der Bare-Metal-Lösung	Sie sind dafür verantwortlich, keine Bare-Metal-Lösungs-VMs (o2-VMs) zu verwenden, da diese nicht den ITAR-Bestimmungen entsprechen.
Google Cloud VMware Engine-VMs	Sie sind dafür verantwortlich, keine Google Cloud VMware Engine-VMs zu verwenden, da diese nicht den ITAR-Bestimmungen entsprechen.
C3-VM-Instanz erstellen	Diese Funktion ist deaktiviert.
Nichtflüchtige Speicher oder ihre Snapshots ohne CMEK verwenden	Sie können nichtflüchtige Speicher oder ihre Snapshots nur verwenden, wenn sie mit CMEK verschlüsselt wurden.
Verschachtelte VMs oder VMs mit verschachtelter Virtualisierung erstellen	Sie können keine verschachtelten VMs oder VMs mit verschachtelter Virtualisierung erstellen. Diese Funktion ist durch die im Abschnitt oben beschriebene Einschränkung der `compute.disableNestedVirtualization`-Organisationsrichtlinie deaktiviert.
Instanzgruppe einem globalen Load Balancer hinzufügen	Sie können einem globalen Load Balancer keine Instanzgruppe hinzufügen. Diese Funktion wird durch die im Abschnitt oben beschriebene `compute.disableGlobalLoadBalancing`-Einschränkung der Organisationsrichtlinie deaktiviert.
Anfragen an einen multiregionalen externen HTTPS-Load Balancer weiterleiten	Sie können keine Anfragen an einen multiregionalen externen HTTPS-Load Balancer weiterleiten. Diese Funktion wird durch die im Abschnitt oben beschriebene Einschränkung der `compute.restrictLoadBalancerCreationForTypes`-Organisationsrichtlinie deaktiviert.
Nichtflüchtigen SSD-Speicher im Modus für mehrere Autoren freigeben	Sie können einen nichtflüchtigen SSD-Speicher im Modus für mehrere Autoren nicht für VM-Instanzen freigeben.
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf den Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf den Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie `gcp.restrictNonCmekServices`.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie den Datenspeicherort durch interne Sicherheitskontrollen und -prozesse erfüllen. Nutzer, die zusätzliche Kontrolle wünschen, können jedoch auch eigene Bilder oder Kundenservicemitarbeiter auswählen und optional die Organisationsrichtlinieneinschränkung `compute.trustedImageProjects` verwenden. Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
`instances.getSerialPortOutput()`	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden.
`instances.getScreenshot()`	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port aktivieren und verwenden.

Cloud DNS-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud DNS-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud Interconnect-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud Interconnect-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Hochverfügbarkeits-VPN	Sie müssen die VPN-Funktion mit Hochverfügbarkeit (HA) aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die in diesem Abschnitt aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten.

Cloud Load Balancing-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud Load Balancing-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Regionale Load Balancer	Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen zum Konfigurieren regionaler Load Balancer finden Sie auf den folgenden Seiten: Interner Application Load Balancer Regionaler externer Application Load Balancer Interner Passthrough-Network Load Balancer Externer Passthrough Network Load Balancer

Features von Cloud Logging

Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verwenden möchten, müssen Sie die Schritte auf der Seite CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation ausführen.

Funktion	Beschreibung
Logsenken	Vertrauliche Informationen (Kundendaten) dürfen nicht in Senkenfilter aufgenommen werden. Senkenfilter werden als Dienstdaten behandelt.
Live-Tailing-Logeinträge	Erstellen Sie keine Filter, die Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen.
Logbasierte Benachrichtigungen	Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery	Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden.
SQL-basierte Benachrichtigungsrichtlinien	Die Funktion ist deaktiviert. Sie können die Funktion „SQL-basierte Benachrichtigungsrichtlinien“ nicht verwenden.

Cloud Monitoring-Funktionen

Funktion	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose	Die Funktion ist deaktiviert.
Widgets für den Steuerfeldbereich für Protokolle in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Protokollfeld hinzufügen.
Widgets für den Bereich „Error Reporting“ in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Steuerfeld für Fehlermeldungen hinzufügen.
In `EventAnnotation` nach Dashboards filtern	Diese Funktion ist deaktiviert. Der Filter für `EventAnnotation` kann nicht in einem Dashboard festgelegt werden.
`SqlCondition` in `alertPolicies`	Diese Funktion ist deaktiviert. Sie können einer `alertPolicy` kein `SqlCondition` hinzufügen.

Funktionen des Network Connectivity Center

Funktion	Beschreibung
Google Cloud Console	Die Funktionen des Network Connectivity Centers sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud NAT-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud NAT-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud Router-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud Router-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud Run-Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Cloud Run-Funktionen werden nicht unterstützt: Cloud Trace-Einbindung Cloud Run Functions Eventarc-Trigger

Cloud SQL-Features

Funktion	Beschreibung
Export in CSV	Der Export in CSV-Dateien ist nicht ITAR-konform und sollte nicht verwendet werden. Diese Funktion ist in der Google Cloud Console deaktiviert.
`executeSql`	Die `executeSql`-Methode der Cloud SQL API entspricht nicht den ITAR-Bestimmungen und sollte nicht verwendet werden.

Cloud Storage-Funktionen

Funktion	Beschreibung
Google Cloud Console	Um die ITAR-Compliance aufrechtzuerhalten, sind Sie dafür verantwortlich, die Google Cloud Console für die Rechtsprechung zu verwenden. Die Jurisdictional Console verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hochladen und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte unten.
Konforme API-Endpunkte	Sie müssen einen der ITAR-konformen regionalen Endpunkte mit Cloud Storage verwenden. Weitere Informationen finden Sie unter Regionale Cloud Storage-Endpunkte und Cloud Storage-Standorte.
Beschränkungen	Sie müssen regionale Cloud Storage-Endpunkte verwenden, um ITAR-konform zu sein. Weitere Informationen zu regionalen Cloud Storage-Endpunkten für ITAR finden Sie unter Regionale Cloud Storage-Endpunkte. Die folgenden Vorgänge werden von regionalen Endpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten im Sinne der Nutzungsbedingungen für den Dienst zum Speicherort der Daten übertragen. Daher können Sie für diese Vorgänge bei Bedarf globale Endpunkte verwenden, ohne gegen die ITAR-Compliance zu verstoßen: HMAC-Schlüsselvorgänge IAM-Dienstkontovorgänge Pub/Sub-Benachrichtigungen Benachrichtigungen über Objektänderungen Wenn ein Nutzer versucht, einen nicht unterstützten Vorgang mit regionalen Endpunkten auszuführen, gibt Cloud Storage den HTTP-Fehlercode 400 mit der Fehlermeldung zurück: `This endpoint does not implement this operation. Please use the global endpoint.`
Kopieren und Umschreiben für Objekte	Kopier- und Umschreibvorgänge für Objekte werden von regionalen Endpunkten unterstützt, wenn sich sowohl der Quell- als auch der Ziel-Bucket in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine regionalen Endpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zu verwenden, um Daten an verschiedenen Standorten zu kopieren oder umzuschreiben. Wir raten jedoch davon ab, da dies gegen die ITAR-Compliance verstoßen kann.

GKE-Features

Funktion	Beschreibung
Einschränkungen für Clusterressourcen	Achten Sie darauf, dass in Ihrer Clusterkonfiguration keine Ressourcen für Dienste verwendet werden, die im ITAR-Compliance-Programm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da ein nicht unterstützter Dienst aktiviert oder verwendet werden muss: set `binaryAuthorization.evaluationMode` to `enabled`

VPC-Funktionen

Funktion	Beschreibung
Google Cloud Console	VPC-Netzwerkfunktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud VPN-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Verschlüsselung	Beim Erstellen von Zertifikaten und Konfigurieren der IP-Sicherheit dürfen nur FIPS 140-2-konforme Chiffren verwendet werden. Weitere Informationen zu den unterstützten Chiffren in Cloud VPN finden Sie auf dieser Seite. Auf dieser Seite finden Sie Informationen zur Auswahl einer Chiffre, die den FIPS 140-2-Standards entspricht. Es gibt derzeit keine Möglichkeit, eine vorhandene Chiffre in Google Cloudzu ändern. Achten Sie darauf, dass Sie auf Ihrer Drittanbieter-Appliance auch die Chiffre konfigurieren, die Sie mit Cloud VPN verwenden.
VPN-Endpunkte	Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer US-Region konfiguriert ist.

Fußnoten

2. BigQuery wird unterstützt, wird aber aufgrund eines internen Konfigurationsvorgangs nicht automatisch aktiviert, wenn Sie einen neuen Ordner für abgesicherte Arbeitslasten erstellen. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:

Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.
Zu „Assured Workloads“
Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus.
Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen.
Überprüfen Sie im Bereich Zugelassene Dienste die Dienste, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.

Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care.

Sobald die Aktivierung abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.

Nächste Schritte

Weitere Informationen zum ITAR-Kontrollpaket
Hier erfahren Sie, welche Produkte für jedes Steuerelementpaket unterstützt werden.