ITAR 的限制和局限

本页介绍使用 ITAR 控制软件包时的限制、局限和其他配置选项。

概览

《国际武器贸易条例》(ITAR) 控制软件包可为受限范围内 Google Cloud 服务启用数据访问控制和居住地功能。为符合 ITAR 要求，Google 限制了其中一些服务的功能。当为 ITAR 创建新的 Assured Workloads 文件夹时，系统会应用大部分限制和局限，但其中一些限制和局限稍后可通过修改组织政策来更改。此外，某些限制和限制要求用户负责遵守。

请务必了解这些限制如何修改给定 Google Cloud 服务的行为，或者如何影响数据访问或数据驻留。例如，系统会自动停用某些功能或能力，以确保保持数据访问限制和数据驻留。此外，如果更改组织政策设置，则可能出现将数据从一个区域复制到另一个区域的意外后果。

前提条件

作为 ITAR 管制软件包的用户，若要保持合规，请确保您满足并遵守以下前提条件：

• 使用 Assured Workloads 创建一个 ITAR 文件夹，并仅在该文件夹中部署 ITAR 工作负载。
• 仅为 ITAR 工作负载启用和使用符合 ITAR 要求的服务。
• 除非您了解并愿意接受可能发生的数据驻留风险，否则请勿更改默认的组织政策限制条件值。
• 连接到 Google Cloud 服务端点时，您必须使用提供这些端点的服务的区域端点。此外：
  • 从非Google Cloud虚拟机（例如本地虚拟机或其他云服务提供商的虚拟机）连接到 Google Cloud 服务端点时，您必须使用支持连接到非Google Cloud 虚拟机的某个可用专用访问选项，以将非Google Cloud 流量路由到 Google Cloud。
  • 从 Google Cloud 虚拟机 Google Cloud 连接到服务端点时，您可以使用任何可用的专用访问选项。
  • 连接到 Google Cloud 已公开外部 IP 地址的虚拟机时，请参阅从具有外部 IP 地址的虚拟机访问 API。
• 对于 ITAR 文件夹中使用的所有服务，请勿在以下用户定义的或安全配置信息类型中存储技术数据：
  • 错误消息
  • 控制台输出
  • 属性数据
  • 服务配置数据
  • 网络数据包标头
  • 资源标识符
  • 数据标签
• 仅针对提供区域级或位置级端点的服务使用指定的区域级或位置级端点。如需了解详情，请参阅ITAR 涵盖范围内的服务。
• 不妨考虑采用Google Cloud 安全最佳实践中心中提供的常规安全最佳实践。

范围内的服务

除非另行说明，否则用户可以通过 Google Cloud 控制台访问所有在范围内的服务。

以下服务符合 ITAR 规定：

组织政策

本部分介绍使用 ITAR 创建文件夹或项目时，每项服务如何受到默认组织政策限制条件值影响。其他适用的限制条件（即使默认设置未设置）可以提供额外的“深度防御”，以进一步保护贵组织的Google Cloud 资源。

云范围的组织政策限制条件

以下组织政策限制条件适用于任何适用的 Google Cloud 服务。

组织政策限制条件	说明
gcp.resourceLocations	设置为 in:us-locations 作为 allowedValues 列表项。 此值将任何新资源的创建限制为仅美国值组。设置此标志后，您将无法在美国区域、多区域位置或其他位置创建任何资源。如需了解详情，请参阅组织政策值组文档。 如果更改此值，则允许更少的数据在美国数据边界之外创建或存储，从而可能破坏数据驻留。例如：将 in:us-locations 值组替换为 in:northamerica-locations 值组。
gcp.restrictNonCmekServices	设置为所有范围内的 API 服务名称的列表，包括： compute.googleapis.com container.googleapis.com run.googleapis.com storage.googleapis.com 对于上述每个服务，一些功能可能会受到影响。请参阅下面的受影响的功能部分。 每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 可确保使用您管理的密钥（而不是 Google 的默认加密机制）加密静态数据。 如果通过从列表中移除一个或多个范围内的服务来更改此值，则可能会破坏数据主权，因为系统会使用 Google 自己的密钥（而不是您自己的密钥）自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
gcp.restrictCmekCryptoKeyProjects	将其设置为您创建的 ITAR 文件夹下的所有资源。 限制已获批准的文件夹或项目的范围（这些文件夹或项目可提供 KMS 密钥 用于使用 CMEK 加密静态数据）。此限制条件可防止未获批准的文件夹或项目提供加密密钥，从而有助于保证范围内服务的静态数据的数据主权。
gcp.restrictServiceUsage	设置为允许所有受限范围内的服务。 确定可以启用和使用哪些服务。如需了解详情，请参阅限制工作负载的资源使用量。

Compute Engine 组织政策限制条件

组织政策限制条件	说明
compute.disableGlobalLoadBalancing	设置为 True。 禁止创建全球负载均衡产品。 更改此值可能会影响工作负载中的数据驻留；我们建议您保留此值。
compute.disableGlobalSelfManagedSslCertificate	设置为 True。 禁止创建自行管理的全球 SSL 证书。 更改此值可能会影响工作负载中的数据驻留；我们建议您保留此值。
compute.disableInstanceDataAccessApis	设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。 启用此组织政策会阻止您在 Windows Server 虚拟机上生成凭据。 如果您需要管理 Windows 虚拟机上的用户名和密码，请执行以下操作： 为 Windows 虚拟机启用 SSH。 运行以下命令可更改虚拟机的密码： gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" 替换以下内容： VM_NAME：您要为其设置密码的虚拟机的名称。 USERNAME：您要为其设置密码的用户的用户名。 PASSWORD：新密码。
compute.disableNestedVirtualization	设置为 True。 对 ITAR 文件夹中的所有 Compute Engine 虚拟机停用硬件加速嵌套虚拟化功能。 更改此值可能会影响工作负载中的数据驻留；我们建议您保留此值。
compute.enableComplianceMemoryProtection	设置为 True。 停用某些内部诊断功能，以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留；我们建议您保留此值。
compute.restrictNonConfidentialComputing	（可选）不设置值。设置此值可提供额外的深度防御。如需了解详情，请参阅机密虚拟机文档。
compute.restrictLoadBalancerCreationForTypes	设置为允许除 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS 以外的所有值。如需了解详情，请参阅 选择负载平衡器。

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件	说明
container.restrictNoncompliantDiagnosticDataAccess	设置为 True。 用于停用内核问题的汇总分析，这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载中的数据主权；我们建议您保留此值。

受影响的功能

本部分列出每个服务的功能或能力如何受 ITAR 影响，包括使用某项功能时用户须遵循的要求。

BigQuery 特性

功能	说明
在新文件夹上启用 BigQuery	系统支持 BigQuery，但由于内部配置流程，当您创建新的“受保工作负载”文件夹时，系统不会自动启用 BigQuery。此过程通常需要 10 分钟才能完成，但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery，请完成以下步骤： 在 Google Cloud 控制台中，前往 Assured Workloads 页面。 前往 Assured Workloads 从列表中选择新的 Assured Workloads 文件夹。 在文件夹详情页面的允许的服务部分，点击查看可用更新。 在允许的服务窗格中，查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务，请点击允许服务将其添加。 如果未列出 BigQuery 服务，请等待内部流程完成。如果在创建文件夹后的 12 小时内未列出服务，请与 Cloud Customer Care 联系。 启用流程完成后，您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。 可靠工作负载不支持 Gemini in BigQuery。
不受支持的功能	以下 BigQuery 功能不受支持，并且已停用以符合 ITAR 要求： 外部训练的 BQML 模型不符合 ITAR 要求。 内部训练的 BQML 模型符合 ITAR 要求。 联合查询 数据遮盖和列级访问权限控制： 已停用政策标记分类的创建功能 Analytics Hub GDrive 导出 远程函数 已保存的查询 工作流安排 对于 BigQuery Studio，笔记本不受支持。 持续查询
合规的 BigQuery API	以下 BigQuery API 符合 ITAR 要求： bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
区域	除美国多区域之外，所有 BigQuery 美国区域均符合 ITAR 要求。如果数据集是在美国多区域、非美国区域或非美国多区域中创建的，我们无法保证其符合 ITAR 要求。客户有责任在创建 BigQuery 数据集时指定符合 ITAR 要求的区域。
正在加载数据	适用于 Google 软件即服务 (SaaS) 应用、外部云存储服务提供商和数据仓库的 BigQuery Data Transfer Service 连接器不符合 ITAR 要求。客户只能在 ITAR 环境中使用 Cloud Storage Transfer 。
与外部数据源的连接	Google 的合规性责任仅限于 BigQuery Connection API 功能。客户有责任确保与 BigQuery Connection API 搭配使用的源产品符合相关要求。
对非 ITAR 项目中的 ITAR 数据集的查询	BigQuery 不会阻止从非 ITAR 项目查询 ITAR 数据集。客户应确保将对 ITAR 技术数据执行读取或联接的任何查询放置在符合 ITAR 要求的文件夹中。

Compute Engine 功能

特征	说明
Google Cloud 控制台	Google Cloud 控制台不提供以下 Compute Engine 功能。请改用 API 或 Google Cloud CLI： 健康检查 网络端点组
裸金属解决方案虚拟机	您有责任不使用裸金属解决方案虚拟机 (o2 虚拟机)，因为裸金属解决方案虚拟机不符合 ITAR 要求。
Google Cloud VMware Engine 虚拟机	由于 Google Cloud VMware Engine 虚拟机不符合 ITAR 要求，因此您有责任不使用 Google Cloud VMware Engine 虚拟机。
创建 C3 虚拟机实例	此功能已停用。
在不使用 CMEK 的情况下使用永久性磁盘或其快照	除非永久性磁盘或其快照已使用 CMEK 加密，否则您无法使用它们。
创建嵌套虚拟机或使用嵌套虚拟化的虚拟机	您无法创建嵌套虚拟机或使用嵌套虚拟化的虚拟机。 此功能已因上述部分中所述的 compute.disableNestedVirtualization 组织政策限制条件而被停用。
将实例组添加到全球负载平衡器	您无法将实例组添加到全局负载平衡器。 上述部分中所述的 compute.disableGlobalLoadBalancing 组织政策约束条件会停用此功能。
将请求路由到多区域外部 HTTPS 负载平衡器	您无法将请求路由到多区域外部 HTTPS 负载平衡器。 上述部分中所述的 compute.restrictLoadBalancerCreationForTypes 组织政策约束条件会停用此功能。
在多写入者模式下共享 SSD 永久性磁盘	您无法在虚拟机实例之间共享一个多写入者模式的 SSD 永久性磁盘。
暂停和恢复虚拟机实例	此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间，并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间无法使用 CMEK 加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件，了解启用此功能对数据驻留的影响。
本地 SSD	此功能处于禁用状态。 您将无法创建具有本地 SSD 的实例，因为它们无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件，了解启用此功能对数据驻留的影响。
客机环境	客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置，系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等，请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据驻留要求。但是，对于需要额外控制的用户，您还可以挑选自己的映像或代理，并选择性地使用 compute.trustedImageProjects 组织政策限制条件。 如需了解详情，请参阅 构建自定义映像页面。
instances.getSerialPortOutput()	此 API 已停用；您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以启用和使用交互式串行端口。
instances.getScreenshot()	此 API 已停用；您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以启用和使用交互式串行端口。

Cloud DNS 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台中不提供 Cloud DNS 功能。请改用 API 或 Google Cloud CLI。

Cloud Interconnect 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台中不提供 Cloud Interconnect 功能。请改用 API 或 Google Cloud CLI。
高可用性 (HA) VPN	将 Cloud Interconnect 与 Cloud VPN 搭配使用时，您必须启用高可用性 (HA) VPN 功能。此外，您还必须遵守本部分列出的加密和区域化要求。

Cloud Load Balancing 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud Load Balancing 功能。请改用 API 或 Google Cloud CLI。
区域级负载均衡器	您必须仅将区域级负载平衡器与 ITAR 搭配使用。如需详细了解如何配置区域性负载平衡器，请参阅以下页面： 内部应用负载均衡器 区域级外部应用负载均衡器 内部直通式网络负载均衡器 外部直通式网络负载均衡器

Cloud Logging 功能

如需将 Cloud Logging 与客户管理的加密密钥 (CMEK) 搭配使用，您必须完成 Cloud Logging 文档中为组织启用 CMEK 页面中的步骤。

功能	说明
日志接收器	请勿在接收器过滤器中放置敏感信息（客户数据）。Sink 过滤器会被视为服务数据。
Live Tailing 日志条目	请勿创建包含客户数据的过滤条件。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据，但可以跨区域查询和传输数据。
基于日志的提醒	此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建基于日志的提醒。
日志浏览器查询的缩短的网址	此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建查询的缩短网址。
在日志浏览器中保存查询	此功能处于禁用状态。 您无法在 Google Cloud 控制台中保存任何查询。
使用 BigQuery 的日志分析	此功能处于禁用状态。 您无法使用日志分析功能。
基于 SQL 的提醒政策	此功能处于禁用状态。 您无法使用基于 SQL 的提醒政策功能。

Cloud Monitoring 功能

功能	说明
合成监控工具	此功能处于禁用状态。
正常运行时间检查	此功能处于禁用状态。
信息中心中的日志面板微件	此功能已停用。 您无法向信息中心添加日志面板。
信息中心中的 Error Reporting 面板小部件	此功能已停用。 您无法向信息中心添加错误报告面板。
在 EventAnnotation 中过滤信息中心	此功能已停用。 无法在信息中心中设置 EventAnnotation 过滤条件。
alertPolicies 中的 SqlCondition	此功能已停用。 您无法向 alertPolicy 添加 SqlCondition。

Network Connectivity Center 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台中不提供网络连接中心功能。请改用 API 或 Google Cloud CLI。

Cloud NAT 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud NAT 功能。请改用 API 或 Google Cloud CLI。

Cloud Router 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud Router 功能。 请改用 API 或 Google Cloud CLI。

Cloud Run 功能

功能	说明
不受支持的功能	不支持以下 Cloud Run 功能： Cloud Trace 集成 Cloud Run functions Eventarc 触发器

Cloud SQL 特性

功能	说明
导出为 CSV 文件	导出到 CSV 文件不符合 ITAR 规定，不应使用。Google Cloud 控制台中已停用此功能。
executeSql	Cloud SQL API 的 executeSql 方法不符合 ITAR 要求，不应使用。

Cloud Storage 的功能

功能	说明
Google Cloud 控制台	为了保持 ITAR 合规性，您有责任使用管辖区级 Google Cloud 控制台。管辖区控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象，请参阅下方的合规 API 端点行。
合规的 API 端点	您必须将符合 ITAR 要求的区域端点之一与 Cloud Storage 搭配使用。如需了解详情，请参阅 Cloud Storage 区域端点和 Cloud Storage 位置。
限制	您必须使用 Cloud Storage 区域端点，才能符合 ITAR 要求。如需详细了解适用于 ITAR 的 Cloud Storage 区域性端点，请参阅 Cloud Storage 区域性端点。 区域端点不支持以下操作。 不过，这些操作不会携带数据驻留服务条款中所定义的客户数据。因此，您可以根据需要使用全球端点执行以下操作，而不会违反 ITAR 合规性： HMAC 密钥操作 IAM 服务账号操作 Pub/Sub 通知 对象更改通知
针对对象的复制和重写	如果源存储分区和目标存储分区都位于端点中指定的区域，则区域端点支持对对象执行复制和重写操作。 但是，如果存储分区位于不同的位置，则无法使用区域端点将对象从一个存储分区复制或重写到另一个存储分区。您可以使用全局端点在多个位置复制或重写数据，但我们不建议这样做，因为这可能会违反 ITAR 合规性要求。

GKE 功能

功能	说明
集群资源限制	确保您的集群配置不会使用 ITAR 合规计划不支持的服务的资源。例如，以下配置无效，因为它需要启用或使用不受支持的服务： set `binaryAuthorization.evaluationMode` to `enabled`

VPC 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台中不提供 VPC 网络功能。请改用 API 或 Google Cloud CLI。

Cloud VPN 功能

功能	说明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud VPN 功能。请改用 API 或 Google Cloud CLI。
加密	创建证书和配置 IP 安全性时，您只能使用符合 FIPS 140-2 的加密方式。如需详细了解 Cloud VPN 中支持的加密方式，请参阅此页面。如需了解如何选择符合 FIPS 140-2 标准的加密方式，请参阅此页面。 目前无法更改 Google Cloud中的现有加密。 请确保在与 Cloud VPN 搭配使用的第三方设备上配置加密方式。
VPN 端点	您必须仅使用位于美国境内的 Cloud VPN 端点。 确保您的 VPN 网关配置为仅在美国区域使用。

脚注

2. 系统支持 BigQuery，但由于内部配置流程，当您创建新的“受保工作负载”文件夹时，系统不会自动启用 BigQuery。此过程通常需要 10 分钟才能完成，但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery，请完成以下步骤：

1. 在 Google Cloud 控制台中，前往 Assured Workloads 页面。

   前往 Assured Workloads

2. 从列表中选择新的 Assured Workloads 文件夹。
3. 在文件夹详情页面的允许的服务部分，点击查看可用更新。
4. 在允许的服务窗格中，查看要添加到文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务，请点击允许服务将其添加。
   
   如果未列出 BigQuery 服务，请等待内部流程完成。如果在创建文件夹后的 12 小时内未列出服务，请与 Cloud Customer Care 联系。

启用流程完成后，您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。

可靠工作负载不支持 Gemini in BigQuery。

后续步骤

• 了解 ITAR 控制软件包。
• 了解每个控制包支持哪些产品。