Diese Seite wurde von der Cloud Translation API übersetzt.

Einschränkungen für ITAR

Auf dieser Seite werden die Einschränkungen und Einschränkungen sowie weitere wenn Sie das ITAR-Kontrollpaket verwenden.

Übersicht

Das Kontrollpaket für die Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR) ermöglicht die Datenzugriffssteuerung und Funktionen für den Datenstandort für Google Cloud-Dienste innerhalb des Geltungsbereichs. Einige dieser Dienste Funktionen Google hinsichtlich der Kompatibilität mit ITAR eingeschränkt oder eingeschränkt ist. Die meisten dieser Einschränkungen werden angewendet, wenn ein neuer Assured Workloads-Ordner für ITAR erstellt wird. Einige davon können jedoch später durch Änderungen der Organisationsrichtlinien geändert werden. Außerdem sind Nutzer für die Einhaltung einiger Einschränkungen und Beschränkungen verantwortlich.

Es ist wichtig zu verstehen, wie diese Einschränkungen Google Cloud-Dienst erhalten oder den Datenzugriff beeinträchtigen, Datenstandort. Einige Features oder Funktionen können beispielsweise automatisch deaktiviert werden, um die Einschränkungen des Datenzugriffs und den Datenstandort beizubehalten. Wenn die Einstellung einer Organisationsrichtlinie geändert wird, kann das außerdem unbeabsichtigte Auswirkungen haben, wenn Daten von einer Region in eine andere kopiert werden.

Vorbereitung

Damit Sie als Nutzer des ITAR-Kontrollpakets weiterhin gesetzeskonform bleiben, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:

Erstellen Sie mit Assured Workloads einen ITAR-Ordner und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
Aktivieren und verwenden Sie nur ITAR-Dienste, die den Vorgaben von ITAR entsprechen, für ITAR-Arbeitslasten.
Ändern Sie die Standardwerte der Einschränkungen der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenstandort kennen und bereit sind, sie in Kauf zu nehmen.
Beim Herstellen einer Verbindung zu Google Cloud-Dienstendpunkten müssen Sie regionale und zwar für Dienste, die diese anbieten. Außerdem gilt:
- Beim Herstellen einer Verbindung zu Google Cloud-Dienstendpunkten von einem Drittanbieter als Google Cloud VMs – z. B. lokal oder von anderen Cloud-Anbietern VMs – Sie muss eine der verfügbaren Optionen für den privaten Zugriff die Verbindungen zu Nicht-Google Cloud-VMs unterstützen, um nicht von Google Cloud stammenden Traffic zu Google Cloud.
- Wenn Sie von Google Cloud-VMs eine Verbindung zu Google Cloud-Dienstendpunkten herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
- Informationen zum Herstellen einer Verbindung zu Google Cloud-VMs, die mit externen IP-Adressen freigegeben wurden, finden Sie unter Auf APIs über VMs mit externen IP-Adressen zugreifen.
Speichern Sie für alle Dienste, die in einem ITAR-Ordner verwendet werden, keine technischen Daten im folgenden benutzerdefinierten Informationstypen oder Sicherheitskonfigurationstypen verwenden:
- Fehlermeldungen
- Console-Ausgabe
- Attributdaten
- Dienstkonfigurationsdaten
- Header von Netzwerkpaketen
- Ressourcen-IDs
- Datenlabels
Verwenden Sie nur die angegebenen regionalen oder geografischen Endpunkte für Dienste, die wie Sie sie anbieten können. Weitere Informationen finden Sie unter aufgenommene ITAR-Dienste.
Erwägen Sie, die allgemeinen Best Practices für die Sicherheit in den Best Practices für die Sicherheit in Google Cloud

Dienste innerhalb des Geltungsbereichs

Sofern nicht anders angegeben, können Nutzer über in der Google Cloud Console.

Die folgenden Dienste sind mit ITAR kompatibel:

Unterstütztes Produkt	ITAR-kompatible API-Endpunkte	Einschränkungen
Artifact Registry	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> artifactregistry.googleapis.com	Keine
BigQuery	Regionale API-Endpunkte: bigquery.us-west1.rep.googleapis.com bigquery.us-east4.rep.googleapis.com bigquerymigration.us-west1.rep.googleapis.com bigquerymigration.us-east4.rep.googleapis.com bigqueryreservation.us-west1.rep.googleapis.com bigqueryreservation.us-east4.rep.googleapis.com bigquerystorage.us-west1.rep.googleapis.com bigquerystorage.us-east4.rep.googleapis.com bigquerydatatransfer.us-west1.rep.googleapis.com bigquerydatatransfer.us-east4.rep.googleapis.com Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt.	Betroffene Funktionen
Certificate Authority Service	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: privateca.googleapis.com	Keine
Cloud External Key Manager (Cloud EKM)	Regionale API-Endpunkte werden nicht unterstützt. Standort-API-Endpunkte: us-west1-cloudkms.googleapis.com us-east4-cloudkms.googleapis.com Globale API-Endpunkte werden nicht unterstützt.	Keine
Compute Engine	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> compute.googleapis.com	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud DNS	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> dns.googleapis.com	Betroffene Funktionen
Dataflow	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> dataflow.googleapis.com datapipelines.googleapis.com	Keine
Dataproc	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> dataproc-control.googleapis.com dataproc.googleapis.com	Keine
Filestore	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> file.googleapis.com	Keine
Cloud Storage	Regionale API-Endpunkte: storage.us-central1.rep.googleapis.com storage.us-central2.rep.googleapis.com storage.us-east1.rep.googleapis.com storage.us-east4.rep.googleapis.com storage.us-east5.rep.googleapis.com storage.us-east7.rep.googleapis.com storage.us-south1.rep.googleapis.com storage.us-west1.rep.googleapis.com storage.us-west2.rep.googleapis.com storage.us-west3.rep.googleapis.com storage.us-west4.rep.googleapis.com Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt.	Betroffene Funktionen
Google Kubernetes Engine	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: container.googleapis.com containersecurity.googleapis.com	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud HSM	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> cloudkms.googleapis.com	Keine
Identitäts- und Zugriffsverwaltung	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: iam.googleapis.com	Keine
Identity-Aware Proxy (IAP)	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> iap.googleapis.com	Keine
Cloud Interconnect	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> networkconnectivity.googleapis.com	Betroffene Funktionen
Cloud Key Management Service (Cloud KMS)	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: cloudkms.googleapis.com	Keine
Cloud Load Balancing	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> compute.googleapis.com	Betroffene Funktionen
Cloud Logging	Regionale API-Endpunkte: logging.us-west1.rep.googleapis.com logging.us-east4.rep.googleapis.com Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte werden nicht unterstützt.	Betroffene Funktionen
Cloud Monitoring	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: monitoring.googleapis.com	Betroffene Funktionen
Cloud NAT	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: networkconnectivity.googleapis.com	Betroffene Funktionen
Network Connectivity Center	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> networkconnectivity.googleapis.com	Betroffene Funktionen
Persistent Disk	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: compute.googleapis.com	Keine
Pub/Sub	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: pubsub.googleapis.com	Keine
Cloud Router	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> networkconnectivity.googleapis.com	Betroffene Funktionen
Cloud SQL	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: sqladmin.googleapis.com	Betroffene Funktionen
Virtual Private Cloud (VPC)	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: compute.googleapis.com	Betroffene Funktionen
VPC Service Controls	Regionale API-Endpunkte werden nicht unterstützt. Standortbezogene API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: accesscontextmanager.googleapis.com	Keine
Cloud VPN	Regionale API-Endpunkte werden nicht unterstützt. Locational API-Endpunkte werden nicht unterstützt. Globale API-Endpunkte: <ph type="x-smartling-placeholder"> </ph> compute.googleapis.com	Betroffene Funktionen

Organisationsrichtlinien

In diesem Abschnitt wird beschrieben, wie sich jeder Dienst auf die Standardwerte für Organisationsrichtlinien auswirkt, wenn Ordner oder Projekte mithilfe von ITAR erstellt werden. Sonstiges mit anwendbaren Einschränkungen – auch wenn sie nicht standardmäßig festgelegt sind – zusätzliche gestaffelte Sicherheitsebenen um die Daten Ihres Unternehmens Google Cloud-Ressourcen

Einschränkungen für Cloud-Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.

Organisationsrichtlinie-Beschränkung	Beschreibung
`gcp.resourceLocations`	Legen Sie `in:us-locations` als Listenelement `allowedValues` fest. Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die USA-Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der USA erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb der Datengrenze der USA zulassen. Beispiel: Ersetzen der Wertgruppe `in:us-locations` durch die Wertgruppe `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Weitere Informationen finden Sie unten im Abschnitt Betroffene Funktionen. Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK werden inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt, nicht mit den Standardverschlüsselungsmechanismen von Google. Ändern Sie diesen Wert, indem Sie einen oder mehrere Dienste, die unter die Vorgaben fallen, aus der Liste kann Daten untergraben Datenhoheit, da neue ruhende Daten automatisch mit dem anstelle Ihrer Schlüssel. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
`gcp.restrictCmekCryptoKeyProjects`	Wählen Sie alle Ressourcen im von Ihnen erstellten ITAR-Ordner aus. Beschränkt den Bereich genehmigter Ordner oder Projekte, die Inhalte bereitstellen können KMS-Schlüssel zum Verschlüsseln ruhender Daten mit CMEK. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
`gcp.restrictServiceUsage`	Legen Sie diese Option so fest, dass alle untergeordneten Dienste zugelassen werden. Legt fest, welche Dienste aktiviert und verwendet werden können. Weitere Informationen Siehe Ressourcennutzung für Arbeitslasten einschränken

Einschränkungen für Compute Engine-Organisationsrichtlinien

Organisationsrichtlinie-Beschränkung	Beschreibung
`compute.disableGlobalLoadBalancing`	Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.
`compute.disableGlobalSelfManagedSslCertificate`	Auf True festlegen. Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.
`compute.disableInstanceDataAccessApis`	Auf True festlegen. Deaktiviert global die APIs `instances.getSerialPortOutput()` und `instances.getScreenshot()`. Wenn Sie diese Organisationsrichtlinie aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten möchten, gehen Sie so vor: Aktivieren Sie SSH für Windows-VMs. Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Ersetzen Sie Folgendes: `VM_NAME`: Der Name der VM, für die Sie das Passwort festlegen. `USERNAME`: Nutzername des Nutzers, den Sie festlegen das Passwort. `PASSWORD`: Das neue Passwort.
`compute.disableNestedVirtualization`	Auf True festlegen. Deaktiviert hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im ITAR-Ordner Das Ändern dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.
`compute.enableComplianceMemoryProtection`	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort in Ihrer Arbeitslast auswirken. Wir empfehlen, den Wert beizubehalten.
`compute.restrictNonConfidentialComputing`	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um eine zusätzliche Verteidigungsebene zu schaffen. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
`compute.restrictLoadBalancerCreationForTypes`	Alle Werte außer `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS` sind zulässig. Weitere Informationen finden Sie unter Wählen Sie einen Load-Balancer aus, um weitere Informationen zu erhalten.

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Organisationsrichtlinie-Beschränkung	Beschreibung
`container.restrictNoncompliantDiagnosticDataAccess`	Auf True festlegen. Wird zur Deaktivierung der aggregierten Analyse von Kernel-Problemen verwendet. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Das Ändern dieses Werts kann sich auf die Datenhoheit in Ihrer Arbeitslast auswirken. wir empfehlen wir, den festgelegten Wert beizubehalten.

Betroffene Funktionen

In diesem Abschnitt wird beschrieben, wie sich die Features oder Funktionen der einzelnen Dienste von ITAR auswirken, einschließlich der Nutzeranforderungen bei der Verwendung einer Funktion.

BigQuery-Funktionen

Funktion	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie ein neues Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu „Assured Workloads“ Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus. Klicken Sie auf der Seite Ordnerdetails im Abschnitt Zulässige Dienste auf Verfügbare Updates ansehen Überprüfen Sie im Bereich Zulässige Dienste die Dienste, die dem Beschränkung der Ressourcennutzung Organisationsrichtlinie für den Ordner. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen. Wenn die BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care. Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner. Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Features werden nicht unterstützt und sind Aufgrund von ITAR-Compliance deaktiviert: <ph type="x-smartling-placeholder"> </ph> Extern trainierte BQML-Modelle sind nicht ITAR-konform. Intern trainierte BQML-Modelle sind ITAR-konform. Föderierte Abfragen Datenmaskierung und Zugriffssteuerung auf Spaltenebene: Das Erstellen von Richtlinien-Tag-Taxonomien ist deaktiviert Analytics Hub GDrive-Export Fernbedienungsfunktionen Gespeicherte Abfragen Workflow-Planung Notebooks werden in BigQuery Studio nicht unterstützt. Kontinuierliche Abfragen
Konforme BigQuery APIs	Die folgenden BigQuery APIs sind ITAR-konform: <ph type="x-smartling-placeholder"> </ph> bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com Die Reservations API ist nicht standardmäßig aktiviert. Sie können die API mithilfe der Anleitung auf dieser Seite aktivieren.
Regionen	BigQuery ist ITAR-konform für alle BigQuery US mit Ausnahme des multiregionalen Standorts "US". Die Einhaltung der ITAR kann nicht garantiert werden, wenn ein Datensatz in einer Multi-Region in den USA, in einer Region außerhalb der USA oder in einer Multi-Region außerhalb der USA erstellt wird. Es liegt in der Verantwortung des Kunden, beim Erstellen von BigQuery-Datasets eine ITAR-konforme Region anzugeben.
Daten laden	BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service), externe Cloud-Speicheranbieter und Data Warehouses sind nicht ITAR-konform. Kunden können nur Cloud Storage-Übertragung .
Verbindungen zu externen Datenquellen herstellen	Die Compliance-Verantwortung von Google ist auf die BigQuery Connection API beschränkt. Es liegt in der Verantwortung der Kundschaft, die Konformität der Quellprodukte, die mit dem BigQuery Connection API verwenden.
Abfragen zu ITAR-Datasets aus nicht ITAR-Projekten	BigQuery verhindert nicht, dass ITAR-Datasets abgefragt werden nicht-ITAR-Projekten. Kunden sollten darauf achten, dass jede Abfrage mit einem Lesevorgang oder ein Join zu technischen ITAR-Daten in einem ITAR-konformen Ordner abgelegt werden.

Compute Engine Features

Funktion	Beschreibung
Google Cloud Console	Die folgenden Compute Engine-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI: Systemdiagnosen Netzwerk-Endpunktgruppen
VMs der Bare-Metal-Lösung	Sie sind dafür verantwortlich, keine Bare-Metal-Lösungs-VMs (o2-VMs) zu verwenden, da diese nicht den ITAR-Bestimmungen entsprechen.
Google Cloud VMware Engine-VMs	Es liegt in Ihrer Verantwortung, keine Google Cloud VMware Engine-VMs zu verwenden, Google Cloud VMware Engine-VMs sind nicht mit ITAR konform.
C3-VM-Instanz erstellen	Diese Funktion ist deaktiviert.
Nichtflüchtige Speicher oder deren Snapshots ohne CMEK verwenden	Sie können nichtflüchtige Speicher oder ihre Snapshots nur verwenden, wenn sie mit CMEK verschlüsselt wurden.
Verschachtelte VMs oder VMs mit verschachtelter Virtualisierung erstellen	Sie können keine verschachtelten VMs oder VMs mit verschachtelter Virtualisierung erstellen. Diese Funktion ist aufgrund der im Abschnitt oben beschriebenen Einschränkung der `compute.disableNestedVirtualization`-Organisationsrichtlinie deaktiviert.
Instanzgruppe einem globalen Load Balancer hinzufügen	Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen. Diese Funktion wird durch die im Abschnitt oben beschriebene `compute.disableGlobalLoadBalancing`-Einschränkung der Organisationsrichtlinie deaktiviert.
Anfragen an einen multiregionalen externen HTTPS-Load Balancer weiterleiten	Sie können Anfragen nicht an eine multiregionale externe HTTPS-Last weiterleiten aus. Diese Funktion wurde vom `compute.restrictLoadBalancerCreationForTypes` Organisationsrichtlinie oben beschriebene Einschränkung.
Nichtflüchtigen SSD-Speicher im Modus für mehrere Autoren freigeben	Sie können einen nichtflüchtiger SSD-Speicher nicht im Multi-Writer-Modus zwischen VM-Instanzen:
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher, Der zum Speichern des Status der angehaltenen VM verwendete nichtflüchtige Speicher mit CMEK verschlüsselt werden. Im Abschnitt oben finden Sie Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf die Datenspeicherorte.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, kann nicht mit CMEK verschlüsselt werden. Weitere Informationen finden Sie in der `gcp.restrictNonCmekServices` Organisation Richtlinieneinschränkung im obigen Abschnitt, um den Datenstandort zu verstehen Auswirkungen der Aktivierung dieser Funktion.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie den Datenspeicherort durch interne Sicherheitskontrollen und -prozesse erfüllen. Für Nutzer, die zusätzliche haben, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinie „`compute.trustedImageProjects`“ Einschränkung. Siehe Weitere Informationen finden Sie auf der Seite „Benutzerdefiniertes Image erstellen“.
`instances.getSerialPortOutput()`	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung der Organisationsrichtlinie `compute.disableInstanceDataAccessApis` in False, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port zu aktivieren und zu verwenden.
`instances.getScreenshot()`	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Organisation "`compute.disableInstanceDataAccessApis`" ändern Wert der Richtlinieneinschränkung auf False setzen, um diese API zu aktivieren. Sie können auch den interaktiven seriellen Port zu aktivieren und zu verwenden.

Cloud DNS-Features

Funktion	Beschreibung
Google Cloud Console	Cloud DNS-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI verwenden.

Features von Cloud Interconnect

Funktion	Beschreibung
Google Cloud Console	Cloud Interconnect-Features sind in der Google Cloud Console Verwenden Sie die Methode API oder Google Cloud CLI.
Hochverfügbarkeits-VPN	Sie müssen VPN-Funktionen für Hochverfügbarkeit aktivieren, wenn Sie die Cloud Interconnect mit Cloud VPN Darüber hinaus müssen Sie die Anforderungen an die Verschlüsselung und Regionalisierung diesem Abschnitt.

Cloud Load Balancing-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud Load Balancing-Features sind in der Google Cloud Console Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Regionale Load-Balancer	Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen: finden Sie unter weitere Informationen zum Konfigurieren regionaler Load-Balancer. <ph type="x-smartling-placeholder"> </ph> Interner Application Load Balancer Regionaler externer Application Load Balancer Interner Passthrough-Network Load Balancer Externer Passthrough Network Load Balancer

Features von Cloud Logging

Wenn Sie Cloud Logging mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verwenden möchten, müssen Sie führen Sie die Schritte im CMEK für eine Organisation aktivieren in der Cloud Logging-Dokumentation.

Funktion	Beschreibung
Logsenken	Vertrauliche Informationen (Kundendaten) dürfen nicht in Senkenfilter aufgenommen werden. Senkenfilter werden als Dienstdaten behandelt.
Live-Tailing-Logeinträge	Erstellen Sie keine Filter, die Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen.
Logbasierte Benachrichtigungen	Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine Abfragen speichern.
Loganalysen mit BigQuery	Die Funktion ist deaktiviert. Das Feature "Loganalyse" kann nicht verwendet werden.
SQL-basierte Benachrichtigungsrichtlinien	Die Funktion ist deaktiviert. Sie können die Funktion „SQL-basierte Benachrichtigungsrichtlinien“ nicht verwenden.

Cloud Monitoring-Features

Funktion	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnose	Die Funktion ist deaktiviert.
Widgets für das Logfeld in Dashboards	Diese Funktion ist deaktiviert. Sie können einem Dashboard kein Protokollfeld hinzufügen.
Widgets für das Steuerfeld für Fehlerberichte in Dashboards	Diese Funktion ist deaktiviert. Sie können keine Error Reporting hinzufügen. zu einem Dashboard.
Filtern nach `EventAnnotation` für Dashboards	Diese Funktion ist deaktiviert. Der Filter für `EventAnnotation` kann nicht in einem Dashboard festgelegt werden.
`SqlCondition` in `alertPolicies`	Diese Funktion ist deaktiviert. Sie können einer `alertPolicy` kein `SqlCondition` hinzufügen.

Funktionen des Network Connectivity Center

Funktion	Beschreibung
Google Cloud Console	Die Features von Network Connectivity Center sind in der Google Cloud Console nicht verfügbar. Verwenden Sie API oder Google Cloud CLI .

Cloud NAT-Features

Funktion	Beschreibung
Google Cloud Console	Cloud NAT-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie die API oder die Google Cloud CLI verwenden.

Cloud Router-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud Router-Features sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud SQL-Features

Funktion	Beschreibung
Export in CSV-Datei	Export in CSV nicht ITAR-konform ist und nicht verwendet werden sollte. Diese Funktion ist in der Google Cloud Console deaktiviert.
`executeSql`	Die Methode `executeSql` der Cloud SQL API ist nicht ITAR-konform und nicht verwendet werden.

Cloud Storage-Funktionen

Funktion	Beschreibung
Google Cloud Console	Zur Wahrung der ITAR-Compliance sind Sie dafür verantwortlich, das Rechtsprechung Google Cloud Console Die Konsole für die Rechtsprechung verhindert Uploads und Cloud Storage-Objekte herunterladen. Informationen zum Hochladen und Herunterladen von Cloud Storage-Objekten finden Sie in der Zeile Konforme API-Endpunkte unten.
Konforme API-Endpunkte	Sie müssen einen der ITAR-konformen regionalen Endpunkte mit Cloud Storage verwenden. Weitere Informationen finden Sie unter Regionale Cloud Storage-Endpunkte und Cloud Storage-Speicherorte für erhalten Sie weitere Informationen.
Beschränkungen	Sie müssen regionale Cloud Storage-Endpunkte verwenden, um ITAR-konform. Weitere Informationen zu regionalen Cloud Storage-Endpunkten für ITAR finden Sie unter Regionale Cloud Storage-Endpunkte. Die folgenden Vorgänge werden von regionalen Endpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten im Sinne der Nutzungsbedingungen für den Dienst zum Speicherort der Daten übertragen. Daher können Sie globale Endpunkte diese Vorgänge bei Bedarf durchführen, ohne die ITAR-Compliance zu verletzen: HMAC-Schlüsselvorgänge IAM-Dienstkontovorgänge Pub/Sub-Benachrichtigungen Änderungsbenachrichtigungen für Objekte Wenn ein Nutzer versucht, einen nicht unterstützten Vorgang auszuführen regionale Endpunkte verwendet, gibt Cloud Storage einen 400-HTTP-Fehler zurück Code mit Fehlermeldung: `This endpoint does not implement this operation. Please use the global endpoint.`
Kopieren und umschreiben für Objekte	Kopier- und Umschreibvorgänge für Objekte werden von regionalen Endpunkten unterstützt, wenn sich sowohl der Quell- als auch der Ziel-Bucket in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine regionalen Endpunkte verwenden, um ein Objekt zu kopieren oder umzuschreiben von einem Bucket in einen anderen verschieben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zu verwenden, um Daten an verschiedenen Standorten zu kopieren oder umzuschreiben. Wir raten jedoch davon ab, da dies gegen die ITAR-Compliance verstoßen kann.

GKE-Features

Funktion	Beschreibung
Einschränkungen für Clusterressourcen	Achten Sie darauf, dass in Ihrer Clusterkonfiguration keine Ressourcen für Dienste verwendet werden, die im ITAR-Compliance-Programm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da ein nicht unterstützter Dienst aktiviert oder verwendet werden muss: set `binaryAuthorization.evaluationMode` to `enabled`

VPC-Features

Funktion	Beschreibung
Google Cloud Console	VPC-Netzwerkfunktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud VPN-Funktionen

Funktion	Beschreibung
Google Cloud Console	Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Verschlüsselung	Sie dürfen beim Erstellen nur mit FIPS 140-2 konformen Chiffren verwenden. und die IP-Sicherheit konfigurieren. Weitere Informationen zu den unterstützten Chiffren in Cloud VPN finden Sie auf dieser Seite. Für Anleitungen zur Auswahl einer Chiffre, die den Standards von FIPS 140-2 entspricht, Weitere Informationen Derzeit gibt es keine Möglichkeit, eine vorhandene Chiffre in Google Cloud zu ändern. Achten Sie darauf, dass Sie Ihre Verschlüsselung auf der Drittanbieter-Appliance konfigurieren, die die mit Cloud VPN verwendet werden.
VPN-Endpunkte	Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in den USA befinden. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region in den USA konfiguriert ist.

Fußnoten

2. BigQuery wird unterstützt, aber nicht automatisch aktiviert, wenn Sie ein neues Assured Workloads-Ordner aufgrund eines internen Konfigurationsprozesses. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber in einigen Fällen auch viel länger dauern. Um zu prüfen, ob die abgeschlossen ist. Führen Sie die folgenden Schritte aus, um BigQuery zu aktivieren:

Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.
Zu Assured Workloads
Wählen Sie in der Liste den neuen Assured Workloads-Ordner aus.
Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen.
Überprüfen Sie im Bereich Zulässige Dienste die Dienste, die dem Beschränkung der Ressourcennutzung Organisationsrichtlinie für den Ordner. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Dienste zulassen, um sie hinzuzufügen.

Wenn BigQuery-Dienste nicht aufgeführt werden, warten Sie, bis der interne Vorgang abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach dem Erstellen des Ordners aufgeführt werden, wenden Sie sich an Cloud Customer Care.

Nach Abschluss der Aktivierung können Sie BigQuery in Ihrem Assured Workloads-Ordner.

Gemini in BigQuery wird von Assured Workloads nicht unterstützt.

Nächste Schritte

Weitere Informationen zum ITAR-Kontrollpaket
Hier erfahren Sie, welche Produkte für jedes Steuerelementpaket unterstützt werden.