Questa pagina è stata tradotta dall'API Cloud Translation.

Restrizioni e limitazioni per ITAR

Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizza il pacchetto di controllo ITAR.

Panoramica

Il pacchetto di controllo ITAR (International Traffic in Arms Regulations) abilita le funzionalità di controllo dell'accesso ai dati e di residenza per i servizi Google Cloud in ambito. Alcune funzionalità di questi servizi sono limitate o vietate da Google per garantire la compatibilità con le norme ITAR. La maggior parte di queste limitazioni viene applicata quando viene creata una nuova cartella Carichi di lavoro garantiti per ITAR, ma alcune possono essere modificate in un secondo momento modificando i criteri dell'organizzazione. Inoltre, alcune limitazioni e restrizioni richiedono la responsabilità dell'utente per l'adeguamento.

È importante capire in che modo queste restrizioni modificano il comportamento di un un determinato servizio Google Cloud o influisce sull'accesso ai dati residente dei dati. Ad esempio, alcune funzioni o capacità potrebbero essere disattivate automaticamente per garantire che i dati le limitazioni di accesso e la residenza dei dati. Inoltre, se dell'impostazione dei criteri dell'organizzazione potrebbe avere conseguenze indesiderate di copiare i dati da una regione all'altra.

Prerequisiti

Per mantenere la conformità in qualità di utente del pacchetto di controllo ITAR, assicurati di soddisfare e rispettare i seguenti prerequisiti:

Crea una cartella ITAR utilizzando Assured Workloads ed esegui il deployment del tuo ITAR carichi di lavoro solo in quella cartella.
Attiva e utilizza solo i servizi ITAR pertinenti per i carichi di lavoro ITAR.
Non modificare i valori dei vincoli dei criteri dell'organizzazione predefiniti, a meno che tu non comprenda e accetti i rischi di residenza dei dati che potrebbero verificarsi.
Quando ti connetti agli endpoint dei servizi Google Cloud, devi utilizzare a livello di regione per i servizi che li offrono. Inoltre:
- Quando ti connetti agli endpoint dei servizi Google Cloud da VM non Google Cloud, ad esempio VM on-premise o di altri provider cloud, devi utilizzare una delle opzioni di accesso privato disponibili che supportano le connessioni a VM non Google Cloud per instradare il traffico non Google Cloud in Google Cloud.
- Quando ti connetti agli endpoint di servizio Google Cloud dalle VM Google Cloud, puoi utilizzare uno qualsiasi dei sistemi opzioni di accesso privato.
- Quando ti connetti alle VM di Google Cloud esposte con un IP esterno indirizzi IP, fare riferimento Accedi alle API da VM con indirizzi IP esterni.
Per tutti i servizi utilizzati in una cartella ITAR, non archiviare i dati tecnici nel seguenti tipi di informazioni di configurazione di sicurezza o definite dall'utente:
- Messaggi di errore
- Output console
- Dati degli attributi
- Dati di configurazione del servizio
- Intestazioni dei pacchetti di rete
- Identificatori delle risorse
- Etichette dati
Utilizzare solo gli endpoint a livello di regione o località specificati per i servizi che che li offrono. Per ulteriori informazioni, consulta i servizi ITAR inclusi nell'ambito.
Si consiglia di adottare le best practice generali per la sicurezza fornite nel Centro best practice per la sicurezza di Google Cloud.

Servizi inclusi nell'ambito

Salvo diversa indicazione, gli utenti possono accedere a tutti i servizi inclusi nell'ambito tramite la console Google Cloud.

I seguenti servizi sono compatibili con le normative ITAR:

Prodotto supportato	Endpoint API conformi a ITAR	Restrizioni o limitazioni
Artifact Registry	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: artifactregistry.googleapis.com	Nessuno
BigQuery	Endpoint API regionali: bigquery.us-west1.rep.googleapis.com bigquery.us-east4.rep.googleapis.com bigquery.us-east7.rep.googleapis.com bigquerymigration.us-west1.rep.googleapis.com bigquerymigration.us-east4.rep.googleapis.com bigquerymigration.us-east7.rep.googleapis.com bigqueryreservation.us-west1.rep.googleapis.com bigqueryreservation.us-east4.rep.googleapis.com bigqueryreservation.us-east7.rep.googleapis.com bigquerystorage.us-west1.rep.googleapis.com bigquerystorage.us-east4.rep.googleapis.com bigquerystorage.us-east7.rep.googleapis.com Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati.	Funzionalità interessate
Certificate Authority Service	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: privateca.googleapis.com	Nessuno
Cloud External Key Manager (Cloud EKM)	Gli endpoint API regionali non sono supportati. Endpoint API Location: us-west1-cloudkms.googleapis.com us-east4-cloudkms.googleapis.com Gli endpoint API globali non sono supportati.	Nessuno
Compute Engine	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate e i vincoli dei criteri dell'organizzazione
Cloud DNS	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: dns.googleapis.com	Funzionalità interessate
Dataflow	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: dataflow.googleapis.com datapipelines.googleapis.com	Nessuno
Dataproc	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: dataproc-control.googleapis.com dataproc.googleapis.com	Nessuno
Filestore	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: file.googleapis.com	Nessuno
Cloud Storage	Endpoint API regionali: storage.us-central1.rep.googleapis.com storage.us-central2.rep.googleapis.com storage.us-east1.rep.googleapis.com storage.us-east4.rep.googleapis.com storage.us-east5.rep.googleapis.com storage.us-east7.rep.googleapis.com storage.us-south1.rep.googleapis.com storage.us-west1.rep.googleapis.com storage.us-west2.rep.googleapis.com storage.us-west3.rep.googleapis.com storage.us-west4.rep.googleapis.com Gli endpoint dell'API Locational non sono supportati. Gli endpoint API globali non sono supportati.	Funzionalità interessate
Google Kubernetes Engine	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: container.googleapis.com containersecurity.googleapis.com	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Cloud HSM	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: cloudkms.googleapis.com	Nessuno
Identity and Access Management (IAM)	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: iam.googleapis.com	Nessuno
Identity-Aware Proxy (IAP)	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: iap.googleapis.com	Nessuno
Cloud Interconnect	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Cloud Key Management Service (Cloud KMS)	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: cloudkms.googleapis.com	Nessuno
Cloud Load Balancing	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate
Cloud Logging	Endpoint API regionali: logging.us-west1.rep.googleapis.com logging.us-east4.rep.googleapis.com Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati.	Funzionalità interessate
Cloud Monitoring	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: monitoring.googleapis.com	Funzionalità interessate
Cloud NAT	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Network Connectivity Center	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Persistent Disk	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: compute.googleapis.com	Nessuno
Pub/Sub	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: pubsub.googleapis.com	Nessuno
Cloud Router	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: networkconnectivity.googleapis.com	Funzionalità interessate
Cloud SQL	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: sqladmin.googleapis.com	Funzionalità interessate
Virtual Private Cloud (VPC)	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate
Controlli di servizio VPC	Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali: accesscontextmanager.googleapis.com	Nessuno
Cloud VPN	Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali: compute.googleapis.com	Funzionalità interessate

Criteri dell'organizzazione

Questa sezione descrive in che modo l'organizzazione predefinita influisce su ogni servizio dei criteri quando cartelle o progetti vengono creati utilizzando ITAR. Altro i vincoli applicabili, anche se non sono impostati per impostazione predefinita, "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse dell'accesso a specifiche risorse Google Cloud.

Vincoli dei criteri dell'organizzazione a livello di cloud

Le seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo dei criteri dell'organizzazione	Descrizione
`gcp.resourceLocations`	Impostato su `in:us-locations` come `allowedValues` voce dell'elenco. Questo valore limita la creazione di nuove risorse solo al gruppo di valori US. Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori degli Stati Uniti. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori dei criteri dell'organizzazione. La modifica di questo valore rendendolo meno restrittivo potrebbe minare la residenza dei dati consentendo la creazione o la memorizzazione dei dati al di fuori del confine dei dati degli Stati Uniti. Ad esempio, sostituendo il gruppo di valori `in:us-locations` con il gruppo di valori `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Imposta su un elenco di tutte le opzioni nell'ambito Nomi dei servizi API, tra cui: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Consulta consulta la sezione Funzionalità interessate di seguito. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK garantisce che i dati at-rest siano criptati con una chiave gestita da te, Meccanismi di crittografia predefiniti di Google. La modifica di questo valore mediante la rimozione di uno o più servizi inclusi nell'elenco potrebbe minare la sovranità dei dati, poiché i nuovi dati a riposo verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati dal chiave che hai fornito.
`gcp.restrictCmekCryptoKeyProjects`	Impostalo su tutte le risorse all'interno della cartella ITAR che hai creato. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire Chiavi KMS per criptare i dati at-rest mediante CMEK. Questo vincolo impedisce a cartelle o progetti non approvati di fornire chiavi di crittografia, contribuendo a garantire la sovranità dei dati per i servizi che rientrano nell'ambito dati at-rest.
`gcp.restrictServiceUsage`	Imposta questa opzione per consentire tutti i servizi inclusi nell'ambito. Determina quali servizi possono essere abilitati e utilizzati. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`compute.disableGlobalLoadBalancing`	Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.
`compute.disableGlobalSelfManagedSslCertificate`	Imposta su True. Disabilita la creazione di certificati SSL autogestiti globali. La modifica di questo valore potrebbe influire sulla residenza dei dati nel tuo carico di lavoro. Ti consigliamo di mantenere il valore impostato.
`compute.disableInstanceDataAccessApis`	Imposta su True. Disattiva a livello globale le API `instances.getSerialPortOutput()` e `instances.getScreenshot()`. L'attivazione di questo criterio dell'organizzazione impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, seguenti: Abilitare SSH per le VM Windows. Esegui questo comando per cambiare la password della VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Sostituisci quanto segue: `VM_NAME`: il nome della VM per cui stai impostando la password. `USERNAME`: il nome utente dell'utente che stai impostando la password. `PASSWORD`: la nuova password.
`compute.disableNestedVirtualization`	Imposta su True. Disabilita la virtualizzazione nidificata con accelerazione hardware per tutte le VM Compute Engine nella cartella ITAR. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato.
`compute.enableComplianceMemoryProtection`	Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria in caso di guasto dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato.
`compute.restrictNonConfidentialComputing`	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità. Per ulteriori informazioni, consulta la documentazione di Confidential VM.
`compute.restrictLoadBalancerCreationForTypes`	Impostato per consentire tutti i valori tranne `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS`. Per ulteriori informazioni, consulta Scelta di un bilanciatore del carico.

Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine

Vincolo dei criteri dell'organizzazione	Descrizione
`container.restrictNoncompliantDiagnosticDataAccess`	Imposta su True. Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantengono il controllo di sovranità di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato.

Funzionalità interessate

Questa sezione elenca in che modo le funzionalità o le capacità di ciascun servizio sono interessate dal regime ITAR, inclusi i requisiti utente per l'utilizzo di una funzionalità.

Funzionalità di BigQuery

Funzionalità	Descrizione
Abilitazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova cartella Carichi di lavoro garantiti a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per attivare BigQuery, svolgi i seguenti passaggi: Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli della cartella della sezione Servizi consentiti, fai clic su Esamina gli aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se i servizi BigQuery sono elencati, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine del processo di abilitazione, puoi utilizzare BigQuery Cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità di BigQuery non sono supportate per la conformità ITAR e non devono essere utilizzate nella CLI BigQuery. È responsabilità del cliente non utilizzarli in BigQuery per i carichi di lavoro ITAR. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono conformi a ITAR. I modelli BQML addestrati internamente sono conformi a ITAR. Query pianificate e federate Mascheramento dei dati dinamico Esportazione di GDrive Funzioni remote Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, i notebook non sono supportati. Query continue
Integrazioni non supportate	Le seguenti integrazioni di BigQuery non sono supportate per Conformità ITAR. È responsabilità del cliente non utilizzarli con BigQuery per i carichi di lavoro ITAR. I metodi `CreateTag`, `SearchCatalog`, `Bulk tagging` e `Business Glossary` dell'API Data Catalog possono elaborare e memorizzare dati tecnici ITAR in modo non conforme alle norme ITAR. È responsabilità del cliente non utilizzare questi metodi per i carichi di lavoro ITAR.
API BigQuery conformi	Le seguenti API BigQuery sono conformi a ITAR: Set di dati Job Modelli Progetti Prenotazioni Routine Criteri di accesso alle righe Lettura spazio di archiviazione Archiviazione in scrittura Tabelle Dati tabella L'API Reservations non è abilitata per impostazione predefinita. Tu puoi abilitare l'API seguendo le istruzioni questa pagina.
Regioni	BigQuery è conforme a ITAR per tutte le regioni BigQuery US tranne la regione multiregionale degli Stati Uniti. La conformità alle ITAR non può essere garantita se un set di dati viene creato in una regione con più regioni degli Stati Uniti, in una regione al di fuori degli Stati Uniti o in una regione con più regioni al di fuori degli Stati Uniti. È responsabilità del cliente specificare Regione conforme a ITAR durante la creazione di set di dati BigQuery. Se una richiesta di elenco di dati di tabella viene inviata utilizzando una regione degli Stati Uniti, ma il set di dati è stato creato in un'altra regione degli Stati Uniti, BigQuery non può dedurre quale regione è stata scelta dal cliente e l'operazione non andrà a buon fine con un messaggio di errore "set di dati non trovato".
Console Google Cloud	L'interfaccia utente di BigQuery nella console Google Cloud conforme alle normative ITAR.
BigQuery CLI	L'interfaccia a riga di comando BigQuery è conforme a ITAR.
Google Cloud SDK	Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per gestire i dati regionali per i dati tecnici ITAR. Per verificare la tua identità attuale Versione Google Cloud SDK, esegui `gcloud --version` e `gcloud components update` per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disattiva le API non conformi, ma gli amministratori dei clienti con autorizzazioni sufficienti per creare una cartella Assured Workloads possono attivare un'API non conforme. In questo caso, il cliente riceverà una notifica relativa alla potenziale mancata conformità tramite la dashboard del monitoraggio di Assured Workloads.
Caricamento di dati	I connettori BigQuery Data Transfer Service per le app SaaS (Software as a Service), i fornitori di spazio di archiviazione sul cloud esterni e i data warehouse non sono conformi alla normativa ITAR. È la responsabilità del cliente di non utilizzare BigQuery Data Transfer Connettori di servizi per carichi di lavoro ITAR.
Trasferimenti di terze parti	BigQuery non verifica la conformità alle norme ITAR per i trasferimenti di terze parti per BigQuery Data Transfer Service. È responsabilità del cliente verificare la conformità alle ITAR quando utilizza qualsiasi trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono conformi a ITAR.
Job di query	Le query dei job con dati tecnici ITAR devono essere create solo all'interno di ITAR in modo programmatico a gestire i progetti.
Query sui set di dati ITAR da progetti non ITAR	BigQuery non impedisce l'esecuzione di query su set di dati ITAR progetti non ITAR. I clienti devono assicurarsi che ogni query o un join sui dati tecnici ITAR essere inseriti in una cartella conforme a ITAR. I clienti possono specificare un nome di tabella completo per il risultato della query utilizzando `projectname.dataset.table` nella CLI BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dati dei log dei clienti. I clienti devono disattivare i bucket di log `_default` o limitare i bucket `_default` alle regioni degli Stati Uniti per mantenere la conformità alle ITAR utilizzando il seguente comando: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` Per ulteriori informazioni, consulta questa pagina.

Funzionalità di Compute Engine

Funzionalità	Descrizione
Console Google Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI: Controlli di integrità Gruppi di endpoint di rete
VM Bare Metal Solution	È tua responsabilità non utilizzare le VM Bare Metal Solution (VM o2) perché le VM Bare Metal Solution non sono conformi alle ITAR.
VM di Google Cloud VMware Engine	È tua responsabilità non utilizzare le VM di Google Cloud VMware Engine, Le VM di Google Cloud VMware Engine non sono conformi alle normative ITAR.
Creazione di un'istanza VM C3	Questa funzionalità è disattivata.
Utilizzo di dischi permanenti o dei relativi snapshot senza CMEK	Non puoi utilizzare dischi permanenti o i relativi snapshot a meno che non siano è stato criptato tramite CMEK.
Creazione di VM nidificate o VM che utilizzano la virtualizzazione nidificata	Non puoi creare VM nidificate o VM che utilizzano la virtualizzazione nidificata. Questa funzionalità è disattivata dal vincolo delle norme dell'`compute.disableNestedVirtualization`organizzazione descritto nella sezione precedente.
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata Vincolo del criterio dell'organizzazione `compute.disableGlobalLoadBalancing` descritti nella sezione precedente.
Routing delle richieste a un bilanciatore del carico HTTPS esterno a più regioni	Non puoi instradare le richieste a un bilanciatore del carico HTTPS esterno a più regioni. Questa funzionalità è disattivata dal vincolo delle norme dell'`compute.restrictLoadBalancerCreationForTypes` organizzazione descritto nella sezione precedente.
Condivisione di un disco permanente SSD in modalità multi-writer	Non puoi condividere un disco permanente SSD in modalità multi-writer tra di istanze VM di Compute Engine.
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono spazio di archiviazione su disco permanente e lo spazio di archiviazione su disco permanente utilizzato per archiviare lo stato della VM sospesa non può essere criptato utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione `gcp.restrictNonCmekServices` nella sezione precedente per comprendere le implicazioni della residenza dei dati derivanti dall'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptate utilizzando CMEK. Consulta le `gcp.restrictNonCmekServices` organizzazione il vincolo del criterio nella sezione precedente per comprendere la residenza dei dati implicazioni derivanti dall'attivazione di questa funzionalità.
Ambiente guest	È possibile utilizzare script, daemon e programmi binari inclusi con l'ambiente guest per accedere ai dati at-rest e in uso non criptati. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su i contenuti, il codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a soddisfare la residenza dei dati tramite controlli e procedure di sicurezza interna. Tuttavia, per gli utenti che vogliono un controllo aggiuntivo, puoi anche organizzare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo delle `compute.trustedImageProjects` norme dell'organizzazione. Consulta Creazione di un'immagine personalizzata per ulteriori informazioni.
`instances.getSerialPortOutput()`	Questa API è disattivata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Cambia l'organizzazione `compute.disableInstanceDataAccessApis` il valore del vincolo del criterio su False per abilitare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva.
`instances.getScreenshot()`	Questa API è disabilitata. non potrai acquisire uno screenshot l'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione `compute.disableInstanceDataAccessApis` in False per attivare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva.

Funzionalità di Cloud DNS

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud DNS non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità di Cloud Interconnect

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud Interconnect non sono disponibili in nella console Google Cloud. Utilizza la API o Google Cloud CLI.
VPN ad alta disponibilità	Devi abilitare la funzionalità VPN ad alta disponibilità quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati in questa sezione.

Funzionalità di Cloud Load Balancing

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Cloud Load Balancing non sono disponibili in nella console Google Cloud. Utilizza l'API o Google Cloud CLI.
Bilanciatori del carico a livello di regione	Devi utilizzare solo bilanciatori del carico regionali con ITAR. Per ulteriori informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine: Bilanciatore del carico delle applicazioni interno Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico di rete passthrough interno Bilanciatore del carico di rete passthrough esterno

Funzionalità

Descrizione

Console Google Cloud

Le funzionalità di Cloud Load Balancing non sono disponibili in nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Bilanciatori del carico a livello di regione

Devi utilizzare solo bilanciatori del carico regionali con ITAR. Per ulteriori informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine:

Funzionalità di Cloud Logging

Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi: completa i passaggi nella Abilita CMEK per un'organizzazione nella documentazione di Cloud Logging.

Funzionalità	Descrizione
Destinazioni dei log	Non inserire informazioni sensibili (dati dei clienti) nei filtri del sink. Lavabo e i filtri vengono trattati come dati di servizio.
Voci di log di monitoraggio in tempo reale	Non creare filtri che contengono dati dei clienti. Una sessione di tailing in tempo reale include un filtro che viene archiviato come configurazione. I log di coda non memorizzano alcun dato voce di log, ma possono eseguire query per la trasmissione dei dati tra regioni.
Avvisi basati su log	Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud.
URL abbreviati per le query di Esplora log	Questa funzionalità è disattivata. Non puoi creare URL abbreviati per le query nella console Google Cloud.
Salvataggio delle query in Esplora log	Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud.
Analisi dei log con BigQuery	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Analisi dei log.

Funzionalità di Cloud Monitoring

Funzionalità	Descrizione
Monitor sintetico	Questa funzionalità è disattivata.
Controllo di uptime	Questa funzionalità è disattivata.
Widget del riquadro dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un riquadro di log a un Fitbit.com.
Widget del riquadro di segnalazione degli errori in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere una segnalazione di errori in una dashboard.
Filtra in `EventAnnotation` per le dashboard	Questa funzionalità è disattivata. Il filtro di `EventAnnotation` non può essere impostato in una dashboard.

Funzionalità di Network Connectivity Center

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI .

Funzionalità di Cloud NAT

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità Cloud NAT non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI.

Funzionalità di Cloud Router

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità del router Cloud non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità di Cloud SQL

Funzionalità	Descrizione
Esportazione in formato CSV	L'esportazione in formato CSV non è conforme alle norme ITAR e non deve essere utilizzata. Questa funzionalità è disattivata nella console Google Cloud.
`executeSql`	Il metodo `executeSql` dell'API Cloud SQL non è conformi alle normative ITAR e non devono essere utilizzate.

Funzionalità di Cloud Storage

Funzionalità	Descrizione
Console Google Cloud	Per mantenere la conformità alle ITAR, è tua responsabilità utilizzare la console Google Cloud giurisdizionale. La console giurisdizionale impedisce il caricamento il download di oggetti Cloud Storage. Per caricare e scaricare Per gli oggetti Cloud Storage, consulta la riga Endpoint API conformi di seguito.
Endpoint API conformi	Devi utilizzare uno degli endpoint regionali conformi a ITAR con Cloud Storage. Per ulteriori informazioni, consulta Endpoint regionali di Cloud Storage e Località di Cloud Storage.
Limitazioni	Devi utilizzare gli endpoint a livello di regione di Cloud Storage conforme alle normative ITAR. Per ulteriori informazioni sugli endpoint regionali di Cloud Storage per ITAR, consulta Endpoint regionali di Cloud Storage. Le seguenti operazioni non sono supportate dagli endpoint a livello di regione. Tuttavia, queste operazioni non comportano il trasferimento dei dati dei clienti come definiti nei Termini di servizio per la residenza dei dati. Pertanto, puoi utilizzare gli endpoint globali per queste operazioni, se necessario, senza violare la conformità alle ITAR: Operazioni con le chiavi HMAC Operazioni dell'account di servizio IAM Notifiche Pub/Sub Notifiche di modifica degli oggetti Se un utente tenta di eseguire un'operazione non supportata utilizzando endpoint regionali, Cloud Storage restituirà un codice di errore HTTP 400 con il messaggio di errore: `This endpoint does not implement this operation. Please use the global endpoint.`
Copia e riscrittura degli oggetti	Le operazioni di copia e riscrittura per gli oggetti sono supportate dagli endpoint a livello di regione se sia i bucket di origine sia quelli di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non puoi utilizzare endpoint a livello di regione per copiare o riscrivere un oggetto da un bucket all'altro se i bucket esistono in località diverse. it è possibile utilizzare endpoint globali per copiare o riscrivere in più località, ma non lo consigliamo perché potrebbe violare la conformità ITAR.

Funzionalità di GKE

Funzionalità	Descrizione
Limitazioni delle risorse del cluster	Assicurati che la configurazione del cluster non utilizzi risorse per che non sono supportati dal programma di conformità ITAR. Ad esempio: la seguente configurazione non è valida perché richiede l'abilitazione o utilizzando un servizio non supportato: set `binaryAuthorization.evaluationMode` to `enabled`

Funzionalità VPC

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità di networking VPC non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI.

Funzionalità di Cloud VPN

Funzionalità	Descrizione
Console Google Cloud	Le funzionalità Cloud VPN non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI.
Crittografia	Devi utilizzare solo crittografie conformi a FIPS 140-2 durante la creazione certificati e configurazione della sicurezza IP. Consulta questa pagina per ulteriori informazioni sulle crittografie supportate in Cloud VPN. Per guidance su come selezionare un'algoritmo di crittografia conforme agli standard FIPS 140-2, consulta questa pagina. Al momento non è possibile modificare una crittografia esistente in Google Cloud. Assicurati di configurare la crittografia sull'appliance di terze parti utilizzata con Cloud VPN.
Endpoint VPN	Devi utilizzare solo endpoint Cloud VPN che si trovano negli Stati Uniti. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione degli Stati Uniti.

Note a piè di pagina

2. BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova cartella Carichi di lavoro garantiti a causa di una procedura di configurazione interna. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se processo completato. Per abilitare BigQuery, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti.
Vai ad Assured Workloads
Seleziona la nuova cartella Assured Workloads dall'elenco.
Nella pagina Dettagli cartella della sezione Servizi consentiti, fai clic su Rivedi gli aggiornamenti disponibili.
Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al Limitazione dell'utilizzo delle risorse criterio dell'organizzazione per la cartella. Se i servizi BigQuery sono elencati, fai clic su Consenti ai servizi di aggiungerli.

Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud.

Al termine del processo di abilitazione, puoi utilizzare BigQuery Cartella Assured Workloads.

Gemini in BigQuery non è supportato da Assured Workloads.

Passaggi successivi

Scopri di più sul pacchetto di controlli ITAR.
Scopri quali prodotti sono supportati per ogni pacchetto di controlli.