Restricciones y limitaciones para ITAR

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando se usa el paquete de control de ITAR.

Descripción general

El paquete de control del Reglamento Internacional de Tráfico de Armas (ITAR) habilita las funciones de control de acceso a los datos y de residencia para los servicios de Google Cloud dentro del alcance. Algunos de estos servicios funciones Google las restringe o limita para que sean compatibles con ITAR. La mayoría se aplican restricciones y limitaciones cuando se crea un nuevo Carpeta de Assured Workloads para ITAR, pero se pueden cambiar algunos de ellos. más adelante modificando políticas de la organización. Además, algunas restricciones y limitaciones requieren responsabilidad del usuario para garantizar el cumplimiento.

Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio determinado de Google Cloud o afectan el acceso a los datos o la residencia de datos. Por ejemplo, algunos características o capacidades pueden inhabilitarse automáticamente para garantizar que los datos se mantienen las restricciones de acceso y la residencia de los datos. Además, si se cambia la configuración de una política de la organización, podría tener la consecuencia no deseada de copiar datos de una región a otra.

Requisitos previos

Para mantener el cumplimiento como usuario del paquete de control de ITAR, asegúrate de cumplir con los siguientes requisitos previos y respetarlos:

  • Crea una carpeta ITAR con Assured Workloads y, luego, implementa tus cargas de trabajo ITAR solo en esa carpeta.
  • Habilitar y usar solo los servicios de ITAR dentro del alcance para las cargas de trabajo de ITAR.
  • No cambiar la configuración predeterminada valores de restricciones de la política de la organización, a menos que comprendas y estás dispuesto a aceptar los riesgos de residencia de datos que puedan surgir.
  • Cuando te conectes a los extremos de servicios de Google Cloud, debes usar extremos regionales para los servicios que los ofrecen. Además:
    • Cuando te conectas a extremos de servicios de Google Cloud desde servicios ajenos a Google Cloud VMs, como las de otros proveedores de servicios en la nube VMs, debes usar uno de los opciones de acceso privado que admiten conexiones a VMs que no son de Google Cloud para enrutar el el tráfico que no es de Google Cloud a Google Cloud.
    • Cuando te conectes a los extremos de servicio de Google Cloud desde las VMs de Google Cloud, puedes usar cualquiera de las opciones de acceso privado disponibles.
    • Cuando te conectas a las VMs de Google Cloud que se expusieron con una IP externa externas, consulta Accede a las APIs desde las VMs con direcciones IP externas.
  • Para todos los servicios usados en una carpeta de ITAR, no almacenes datos técnicos en la los siguientes tipos de información de configuración de seguridad o definidos por el usuario:
    • Mensajes de error
    • Resultado de la consola
    • Datos de atributos
    • Datos de configuración del servicio
    • Encabezados de paquetes de red
    • Identificadores de recursos
    • Etiquetas de datos
  • Usa solo los extremos regionales o de ubicación especificados para los servicios que los ofrezcan. Para obtener más información, consulta servicios de ITAR que están dentro del alcance.
  • Considera adoptar las prácticas recomendadas de seguridad generales que se proporcionan en la Centro de prácticas recomendadas para la seguridad de Google Cloud.

Servicios dentro del alcance

A menos que se indique lo contrario, los usuarios pueden acceder a todos los servicios dentro del alcance a través de la consola de Google Cloud.

Los siguientes servicios son compatibles con el ITAR:

Producto admitido Extremos de API que cumplen con ITAR Restricciones o limitaciones
Artifact Registry No se admiten extremos de API regionales.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • artifactregistry.googleapis.com
 Ninguno
BigQuery Extremos de API regional:
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.googleapis.com
  • bigquerydatatransfer.us-east4.rep.googleapis.com

No se admiten los extremos de API de ubicación.
Los extremos de API globales no son compatibles.
 Funciones afectadas
Certificate Authority Service No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • privateca.googleapis.com
 Ninguno
Cloud External Key Manager (Cloud EKM) No se admiten extremos de API regionales.

Extremos de la API de ubicación:
  • us-west1-cloudkms.googleapis.com
  • us-east4-cloudkms.googleapis.com

No se admiten los extremos de API globales.
 Ninguno
Compute Engine No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • compute.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Cloud DNS No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • dns.googleapis.com
 Funciones afectadas
Dataflow No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos globales de la API:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
 Ninguno
Dataproc No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
 Ninguno
Filestore No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • file.googleapis.com
 Ninguno
Cloud Storage Extremos de la API regionales:
  • storage.us-central1.rep.googleapis.com
  • storage.us-central2.rep.googleapis.com
  • storage.us-east1.rep.googleapis.com
  • storage.us-east4.rep.googleapis.com
  • storage.us-east5.rep.googleapis.com
  • storage.us-east7.rep.googleapis.com
  • storage.us-south1.rep.googleapis.com
  • storage.us-west1.rep.googleapis.com
  • storage.us-west2.rep.googleapis.com
  • storage.us-west3.rep.googleapis.com
  • storage.us-west4.rep.googleapis.com

No se admiten los extremos de API de ubicación.
No se admiten los extremos de la API global.
 Funciones afectadas
Google Kubernetes Engine No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos globales de la API:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Cloud HSM No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • cloudkms.googleapis.com
 Ninguno
Administración de identidades y accesos (IAM) No se admiten extremos de API regionales.
No se admiten los extremos de la API de ubicación.

Extremos de API globales:
  • iam.googleapis.com
 Ninguno
Identity-Aware Proxy (IAP) No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • iap.googleapis.com
 Ninguno
Cloud Interconnect No se admiten extremos de API regionales.
No se admiten los extremos de la API de ubicación.

Extremos globales de la API:
  • networkconnectivity.googleapis.com
 Funciones afectadas
Cloud Key Management Service (Cloud KMS) No se admiten los extremos de la API regional.
No se admiten los extremos de la API de ubicación.

Extremos de API globales:
  • cloudkms.googleapis.com
 Ninguno
Cloud Load Balancing No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • compute.googleapis.com
 Funciones afectadas
Cloud Logging Extremos de la API regionales:
  • logging.us-west1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com

No se admiten los extremos de API de ubicación.
Los extremos de API globales no son compatibles.
 Funciones afectadas
Cloud Monitoring No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • monitoring.googleapis.com
 Funciones afectadas
Cloud NAT No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • networkconnectivity.googleapis.com
 Funciones afectadas
Network Connectivity Center No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • networkconnectivity.googleapis.com
 Funciones afectadas
Persistent Disk No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • compute.googleapis.com
 Ninguno
Pub/Sub No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • pubsub.googleapis.com
 Ninguno
Cloud Router No se admiten extremos de API regionales.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • networkconnectivity.googleapis.com
 Funciones afectadas
Cloud SQL No se admiten los extremos de la API regional.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • sqladmin.googleapis.com
 Funciones afectadas
Nube privada virtual (VPC) No se admiten extremos de API regionales.
No se admiten los extremos de la API de Locational.

Extremos de API globales:
  • compute.googleapis.com
 Funciones afectadas
Controles del servicio de VPC No se admiten los extremos de la API regional.
No se admiten los extremos de API de ubicación.

Extremos globales de la API:
  • accesscontextmanager.googleapis.com
 Ninguno
Cloud VPN No se admiten extremos de API regionales.
No se admiten los extremos de la API de ubicación.

Extremos globales de la API:
  • compute.googleapis.com
 Funciones afectadas

Políticas de la organización

En esta sección, se describe la forma en que la organización predeterminada afecta cada servicio valores de restricción de política cuando se crean carpetas o proyectos con ITAR. Otra opción restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar más “defensa en profundidad” para proteger aún más la infraestructura recursos de Google Cloud.

Restricciones de la política de la organización en toda la nube

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización Descripción
gcp.resourceLocations Se establece en in:us-locations como el elemento de lista allowedValues.

Este valor restringe la creación de recursos nuevos solo al grupo de valores de EE.UU. Cuando se configura, no se pueden crear recursos en otras regiones, multirregiones o ubicaciones fuera de EE.UU. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información.

Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera del límite de datos de EE.UU. Por ejemplo, reemplazar el grupo de valores in:us-locations por el grupo de valores in:northamerica-locations.
gcp.restrictNonCmekServices Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Es posible que algunas funciones se vean afectadas en cada uno de los servicios mencionados anteriormente. Consulta la sección Funciones afectadas que se encuentra a continuación.

Cada servicio de la lista requiere Claves de encriptación administradas por el cliente (CMEK). CMEK garantiza que los datos en reposo se encripten con una clave que administres, no Mecanismos de encriptación predeterminados de Google

Si cambias este valor mediante la eliminación de uno o más servicios dentro del alcance de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente mediante las claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
gcp.restrictCmekCryptoKeyProjects Establece la opción para todos los recursos de la carpeta ITAR que creaste.

Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance.
gcp.restrictServiceUsage Se establece para permitir todos los servicios dentro del alcance.

Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Cómo restringir el uso de recursos para las cargas de trabajo.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización Descripción
compute.disableGlobalLoadBalancing Configurado como True.

Inhabilita la creación de productos de balanceo de cargas global.

Cambiar este valor puede afectar la residencia de los datos de tu carga de trabajo. nosotros se recomienda mantener el valor establecido.
compute.disableGlobalSelfManagedSslCertificate Configurado como True.

Inhabilita la creación de certificados SSL autoadministrados globales.

Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.
compute.disableInstanceDataAccessApis Configurado como True.

Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot().

Si habilitas esta política de la organización, no podrás generar credenciales en VMs de Windows Server.

Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: lo siguiente:
  1. Habilita SSH para VMs de Windows.
  2. Ejecuta el siguiente comando para cambiar la contraseña de la VM: 
    gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
     Reemplaza lo siguiente:
    • VM_NAME: Es el nombre de la VM para la que configuras la contraseña.
    • USERNAME: El nombre de usuario del usuario que estás configurando la contraseña.
    • PASSWORD: La contraseña nueva
compute.disableNestedVirtualization Configurado como True.

Inhabilita la virtualización anidada por aceleración de hardware para todas las VMs de Compute Engine en la carpeta ITAR.

Cambiar este valor puede afectar la residencia de los datos de tu carga de trabajo. nosotros se recomienda mantener ese valor.
compute.enableComplianceMemoryProtection Configurado como True.

Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura.

Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.
compute.restrictNonConfidentialComputing

 (Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.
compute.restrictLoadBalancerCreationForTypes

 Se establece para permitir todos los valores, excepto GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Consulta Cómo elegir un balanceador de cargas para obtener más información.

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización Descripción
container.restrictNoncompliantDiagnosticDataAccess Configurado como True.

Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo.

Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido.

Funciones afectadas

En esta sección, se indica cómo se ven afectadas las funciones o capacidades de cada servicio ITAR, incluidos los requisitos del usuario cuando se usa una función.

Características de BigQuery

Atributo Descripción
Habilita BigQuery en una carpeta nueva BigQuery es compatible, pero no se habilita automáticamente cuando creas una nueva carpeta de cargas de trabajo aseguradas debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
  1. En la consola de Google Cloud, ve a la página Assured Workloads.

    Ve a Assured Workloads

  2. Selecciona tu nueva carpeta de Assured Workloads de la lista.
  3. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisa las actualizaciones disponibles.
  4. En el panel Servicios permitidos, revisa los servicios que deseas agregar al Restricción del uso de recursos política de la organización para la carpeta. Si los servicios de BigQuery aparecen en la lista, haz clic en Permitir servicios para agregarlos.

    Si los servicios de BigQuery no aparecen en la lista, espera a que se complete el proceso interno. Si los servicios no aparecen en la lista en un plazo de 12 horas después de crear la carpeta, comunícate con Atención al cliente de Cloud.

Una vez completado el proceso de habilitación, puedes usar BigQuery en tu Assured Workloads.

Gemini en BigQuery no es compatible con Assured Workloads.
Características no compatibles Las siguientes funciones de BigQuery no son compatibles y están inhabilitadas para el cumplimiento de ITAR:
APIs de BigQuery compatibles Las siguientes APIs de BigQuery cumplen con el ITAR:
Regiones BigQuery cumple con el ITAR en todas las regiones de BigQuery de EE.UU., excepto en la multirregional de EE.UU. No se puede garantizar el cumplimiento de ITAR si un conjunto de datos se crea en una multirregión de EE.UU., en una región no estadounidense o en una región distinta de EE.UU. multirregionales. Es responsabilidad del cliente especificar una Región que cumple con ITAR cuando se crean conjuntos de datos de BigQuery.
Cargando datos Conectores del Servicio de transferencia de datos de BigQuery para software de Google como servicio (SaaS), proveedores externos de almacenamiento en la nube depósitos no cumplen con ITAR. Los clientes solo pueden utilizar Transferencia de Cloud Storage en un entorno de ITAR.
Conexiones a fuentes de datos externas La responsabilidad de cumplimiento de Google se limita a la función de la API de BigQuery Connection. Es responsabilidad del cliente garantizar el cumplimiento de los productos de origen que se usan con la API de BigQuery Connection.
Consultas sobre conjuntos de datos de ITAR desde proyectos que no son de ITAR BigQuery no impide que los conjuntos de datos de ITAR se consulten desde proyectos no ITAR. Los clientes deben asegurarse de que cualquier consulta que tenga una operación de lectura o unión en datos técnicos de ITAR se coloque en una carpeta que cumpla con ITAR.

Características de Compute Engine

Atributo Descripción
Consola de Google Cloud Las siguientes funciones de Compute Engine no están disponibles en el Consola de Google Cloud En su lugar, usa la API o Google Cloud CLI:

  1. Verificaciones de estado
  2. Grupos de extremos de red
VMs de la solución Bare Metal Es tu responsabilidad no usar VMs de la solución Bare Metal (VMs o2) porque Las VMs de la solución Bare Metal no cumplen con ITAR.

VMs de Google Cloud VMware Engine Es tu responsabilidad no usar las VMs de Google Cloud VMware Engine, ya que estas no cumplen con las ITAR.

Crea una instancia de VM C3 Esta función está inhabilitada.
Usa discos persistentes o sus instantáneas sin CMEK No puedes usar discos persistentes ni sus instantáneas, a menos que se hayan encriptado con CMEK.
Creación de VMs anidadas o VMs que usan virtualización anidada No puedes crear VMs anidadas ni que utilicen virtualización anidada.

La restricción de la política de la organización compute.disableNestedVirtualization que se describe en la sección anterior inhabilita esta función.
Agrega un grupo de instancias a un balanceador de cargas global No puedes agregar un grupo de instancias a un balanceador de cargas global.

La restricción de la política de la organización compute.disableGlobalLoadBalancing, que se describe en la sección anterior, inhabilita esta función.
Enruta las solicitudes a un balanceador de cargas HTTPS externo multirregional No puedes enrutar solicitudes a un balanceador de cargas HTTPS externo multirregional.

La restricción de la política de la organización compute.restrictLoadBalancerCreationForTypes que se describe en la sección anterior inhabilita esta función.
Comparte un disco persistente SSD en modo de multiescritura No se puede compartir un disco persistente SSD en modo multiescritura entre instancias de VM.
Suspende y reanuda una instancia de VM Se inhabilitó esta función.

La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar mediante el uso de CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de residencia de datos de habilitar esta función.
SSD locales Se inhabilitó esta función.

No podrás crear una instancia con SSD locales debido a no se pueden encriptar con CMEK. Consulta la gcp.restrictNonCmekServices organización restricción de la política en la sección anterior para comprender la residencia de los datos consecuencias de habilitar esta función.
Entorno huésped Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más.

Estos componentes te ayudan a cumplir con la residencia de datos mediante procesos y controles de seguridad internos. Sin embargo, para los usuarios que deseen también puedes seleccionar tus propias imágenes o agentes y, de manera opcional, usar la política de la organización compute.trustedImageProjects “compute.vmExternalIpAccess”.

Consulta la página Cómo compilar una imagen personalizada para obtener más información.
instances.getSerialPortOutput() Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo.
instances.getScreenshot() Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes Habilita y usa el puerto en serie interactivo.

Funciones de Cloud DNS

Atributo Descripción
Consola de Google Cloud Las funciones de Cloud DNS no están disponibles en la consola de Google Cloud. Usa en su lugar, la API o Google Cloud CLI.

Características de Cloud Interconnect

Atributo Descripción
Consola de Google Cloud Las funciones de Cloud Interconnect no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.
VPN con alta disponibilidad (HA) Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en esta sección.

Características de Cloud Load Balancing

Atributo Descripción
Consola de Google Cloud Las funciones de Cloud Load Balancing no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar.
Balanceadores de cargas regionales Solo debes usar balanceadores de cargas regionales con ITAR. Consulta las siguientes páginas para obtener más información sobre la configuración de balanceadores de cargas regionales:

Funciones de Cloud Logging

Para usar Cloud Logging con claves de encriptación administradas por el cliente (CMEK), debes completar los pasos de la página Habilita CMEK para una organización en la documentación de Cloud Logging.

Atributo Descripción
Receptores de registros No ingreses información sensible (datos del cliente) en los filtros de receptores. Fregadero los filtros se tratan como datos del servicio.
Entradas de registro de transmisión de registros en tiempo real No crees filtros que contengan datos del cliente.

Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones.
Alertas basadas en registros Se inhabilitó esta función.

No puedes crear alertas basadas en registros en la consola de Google Cloud.
URL reducidas para las consultas del Explorador de registros Se inhabilitó esta función.

No puedes crear URL acortadas de consultas en la consola de Google Cloud.
Guarda consultas en el Explorador de registros Se inhabilitó esta función.

No puedes guardar ninguna consulta en la consola de Google Cloud.
Estadísticas de registros con BigQuery Se inhabilitó esta función.

No puedes usar la función de estadísticas de registros.
Políticas de alertas basadas en SQL Se inhabilitó esta función.

No puedes usar la función de políticas de alertas basadas en SQL.

Funciones de Cloud Monitoring

Atributo Descripción
Monitor sintético Se inhabilitó esta función.
Verificación del tiempo de actividad Se inhabilitó esta función.
Widgets del panel de registros en Paneles de control Esta función está inhabilitada.

No puedes agregar un panel de registro a un panel.
Widgets del panel de Error Reporting en Paneles Esta función está inhabilitada.

No puedes agregar un panel de informes de errores a un panel.
Filtrar EventAnnotation de Paneles Esta función está inhabilitada.

No se puede configurar el filtro de EventAnnotation en un panel.
SqlCondition en alertPolicies Esta función está inhabilitada.

No puedes agregar un SqlCondition a un alertPolicy

Funciones de Network Connectivity Center

Atributo Descripción
Consola de Google Cloud Las funciones de Network Connectivity Center no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar.

Funciones de Cloud NAT

Atributo Descripción
Consola de Google Cloud Las funciones de Cloud NAT no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Funciones de Cloud Router

Atributo Descripción
Consola de Google Cloud Las funciones de Cloud Router no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Características de Cloud SQL

Atributo Descripción
Exportando a CSV Exportando a CSV no cumple con ITAR y no debe usarse. Esta función se inhabilita en la consola de Google Cloud.
executeSql El método executeSql de la API de Cloud SQL no es cumpla con ITAR y no debe usarse.

Características de Cloud Storage

Atributo Descripción
Consola de Google Cloud Para mantener el cumplimiento de ITAR, es tu responsabilidad usar el Jurisdicción Consola de Google Cloud. La consola de jurisdicción evita subir y descargar objetos de Cloud Storage. Para subir y descargar Objetos de Cloud Storage, consulta la fila Extremos de la API que cumplen con los requisitos. a continuación.
Extremos de API compatibles Debe usar uno de los extremos regionales que cumplen con ITAR con en Google Cloud Storage. Consulta Extremos regionales de Cloud Storage y las ubicaciones de Cloud Storage para más información.
Restricciones Debes usar extremos regionales de Cloud Storage para cumplir con la ITAR. Para obtener más información sobre las regiones extremos para ITAR, consulta Extremos regionales de Cloud Storage.

Las siguientes operaciones no son compatibles con los extremos regionales. Sin embargo, estas operaciones no llevan datos del cliente, como se define en las Condiciones del servicio de residencia de datos. Por lo tanto, puedes usar extremos globales para estas operaciones según sea necesario sin infringir el cumplimiento de ITAR:
Copia y reescribe objetos Las operaciones de copia y reescritura para son compatibles con los extremos regionales si tanto el origen como y los buckets de destino se encuentran en la región especificada en el extremo. Sin embargo, no puedes usar extremos regionales para copiar o reescribir un objeto. de un bucket a otro si se encuentran en ubicaciones distintas. Integra es posible usar extremos globales para copiar o reescribir en distintas ubicaciones, pero no lo recomendamos, ya que puede infringir el cumplimiento de ITAR.

Funciones de GKE

Atributo Descripción
Restricciones de recursos del clúster Asegúrate de que la configuración del clúster no use recursos para servicios que no son compatibles con el programa de cumplimiento de ITAR. Por ejemplo, la siguiente configuración no es válida porque requiere habilitar o usar un servicio no compatible:

set `binaryAuthorization.evaluationMode` to `enabled`

Funciones de VPC

Atributo Descripción
Consola de Google Cloud Las funciones de redes de VPC no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Características de Cloud VPN

Atributo Descripción
Consola de Google Cloud Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.
Encriptación Solo debes usar algoritmos de cifrado que cumplan con FIPS 140-2 al crear certificados de Google y configurar la seguridad de tu IP. Consulta esta página para obtener más información sobre los algoritmos de cifrado admitidos en Cloud VPN. Para orientación para seleccionar un algoritmo de cifrado que cumpla con los estándares FIPS 140-2 consulta esta página.

Actualmente, no hay forma de cambiar un algoritmo de cifrado existente en Google Cloud. Asegúrate de configurar el cifrado en tu dispositivo de terceros que sea usarse con Cloud VPN.
Extremos de VPN Solo debes usar los extremos de Cloud VPN que se encuentran en EE.UU. Asegúrate de que la puerta de enlace de VPN esté configurada para usarse solo en una región de EE.UU.

Pies de página

2. BigQuery es compatible, pero no se habilita automáticamente cuando creas un nuevo Carpeta de Assured Workloads debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:

  1. En la consola de Google Cloud, ve a la página Assured Workloads.

    Ir a Assured Workloads

  2. Selecciona tu nueva carpeta de Assured Workloads en la lista.
  3. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisa las actualizaciones disponibles.
  4. En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización Restringir el uso de recursos de la carpeta. Si aparecen los servicios de BigQuery, haz clic en Permite que los servicios los agreguen.

    Si no aparecen los servicios de BigQuery, espera a que se complete el proceso interno. Si los servicios no aparecen en la lista en un plazo de 12 horas después de crear la carpeta, comunícate con Atención al cliente de Cloud.

Una vez completado el proceso de habilitación, puedes usar BigQuery en tu Assured Workloads.

Gemini en BigQuery no es compatible con Assured Workloads.

¿Qué sigue?