Restrictions et limites liées à la réglementation ITAR

Cette page décrit les restrictions, les limites et les autres options de configuration lorsque vous utilisez le package de contrôle ITAR.

Présentation

Le package de contrôle ITAR (International Traffic in Arms Regulations) permet de contrôler l'accès aux données et les fonctionnalités de résidence pour les services Google Cloud concernés. Certaines fonctionnalités de ces services sont limitées par Google pour être compatibles avec l'ITAR. La plupart de ces restrictions et limites sont appliquées lors de la création d'un dossier Assured Workloads pour l'ITAR. Toutefois, certaines d'entre elles peuvent être modifiées ultérieurement en modifiant les règles d'administration. De plus, certaines restrictions et limites sont de la responsabilité des utilisateurs.

Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné, ou affectent l'accès aux données ou la résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir le respect des restrictions d'accès aux données et de la résidence des données. En outre, si un paramètre de règle d'administration est modifié, il peut en résulter la conséquence imprévue de copie de données d'une région à une autre.

Prérequis

Pour rester conforme en tant qu'utilisateur du package de contrôle ITAR, assurez-vous de remplir les conditions préalables suivantes et de les respecter:

  • Créez un dossier ITAR à l'aide d'Assured Workloads et ne déployez vos charges de travail ITAR que dans ce dossier.
  • N'activez et n'utilisez que les services ITAR concernés pour les charges de travail ITAR.
  • Ne modifiez pas les valeurs par défaut des contraintes de règle d'administration, sauf si vous comprenez et acceptez les risques de résidence des données qui peuvent survenir.
  • Lorsque vous vous connectez à des points de terminaison de service Google Cloud , vous devez utiliser des points de terminaison régionaux pour les services qui les proposent. En outre :
    • Lorsque vous vous connectez à des points de terminaison de service à partir de VM autres queGoogle Cloud(par exemple, des VM sur site ou d'autres fournisseurs de services cloud), vous devez utiliser l'une des options d'accès privé disponibles qui acceptent les connexions à des VM autres queGoogle Cloud pour acheminer le trafic autre queGoogle Cloud vers Google Cloud. Google Cloud
    • Lorsque vous vous connectez à des Google Cloud points de terminaison de service à partir de Google Cloud VM, vous pouvez utiliser l'une des options d'accès privé disponibles.
    • Lorsque vous vous connectez à des VM Google Cloud exposées avec des adresses IP externes, consultez la section Accéder aux API à partir de VM avec des adresses IP externes.
  • Pour tous les services utilisés dans un dossier ITAR, ne stockez pas de données techniques dans les types d'informations de configuration de sécurité ou définies par l'utilisateur suivants :
    • Messages d'erreur
    • Sortie vers la console
    • Données d'attribut
    • Données de configuration du service
    • En-têtes de paquets réseau
    • Identifiants de ressource
    • Libellés de données
  • N'utilisez que les points de terminaison régionaux ou localisés spécifiés pour les services qui les proposent. Pour en savoir plus, consultez la section Services ITAR concernés.
  • Envisagez d'adopter les bonnes pratiques de sécurité générales fournies dans le Google Cloud centre des bonnes pratiques de sécurité.

Services couverts

Sauf indication contraire, les utilisateurs peuvent accéder à tous les services concernés via la console Google Cloud.

Les services suivants sont compatibles avec l'ITAR:

Produit compatible Points de terminaison d'API conformes à la réglementation ITAR Restrictions ou limites
Artifact Registry Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • artifactregistry.googleapis.com
Aucun
BigQuery Points de terminaison d'API régionaux :
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.googleapis.com
  • bigquerydatatransfer.us-east4.rep.googleapis.com

Les points de terminaison d'API localisés ne sont pas acceptés.
Les points de terminaison d'API globaux ne sont pas compatibles.
Fonctionnalités concernées
Certificate Authority Service Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • privateca.googleapis.com
Aucun
Cloud External Key Manager (Cloud EKM) Les points de terminaison d'API régionaux ne sont pas acceptés.

Points de terminaison de l'API Location :
  • us-west1-cloudkms.googleapis.com
  • us-east4-cloudkms.googleapis.com

Les points de terminaison d'API globaux ne sont pas compatibles.
Aucun
Cloud Run Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • run.googleapis.com
Fonctionnalités concernées
Compute Engine Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • compute.googleapis.com
Fonctionnalités concernées et contraintes liées aux règles d'administration
Cloud DNS Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • dns.googleapis.com
Fonctionnalités concernées
Dataflow Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
Aucun
Dataproc Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
Aucun
Filestore Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • file.googleapis.com
Aucun
Cloud Storage Points de terminaison d'API régionaux :
  • storage.us-central1.rep.googleapis.com
  • storage.us-central2.rep.googleapis.com
  • storage.us-east1.rep.googleapis.com
  • storage.us-east4.rep.googleapis.com
  • storage.us-east5.rep.googleapis.com
  • storage.us-east7.rep.googleapis.com
  • storage.us-south1.rep.googleapis.com
  • storage.us-west1.rep.googleapis.com
  • storage.us-west2.rep.googleapis.com
  • storage.us-west3.rep.googleapis.com
  • storage.us-west4.rep.googleapis.com

Les points de terminaison d'API localisés ne sont pas acceptés.
Les points de terminaison d'API globaux ne sont pas compatibles.
Fonctionnalités concernées
Google Kubernetes Engine Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • container.googleapis.com
  • containersecurity.googleapis.com
Fonctionnalités concernées et contraintes liées aux règles d'administration
Cloud HSM Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • cloudkms.googleapis.com
Aucun
Identity and Access Management (IAM) Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • iam.googleapis.com
Aucun
Identity-Aware Proxy (IAP) Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • iap.googleapis.com
Aucun
Cloud Interconnect Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • networkconnectivity.googleapis.com
Fonctionnalités concernées
Cloud Key Management Service (Cloud KMS) Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • cloudkms.googleapis.com
Aucun
Cloud Load Balancing Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • compute.googleapis.com
Fonctionnalités concernées
Cloud Logging Points de terminaison d'API régionaux :
  • logging.us-west1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com

Les points de terminaison d'API localisés ne sont pas acceptés.
Les points de terminaison d'API globaux ne sont pas compatibles.
Fonctionnalités concernées
Cloud Monitoring Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • monitoring.googleapis.com
Fonctionnalités concernées
Cloud NAT Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • networkconnectivity.googleapis.com
Fonctionnalités concernées
Network Connectivity Center Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • networkconnectivity.googleapis.com
Fonctionnalités concernées
Persistent Disk Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • compute.googleapis.com
Aucun
Pub/Sub Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • pubsub.googleapis.com
Aucun
Cloud Router Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • networkconnectivity.googleapis.com
Fonctionnalités concernées
Cloud SQL Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • sqladmin.googleapis.com
Fonctionnalités concernées
Cloud privé virtuel (VPC) Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • compute.googleapis.com
Fonctionnalités concernées
VPC Service Controls Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • accesscontextmanager.googleapis.com
Aucun
Cloud VPN Les points de terminaison d'API régionaux ne sont pas acceptés.
Les points de terminaison d'API localisés ne sont pas acceptés.

Points de terminaison d'API globaux :
  • compute.googleapis.com
Fonctionnalités concernées

Règles d'administration

Cette section décrit l'impact des valeurs de contrainte par défaut des règles de l'organisation sur chaque service lorsque des dossiers ou des projets sont créés à l'aide d'ITAR. D'autres contraintes applicables, même si elles ne sont pas définies par défaut, peuvent fournir une"défense en profondeur" supplémentaire pour mieux protéger les ressourcesGoogle Cloud de votre organisation.

Contraintes liées aux règles d'administration au niveau du cloud

Les contraintes liées aux règles d'administration suivantes s'appliquent à tous les services Google Cloud applicables.

Contrainte liée aux règles d'administration Description
gcp.resourceLocations Définissez in:us-locations comme élément de liste allowedValues.

Cette valeur limite la création de ressources au groupe de valeurs États-Unis uniquement. Lorsque cette valeur est définie, aucune ressource ne peut être créée dans d'autres régions, multirégions ou emplacements en dehors des États-Unis. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration.

Si vous modifiez cette valeur pour la rendre moins restrictive, cela peut compromettre la résidence des données en autorisant la création ou le stockage de données en dehors de la limite des données des États-Unis. Par exemple: remplacement du groupe de valeurs in:us-locations par le groupe de valeurs in:northamerica-locations.
gcp.restrictNonCmekServices Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
  • compute.googleapis.com
  • container.googleapis.com
  • run.googleapis.com
  • storage.googleapis.com
Certaines fonctionnalités peuvent être concernées pour chacun des services listés ci-dessus. Consultez la section Fonctionnalités concernées ci-dessous.

Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). CMEK garantit que les données au repos sont chiffrées à l'aide d'une clé gérée par vous, et non par les mécanismes de chiffrement par défaut de Google.

La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées par la clé que vous avez fournie.
gcp.restrictCmekCryptoKeyProjects Définissez cette valeur sur toutes les ressources du dossier ITAR que vous avez créé.

Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou projets non approuvés de fournir des clés de chiffrement, ce qui permet de garantir la souveraineté des données pour les données au repos des services concernés.
gcp.restrictServiceUsage Définissez cette valeur pour autoriser tous les services concernés.

Détermine les services pouvant être activés et utilisés. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail.

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration Description
compute.disableGlobalLoadBalancing Défini sur True.

Désactive la création de produits d'équilibrage de charge mondiaux.

La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.
compute.disableGlobalSelfManagedSslCertificate Défini sur True.

Désactive la création de certificats SSL autogérés au niveau mondial.

La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.
compute.disableInstanceDataAccessApis Défini sur True.

Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot().

L'activation de cette règle d'administration vous empêche de générer des identifiants sur les VM Windows Server.

Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit :
  1. Activez SSH pour les VM Windows.
  2. Exécutez la commande suivante pour modifier le mot de passe de la VM:
    gcloud compute ssh
    VM_NAME --command "net user USERNAME PASSWORD"
    Remplacez les éléments suivants :
    • VM_NAME: nom de la VM pour laquelle vous définissez le mot de passe.
    • USERNAME: nom d'utilisateur de l'utilisateur pour lequel vous définissez le mot de passe.
    • PASSWORD: nouveau mot de passe.
compute.disableNestedVirtualization Défini sur True.

Désactive la virtualisation imbriquée à accélération matérielle pour toutes les VM Compute Engine du dossier ITAR.

La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.
compute.enableComplianceMemoryProtection Défini sur True.

Désactive certaines fonctionnalités de diagnostic internes pour assurer une protection supplémentaire du contenu de la mémoire en cas de défaillance de l'infrastructure.

La modification de cette valeur peut affecter la résidence des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.
compute.restrictNonConfidentialComputing

(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour fournir une défense en profondeur supplémentaire. Pour en savoir plus, consultez la documentation sur Confidential VM.
compute.restrictLoadBalancerCreationForTypes

Définissez cette valeur pour autoriser toutes les valeurs, à l'exception de GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Pour en savoir plus, consultez la page Choisir un équilibreur de charge.

Contraintes liées aux règles de l'organisation Google Kubernetes Engine

Contrainte liée aux règles d'administration Description
container.restrictNoncompliantDiagnosticDataAccess Défini sur True.

Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail.

La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons de conserver la valeur définie.

Fonctionnalités concernées

Cette section indique comment les fonctionnalités de chaque service sont affectées par l'ITAR, y compris les exigences utilisateur lors de l'utilisation d'une fonctionnalité.

Fonctionnalités de BigQuery

Fonctionnalité Description
Activer BigQuery sur un nouveau dossier BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier de charges de travail assurées en raison d'un processus de configuration interne. Cette procédure se termine normalement en 10 minutes, mais peut prendre beaucoup plus de temps dans certains cas. Pour vérifier si le processus est terminé et pour activer BigQuery, procédez comme suit:
  1. Dans la console Google Cloud, accédez à la page Assured Workloads.

    Accéder à Assured Workloads

  2. Sélectionnez votre nouveau dossier Assured Workloads dans la liste.
  3. Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles.
  4. Dans le volet Services autorisés, examinez les services à ajouter à la règle d'administration Restrictions d'utilisation des ressources pour le dossier. Si des services BigQuery sont listés, cliquez sur Allow Services (Autoriser les services) pour les ajouter.

    Si les services BigQuery ne sont pas listés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud.

Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads.

Gemini dans BigQuery n'est pas compatible avec Assured Workloads.

Fonctionnalités non compatibles Les fonctionnalités BigQuery suivantes ne sont pas compatibles et sont désactivées pour être conformes aux ITAR:
API BigQuery conformes Les API BigQuery suivantes sont conformes à l'ITAR:
Régions BigQuery est conforme à l'ITAR pour toutes les régions BigQuery aux États-Unis, à l'exception de la région multirégionale des États-Unis. La conformité aux ITAR ne peut pas être garantie si un ensemble de données est créé dans une zone multirégionale des États-Unis, une région en dehors des États-Unis ou une zone multirégionale en dehors des États-Unis. Il est de la responsabilité du client de spécifier une région conforme à l'ITAR lors de la création d'ensembles de données BigQuery.
Charger des données Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) de Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas conformes à l'ITAR. Les clients ne peuvent utiliser Cloud Storage Transfer que dans un environnement ITAR.
Connexions à des sources de données externes La responsabilité de Google en matière de conformité est limitée aux fonctionnalités de l'API BigQuery Connection. Il est de la responsabilité du client de s'assurer de la conformité des produits sources utilisés avec l'API BigQuery Connection.
Requêtes sur des ensembles de données ITAR à partir de projets non ITAR BigQuery n'empêche pas les requêtes sur les ensembles de données ITAR à partir de projets non ITAR. Les clients doivent s'assurer que toute requête comportant une lecture ou une jointure sur des données techniques ITAR est placée dans un dossier conforme à l'ITAR.

Fonctionnalités de Compute Engine

Extraction Description
Console Google Cloud Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI :

  1. Vérifications d'état
  2. Groupes de points de terminaison du réseau
VM Bare Metal Solution Il est de votre responsabilité de ne pas utiliser de VM Bare Metal (VM o2), car elles ne sont pas conformes à l'ITAR.

VM Google Cloud VMware Engine Il vous incombe de ne pas utiliser de VM Google Cloud VMware Engine, car elles ne sont pas conformes à l'ITAR.

Créer une instance de VM C3 Cette fonctionnalité est désactivée.

Utiliser des disques persistants ou leurs instantanés sans CMEK Vous ne pouvez pas utiliser de disques persistants ni leurs instantanés, sauf s'ils ont été chiffrés à l'aide de CMEK.

Créer des VM imbriquées ou des VM qui utilisent la virtualisation imbriquée Vous ne pouvez pas créer de VM imbriquées ni de VM qui utilisent la virtualisation imbriquée.

Cette fonctionnalité est désactivée par la contrainte de règle d'administration compute.disableNestedVirtualization décrite dans la section ci-dessus.
Ajouter un groupe d'instances à un équilibreur de charge global Vous ne pouvez pas ajouter un groupe d'instances à un équilibreur de charge global.

Cette fonctionnalité est désactivée par la contrainte de règle d'organisation compute.disableGlobalLoadBalancing décrite dans la section ci-dessus.
Routement des requêtes vers un équilibreur de charge HTTPS externe multirégional Vous ne pouvez pas acheminer les requêtes vers un équilibreur de charge HTTPS externe multirégional.

Cette fonctionnalité est désactivée par la contrainte de règle d'organisation compute.restrictLoadBalancerCreationForTypes décrite dans la section ci-dessus.
Partager un disque persistant SSD en mode écriture simultanée Vous ne pouvez pas partager un disque persistant SSD en mode écriture simultanée entre des instances de VM.
Suspendre et réactiver une instance de VM Cette fonctionnalité est désactivée.

La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les conséquences de l'activation de cette fonctionnalité sur la résidence des données.
Disques SSD locaux Cette fonctionnalité est désactivée.

Vous ne pourrez pas créer d'instance avec des SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les conséquences de l'activation de cette fonctionnalité sur la résidence des données.
Environnement invité Les scripts, les daemons et les binaires inclus avec l'environnement invité peuvent accéder aux données au repos et en cours d'utilisation non chiffrées. En fonction de la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et plus encore de chaque package, consultez la section Environnement invité.

Ces composants vous aident à respecter la résidence des données grâce à des contrôles et des processus de sécurité internes. Toutefois, pour les utilisateurs qui souhaitent un contrôle supplémentaire, vous pouvez également sélectionner vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects.

Pour en savoir plus, consultez la page Créer une image personnalisée.
instances.getSerialPortOutput() Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API.

Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.
instances.getScreenshot() Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API.

Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif.

Fonctionnalités de Cloud DNS

Fonctionnalité Description
Console Google Cloud Les fonctionnalités Cloud DNS ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.

Fonctionnalités de Cloud Interconnect

Fonctionnalité Description
Console Google Cloud Les fonctionnalités Cloud Interconnect ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.
VPN haute disponibilité Vous devez activer la fonctionnalité VPN haute disponibilité (HA) lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation indiquées dans cette section.

Fonctionnalités de Cloud Load Balancing

Fonctionnalité Description
Console Google Cloud Les fonctionnalités Cloud Load Balancing ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.
Équilibreurs de charge régionaux Vous ne devez utiliser que des équilibreurs de charge régionaux avec ITAR. Pour en savoir plus sur la configuration des équilibreurs de charge régionaux, consultez les pages suivantes:

Fonctionnalités de Cloud Logging

Pour utiliser Cloud Logging avec des clés de chiffrement gérées par le client (CMEK), vous devez suivre les étapes décrites sur la page Activer CMEK pour une organisation de la documentation Cloud Logging.

Fonctionnalité Description
Récepteurs de journaux N'ajoutez pas d'informations sensibles (données client) dans les filtres de destination. Les filtres de destination sont traités comme des données de service.
Affichage en direct des dernières lignes des entrées de journal Ne créez pas de filtres contenant des données client.

Une session de suivi en direct inclut un filtre stocké en tant que configuration. Les journaux de suivi ne stockent aucune donnée d'entrée de journal, mais peuvent interroger et transmettre des données entre les régions.
Alertes basées sur des journaux Cette fonctionnalité est désactivée.

Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud.
URL abrégées pour les requêtes de l'explorateur de journaux Cette fonctionnalité est désactivée.

Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud.
Enregistrer des requêtes dans l'explorateur de journaux Cette fonctionnalité est désactivée.

Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud.
Analyse de journaux avec BigQuery Cette fonctionnalité est désactivée.

Vous ne pouvez pas utiliser la fonctionnalité Log Analytics.
Règles d'alerte basées sur SQL Cette fonctionnalité est désactivée.

Vous ne pouvez pas utiliser la fonctionnalité de règles d'alerte basées sur SQL.

Fonctionnalités de Cloud Monitoring

Fonctionnalité Description
Surveillance synthétique Cette fonctionnalité est désactivée.
Test de disponibilité Cette fonctionnalité est désactivée.
Widgets du panneau des journaux dans Tableaux de bord Cette fonctionnalité est désactivée.

Vous ne pouvez pas ajouter de panneau de journal à un tableau de bord.
Widgets du panneau Error Reporting dans Tableaux de bord Cette fonctionnalité est désactivée.

Vous ne pouvez pas ajouter de panneau de signalement d'erreurs à un tableau de bord.
Filtrer dans EventAnnotation pour Tableaux de bord Cette fonctionnalité est désactivée.

Le filtre de EventAnnotation ne peut pas être défini dans un tableau de bord.
SqlCondition dans alertPolicies Cette fonctionnalité est désactivée.

Vous ne pouvez pas ajouter de SqlCondition à un alertPolicy.

Fonctionnalités de Network Connectivity Center

Fonctionnalité Description
Console Google Cloud Les fonctionnalités du Centre de connectivité réseau ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.

Fonctionnalités Cloud NAT

Fonctionnalité Description
Console Google Cloud Les fonctionnalités Cloud NAT ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.

Fonctionnalités de Cloud Router

Fonctionnalité Description
Console Google Cloud Les fonctionnalités de Cloud Router ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.

Fonctionnalités de Cloud Run

Fonctionnalité Description
Fonctionnalités non compatibles Les fonctionnalités Cloud Run suivantes ne sont pas acceptées:

Fonctionnalités de Cloud SQL

Fonctionnalité Description
Exportation au format CSV L'exportation au format CSV n'est pas conforme à l'ITAR et ne doit pas être utilisée. Cette fonctionnalité est désactivée dans la console Google Cloud.
executeSql La méthode executeSql de l'API Cloud SQL n'est pas conforme à l'ITAR et ne doit pas être utilisée.

Fonctionnalités de Cloud Storage

Fonctionnalité Description
Console Google Cloud Pour assurer la conformité ITAR, il est de votre responsabilité d'utiliser la console Google Cloud juridictionnelle. La console Jurisdictional empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison d'API conformes ci-dessous.
Points de terminaison d'API conformes Vous devez utiliser l'un des points de terminaison régionaux conformes à l'ITAR avec Cloud Storage. Pour en savoir plus, consultez les pages Points de terminaison régionaux Cloud Storage et Emplacements Cloud Storage.
Restrictions Vous devez utiliser des points de terminaison régionaux Cloud Storage pour être conforme à l'ITAR. Pour en savoir plus sur les points de terminaison régionaux Cloud Storage pour l'ITAR, consultez la section Points de terminaison régionaux Cloud Storage.

Les opérations suivantes ne sont pas compatibles avec les points de terminaison régionaux. Toutefois, ces opérations ne transfèrent pas de données client telles que définies dans les Conditions d'utilisation du service de résidence des données. Par conséquent, vous pouvez utiliser des points de terminaison globaux pour ces opérations si nécessaire, sans enfreindre la conformité ITAR :
Copier et réécrire des objets Les opérations de copie et de réécriture des objets sont acceptées par les points de terminaison régionaux si les buckets source et de destination se trouvent dans la région spécifiée dans le point de terminaison. Toutefois, vous ne pouvez pas utiliser de points de terminaison régionaux pour copier ou réécrire un objet d'un bucket à un autre si les buckets se trouvent dans des emplacements différents. Il est possible d'utiliser des points de terminaison globaux pour copier ou réécrire des données dans plusieurs emplacements, mais nous vous déconseillons de le faire, car cela peut ne pas respecter la conformité ITAR.

Fonctionnalités de GKE

Fonctionnalité Description
Restrictions sur les ressources de cluster Assurez-vous que la configuration de votre cluster n'utilise pas de ressources pour des services non pris en charge par le programme de conformité ITAR. Par exemple, la configuration suivante n'est pas valide, car elle nécessite d'activer ou d'utiliser un service non pris en charge:

set `binaryAuthorization.evaluationMode` to `enabled`

Fonctionnalités VPC

Fonctionnalité Description
Console Google Cloud Les fonctionnalités de mise en réseau VPC ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.

Fonctionnalités de Cloud VPN

Fonctionnalité Description
Console Google Cloud Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud. Utilisez plutôt l'API ou Google Cloud CLI.
Chiffrement Vous ne devez utiliser que des algorithmes de chiffrement conformes à la norme FIPS 140-2 lorsque vous créez des certificats et configurez la sécurité de vos adresses IP. Pour en savoir plus sur les algorithmes de chiffrement compatibles avec Cloud VPN, consultez cette page. Pour plus d'informations sur le choix d'un algorithme de chiffrement conforme à la norme FIPS 140-2, consultez cette page.

Il n'existe actuellement aucun moyen de modifier un algorithme de chiffrement existant dans Google Cloud. Veillez à configurer votre algorithme de chiffrement sur votre dispositif tiers utilisé avec Cloud VPN.
Points de terminaison VPN Vous ne devez utiliser que des points de terminaison Cloud VPN situés aux États-Unis. Assurez-vous que votre passerelle VPN est configurée pour être utilisée dans une région des États-Unis uniquement.

Notes de bas de page

2. BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier de charges de travail assurées en raison d'un processus de configuration interne. Cette procédure se termine normalement en 10 minutes, mais peut prendre beaucoup plus de temps dans certains cas. Pour vérifier si le processus est terminé et pour activer BigQuery, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Assured Workloads.

    Accéder à Assured Workloads

  2. Sélectionnez votre nouveau dossier Assured Workloads dans la liste.
  3. Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles.
  4. Dans le volet Services autorisés, examinez les services à ajouter à la règle d'administration Restrictions d'utilisation des ressources pour le dossier. Si des services BigQuery sont listés, cliquez sur Allow Services (Autoriser les services) pour les ajouter.

    Si les services BigQuery ne sont pas listés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud.

Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads.

Gemini dans BigQuery n'est pas compatible avec Assured Workloads.

Étape suivante