Cette page a été traduite par l'API Cloud Translation.

Restrictions et limites liées à la réglementation ITAR

Cette page décrit les restrictions, les limites et d'autres configurations lorsque vous utilisez le package de contrôle ITAR.

Présentation

L'ensemble de contrôle ITAR (International Traffic in Arms Regulations) permet le contrôle des accès aux données et les fonctionnalités de résidence services Google Cloud couverts. Certains de ces services fonctionnalités sont restreintes ou limitées par Google afin d'être compatibles avec la norme ITAR. La plupart de ces restrictions et limites sont appliquées lors de la création d'un dossier Assured Workloads pour l'ITAR. Toutefois, certaines d'entre elles peuvent être modifiées ultérieurement en modifiant les règles d'administration. De plus, certaines restrictions et limitations impliquent la responsabilité de l'utilisateur. d'adhésion.

Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné, ou affectent l'accès aux données ou la résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir le respect des restrictions d'accès aux données et de la résidence des données. En outre, si un paramètre de règle d'administration est modifié, cela peut avoir des conséquences inattendues de copier des données d'une région à une autre.

Prérequis

Pour rester conforme en tant qu'utilisateur du package de contrôle ITAR, assurez-vous de remplir les conditions préalables suivantes et de les respecter :

Créez un dossier ITAR avec Assured Workloads et déployez votre ITAR les charges de travail dans ce dossier.
Activer et utiliser uniquement les services ITAR couverts pour les charges de travail ITAR
Ne pas modifier la valeur par défaut valeurs de contrainte des règles d'administration, sauf si vous comprenez et sont disposées à accepter les risques de résidence des données qui peuvent survenir.
Lorsque vous vous connectez aux points de terminaison de service Google Cloud, vous devez utiliser des points de terminaison régionaux pour les services qui les proposent. Notez également les points suivants:
- Lorsque vous vous connectez aux points de terminaison de service Google Cloud à partir de VM autres que Google Cloud (VM sur site ou VM d'autres fournisseurs de services cloud, par exemple), vous devez utiliser l'une des options d'accès privé disponibles qui acceptent les connexions à des VM autres que Google Cloud pour acheminer le trafic autre que Google Cloud vers Google Cloud.
- Lorsque vous vous connectez aux points de terminaison de service Google Cloud à partir de VM Google Cloud, vous pouvez utiliser l'une des options d'accès privé disponibles.
- Lors de la connexion à des VM Google Cloud exposées avec une adresse IP externe adresse e-mail, reportez-vous à Accédez aux API à partir de VM disposant d'adresses IP externes.
Pour tous les services utilisés dans un dossier ITAR, ne stockez pas de données techniques dans les types d'informations de configuration de sécurité ou définies par l'utilisateur suivants :
- Messages d'erreur
- Sortie vers la console
- Données d'attribut
- Données de configuration du service
- En-têtes de paquets réseau
- Identifiants de ressource
- Étiquettes de données
N'utilisez que les points de terminaison régionaux ou locaux spécifiés pour les services qui : leur proposer. Pour en savoir plus, consultez la section Services ITAR concernés.
Envisagez d'adopter les bonnes pratiques de sécurité générales fournies dans le Centre des bonnes pratiques de sécurité dans Google Cloud.

Services couverts

Sauf indication contraire, les utilisateurs peuvent accéder à tous les services couverts via la console Google Cloud.

Les services suivants sont compatibles avec l'ITAR :

Produit compatible	Points de terminaison d'API conformes à la réglementation ITAR	Restrictions ou limitations
Artifact Registry	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux : artifactregistry.googleapis.com	Aucun
BigQuery	Points de terminaison régionaux de l'API: bigquery.us-west1.rep.googleapis.com bigquery.us-east4.rep.googleapis.com bigquerymigration.us-west1.rep.googleapis.com bigquerymigration.us-east4.rep.googleapis.com bigqueryreservation.us-west1.rep.googleapis.com bigqueryreservation.us-east4.rep.googleapis.com bigquerystorage.us-west1.rep.googleapis.com bigquerystorage.us-east4.rep.googleapis.com bigquerydatatransfer.us-west1.rep.googleapis.com bigquerydatatransfer.us-east4.rep.googleapis.com Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison globaux de l'API ne sont pas acceptés.	Fonctionnalités concernées
Certificate Authority Service	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API: privateca.googleapis.com	Aucun
Cloud External Key Manager (Cloud EKM)	Les points de terminaison régionaux de l'API ne sont pas acceptés. Points de terminaison de l'API Location : us-west1-cloudkms.googleapis.com us-east4-cloudkms.googleapis.com Les points de terminaison d'API globaux ne sont pas compatibles.	Aucun
Compute Engine	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API: compute.googleapis.com	Fonctionnalités concernées et contraintes liées aux règles d'administration
Cloud DNS	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux : dns.googleapis.com	Fonctionnalités concernées
Dataflow	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux : dataflow.googleapis.com datapipelines.googleapis.com	Aucun
Dataproc	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux : dataproc-control.googleapis.com dataproc.googleapis.com	Aucun
Filestore	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux : file.googleapis.com	Aucun
Cloud Storage	Points de terminaison d'API régionaux : storage.us-central1.rep.googleapis.com storage.us-central2.rep.googleapis.com storage.us-east1.rep.googleapis.com storage.us-east4.rep.googleapis.com storage.us-east5.rep.googleapis.com storage.us-east7.rep.googleapis.com storage.us-south1.rep.googleapis.com storage.us-west1.rep.googleapis.com storage.us-west2.rep.googleapis.com storage.us-west3.rep.googleapis.com storage.us-west4.rep.googleapis.com Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison d'API globaux ne sont pas compatibles.	Fonctionnalités concernées
Google Kubernetes Engine	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API: container.googleapis.com containersecurity.googleapis.com	Fonctionnalités concernées et contraintes liées aux règles d'administration
Cloud HSM	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API: cloudkms.googleapis.com	Aucun
Identity and Access Management (IAM)	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API: iam.googleapis.com	Aucun
Identity-Aware Proxy (IAP)	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API: iap.googleapis.com	Aucun
Cloud Interconnect	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux : networkconnectivity.googleapis.com	Fonctionnalités concernées
Cloud Key Management Service (Cloud KMS)	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux : cloudkms.googleapis.com	Aucun
Cloud Load Balancing	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux : compute.googleapis.com	Fonctionnalités concernées
Cloud Logging	Points de terminaison régionaux de l'API: logging.us-west1.rep.googleapis.com logging.us-east4.rep.googleapis.com Les points de terminaison de l'API de localisation ne sont pas acceptés. Les points de terminaison d'API globaux ne sont pas compatibles.	Fonctionnalités concernées
Cloud Monitoring	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API: monitoring.googleapis.com	Fonctionnalités concernées
Cloud NAT	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison mondiaux de l'API: networkconnectivity.googleapis.com	Fonctionnalités concernées
Network Connectivity Center	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux : networkconnectivity.googleapis.com	Fonctionnalités concernées
Persistent Disk	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux : compute.googleapis.com	Aucun
Pub/Sub	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison mondiaux de l'API: pubsub.googleapis.com	Aucun
Cloud Router	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux : networkconnectivity.googleapis.com	Fonctionnalités concernées
Cloud SQL	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux : sqladmin.googleapis.com	Fonctionnalités concernées
Cloud privé virtuel (VPC)	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison de l'API de localisation ne sont pas acceptés. Points de terminaison d'API globaux : compute.googleapis.com	Fonctionnalités concernées
VPC Service Controls	Les points de terminaison régionaux de l'API ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux : accesscontextmanager.googleapis.com	Aucun
Cloud VPN	Les points de terminaison d'API régionaux ne sont pas acceptés. Les points de terminaison d'API localisés ne sont pas acceptés. Points de terminaison d'API globaux : compute.googleapis.com	Fonctionnalités concernées

Règles d'administration

Cette section décrit l'impact des valeurs de contrainte par défaut des règles de l'organisation sur chaque service lorsque des dossiers ou des projets sont créés à l'aide d'ITAR. Autre applicables, même si elles ne sont pas définies par défaut, peuvent fournir de sécurité en profondeur pour mieux protéger la sécurité aux ressources Google Cloud.

Contraintes liées aux règles d'administration à l'échelle du cloud

Les éléments suivants : Contraintes liées aux règles d'administration applicables à tous les services Google Cloud applicables.

Contrainte liée aux règles d'administration	Description
`gcp.resourceLocations`	Définissez `in:us-locations` comme élément de liste `allowedValues`. Cette valeur limite la création de ressources au groupe de valeurs "US" uniquement. Si ce paramètre est défini, aucune ressource ne peut être créée dans d'autres régions, des emplacements multirégionaux ou des emplacements situés en dehors des États-Unis. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration. Modifier cette valeur pour la rendre moins restrictive compromet la résidence des données en autorisant la création ou le stockage de données en dehors de la limite des données des États-Unis. Par exemple: remplacer le Groupe de valeurs `in:us-locations` avec le paramètre Groupe de valeurs `in:northamerica-locations`.
`gcp.restrictNonCmekServices`	Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris : `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` Certaines fonctionnalités peuvent être concernées pour chacun des services listés ci-dessus. Consultez la section Fonctionnalités concernées ci-dessous. Chaque service répertorié nécessite Clés de chiffrement gérées par le client (CMEK). Le chiffrement CMEK garantit que les données au repos sont chiffrées à l'aide d'une clé que vous gérez, les mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts par le champ d'application peut affaiblir les données souveraineté des données, car les nouvelles données au repos sont automatiquement chiffrées clés au lieu des vôtres. Les données au repos existantes restent chiffrées que vous avez fournie.
`gcp.restrictCmekCryptoKeyProjects`	Définissez-le sur toutes les ressources du dossier "ITAR" que vous avez créé. Limite le champ d'application des dossiers ou projets approuvés pouvant fournir Clés KMS pour chiffrer les données au repos à l'aide de clés CMEK. Cette contrainte empêche les dossiers ou projets non approuvés de fournir des clés de chiffrement, ce qui permet de garantir la souveraineté des données pour les données au repos des services concernés.
`gcp.restrictServiceUsage`	Définissez ce paramètre pour autoriser tous les services couverts. Détermine quels services peuvent être activés et utilisés. Pour plus d'informations, voir Limitez l'utilisation des ressources pour les charges de travail.

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration	Description
`compute.disableGlobalLoadBalancing`	Défini sur True. Désactive la création de produits d'équilibrage de charge mondiaux. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. nous recommande de conserver la valeur définie.
`compute.disableGlobalSelfManagedSslCertificate`	Défini sur True. Désactive la création de certificats SSL autogérés au niveau mondial. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.
`compute.disableInstanceDataAccessApis`	Défini sur True. Désactive globalement les API `instances.getSerialPortOutput()` et `instances.getScreenshot()`. L'activation de cette règle d'administration vous empêche de générer des identifiants sur des VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, suivantes: Activez SSH pour les VM Windows. Exécutez la commande suivante pour modifier le mot de passe de la VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" Remplacez les éléments suivants : `VM_NAME`: nom de la VM pour laquelle vous définissez le mot de passe . `USERNAME` : nom d'utilisateur de l'utilisateur pour lequel vous définissez le mot de passe. `PASSWORD`: nouveau mot de passe
`compute.disableNestedVirtualization`	Défini sur True. Désactive la virtualisation imbriquée avec accélération matérielle pour tous des VM Compute Engine dans le dossier ITAR. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.
`compute.enableComplianceMemoryProtection`	Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour assurer une protection supplémentaire du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.
`compute.restrictNonConfidentialComputing`	(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour fournir une défense en profondeur. Pour en savoir plus, consultez la documentation sur Confidential VM.
`compute.restrictLoadBalancerCreationForTypes`	Définir pour autoriser toutes les valeurs, sauf les suivantes : `GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS` Pour en savoir plus, consultez la page Choisir un équilibreur de charge.

Contraintes liées aux règles d'administration de Google Kubernetes Engine

Contrainte liée aux règles d'administration	Description
`container.restrictNoncompliantDiagnosticDataAccess`	Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données de votre charge de travail. nous recommande de conserver la valeur définie.

Fonctionnalités concernées

Cette section liste la manière dont les fonctionnalités de chaque service sont affectées par ITAR, y compris les exigences des utilisateurs lors de l'utilisation d'une fonctionnalité.

Fonctionnalités de BigQuery

Caractéristique	Description
Activer BigQuery sur un nouveau dossier	BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier de charges de travail assurées en raison d'un processus de configuration interne. Ce processus normalement se termine en dix minutes, mais peut prendre beaucoup plus de temps dans certaines circonstances. Pour vérifier si le processus est terminé et pour activer BigQuery, procédez comme suit : Dans la console Google Cloud, accédez à la page Assured Workloads. Accéder à Assured Workloads Sélectionnez votre nouveau dossier Assured Workloads dans la liste. Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles. Dans le volet Services autorisés, examinez les services à ajouter à la règle d'administration Restrictions d'utilisation des ressources pour le dossier. Si les services BigQuery sont répertoriés, cliquez sur Cliquez sur Autoriser les services pour les ajouter. Si les services BigQuery ne sont pas listés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud. Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery Dossier Assured Workloads. Gemini dans BigQuery n'est pas compatible avec Assured Workloads.
Fonctionnalités non compatibles	Les fonctionnalités BigQuery suivantes ne sont pas compatibles et sont désactivées pour être conformes aux ITAR : Les modèles BQML entraînés en externe ne sont pas conformes à l'ITAR. Les modèles BQML entraînés en interne sont conformes à l'ITAR. Requêtes fédérées Masquage des données et contrôle des accès au niveau des colonnes: La création de taxonomies de tags avec stratégie est désactivée Analytics Hub Exportation GDrive Fonctions à distance Requêtes enregistrées Planification des workflows Pour BigQuery Studio, les notebooks sont non pris en charge. Requêtes continues
API BigQuery conformes	Les API BigQuery suivantes sont conformes à la norme ITAR: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com L'API Réservations n'est pas activée par défaut. Toi vous pouvez activer l'API en suivant les instructions cette page.
Régions	BigQuery est conforme à l'ITAR pour tous les BigQuery États-Unis à l'exception de l'emplacement multirégional des États-Unis. La conformité aux ITAR ne peut pas être garantie si un ensemble de données est créé dans une zone multirégionale des États-Unis, une région en dehors des États-Unis ou une zone multirégionale en dehors des États-Unis. Il est de la responsabilité du client de spécifier une région conforme à l'ITAR lors de la création d'ensembles de données BigQuery.
Charger des données	Connecteurs du service de transfert de données BigQuery pour les logiciels Google d'applications en tant que service (SaaS), de fournisseurs de stockage cloud externes ne sont pas conformes à la norme ITAR. Les clients ne peuvent utiliser Transfert de stockage Cloud dans un environnement ITAR.
Connexions à des sources de données externes	La responsabilité de Google en matière de conformité est limitée aux fonctionnalités de l'API BigQuery Connection. Il incombe au client de assurer la conformité des produits sources utilisés avec API BigQuery Connection.
Requêtes sur des ensembles de données ITAR à partir de projets non ITAR	BigQuery n'empêche pas les requêtes sur les ensembles de données ITAR à partir de projets non ITAR. Les clients doivent s'assurer que toute requête comportant une lecture ou une jointure sur des données techniques ITAR est placée dans un dossier conforme à l'ITAR.

Fonctionnalités de Compute Engine

Extraction	Description
console Google Cloud	Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans le console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI : Vérifications d'état Groupes de points de terminaison du réseau
VM de la solution Bare Metal	Il est de votre responsabilité de ne pas utiliser de VM de solution Bare Metal (VM o2), car Les VM de la solution Bare Metal ne sont pas conformes aux normes ITAR.
VM Google Cloud VMware Engine	Il vous incombe de ne pas utiliser de VM Google Cloud VMware Engine, car elles ne sont pas conformes à l'ITAR.
Créer une instance de VM C3	Cette fonctionnalité est désactivée.
Utiliser des disques persistants ou leurs instantanés sans CMEK	Vous ne pouvez pas utiliser de disques persistants ni leurs instantanés, à moins qu'ils n'aient a été chiffré à l'aide d'une clé CMEK.
Créer des VM imbriquées ou des VM qui utilisent la virtualisation imbriquée	Vous ne pouvez pas créer de VM imbriquées ni de VM qui utilisent la virtualisation imbriquée. Cette fonctionnalité est désactivée par le Règle d'administration `compute.disableNestedVirtualization` décrite dans la section ci-dessus.
Ajouter un groupe d'instances à un équilibreur de charge global	Vous ne pouvez pas ajouter un groupe d'instances à un équilibreur de charge global. Cette fonctionnalité est désactivée par le Contrainte de règle d'administration `compute.disableGlobalLoadBalancing` décrites dans la section ci-dessus.
Acheminer des requêtes vers un équilibreur de charge HTTPS externe multirégional	Vous ne pouvez pas acheminer les requêtes vers un équilibreur de charge HTTPS externe multirégional. Cette fonctionnalité est désactivée par la contrainte de règle d'organisation `compute.restrictLoadBalancerCreationForTypes` décrite dans la section ci-dessus.
Partager un disque persistant SSD en mode écriture simultanée	Vous ne pouvez pas partager un disque persistant SSD en mode multi-écrivain entre d'instances de VM.
Suspendre et réactiver une instance de VM	Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration `gcp.restrictNonCmekServices` dans la section ci-dessus pour comprendre les conséquences de l'activation de cette fonctionnalité sur la résidence des données.
Disques SSD locaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrées à l'aide d'une clé CMEK. Consultez la contrainte de règle d'administration `gcp.restrictNonCmekServices` dans la section ci-dessus pour comprendre les conséquences de l'activation de cette fonctionnalité sur la résidence des données.
Environnement invité	Les scripts, les daemons et les binaires inclus avec l'environnement invité peuvent accéder aux données au repos et en cours d'utilisation non chiffrées. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Voir l'environnement invité pour obtenir des informations spécifiques le contenu de chaque package, le code source, etc. Ces composants vous aident à respecter la résidence des données grâce à des contrôles et des processus de sécurité internes. Toutefois, pour les utilisateurs qui souhaitent un contrôle supplémentaire, vous pouvez également sélectionner vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration `compute.trustedImageProjects`. Pour en savoir plus, consultez la page Créer une image personnalisée.
`instances.getSerialPortOutput()`	Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration `compute.disableInstanceDataAccessApis` sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.
`instances.getScreenshot()`	Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Modifier l'organisation `compute.disableInstanceDataAccessApis` la valeur de la contrainte de règle sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.

Fonctionnalités de Cloud DNS

Caractéristique	Description
console Google Cloud	Les fonctionnalités Cloud DNS ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI.

Fonctionnalités de Cloud Interconnect

Caractéristique	Description
console Google Cloud	Les fonctionnalités Cloud Interconnect ne sont pas disponibles console Google Cloud. Utilisez le API ou Google Cloud CLI à la place.
VPN haute disponibilité	Vous devez activer la fonctionnalité VPN haute disponibilité (HA) lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation indiquées dans cette section.

Fonctionnalités de Cloud Load Balancing

Caractéristique	Description
console Google Cloud	Les fonctionnalités de Cloud Load Balancing ne sont pas disponibles dans le console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.
Équilibreurs de charge régionaux	Vous ne devez utiliser que des équilibreurs de charge régionaux avec ITAR. Consultez les ressources suivantes : pour en savoir plus sur la configuration des équilibreurs de charge régionaux: Équilibreur de charge d'application interne Équilibreur de charge d'application externe régional Équilibreur de charge réseau passthrough interne Équilibreur de charge réseau passthrough externe

Caractéristique

Description

console Google Cloud

Les fonctionnalités de Cloud Load Balancing ne sont pas disponibles dans le console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.

Équilibreurs de charge régionaux

Vous ne devez utiliser que des équilibreurs de charge régionaux avec ITAR. Consultez les ressources suivantes : pour en savoir plus sur la configuration des équilibreurs de charge régionaux:

Fonctionnalités de Cloud Logging

Pour utiliser Cloud Logging avec des clés de chiffrement gérées par le client (CMEK), vous devez suivez les étapes du Activer les CMEK pour une organisation dans la documentation Cloud Logging.

Caractéristique	Description
Récepteurs de journaux	N'insérez pas d'informations sensibles (données client) dans les filtres de récepteurs. Les filtres de destination sont traités comme des données de service.
Affichage en direct des dernières lignes des entrées de journal	Ne créez pas de filtres contenant des données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. Les journaux de suivi ne stockent pas de données d'entrée de journal, mais peuvent interroger et transmettre des données entre les régions.
Alertes basées sur des journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud.
URL abrégées pour les requêtes de l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud.
Enregistrer des requêtes dans l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud.
Analyse de journaux avec BigQuery	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité Log Analytics.
Règles d'alerte basées sur SQL	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité de règles d'alerte basées sur SQL.

Fonctionnalités de Cloud Monitoring

Caractéristique	Description
Écran synthétique	Cette fonctionnalité est désactivée.
Test de disponibilité	Cette fonctionnalité est désactivée.
Widgets du panneau des journaux dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journalisation à un tableau de bord.
Widgets de panneau de création de rapports d'erreur dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement d'erreurs à un tableau de bord.
Filtrer dans `EventAnnotation` pour Tableaux de bord	Cette fonctionnalité est désactivée. Filtre sur `EventAnnotation` ne peuvent pas être définies dans un tableau de bord.
`SqlCondition` dans `alertPolicies`	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de `SqlCondition` à un `alertPolicy`

Fonctionnalités de Network Connectivity Center

Caractéristique	Description
console Google Cloud	Les fonctionnalités du Centre de connectivité réseau ne sont pas disponibles dans la console Google Cloud. Utilisez l'API ou la Google Cloud CLI à la place.

Fonctionnalités Cloud NAT

Caractéristique	Description
console Google Cloud	Les fonctionnalités Cloud NAT ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI.

Fonctionnalités de Cloud Router

Caractéristique	Description
console Google Cloud	Les fonctionnalités de Cloud Router ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI.

Fonctionnalités de Cloud SQL

Caractéristique	Description
Exportation au format CSV	L'exportation au format CSV n'est pas conforme à l'ITAR et ne doit pas être utilisée. Cette fonctionnalité est désactivée dans la console Google Cloud.
`executeSql`	La méthode `executeSql` de l'API Cloud SQL n'est pas sont conformes à la norme ITAR et ne doivent pas être utilisées.

Fonctionnalités de Cloud Storage

Caractéristique	Description
console Google Cloud	Pour assurer la conformité ITAR, il est de votre responsabilité d'utiliser la console Google Cloud juridictionnelle. La console Jurisdictional empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison d'API conformes ci-dessous.
Points de terminaison d'API conformes	Vous devez utiliser l'un des points de terminaison régionaux Cloud Storage. Voir Points de terminaison régionaux Cloud Storage et les emplacements Cloud Storage pour plus d'informations.
Restrictions	Vous devez utiliser des points de terminaison régionaux Cloud Storage pour être conforme à l'ITAR. Pour en savoir plus sur l'utilisation de Cloud Storage régional pour l'ITAR, consultez Points de terminaison régionaux Cloud Storage. Les opérations suivantes ne sont pas compatibles avec les points de terminaison régionaux. Toutefois, ces opérations ne transfèrent pas de données client telles que définies dans les Conditions d'utilisation du service de résidence des données. Par conséquent, vous pouvez utiliser des points de terminaison mondiaux pour ces opérations si nécessaire, sans enfreindre la conformité ITAR: Opérations de clé HMAC Opérations du compte de service IAM Notifications Pub/Sub Notifications de modification d'objet Si un utilisateur tente d'effectuer une opération non prise en charge à l'aide de points de terminaison régionaux, Cloud Storage renvoie une erreur HTTP 400 code avec le message d'erreur: `This endpoint does not implement this operation. Please use the global endpoint.`
Copier et réécrire pour les objets	Opérations de copie et de réécriture pour sont pris en charge par les points de terminaison régionaux si la source buckets de destination sont situés dans la région spécifiée dans le point de terminaison. Toutefois, vous ne pouvez pas utiliser de points de terminaison régionaux pour copier ou réécrire un objet d'un bucket à un autre si les buckets se trouvent dans des emplacements différents. Il il est possible d'utiliser des points de terminaison mondiaux pour copier ou réécrire d'un emplacement à un autre, mais nous le déconseillons, car cela pourrait enfreindre la conformité ITAR.

Fonctionnalités de GKE

Caractéristique	Description
Restrictions de ressources de cluster	Assurez-vous que votre configuration de cluster n'utilise pas de ressources pour services non pris en charge par le programme de conformité ITAR. Par exemple : la configuration suivante n'est pas valide car elle nécessite l'activation utilise un service non compatible: set `binaryAuthorization.evaluationMode` to `enabled`

Fonctionnalités VPC

Caractéristique	Description
console Google Cloud	Les fonctionnalités de mise en réseau VPC ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.

Fonctionnalités de Cloud VPN

Caractéristique	Description
console Google Cloud	Les fonctionnalités du VPN Cloud ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou la Google Cloud CLI.
Chiffrement	Vous ne devez utiliser que des algorithmes de chiffrement conformes à la norme FIPS 140-2 lorsque vous créez les certificats et la configuration de la sécurité de vos adresses IP. Pour en savoir plus sur les algorithmes de chiffrement compatibles avec Cloud VPN, consultez cette page. Pour des conseils sur le choix d’un chiffrement conforme aux normes FIPS 140-2, consultez cette page. Il n'existe actuellement aucun moyen de modifier un chiffrement existant dans Google Cloud. Veillez à configurer votre algorithme de chiffrement sur votre dispositif tiers utilisé avec Cloud VPN.
Points de terminaison VPN	Vous ne devez utiliser que des points de terminaison Cloud VPN situés aux États-Unis. Assurez-vous que votre passerelle VPN est configurée pour être utilisée dans une région des États-Unis uniquement.

Notes de bas de page

2. BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un Dossier Assured Workloads en raison d'un processus de configuration interne. Cette procédure se termine normalement en 10 minutes, mais peut prendre beaucoup plus de temps dans certains cas. Pour vérifier si le processus est terminé et pour activer BigQuery, procédez comme suit :

Dans la console Google Cloud, accédez à la page Assured Workloads.
Accéder à Assured Workloads
Sélectionnez votre nouveau dossier Assured Workloads dans la liste.
Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles.
Dans le volet Services autorisés, examinez les services à ajouter à la règle d'administration Restrictions d'utilisation des ressources pour le dossier. Si des services BigQuery sont listés, cliquez sur Allow Services (Autoriser les services) pour les ajouter.

Si les services BigQuery ne sont pas listés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud.

Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads.

Gemini dans BigQuery n'est pas compatible avec Assured Workloads.

Étape suivante

Découvrez le package de contrôle ITAR.
Découvrez les produits compatibles pour chaque package de contrôle.