Einschränkungen für ITAR
Auf dieser Seite werden die Einschränkungen und andere Konfigurationsoptionen bei der Verwendung des ITAR-Steuerpakets beschrieben.
Überblick
Das Steuerpaket für den internationalen Traffic in Arms Regulations (ITAR) ermöglicht die Datenzugriffssteuerung und Standortfunktionen für entsprechende Google Cloud-Dienste. Einige Funktionen dieser Dienste werden von Google eingeschränkt oder eingeschränkt, um die Kompatibilität mit ITAR zu gewährleisten. Die meisten dieser Einschränkungen und Einschränkungen werden beim Erstellen eines neuen Assured Workloads-Ordners für ITAR angewendet. Einige von ihnen können jedoch später durch Ändern der Organisationsrichtlinien geändert werden. Darüber hinaus erfordern einige Einschränkungen und Einschränkungen die Verantwortung des Nutzers für die Einhaltung.
Es ist wichtig zu verstehen, wie sich diese Einschränkungen auf das Verhalten eines bestimmten Google Cloud-Dienstes oder auf den Datenzugriff oder den Datenstandort auswirken. Beispielsweise können einige Features oder Funktionen automatisch deaktiviert werden, um sicherzustellen, dass Datenzugriffsbeschränkungen und Datenstandort aufrechterhalten werden. Wird die Einstellung einer Organisationsrichtlinie geändert, kann dies außerdem unbeabsichtigte Folgen haben, wenn Daten von einer Region in eine andere kopiert werden.
Vorbereitung
Um als Nutzer des ITAR-Kontrollpakets die Vorgaben einzuhalten, müssen Sie die folgenden Voraussetzungen erfüllen:
- Erstellen Sie mit Assured Workloads einen ITAR-Ordner und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
- Aktivieren und verwenden Sie nur entsprechende ITAR-Dienste für ITAR-Arbeitslasten.
- Ändern Sie die standardmäßigen Werte für die Einschränkung von Organisationsrichtlinien nicht, es sei denn, Sie kennen die möglichen Risiken des Datenstandorts und sind bereit, sie zu akzeptieren.
- Wenn Sie eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, müssen Sie regionale Endpunkte für Dienste verwenden, die diese anbieten. Außerdem gilt:
- Wenn Sie eine Verbindung zu Google Cloud-Dienstendpunkten von Nicht-Google Cloud-VMs, z. B. lokalen VMs oder VMs anderer Cloud-Anbieter, herstellen, müssen Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden, die Verbindungen zu Nicht-Google Cloud-VMs unterstützen, um Traffic, der nicht von Google Cloud erfolgt, zu Google Cloud weiterzuleiten.
- Wenn Sie eine Verbindung von Google Cloud-VMs zu Google Cloud-Dienstendpunkten herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
- Wenn Sie eine Verbindung zu Google Cloud-VMs herstellen, die mit externen IP-Adressen bereitgestellt wurden, lesen Sie den Abschnitt Über VMs mit externen IP-Adressen auf APIs zugreifen.
- Speichern Sie für alle in einem ITAR-Ordner verwendeten Dienste keine technischen Daten in den folgenden Informationstypen für benutzerdefinierte oder Sicherheitskonfigurationen:
- Fehlermeldungen
- Console-Ausgabe
- Attributdaten
- Dienstkonfigurationsdaten
- Header von Netzwerkpaketen
- Ressourcen-IDs
- Datenlabels
- Verwenden Sie nur die angegebenen regionalen oder standortbezogenen Endpunkte für Dienste, die diese anbieten. Weitere Informationen finden Sie unter entsprechende ITAR-Dienste.
- Sie können die allgemeinen Best Practices für die Sicherheit aus dem Google Cloud-Sicherheitscenter mit Best Practices übernehmen.
Dienste innerhalb des Geltungsbereichs
Die folgenden Dienste sind mit ITAR kompatibel:
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Virtual Private Cloud (VPC)
- VPC Service Controls
- Cloud Interconnect
- Cloud Router
- Identity-Aware Proxy
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud HSM
Organisationsrichtlinien
In diesem Abschnitt wird beschrieben, wie sich die standardmäßigen Einschränkungswerte der Organisationsrichtlinie auf die einzelnen Dienste auswirken, wenn Ordner oder Projekte mithilfe von ITAR erstellt werden. Andere anwendbare Einschränkungen – auch wenn sie nicht standardmäßig festgelegt sind – können zusätzliche gestaffelte Sicherheitsebenen bieten, um die Google Cloud-Ressourcen Ihrer Organisation noch besser zu schützen.
Einschränkungen für Cloud-Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.
| Organisationsrichtlinie-Beschränkung | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie in:us-locations als Listenelement allowedValues fest.Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die Wertegruppe „US“. Wenn festgelegt, können keine Ressourcen in anderen Regionen, Mehrfachregionen oder Standorten außerhalb der USA erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert durch weniger restriktive Einstellungen ändern, beeinträchtigt das möglicherweise den Datenstandort, da Daten außerhalb der US-Datengrenzen erstellt oder gespeichert werden können. Beispiel: Die Wertegruppe in:us-locations wird durch die Wertegruppe in:northamerica-locations ersetzt.
|
gcp.restrictNonCmekServices |
Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. CMEK stellt sicher, dass ruhende Daten mit einem von Ihnen verwalteten Schlüssel und nicht mit den Standardverschlüsselungsmechanismen von Google verschlüsselt werden. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste, die den Vorgaben unterliegen, aus der Liste entfernen, kann die Datenhoheit beeinträchtigt werden, da neue ruhende Daten automatisch mit den eigenen Schlüsseln von Google und nicht mit Ihren verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt. |
gcp.restrictCmekCryptoKeyProjects |
Legen Sie als Einstellung „Alle Ressourcen“ im von Ihnen erstellten ITAR-Ordner fest. Begrenzt den Bereich der genehmigten Ordner oder Projekte, die KMS-Schlüssel zum Verschlüsseln ruhender Daten mit CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs. |
gcp.restrictServiceUsage |
Alle im Projektumfang enthaltenen Dienste zulassen. Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken. |
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Organisationsrichtlinie-Beschränkung | Beschreibung |
|---|---|
compute.disableGlobalLoadBalancing |
Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten. |
compute.disableGlobalSelfManagedSslCertificate |
Auf True festlegen. Deaktiviert das Erstellen von globalen selbstverwalteten SSL-Zertifikaten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten. |
compute.disableInstanceDataAccessApis |
Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot().Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor:
|
compute.disableNestedVirtualization |
Auf True festlegen. Deaktiviert hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im ITAR-Ordner. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten. |
compute.enableComplianceMemoryProtection |
Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten. |
compute.restrictNonConfidentialComputing |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche gestaffelte Sicherheitsebenen bereitzustellen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation. |
compute.restrictLoadBalancerCreationForTypes |
Legen Sie fest, dass alle Werte außer GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS zugelassen werden. Weitere Informationen finden Sie unter
Load-Balancer auswählen.
|
Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine
| Organisationsrichtlinie-Beschränkung | Beschreibung |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. Wir empfehlen, den festgelegten Wert beizubehalten. |
Betroffene Funktionen
In diesem Abschnitt wird aufgeführt, wie die Features oder Funktionen der einzelnen Dienste von ITAR beeinflusst werden, einschließlich der Nutzeranforderungen bei Verwendung einer Funktion.
BigQuery-Features
| Funktion | Beschreibung |
|---|---|
| BigQuery für einen neuen Ordner aktivieren | BigQuery wird unterstützt, aber aufgrund eines internen Konfigurationsprozesses nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Dieser Vorgang ist normalerweise innerhalb von zehn Minuten abgeschlossen, kann aber unter Umständen viel länger dauern. Mit den folgenden Schritten können Sie prüfen, ob der Vorgang abgeschlossen ist, und BigQuery aktivieren:
Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. |
| Nicht unterstützte Funktionen | Die folgenden BigQuery-Features werden gemäß ITAR nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in der Verantwortung des Kunden, diese nicht in BigQuery für ITAR-Arbeitslasten zu verwenden.
|
| Nicht unterstützte Integrationen | Die folgenden BigQuery-Integrationen werden für die ITAR-Compliance nicht unterstützt. Es liegt in der Verantwortung des Kunden, sie nicht mit BigQuery für ITAR-Arbeitslasten zu verwenden.
|
| Konforme BigQuery APIs | Die folgenden BigQuery APIs sind ITAR-konform:
|
| Regionen | BigQuery ist ITAR-konform für alle BigQuery-Regionen in den USA mit Ausnahme des multiregionalen Standorts „USA“. Die ITAR-Compliance kann nicht garantiert werden, wenn ein Dataset an einem Standort mit mehreren Regionen (USA), Nicht-US-Regionen oder Nicht-US-Regionen erstellt wird. Beim Erstellen von BigQuery-Datasets muss der Kunde eine ITAR-konforme Region angeben. Wenn eine Anfrage zum Auflisten von Tabellendaten mit einer US-Region gesendet wird, das Dataset jedoch in einer anderen US-Region erstellt wurde, kann BigQuery nicht ableiten, welche Region vom Kunden beabsichtigt war. Der Vorgang schlägt dann mit der Fehlermeldung „Dataset nicht gefunden“ fehl. |
| Google Cloud Console | Die BigQuery-Benutzeroberfläche in der Google Cloud Console ist ITAR-konform.
|
| BigQuery-Befehlszeile | Die BigQuery-Befehlszeile ist ITAR-konform.
|
| Google Cloud SDK | Sie müssen das Google Cloud SDK 403.0.0 oder höher verwenden, um die Regionalisierung von Daten für technische ITAR-Daten beizubehalten. Zum Prüfen Ihrer aktuellen Version des Google Cloud SDK führen Sie gcloud --version und dann gcloud components update aus, um auf die neueste Version zu aktualisieren.
|
| Steuerelemente für Administratoren | BigQuery deaktiviert nicht konforme APIs. Kundenadministratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können jedoch eine nicht konforme API aktivieren. In diesem Fall wird der Kunde über das Monitoring-Dashboard von Assured Workloads über mögliche Richtlinienverstöße informiert. |
| Daten laden | BigQuery Data Transfer Service-Connectors für SaaS-Anwendungen (Software as a Service (SaaS)) von Google, externe Cloud-Speicheranbieter und Data Warehouses sind nicht ITAR-konform. Es liegt in der Verantwortung des Kunden, keine BigQuery Data Transfer Service-Connectors für ITAR-Arbeitslasten zu verwenden. |
| Drittanbieter-Übertragungen | BigQuery überprüft nicht die ITAR-Konformität für Übertragungen von Drittanbietern für den BigQuery Data Transfer Service. Es liegt in der Verantwortung des Kunden, die ITAR-Compliance zu prüfen, wenn eine Drittanbieterübertragung für BigQuery Data Transfer Service verwendet wird. |
| Nicht konforme BQML-Modelle | Extern trainierte BQML-Modelle sind nicht ITAR-konform. |
| Abfragejobs | Abfragejobs mit ITAR-technischen Daten sollten nur innerhalb von ITAR-Projekten erstellt werden. |
| Abfragen von ITAR-Datasets aus Projekten außerhalb von ITAR | BigQuery verhindert nicht, dass ITAR-Datasets von Nicht-ITAR-Projekten abgefragt werden. Kunden müssen dafür sorgen, dass jede Abfrage mit Lese- oder JOIN für technische ITAR-Daten in einem ITAR-kompatiblen Ordner abgelegt wird.
Kunden können in der BigQuery-Befehlszeile mit projectname.dataset.table einen vollständig qualifizierten Tabellennamen für ihr Abfrageergebnis angeben. |
| Cloud Logging | BigQuery verwendet Cloud Logging für einige Logdaten von Kunden.
Kunden sollten ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf US-Regionen beschränken, um die ITAR-Compliance aufrechtzuerhalten. Dazu verwenden sie folgenden Befehl:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkWeitere Informationen finden Sie auf dieser Seite. |
Compute Engine Features
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Die folgenden Compute Engine-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI:
|
| VMs für Bare-Metal-Lösung | Sie sind dafür verantwortlich, keine VMs der Bare-Metal-Lösung (o2-VMs) zu verwenden, da VMs der Bare-Metal-Lösung nicht ITAR-konform sind.
|
| Google Cloud VMware Engine-VMs | Sie sind dafür verantwortlich, keine Google Cloud VMware Engine-VMs zu verwenden, da Google Cloud VMware Engine-VMs nicht ITAR-konform sind.
|
| C3-VM-Instanz erstellen | Diese Funktion ist deaktiviert. |
| Nichtflüchtige Speicher oder deren Snapshots ohne CMEK verwenden | Sie können nichtflüchtige Speicher oder deren Snapshots nur verwenden, wenn sie mit CMEK verschlüsselt wurden. |
| Verschachtelte VMs oder VMs erstellen, die die verschachtelte Virtualisierung verwenden | Sie können keine verschachtelten VMs oder VMs erstellen, die die verschachtelte Virtualisierung verwenden. Dieses Feature ist durch die oben beschriebene Einschränkung der Organisationsrichtlinie compute.disableNestedVirtualization deaktiviert.
|
| Instanzgruppe einem globalen Load-Balancer hinzufügen | Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen. Dieses Feature ist durch die Einschränkung der Organisationsrichtlinie compute.disableGlobalLoadBalancing deaktiviert, die im obigen Abschnitt beschrieben ist.
|
| Anfragen an einen multiregionalen HTTPS-Load-Balancer weiterleiten | Sie können Anfragen nicht an einen multiregionalen HTTPS-Load-Balancer weiterleiten. Dieses Feature ist durch die Einschränkung der Organisationsrichtlinie compute.restrictLoadBalancerCreationForTypes deaktiviert, die im obigen Abschnitt beschrieben ist.
|
| nichtflüchtiger SSD-Speicher im Modus für mehrere Autoren freigeben | Sie können einen nichtflüchtiger SSD-Speicher im Modus für mehrere Autoren nicht zwischen VM-Instanzen teilen. |
| VM-Instanz anhalten bzw. fortsetzen | Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Nichtflüchtiger Speicher zum Speichern des Status der angehaltenen VM kann nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieses Features auf den Datenstandort finden Sie unter der Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices im Abschnitt oben.
|
| Lokale SSDs | Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Weitere Informationen zu den Auswirkungen der Aktivierung dieses Features auf den Datenstandort finden Sie unter der Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices im Abschnitt oben.
|
| Gastumgebung |
Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen.
Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter
Gastumgebung. Diese Komponenten helfen Ihnen, durch interne Sicherheitskontrollen und -prozesse den Datenstandort einzuhalten. Nutzer, die zusätzliche Kontrolle wünschen, können jedoch auch eigene Images oder Agents auswählen und optional die Einschränkung der Organisationsrichtlinie compute.trustedImageProjects verwenden.
Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen. |
instances.getSerialPortOutput() |
Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung auf
dieser Seite.
|
instances.getScreenshot() |
Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung auf
dieser Seite.
|
Cloud DNS-Features
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Cloud DNS-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Features von Cloud Interconnect
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Cloud Interconnect-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
| Hochverfügbarkeits-VPN | Wenn Sie Cloud Interconnect mit Cloud VPN verwenden, müssen Sie die VPN-Funktionalität mit Hochverfügbarkeit aktivieren. Außerdem müssen Sie die in diesem Abschnitt aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten. |
Features von Cloud Load Balancing
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Cloud Load Balancing-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
| Regionale Load-Balancer | Sie dürfen mit ITAR nur regionale Load-Balancer verwenden. Weitere Informationen zum Konfigurieren regionaler Load-Balancer finden Sie auf den folgenden Seiten: |
Features von Cloud Logging
Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verwenden möchten, müssen Sie die Schritte auf der Seite CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation ausführen.
| Funktion | Beschreibung |
|---|---|
| Logsenken | Geben Sie keine vertraulichen Informationen (Kundendaten) in Senkenfilter ein. Senkenfilter werden als Dienstdaten behandelt. |
| Live-Tailing-Logeinträge | Erstellen Sie keine Filter, die Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeinträge gespeichert, sondern Daten können regionsübergreifend abgefragt und übertragen werden. |
| Logbasierte Benachrichtigungen | Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden. |
| Gekürzte URLs für Log-Explorer-Abfragen | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen. |
| Abfragen im Log-Explorer speichern | Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern. |
| Loganalysen mit BigQuery | Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden. |
Features von Network Connectivity Center
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Network Connectivity Center-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Cloud NAT-Features
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Cloud NAT-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Features von Cloud Router
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Cloud Router-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Cloud Storage-Funktionen
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Zur Aufrechterhaltung der ITAR-Compliance sind Sie für die Verwendung der Google Cloud Console für Gerichtsbarkeit verantwortlich. Die Gerichtskonsole verhindert das Hoch- und Herunterladen von Cloud Storage-Objekten. Informationen zum Hoch- und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte unten. |
| Konforme API-Endpunkte | Sie müssen einen ITAR-konformen Standortendpunkt mit Cloud Storage verwenden. Standortendpunkte sind für alle US-Regionen, den Multiregion US und die vordefinierte Dual-Region NAM4 verfügbar.
Standortendpunkte sind nur für die Dual-Region NAM4 für Dual-Regionen verfügbar. Weitere Informationen zu Standorten in Cloud Storage finden Sie auf dieser Seite.
|
| Einschränkungen | Sie müssen Cloud Storage-Standortendpunkte verwenden, um ITAR-konform zu sein. Weitere Informationen zu Standortendpunkten von Cloud Storage für ITAR finden Sie unter Standortendpunkte für ITAR-Compliance. Die folgenden Vorgänge werden von Standortendpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten übertragen, wie in den Nutzungsbedingungen für den Datenstandortdienst definiert. Daher können Sie bei Bedarf globale Endpunkte für diese Vorgänge verwenden, ohne die ITAR-Compliance zu verletzen: |
| Für Objekte kopieren und umschreiben | Kopier- und Umschreibvorgänge für Objekte werden von Standortendpunkten unterstützt, wenn sich sowohl der Quell- als auch der Ziel-Bucket in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine Standortendpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zum Kopieren oder Umschreiben standortübergreifend zu verwenden. Wir raten jedoch davon ab, da dies gegen die ITAR-Compliance verstoßen könnte. |
GKE-Features
| Funktion | Beschreibung |
|---|---|
| Einschränkungen für Clusterressourcen | Achten Sie darauf, dass Ihre Clusterkonfiguration keine Ressourcen für Dienste verwendet, die im ITAR-Complianceprogramm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da sie die Aktivierung oder Verwendung eines nicht unterstützten Dienstes erfordert:
set `binaryAuthorization.evaluationMode` to `enabled`
|
VPC-Features
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | VPC-Netzwerkfunktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Cloud VPN-Features
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
| Verschlüsselung | Beim Erstellen von Zertifikaten und Konfigurieren der IP-Sicherheit dürfen nur FIPS 140-2-konforme Chiffren verwendet werden. Weitere Informationen zu unterstützten Chiffren in Cloud VPN finden Sie auf dieser Seite. Eine Anleitung zur Auswahl einer Chiffre, die den FIPS 140-2-Standards entspricht, finden Sie auf dieser Seite. Derzeit gibt es keine Möglichkeit, eine vorhandene Chiffre in Google Cloud zu ändern. Konfigurieren Sie die Chiffre auf der Drittanbieter-Appliance, die mit Cloud VPN verwendet wird. |
| VPN-Endpunkte | Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer US-Region konfiguriert ist. |