Restrições e limitações para a ITAR

Esta página descreve as restrições, limitações e outras opções de configuração ao usar o pacote de controle ITAR.

Visão geral

O pacote de controle do International Traffic in Arms Regulations (ITAR) ativa recursos de residência e controle de acesso a dados para serviços do Google Cloud em escopo. Alguns recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com a ITAR. A maioria restrições e limitações são aplicadas ao criar Pasta do Assured Workloads para ITAR, mas algumas delas podem ser alteradas mais tarde modificando políticas da organização. Além disso, algumas restrições e limitações exigem a responsabilidade do usuário para a adesão.

É importante entender como essas restrições modificam o comportamento de serviço do Google Cloud ou afetar o acesso ou residência de dados. Por exemplo, algumas recursos ou capacidades podem ser automaticamente desativados para garantir que os dados restrições de acesso e residência de dados são mantidas. Além disso, se uma configuração de política da organização for alterada, ela poderá ter a consequência não intencional de copiar dados de uma região para outra.

Pré-requisitos

Para manter a conformidade como usuário do pacote de controle do ITAR, verifique se você cumpre e adere aos seguintes pré-requisitos:

  • Crie uma pasta ITAR usando o Assured Workloads e implante as cargas de trabalho ITAR somente nessa pasta.
  • Só ative e use serviços ITAR no escopo para cargas de trabalho ITAR.
  • Não mude os valores padrão de restrição da política da organização, a menos que você entenda e aceite os riscos de residência de dados que podem ocorrer.
  • Ao se conectar aos endpoints de serviço do Google Cloud, use os endpoints regionais dos serviços que os oferecem. Além disso:
    • Ao se conectar a endpoints de serviço do Google Cloud de VMs que não são do Google Cloud, como VMs locais ou de outros provedores de nuvem, é necessário usar uma das opções de acesso particular disponíveis que aceitam conexões com VMs que não são do Google Cloud para rotear o tráfego que não é do Google Cloud para o Google Cloud.
    • Ao se conectar a endpoints de serviço do Google Cloud em VMs do Google Cloud, é possível usar qualquer uma das opções de acesso particular disponíveis.
    • Ao se conectar a VMs do Google Cloud que foram expostas com IP externo endereços IP, consulte Acesse APIs de VMs com IP externo externos.
  • Para todos os serviços usados em uma pasta ITAR, não armazene dados técnicos nos seguintes tipos de informações de configuração de segurança ou definidas pelo usuário:
    • Mensagens de erro
    • Saída do console
    • Dados do atributo
    • Dados de configuração do serviço
    • Cabeçalhos de pacotes de rede
    • Identificadores de recursos
    • Rótulos de dados
  • Use apenas os endpoints regionais ou de localização especificados para serviços que que oferecem. Consulte Serviços do ITAR no escopo para mais informações.
  • Considere adotar as práticas recomendadas gerais de segurança fornecidas na Central de práticas recomendadas de segurança para o Google Cloud.

Serviços em escopo

A menos que indicado de outra forma, os usuários podem acessar todos os serviços no escopo pelo console do Google Cloud.

Os seguintes serviços são compatíveis com o ITAR:

Produto compatível Endpoints de API em conformidade com a ITAR Restrições ou limitações
Artifact Registry Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • artifactregistry.googleapis.com
Nenhum
BigQuery Endpoints regionais da API:
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquery.us-east7.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigquerymigration.us-east7.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigqueryreservation.us-east7.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerystorage.us-east7.rep.googleapis.com

Endpoints de API de localização não são compatíveis.
Não há suporte para endpoints globais da API.
Recursos afetados
Certificate Authority Service Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • privateca.googleapis.com
Nenhum
Gerenciador de chaves externas do Cloud (Cloud EKM) Não há suporte para endpoints regionais da API.

Endpoints da API Location:
  • us-west1-cloudkms.googleapis.com
  • us-east4-cloudkms.googleapis.com

Não há suporte para endpoints globais da API.
Nenhum
Compute Engine Os endpoints de API regionais não são compatíveis.
Não há suporte para endpoints de API de localização.

Endpoints da API global:
  • compute.googleapis.com
Recursos afetados e restrições da política da organização
Cloud DNS Os endpoints de API regionais não são compatíveis.
Os endpoints da API Location não são compatíveis.

Endpoints da API global:
  • dns.googleapis.com
Recursos afetados
Dataflow Não há suporte para endpoints regionais da API.
Os endpoints da API Location não são compatíveis.

Endpoints da API global:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
Nenhum
Dataproc Os endpoints de API regionais não são compatíveis.
Os endpoints da API Location não são compatíveis.

Endpoints da API global:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
Nenhum
Filestore Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • file.googleapis.com
Nenhum
Cloud Storage Endpoints de API regionais:
  • storage.us-central1.rep.googleapis.com
  • storage.us-central2.rep.googleapis.com
  • storage.us-east1.rep.googleapis.com
  • storage.us-east4.rep.googleapis.com
  • storage.us-east5.rep.googleapis.com
  • storage.us-east7.rep.googleapis.com
  • storage.us-south1.rep.googleapis.com
  • storage.us-west1.rep.googleapis.com
  • storage.us-west2.rep.googleapis.com
  • storage.us-west3.rep.googleapis.com
  • storage.us-west4.rep.googleapis.com

Os endpoints da API Location não são compatíveis.
Não há suporte para endpoints globais da API.
Recursos afetados
Google Kubernetes Engine Não há suporte para endpoints regionais da API.
Os endpoints da API Location não são compatíveis.

Endpoint de API global:
  • container.googleapis.com
  • containersecurity.googleapis.com
Recursos afetados e as restrições das políticas da organização
Cloud HSM Os endpoints de API regionais não são compatíveis.
Os endpoints da API Location não são compatíveis.

Endpoints da API global:
  • cloudkms.googleapis.com
Nenhum
Gerenciamento de identidade e acesso (IAM) Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • iam.googleapis.com
Nenhum
Identity-Aware Proxy (IAP) Os endpoints de API regionais não são compatíveis.
Endpoints de API de localização não são compatíveis.

Endpoints da API global:
  • iap.googleapis.com
Nenhum
Cloud Interconnect Os endpoints de API regionais não são compatíveis.
Os endpoints da API Location não são compatíveis.

Endpoint de API global:
  • networkconnectivity.googleapis.com
Recursos afetados
Cloud Key Management Service (Cloud KMS) Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoints da API global:
  • cloudkms.googleapis.com
Nenhum
Cloud Load Balancing Os endpoints de API regionais não são compatíveis.
Não há suporte para endpoints de API de localização.

Endpoints da API global:
  • compute.googleapis.com
Recursos afetados
Cloud Logging Endpoints regionais da API:
  • logging.us-west1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com

Os endpoints da API Location não são compatíveis.
Os endpoints de API globais não são compatíveis.
Recursos afetados
Cloud Monitoring Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • monitoring.googleapis.com
Recursos afetados
Cloud NAT Não há suporte para endpoints regionais da API.
Os endpoints da API Location não são compatíveis.

Endpoint de API global:
  • networkconnectivity.googleapis.com
Recursos afetados
Network Connectivity Center Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • networkconnectivity.googleapis.com
Recursos afetados
Persistent Disk Os endpoints de API regionais não são compatíveis.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • compute.googleapis.com
Nenhum
Pub/Sub Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoints da API global:
  • pubsub.googleapis.com
Nenhum
Cloud Router Os endpoints de API regionais não são compatíveis.
Não há suporte para endpoints de API de localização.

Endpoints da API global:
  • networkconnectivity.googleapis.com
Recursos afetados
Cloud SQL Não há suporte para endpoints regionais da API.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • sqladmin.googleapis.com
Recursos afetados
Nuvem privada virtual (VPC) Não há suporte para endpoints regionais da API.
Os endpoints da API Location não são compatíveis.

Endpoint de API global:
  • compute.googleapis.com
Recursos afetados
VPC Service Controls Os endpoints de API regionais não são compatíveis.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • accesscontextmanager.googleapis.com
Nenhum
Cloud VPN Os endpoints de API regionais não são compatíveis.
Não há suporte para endpoints de API de localização.

Endpoint de API global:
  • compute.googleapis.com
Recursos afetados

Políticas da organização

Esta seção descreve como cada serviço é afetado pelos valores de restrição da política da organização padrão quando pastas ou projetos são criados usando o ITAR. Outra opção restrições aplicáveis, mesmo que não definidas por padrão, podem fornecer de "defesa em profundidade" adicional para proteger ainda mais os recursos recursos do Google Cloud.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.

Restrição da política da organização Descrição
gcp.resourceLocations Defina como in:us-locations como o item da lista allowedValues.

Esse valor restringe a criação de novos recursos somente ao grupo de valores dos EUA. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora dos EUA. Consulte a documentação Grupos de valores de política da organização para mais informações.

Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite dos EUA. Por exemplo: substituir o O grupo de valores in:us-locations com o Grupo de valores in:northamerica-locations.
gcp.restrictNonCmekServices Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Alguns recursos podem ser afetados para cada um dos serviços listados acima. Consulte a seção Recursos afetados abaixo.

Cada serviço listado exige Chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK garante que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google.

Alterar esse valor removendo um ou mais serviços em escopo da listagem pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
gcp.restrictCmekCryptoKeyProjects Defina como todos os recursos na pasta ITAR que você criou.

Limita o escopo de pastas ou projetos aprovados que podem fornecer Chaves KMS para criptografar dados em repouso com CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo.
gcp.restrictServiceUsage Defina para permitir todos os serviços no escopo.

Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.

Restrições da política da organização do Compute Engine

Restrição da política da organização Descrição
compute.disableGlobalLoadBalancing Definido como Verdadeiro.

Desativa a criação de produtos de balanceamento de carga globais.

Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido.
compute.disableGlobalSelfManagedSslCertificate Definido como Verdadeiro.

Desativa a criação de certificados SSL globais e autogerenciados.

Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. recomendamos manter o valor definido.
compute.disableInstanceDataAccessApis Definido como Verdadeiro.

Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot().

A ativação dessa política da organização impede que você gere credenciais em VMs do Windows Server.

Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte:
  1. Ative o SSH para VMs do Windows.
  2. Execute o comando a seguir para mudar a senha da VM:
    gcloud compute ssh
    VM_NAME --command "net user USERNAME PASSWORD"
    Substitua o seguinte:
    • VM_NAME: o nome da VM para a qual você está definindo a senha.
    • USERNAME: o nome do usuário que você está configurando a senha.
    • PASSWORD: a nova senha.
compute.disableNestedVirtualization Definido como Verdadeiro.

Desativa a virtualização aninhada acelerada por hardware de todas as VMs do Compute Engine na pasta ITAR.

Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido.
compute.enableComplianceMemoryProtection Definido como Verdadeiro.

Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura.

Alterar esse valor pode afetar a residência de dados na carga de trabalho. É recomendável manter o valor definido.
compute.restrictNonConfidentialComputing

(Opcional) O valor não foi definido. Defina esse valor para fornecer mais defesa em profundidade. Consulte a documentação sobre VMs confidenciais para mais informações.
compute.restrictLoadBalancerCreationForTypes

Definido para permitir todos os valores, exceto GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Consulte Escolher um balanceador de carga para mais informações.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização Descrição
container.restrictNoncompliantDiagnosticDataAccess Definido como Verdadeiro.

Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho.

Mudar esse valor pode afetar a soberania de dados na carga de trabalho. recomendamos manter o valor definido.

Recursos afetados

Esta seção lista como os recursos ou recursos de cada serviço são afetados pelo ITAR, incluindo os requisitos do usuário ao usar um recurso.

Recursos do BigQuery

Recurso Descrição
Como ativar o BigQuery em uma nova pasta O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova pasta de cargas de trabalho garantidas devido a um processo de configuração interno. Esse processo normalmente termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:
  1. No console do Google Cloud, acesse a página Assured Workloads.

    Acesse o Assured Workloads

  2. Selecione a nova pasta do Assured Workloads na lista.
  3. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Analise as atualizações disponíveis.
  4. No painel Serviços permitidos, reveja os serviços a serem adicionados ao Restrição de uso de recursos política da organização para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los.

    Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se o serviços não estiverem listados dentro de 12 horas após a criação da pasta, entre em Cloud Customer Care.

Depois que o processo de ativação for concluído, você poderá usar o BigQuery na sua pasta do Assured Workloads.

O Gemini no BigQuery não é compatível com as Assured Workloads.

Recursos não suportados Os seguintes recursos do BigQuery não são compatíveis com ITAR conformidade e não devem ser usados na CLI do BigQuery. É o responsabilidade do cliente de não usá-los no BigQuery para ITAR do Google Cloud.
Integrações sem suporte As seguintes integrações do BigQuery não são compatíveis com a conformidade com o ITAR. É responsabilidade do cliente não usá-los com o BigQuery para cargas de trabalho do ITAR.
  • Os métodos CreateTag, SearchCatalog, Bulk tagging e Business Glossary da API Data Catalog podem processar e armazenar dados técnicos do ITAR de uma maneira que não é compatível com o ITAR. É responsabilidade do cliente não usar essas métodos para cargas de trabalho ITAR.
APIs BigQuery compatíveis As seguintes APIs do BigQuery são compatíveis com a ITAR:


Regiões O BigQuery é compatível com ITAR em todos os BigQuery US regiões diferentes, exceto a multirregião US. Não é possível garantir a conformidade com a ITAR se um conjunto de dados for criado em uma região multirregional dos EUA, fora dos EUA ou fora dos EUA multirregional. É responsabilidade do cliente especificar região em conformidade com a ITAR ao criar conjuntos de dados do BigQuery.

Se uma solicitação de lista de dados de tabela for enviada usando uma região dos EUA, mas o conjunto de dados tiver sido criado em outra região dos EUA, o BigQuery não poderá inferir qual região o cliente pretendia, e a operação vai falhar com uma mensagem de erro "conjunto de dados não encontrado".
Console do Google Cloud A interface do usuário do BigQuery no console do Google Cloud em compliance com a ITAR.

CLI do BigQuery A CLI do BigQuery é compatível com ITAR.

SDK do Google Cloud Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter os dados garantias de regionalização para dados técnicos da ITAR. Para verificar sua conta atual Versão do SDK Google Cloud, executar gcloud --version e gcloud components update para atualizar para a versão mais recente.
Controles do administrador O BigQuery desativa as APIs que não estão em compliance, mas os administradores do cliente com permissões suficientes para criar uma pasta do Assured Workloads podem ativar uma API que não está em compliance. Se isso acontecer, o cliente vai receber uma notificação de possível não conformidade pelo painel de monitoramento do Assured Workloads.
Carregando dados Os conectores do serviço de transferência de dados do BigQuery para apps do Google Software as a Service (SaaS), provedores de armazenamento em nuvem externos e data warehouses não são compatíveis com o ITAR. É responsabilidade do cliente não usar os conectores do serviço de transferência de dados do BigQuery para cargas de trabalho do ITAR.
Transferências de terceiros O BigQuery não verifica a conformidade com o ITAR para transferências de terceiros para o serviço de transferência de dados do BigQuery. É responsabilidade do cliente verificar a conformidade com o ITAR ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML sem compliance Os modelos do BQML treinados externamente não são compatíveis com o ITAR.
Jobs de consulta Os jobs de consulta com dados técnicos do ITAR só podem ser criados em projetos do ITAR.
Consultas em conjuntos de dados ITAR de projetos não ITAR O BigQuery não impede que os conjuntos de dados ITAR sejam consultados projetos não ITAR. Os clientes devem garantir que qualquer consulta que tenha um ou uma mesclagem de dados técnicos da ITAR, devem ser colocadas em uma pasta em conformidade com a ITAR. Os clientes podem especificar totalmente qualificado nome da tabela para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery.
Cloud Logging O BigQuery usa o Cloud Logging para alguns dados de registro dos clientes. Os clientes precisam desativar os buckets de registro _default ou restringir os buckets _default a regiões dos EUA para manter a conformidade com a ITAR usando o seguinte comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Consulte esta página para mais informações.

Recursos do Compute Engine

Seleção de Descrição
Console do Google Cloud Os seguintes recursos do Compute Engine não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI:

  1. Verificações de integridade
  2. Grupos de endpoints de rede
VMs da solução Bare Metal É sua responsabilidade não usar VMs da Solução Bare Metal (VMs o2), porque elas não são compatíveis com o ITAR.

VMs do Google Cloud VMware Engine Você é responsável por não usar VMs do Google Cloud VMware Engine, porque As VMs do Google Cloud VMware Engine não estão em conformidade com o ITAR.

Como criar uma instância de VM C3 Esse recurso está desativado.

Usar discos permanentes ou os snapshots deles sem CMEKs Não é possível usar discos permanentes ou os snapshots deles, a menos que eles tenham sido criptografados usando CMEK.

Como criar VMs aninhadas ou que usam virtualização aninhada Não é possível criar VMs aninhadas ou que usam a virtualização aninhada.

Este recurso é desativado pelo compute.disableNestedVirtualization política da organização específica descrita na seção acima.
Como adicionar um grupo de instâncias a um balanceador de carga global Não é possível adicionar um grupo de instâncias a um balanceador de carga global.

Esse recurso é desativado pela restrição de política da organização compute.disableGlobalLoadBalancing descrita na seção acima.
Como rotear solicitações para um balanceador de carga HTTPS externo multirregional Não é possível rotear solicitações para um carregamento HTTPS externo multirregional de carga.

Esse recurso é desativado pela restrição de política de organização compute.restrictLoadBalancerCreationForTypes descrita na seção acima.
Como compartilhar um disco permanente SSD no modo de vários gravadores Não é possível compartilhar um disco permanente SSD no modo de vários gravadores entre do que para instâncias de VM padrão.
Como suspender e retomar uma instância de VM Este recurso está desativado.

Suspender e retomar uma instância de VM requer armazenamento em disco permanente. e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode criptografados com CMEK. Consulte a gcp.restrictNonCmekServices organização de política na seção acima para entender a residência dos dados e as implicações da ativação desse recurso.
SSDs locais Este recurso está desativado.

Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEKs. Consulte a gcp.restrictNonCmekServices organização de política na seção acima para entender a residência dos dados e as implicações da ativação desse recurso.
Ambiente para convidado Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para ver informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais.

Esses componentes ajudam a atender à residência de dados com processos e controles de segurança internos. No entanto, para usuários que querem mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização compute.trustedImageProjects.

Consulte a Como criar uma imagem personalizada para mais informações.
instances.getSerialPortOutput() Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API.

Mude o valor da restrição de política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível ativar e usar a porta serial interativa.
instances.getScreenshot() Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API.

Mude o valor da restrição de política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Você também pode ativar e usar a porta serial interativa;

Recursos do Cloud DNS

Recurso Descrição
Console do Google Cloud Os recursos do Cloud DNS não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud Interconnect

Recurso Descrição
Console do Google Cloud Os recursos do Cloud Interconnect não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.
VPN de alta disponibilidade (HA) É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, você precisa obedecer aos requisitos de criptografia e regionalização listados nesta seção.

Recursos do Cloud Load Balancing

Recurso Descrição
Console do Google Cloud Os recursos do Cloud Load Balancing não estão disponíveis nas console do Google Cloud. Use a API ou a Google Cloud CLI.
Balanceadores de carga regionais Use apenas balanceadores de carga regionais com o ITAR. Consulte o seguinte: páginas para mais informações sobre como configurar balanceadores de carga regionais:

Recursos do Cloud Logging

Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK), é preciso conclua as etapas Ativar a CMEK para uma organização na documentação do Cloud Logging.

Recurso Descrição
Coletores de registros Não coloque informações sensíveis (dados do cliente) em filtros de sumidouro. Os filtros de sumidouro são tratados como dados de serviço.
Entradas de registro de acompanhamento ao vivo Não crie filtros com dados de clientes.

Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões.
Alertas com base em registros Este recurso está desativado.

Não é possível criar alertas baseados em registros no console do Google Cloud.
URLs encurtados para consultas do Buscador de registros Este recurso está desativado.

Não é possível criar URLs encurtados de consultas no console do Google Cloud.
Salvar consultas no Buscador de registros Este recurso está desativado.

Não é possível salvar consultas no console do Google Cloud.
Registrar análises usando o BigQuery Este recurso está desativado.

Não é possível usar o recurso de análise de registros.

Recursos do Cloud Monitoring

Recurso Descrição
Monitor sintético Este recurso está desativado.
Verificação de tempo de atividade Este recurso está desativado.
Widgets do painel de registros em Painéis Este recurso está desativado.

Não é possível adicionar um painel de registro a um mais avançado.
Widgets do painel de relatórios de erros em Painéis Este recurso está desativado.

Não é possível adicionar um relatório de erros em um painel.
Filtre em EventAnnotation para Painéis Esse recurso está desativado.

O filtro de EventAnnotation não pode ser definido em um painel.

Recursos do Network Connectivity Center

Recurso Descrição
Console do Google Cloud Os recursos do Network Connectivity Center não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud NAT

Recurso Descrição
Console do Google Cloud Os recursos do Cloud NAT não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud Router

Recurso Descrição
Console do Google Cloud Os recursos do Cloud Router não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI.

Recursos do Cloud SQL

Recurso Descrição
Exportar para CSV Exportando para CSV não está em conformidade com a ITAR e não deve ser usado. Esse recurso está desativado no console do Google Cloud.
executeSql O método executeSql da API Cloud SQL não está em conformidade com a ITAR e não devem ser usadas.

Recursos do Cloud Storage

Recurso Descrição
Console do Google Cloud Para manter a conformidade com o ITAR, é sua responsabilidade usar o console jurisdicional do Google Cloud. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints da API em conformidade abaixo.
Endpoints de API compatíveis É necessário usar um dos endpoints regionais compatíveis com o ITAR com o Cloud Storage. Consulte Endpoints regionais do Cloud Storage e Locais do Cloud Storage para mais informações.
Restrições Use os endpoints regionais do Cloud Storage para em conformidade com a ITAR. Para mais informações sobre os Cloud Storage regionais para a ITAR, consulte Endpoints regionais do Cloud Storage.

As operações a seguir não são compatíveis com endpoints regionais. No entanto, essas operações não transportam dados de clientes conforme definido nos dados termos de serviço de residência. Portanto, é possível usar endpoints globais essas operações conforme necessário, sem violar a conformidade com a ITAR:
Copiar e reescrever objetos As operações de cópia e regravação de objetos são compatíveis com endpoints regionais se os buckets de origem e destino estiverem localizados na região especificada no endpoint. No entanto, não é possível usar endpoints regionais para copiar ou regravar um objeto de um bucket para outro se eles existirem em locais diferentes. É possível usar endpoints globais para copiar ou reescrever em vários locais, mas não recomendamos, porque isso pode violar a conformidade com o ITAR.

Recursos do GKE

Recurso Descrição
Restrições de recursos do cluster Verifique se a configuração do cluster não usa recursos para serviços que não têm suporte no programa de compliance do ITAR. Por exemplo, a configuração a seguir é inválida porque exige a ativação ou o uso de um serviço sem suporte:

set `binaryAuthorization.evaluationMode` to `enabled`

Recursos da VPC

Recurso Descrição
Console do Google Cloud Os recursos de rede VPC não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud VPN

Recurso Descrição
Console do Google Cloud Os recursos da VPN do Cloud não estão disponíveis no console do Google Cloud. Usar a API ou Google Cloud CLI.
Encryption Use apenas criptografias compatíveis com FIPS 140-2 ao criar certificados e configurar a segurança do IP. Consulte esta página para mais informações sobre as criptografias aceitas no Cloud VPN. Para orientações sobre como selecionar uma criptografia que esteja em conformidade com os padrões FIPS 140-2, consulte esta página.

No momento, não é possível mudar uma criptografia no Google Cloud. Configure a criptografia no dispositivo de terceiros que é usado com o Cloud VPN.
Endpoints de VPN Use somente endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway de VPN está configurado para uso apenas na região dos EUA.

Notas de rodapé

2: O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova pasta de cargas de trabalho garantidas devido a um processo de configuração interno. Esse processo normalmente termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:

  1. No console do Google Cloud, acesse a página Assured Workloads.

    Acessar o Assured Workloads

  2. Selecione sua nova pasta do Assured Workloads na lista.
  3. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Analise as atualizações disponíveis.
  4. No painel Serviços permitidos, analise os serviços que serão adicionados à política da organização de restrição de uso de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los.

    Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se o serviços não estiverem listados dentro de 12 horas após a criação da pasta, entre em Cloud Customer Care.

Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta Assured Workloads.

O Gemini no BigQuery não é compatível com as Assured Workloads.

A seguir