Se usó la API de Cloud Translation para traducir esta página.

Restricciones y limitaciones de ITAR

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración que se aplican al uso del régimen de cumplimiento de ITAR.

Descripción general

El régimen de cumplimiento del Reglamento de Tráfico Internacional de Armas (ITAR) habilita el control de acceso a los datos y las funciones de residencia para los servicios de Google Cloud que están dentro del alcance. Google restringe o limita algunas de las funciones de estos servicios para que sean compatibles con ITAR. La mayoría de estas restricciones y limitaciones se aplican cuando se crea una carpeta nueva de Assured Workloads para ITAR. Sin embargo, algunas se pueden cambiar más adelante mediante la modificación de las políticas de la organización. Además, algunas restricciones y limitaciones requieren la responsabilidad del usuario por el cumplimiento.

Es importante comprender cómo estas restricciones modifican el comportamiento de un servicio determinado de Google Cloud o afectan el acceso a los datos o la residencia de datos. Por ejemplo, algunas funciones o capacidades pueden inhabilitarse automáticamente para garantizar que se mantengan las restricciones de acceso a los datos y su residencia. Además, si se cambia una configuración de política de la organización, puede tener la consecuencia no deseada de copiar datos de una región a otra.

Requisitos previos

Para cumplir con los requisitos de usuario del régimen de cumplimiento de ITAR, asegúrate de cumplir con los siguientes requisitos previos:

Crea una carpeta de ITAR con Assured Workloads y, luego, implementa tus cargas de trabajo de ITAR solo en esa carpeta.
Habilita y usa solo servicios dentro del alcance de ITAR para las cargas de trabajo de ITAR.
No cambies los valores de restricción de la política de la organización predeterminados, a menos que comprendas y estés dispuesto a aceptar los riesgos de residencia de datos que pueden ocurrir.
Cuando te conectas a los extremos del servicio de Google Cloud, debes usar extremos regionales para los servicios que los ofrecen. Además:
- Cuando te conectas a extremos de servicios de Google Cloud desde VM que no son de Google Cloud, como VM locales o de otros proveedores de servicios en la nube, debes usar una de las opciones de acceso privado disponibles que admitan conexiones a VM que no sean de Google Cloud para enrutar el tráfico que no es de Google Cloud a Google Cloud.
- Cuando te conectas a los extremos del servicio de Google Cloud desde las VM de Google Cloud, puedes usar cualquiera de las opciones de acceso privado disponibles.
- Cuando te conectes a las VM de Google Cloud que se expusieron con direcciones IP externas, consulta Accede a las API desde VM con direcciones IP externas.
Para todos los servicios que se usan en una carpeta de ITAR, no almacenes datos técnicos en los siguientes tipos de información de configuración definida por el usuario o de seguridad:
- Mensajes de error
- Resultado de la consola
- Datos de atributos
- Datos de configuración del servicio
- Encabezados de paquetes de red
- Identificadores de recursos
- Etiquetas de datos
Usa solo los extremos regionales o de ubicación especificados para los servicios que los ofrecen. Consulta los servicios de ITAR dentro del alcance para obtener más información.
Adopta las prácticas recomendadas de seguridad generales que se proporcionan en el centro de prácticas recomendadas para la seguridad de Google Cloud.

Servicios dentro del alcance

Los siguientes servicios son compatibles con ITAR:

Identity and Access Management (IAM)
Compute Engine
- Políticas de la organización
- Funciones afectadas
Cloud Storage

Nota: Cloud Storage no está habilitado de forma predeterminada. Para solicitar acceso, envía este formulario.
- Funciones afectadas
Persistent Disk
Cloud Load Balancing
- Funciones afectadas
Cloud VPN
- Funciones afectadas
Nube privada virtual (VPC)
- Funciones afectadas
Controles del servicio de VPC
Cloud Interconnect
- Funciones afectadas
Cloud Router
Identity-Aware Proxy
Cloud NAT
Cloud DNS
Cloud Key Management Service (Cloud KMS)
Cloud HSM
Google Kubernetes Engine
- Políticas de la organización

Políticas de la organización

En esta sección, se describe cómo cada servicio se ve afectado por los valores predeterminados de las restricciones de las políticas de la organización cuando se crean carpetas o proyectos mediante ITAR. Otras restricciones aplicables, incluso si no se configuran de forma predeterminada, pueden proporcionar una "defensa en profundidad" adicional para proteger aún más los recursos de Google Cloud de tu organización.

Restricciones de la política de la organización en toda la nube

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización	Descripción
`gcp.resourceLocations`	Se establece en `in:us-locations` como el elemento de lista `allowedValues`. Este valor restringe la creación de recursos nuevos solo al grupo de valores de EE.UU. Cuando se configura, no se pueden crear recursos en ninguna otra región, multirregión ni en ubicaciones fuera de EE.UU. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información. Si cambias este valor, lo que reducirá la posibilidad de que residan la residencia de datos podría ser un problema que permita crearlos o almacenarlos fuera de los límites de datos de EE.UU. Por ejemplo, reemplazar el grupo de valores `in:us-locations` por el grupo de valores `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes: `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Es posible que algunas funciones se vean afectadas por cada uno de los servicios mencionados anteriormente. Consulta la sección Funciones afectadas a continuación. Cada servicio de la lista requiere claves de encriptación administradas por el cliente (CMEK). Las CMEK garantizan que los datos en reposo estén encriptados con una clave administrada por ti, no los mecanismos de encriptación predeterminados de Google. Cambiar este valor si quitas uno o más servicios dentro del alcance de la lista puede socavar la soberanía de datos, ya que los datos en reposo nuevos se encriptarán automáticamente con las propias claves de Google en lugar de la tuya. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
`gcp.restrictCmekCryptoKeyProjects`	Se establece en todos los recursos de la carpeta de ITAR que creaste. Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de KMS para encriptar datos en reposo mediante CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance.
`gcp.restrictServiceUsage`	Configúralo para permitir todos los servicios dentro del alcance. Determina qué servicios se pueden habilitar y usar. A fin de obtener más información, consulta Restringe el uso de recursos para las cargas de trabajo.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización	Descripción
`compute.disableGlobalLoadBalancing`	Configurado como True. Inhabilita la creación de productos de balanceo de cargas globales. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo; te recomendamos que mantengas el valor establecido.
`compute.disableGlobalSelfManagedSslCertificate`	Configurado como True. Inhabilita la creación de certificados SSL autoadministrados globales. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo; te recomendamos que mantengas el valor establecido.
`compute.disableInstanceDataAccessApis`	Configurado como True. Inhabilita de manera global las APIs `instances.getSerialPortOutput()` y `instances.getScreenshot()`. Si habilitas esta política de la organización, no podrás generar credenciales en las VM de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: Habilita SSH para las VM de Windows. Ejecuta el siguiente comando para cambiar la contraseña de la VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Reemplaza lo siguiente: `VM_NAME`: Es el nombre de la VM para la que configuras la contraseña. `USERNAME`: El nombre de usuario del usuario para el que configuras la contraseña. `PASSWORD`: Es la contraseña nueva.
`compute.disableNestedVirtualization`	Configurado como True. Inhabilita la virtualización anidada y acelerada por hardware para todas las VM de Compute Engine de la carpeta ITAR. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo; te recomendamos que mantengas el valor establecido.
`compute.enableComplianceMemoryProtection`	Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo; te recomendamos que mantengas el valor establecido.
`compute.restrictNonConfidentialComputing`	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.
`compute.restrictLoadBalancerCreationForTypes`	Se establece para permitir todos los valores, excepto `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS`. Para obtener más información, consulta Elige un balanceador de cargas.

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización	Descripción
`container.restrictNoncompliantDiagnosticDataAccess`	Configurado como True. Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo; te recomendamos que mantengas el valor establecido.

Funciones afectadas

En esta sección, se enumera cómo las funciones o las capacidades de cada servicio se ven afectadas por ITAR, incluidos los requisitos del usuario cuando se utiliza una función.

Características de Compute Engine

Atributo	Descripción
VM de la solución Bare Metal	Es tu responsabilidad no usar las VM de la solución Bare Metal (VM de o2) porque las VMs de la solución Bare Metal no cumplen con ITAR.
VM de Google Cloud VMware Engine	No es su responsabilidad usar las VMs de Google Cloud VMware Engine, ya que estas no cumplen con ITAR.
Cree una instancia de VM C3	Esta función está inhabilitada.
Usar discos persistentes o sus instantáneas sin CMEK	No puedes usar discos persistentes ni sus instantáneas, a menos que se hayan encriptado con CMEK.
Crea VMs anidadas o que usan la virtualización anidada	No puedes crear VMs anidadas o que usen la virtualización anidada. Esta función está inhabilitada en función de la restricción de la política de la organización `compute.disableNestedVirtualization` que se describe en la sección anterior.
Agrega un grupo de instancias a un balanceador de cargas global	No puedes agregar un grupo de instancias a un balanceador de cargas global. Esta función está inhabilitada en función de la restricción de la política de la organización `compute.disableGlobalLoadBalancing`, que se describe en la sección anterior.
Enruta solicitudes a un balanceador de cargas de HTTPS externo multirregional	No puedes enrutar solicitudes a un balanceador de cargas HTTPS externo multirregional. Esta función está inhabilitada según la restricción de la política de la organización `compute.restrictLoadBalancerCreationForTypes` que se describe en la sección anterior.
Comparte un disco persistente SSD en el modo de escritura múltiple	No puedes compartir un disco persistente SSD en el modo de escritor múltiple entre instancias de VM.
Suspende y reanuda una instancia de VM	Se inhabilitó esta función. Suspender y reanudar una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente que se usa para almacenar el estado de la VM suspendida no se puede encriptar por el uso de CMEK. Consulta la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para comprender las implicaciones de residencia de datos de la habilitación de esta función.
SSD locales	Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque no pueden encriptarse con CMEK. Consulta la restricción de la política de la organización `gcp.restrictNonCmekServices` en la sección anterior para comprender las implicaciones de residencia de datos de la habilitación de esta función.
Entorno huésped	Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a encontrar la residencia de los datos mediante procesos y controles de seguridad internos. Sin embargo, para los usuarios que quieren tener más control, también puedes seleccionar tus propias imágenes o agentes y, de manera opcional, usar la restricción de la política de la organización `compute.trustedImageProjects`. Consulta la página Cómo compilar una imagen personalizada para obtener más información.
`instances.getSerialPortOutput()`	Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo según las instrucciones que se indican en esta página.
`instances.getScreenshot()`	Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización `compute.disableInstanceDataAccessApis` a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo según las instrucciones que se indican en esta página.

Funciones de Cloud Storage

Atributo	Descripción
Consola de Google Cloud	Para mantener el cumplimiento de ITAR, es tu responsabilidad no realizar las siguientes operaciones con la consola de Google Cloud: Sube y descarga objetos. Copiar y mover objetos Operaciones de claves HMAC Operaciones de la cuenta de servicio Operaciones de notificación de Pub/Sub Operaciones de notificación de cambio de objeto Operaciones por lotes
Extremos de API que cumplen con los requisitos	Debes usar uno de los extremos locales que cumplen con las normas de ITAR con Cloud Storage. Los extremos de ubicación están disponibles para todas las regiones de EE.UU., la multirregión de EE.UU. y la birregión predefinida `NAM4`. Los extremos de ubicación no están disponibles para regiones dobles que no sean `NAM4`. Consulta esta página para obtener más información sobre las ubicaciones en Cloud Storage.
Operaciones que no cumplen con las políticas	Las siguientes operaciones no cumplen con ITAR: Operaciones entre ubicaciones, como las siguientes: Copiar objeto de región a región Objeto de reescritura de región a región Operaciones de claves HMAC Operaciones de la cuenta de servicio de IAM Notificaciones de Pub/Sub Notificaciones sobre cambios de objeto Si un usuario intenta realizar una operación no compatible con extremos de ubicación, Cloud Storage mostrará un código de error 400 HTTP con el siguiente mensaje de error: `This endpoint does not implement this operation. Please use the global endpoint.`
CLI de gsutil	Para usar extremos locales con gsutil, necesitas gsutil 4.0 o una versión más reciente. Asegúrate de que el archivo de configuración boto cumpla con los siguientes requisitos: Los encabezados (`gs_host` y `gs_json_host`) de tu archivo .boto se configuran en los extremos de ubicación. Los otros 2 encabezados (`gs_host_header` y `gs_json_host_header`) están vacíos (predeterminados) o configurados de forma explícita en los extremos de ubicación. Se pueden realizar los siguientes cambios en la configuración: [Credentials] gs_host = `LOCATION`-storage.googleapis.com gs_host_header // this should be empty or set to `LOCATION`-storage.googleapis.com gs_json_host = `LOCATION`-storage.googleapis.com gs_json_host_header // this should be empty or set to `LOCATION`-storage.googleapis.com Estos cambios también se pueden proporcionar mediante una anulación de la configuración: gsutil -o'Credentials:gs_host=`LOCATION`-storage.googleapis.com' mb gs://new-bucket gsutil -o'Credentials:gs_json_host=`LOCATION`-storage.googleapis.com' mb gs://new-bucket
Operaciones de objetos	Las siguientes operaciones cumplen con ITAR: Operaciones dentro de la ubicación, que incluyen lo siguiente: `compose` `delete` `get` `insert` `list` `patch` `update` `watchAll` Estas operaciones cumplen con el extremo de ubicación cuando el bucket existe en la misma ubicación que se especifica en el extremo. Las operaciones `copy` y `rewrite` solo se admiten cuando el bucket de origen y el de destino se encuentran en la misma ubicación que se especifica en el extremo.
Operaciones con buckets	Las siguientes operaciones cumplen con ITAR: Las operaciones `Insert` (crear bucket ) se admitirán en el extremo de ubicación solo cuando se crean buckets en esa ubicación: Un usuario puede crear un bucket nuevo solo en la región que especifica el extremo regional. Por ejemplo, una solicitud `create bucket` a `us-central1-storage.googleapis.com` solo se puede usar para crear un bucket en `us-central1`. Si un usuario intenta especificar una región del bucket que es diferente de la del extremo regional, la operación `create bucket` mostrará un error: `INVALID_ARGUMENT`. Si un usuario no establece una ubicación cuando crea un bucket en el extremo de ubicación, la ubicación predeterminada del bucket será la que especifica el extremo regional. Las operaciones `Delete` (borrar bucket s) se admitirán en los extremos por ubicación cuando se borre un bucket en esa ubicación: La operación `delete bucket` solo funcionará si el bucket especificado en la solicitud existe en la ubicación especificada en el nombre del extremo. Si un usuario intenta especificar un bucket que no existe en la misma región que el extremo, la operación mostrará un error `NOT FOUND`. Los extremos globales también se pueden usar para borrar buckets de una ubicación diferente. También se admiten otras operaciones de bucket, siempre que exista en la ubicación especificada en el extremo: `get` `getIamPolicy` `list` `lockRetentionPolicy` `patch` `setIamPolicy` `testIamPermissions` `update`

Características de Cloud Interconnect

Atributo	Descripción
VPN con alta disponibilidad (HA)	Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en esta sección.

Características de Cloud Load Balancing

Atributo	Descripción
Balanceadores de cargas regionales	Solo debes usar balanceadores de cargas regionales con ITAR. Consulta las siguientes páginas para obtener más información sobre la configuración de balanceadores de cargas regionales: Balanceo de cargas de HTTP(S) interno Balanceo de cargas de HTTP(S) externo regional Balanceo de cargas TCP/UDP interno Balanceo de cargas TCP/UDP externo

Características de VPC

Atributo	Descripción
Subredes	Solo debes asignar subredes a las regiones de EE.UU.

Características de Cloud VPN

Atributo	Descripción
Encriptación	Solo debes usar algoritmos de cifrado que cumplan con FIPS 140-2 cuando crees certificados y configures tu seguridad de IP. Consulta esta página para obtener más información sobre los cifrados compatibles en Cloud VPN. Para obtener información sobre cómo seleccionar un algoritmo de cifrado que cumpla con los estándares FIPS 140-2, consulta esta página. Por el momento, no hay forma de cambiar un algoritmo de cifrado existente en Google Cloud. Asegúrate de configurar el cifrado en el dispositivo de terceros que se usa con Cloud VPN.
Extremos de VPN	Solo debes usar los extremos de Cloud VPN que se encuentren en EE.UU. Asegúrate de que la puerta de enlace de VPN esté configurada para usarse solo en una región de EE.UU.

Atributo

Descripción

Encriptación

Solo debes usar algoritmos de cifrado que cumplan con FIPS 140-2 cuando crees certificados y configures tu seguridad de IP. Consulta esta página para obtener más información sobre los cifrados compatibles en Cloud VPN. Para obtener información sobre cómo seleccionar un algoritmo de cifrado que cumpla con los estándares FIPS 140-2, consulta esta página.

Por el momento, no hay forma de cambiar un algoritmo de cifrado existente en Google Cloud. Asegúrate de configurar el cifrado en el dispositivo de terceros que se usa con Cloud VPN.

Extremos de VPN

Solo debes usar los extremos de Cloud VPN que se encuentren en EE.UU. Asegúrate de que la puerta de enlace de VPN esté configurada para usarse solo en una región de EE.UU.