ITAR 的限制
本页将介绍相关限制、局限性 使用 ITAR 控制包时的选项。
概览
《国际武器贸易条例》(ITAR) 控制包支持 数据访问权限控制和驻留功能, 涵盖的 Google Cloud 服务。为符合 ITAR 要求,Google 限制了其中一些服务的功能。当为 ITAR 创建新的 Assured Workloads 文件夹时,系统会应用大多数限制,但其中一些限制稍后可通过修改组织政策来更改。此外,一些限制和约束需要用户自行承担责任 以确保合规性。
您有必要了解这些限制是如何改变 或影响数据访问或 数据驻留。例如,系统会自动停用某些功能或能力,以确保保持数据访问限制和数据驻留。此外,如果更改组织政策设置,则可能出现将数据从一个区域复制到另一个区域的意外后果。
前提条件
作为 ITAR 管制软件包的用户,若要保持合规性,请确保您满足并遵守以下前提条件:
- 使用 Assured Workloads 创建 ITAR 文件夹并部署您的 ITAR 管理工作负载
- 仅为 ITAR 工作负载启用和使用适用范围内的 ITAR 服务。
- 除非您了解并愿意接受可能发生的数据驻留风险,否则请勿更改默认的组织政策限制条件值。
- 连接到 Google Cloud 服务端点时,您必须使用区域级
端点。此外:
- 从非 Google Cloud 连接到 Google Cloud 服务端点时 例如本地虚拟机或其他云服务提供商的虚拟机数量 必须使用 专用访问通道选项 支持连接到非 Google Cloud 虚拟机, 将非 Google Cloud 流量传输到 Google Cloud。
- 从 Google Cloud 虚拟机连接到 Google Cloud 服务端点时,您可以使用任何可用的专用访问选项。
- 连接到已公开外部 IP 地址的 Google Cloud 虚拟机时,请参阅从具有外部 IP 地址的虚拟机访问 API。
- 对于 ITAR 文件夹中使用的所有服务,请勿在以下用户定义的或安全配置信息类型中存储技术数据:
- 错误消息
- 控制台输出
- 属性数据
- 服务配置数据
- 网络数据包标头
- 资源标识符
- 数据标签
- 仅针对提供区域级或位置级端点的服务使用指定的区域级或位置级端点。如需了解详情,请参阅ITAR 涵盖范围内的服务。
- 不妨考虑采用 Google Cloud 安全措施最佳实践中心中提供的常规安全最佳实践。
范围内的服务
除非另有说明,否则用户可以通过 Google Cloud 控制台
以下服务与 ITAR 兼容:
| 支持的产品 | 符合 ITAR 要求的 API 端点 | 限制 |
|---|---|---|
| Artifact Registry |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
无 |
| BigQuery |
区域级 API 端点:
不支持 Locational API 端点。 不支持全局 API 端点。 |
受影响的功能 |
| Certificate Authority Service |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud External Key Manager (Cloud EKM) |
不支持区域性 API 端点。 Locational API 端点:
不支持全局 API 端点。 |
无 |
| Compute Engine |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
受影响的功能 和组织政策限制条件 |
| Cloud DNS |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
受影响的功能 |
| Dataflow |
不支持区域级 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
无 |
| Dataproc |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
无 |
| Filestore |
不支持区域性 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| Cloud Storage |
区域级 API 端点:
不支持 Locational API 端点。 不支持全局 API 端点。 |
受影响的功能 |
| Google Kubernetes Engine |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
受影响的功能 和组织政策限制条件 |
| Cloud HSM |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Identity and Access Management (IAM) |
不支持区域性 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| Identity-Aware Proxy (IAP) |
不支持区域级 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| Cloud Interconnect |
不支持区域性 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
受影响的功能 |
| Cloud Key Management Service (Cloud KMS) |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
无 |
| Cloud Load Balancing |
不支持区域级 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
受影响的功能 |
| Cloud Logging |
区域级 API 端点:
不支持 Locational API 端点。 不支持全局 API 端点。 |
受影响的功能 |
| Cloud Monitoring |
不支持区域级 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
受影响的功能 |
| Cloud NAT |
不支持区域性 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
受影响的功能 |
| Network Connectivity Center |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
受影响的功能 |
| Persistent Disk |
不支持区域性 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
无 |
| Pub/Sub |
不支持区域级 API 端点。 不支持位置 API 端点。 全局 API 端点:
|
无 |
| Cloud Router |
不支持区域级 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
受影响的功能 |
| Cloud SQL |
不支持区域级 API 端点。 不支持 Locational API 端点。 全球 API 端点:
|
受影响的功能 |
| Virtual Private Cloud (VPC) |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
受影响的功能 |
| VPC Service Controls |
不支持区域级 API 端点。 不支持 Locational API 端点。 全局 API 端点:
|
无 |
| Cloud VPN |
不支持区域性 API 端点。 不支持位置 API 端点。 全球 API 端点:
|
受影响的功能 |
组织政策
本部分介绍使用 ITAR 创建文件夹或项目时,每项服务如何受到默认组织政策限制条件值影响。其他 即使没有默认设置,适用的限制条件也能提供 额外的“深度防御”进一步保护贵组织的数据 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 in:us-locations 作为 allowedValues 列表项。此值将任何新资源的创建限制为仅美国值组。设置此标志后,您将无法在美国区域、多区域位置或其他位置创建任何资源。如需了解详情,请参阅组织政策值组文档。 如果更改此值,则允许更少的数据在美国数据边界之外创建或存储,从而可能破坏数据驻留。例如:将 in:us-locations 值组替换为 in:northamerica-locations 值组。
|
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 可确保使用由您(而不是)您管理的密钥来加密静态数据, Google 的默认加密机制。 如果通过从列表中移除一个或多个范围内的服务来更改此值,则可能会破坏数据主权,因为系统会使用 Google 自己的密钥(而不是您自己的密钥)自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。 |
gcp.restrictCmekCryptoKeyProjects |
将其设置为您创建的 ITAR 文件夹下的所有资源。 限制已获批准的文件夹或项目的范围(这些文件夹或项目可提供 KMS 密钥 用于使用 CMEK 加密静态数据)。此限制条件可防止未获批准的文件夹或项目提供加密密钥,从而有助于保证范围内服务的静态数据的数据主权。 |
gcp.restrictServiceUsage |
设置为允许所有受限范围内的服务。 决定可以启用和使用哪些服务。如需了解详情,请参阅限制工作负载的资源使用量。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalLoadBalancing |
设置为 True。 禁止创建全球负载均衡产品。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.disableGlobalSelfManagedSslCertificate |
设置为 True。 禁止创建自行管理的全球 SSL 证书。 更改此值可能会影响工作负载中的数据驻留;我们建议您保留此值。 |
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策后,您将无法在 Windows Server 虚拟机上生成凭据。 如果您需要管理 Windows 虚拟机上的用户名和密码,请执行以下操作:
|
compute.disableNestedVirtualization |
设置为 True。 对 ITAR 文件夹中的所有 Compute Engine 虚拟机停用硬件加速嵌套虚拟化功能。 更改此值可能会影响工作负载中的数据驻留;三 建议保留这个设定的值 |
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留;我们建议您保留此值。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。请参阅 机密虚拟机文档 。 |
compute.restrictLoadBalancerCreationForTypes |
设置为允许除 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS 以外的所有值。如需了解详情,请参阅选择负载均衡器。
|
Google Kubernetes Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载中的数据主权;我们建议您保留此值。 |
受影响的功能
本部分列出每个服务的功能或能力如何受 ITAR 影响,包括使用某项功能时用户需要满足的要求。
BigQuery 特性
| 特征 | 说明 |
|---|---|
| 在新文件夹上启用 BigQuery | 支持 BigQuery,但创建新的
Assured Workloads 文件夹,因为存在内部配置过程。此过程通常需要 10 分钟才能完成,但在某些情况下可能需要更长时间。要检查
若要启用 BigQuery,请完成以下步骤:
启用流程完成后,您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。 可靠工作负载不支持 BigQuery 中的 Gemini。 |
| 不受支持的功能 | 以下 BigQuery 功能不符合 ITAR 合规性要求,不应在 BigQuery CLI 中使用。客户有责任确保在 BigQuery 中不针对 ITAR 工作负载使用这些函数。
|
| 不支持的集成 | 以下 BigQuery 集成不符合 ITAR 合规性要求。客户有责任确保不将这些功能与 BigQuery 搭配使用来处理 ITAR 工作负载。
|
| 合规的 BigQuery API | 以下 BigQuery API 符合 ITAR 规定: |
| 区域 | 除美国多区域之外,所有 BigQuery 美国区域均符合 ITAR 要求。如果数据集是在美国多区域、非美国区域或非美国多区域中创建的,我们无法保证其符合 ITAR 要求。客户有责任在创建 BigQuery 数据集时指定符合 ITAR 要求的区域。 如果使用某个美国区域发送表数据列表请求,但数据集是在另一个美国区域创建的,BigQuery 将无法推断客户打算使用哪个区域,并且操作将会失败并显示“找不到数据集”错误消息。 |
| Google Cloud 控制台 | Google Cloud 控制台中的 BigQuery 界面是
符合 ITAR 规定。
|
| BigQuery CLI | BigQuery CLI 符合 ITAR 规定。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本来维护数据
ITAR 技术数据的区域化保证。验证您当前的
Google Cloud SDK 版本,运行 gcloud --version,然后
gcloud components update即可更新到最新版本。
|
| 管理员控制功能 | BigQuery 会停用不合规的 API,但具有足够权限创建 Assured Workloads 文件夹的客户管理员可以启用不合规的 API。如果发生这种情况,系统会通过 Assured Workloads 监控信息中心通知客户可能存在违规行为。 |
| 正在加载数据 | 适用于 Google 软件即服务 (SaaS) 应用、外部云存储服务商和数据仓库的 BigQuery Data Transfer Service 连接器不符合 ITAR 规定。它是 客户不得使用 BigQuery Data Transfer 的责任 适用于 ITAR 工作负载的服务连接器。 |
| 第三方转移作业 | BigQuery 不会验证第三方的 ITAR 合规性 为 BigQuery Data Transfer Service 转移数据的过程。客户有责任在使用 BigQuery Data Transfer Service 的任何第三方传输服务时验证 ITAR 合规性。 |
| 不合规的 BQML 模型 | 外部训练的 BQML 模型不符合 ITAR 规定。 |
| 查询作业 | 只能在 ITAR 中创建包含 ITAR 技术数据的查询作业 项目。 |
| 针对非 ITAR 项目的 ITAR 数据集查询 | BigQuery 不会阻止从以下来源查询 ITAR 数据集
非 ITAR 项目。客户应确保将对 ITAR 技术数据执行读取或联接的任何查询放置在符合 ITAR 要求的文件夹中。
客户可以在 BigQuery CLI 中使用 projectname.dataset.table 为其查询结果指定完全限定表名称。 |
| Cloud Logging | BigQuery 会将部分客户日志数据存储在 Cloud Logging 中。
客户应使用以下命令停用其 _default 日志记录存储桶,或将 _default 存储桶限制为美国区域,以保持 ITAR 合规性:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink如需了解详情,请参阅此页面。 |
Compute Engine 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不提供以下 Compute Engine 功能。请改用 API 或 Google Cloud CLI:
|
| 裸金属解决方案虚拟机 | 您不应使用裸金属解决方案虚拟机 (o2 VM),因为
裸金属解决方案虚拟机不符合 ITAR 要求。
|
| Google Cloud VMware Engine 虚拟机 | 由于 Google Cloud VMware Engine 虚拟机不符合 ITAR 要求,因此您有责任不使用 Google Cloud VMware Engine 虚拟机。
|
| 创建 C3 虚拟机实例 | 此功能已停用。 |
| 在没有 CMEK 的情况下使用永久性磁盘或其快照 | 除非永久性磁盘或其快照已使用 CMEK 加密,否则您无法使用它们。 |
| 创建嵌套虚拟机或使用嵌套虚拟化的虚拟机 | 您无法创建嵌套虚拟机或使用嵌套虚拟化的虚拟机。 此功能已因上述部分中所述的 compute.disableNestedVirtualization 组织政策限制条件而被停用。
|
| 将实例组添加到全球负载均衡器 | 您无法将实例组添加到全局负载均衡器。 此功能已被 compute.disableGlobalLoadBalancing 项组织政策限制条件
具体说明。
|
| 将请求路由到多区域外部 HTTPS 负载均衡器 | 您无法将请求路由到多区域外部 HTTPS 负载均衡器。 此功能已被 compute.restrictLoadBalancerCreationForTypes 项组织政策
约束条件。
|
| 在多写入者模式下共享 SSD 永久性磁盘 | 您无法在虚拟机实例之间共享一个多写入者模式的 SSD 永久性磁盘。 |
| 暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间, 和永久性磁盘存储空间(用于存储已暂停的虚拟机状态) 使用 CMEK 进行加密。请参阅 gcp.restrictNonCmekServices 个组织
上一部分中的政策限制条件,以了解数据驻留
启用此功能带来的影响。
|
| 本地 SSD | 此功能处于禁用状态。 您无法创建具有本地 SSD 的实例,因为它们无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据驻留的影响。 |
| 客机环境 |
客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全机制来满足数据驻留要求 控制措施和流程。但是,对于需要额外控制的用户,您还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。请参阅 构建自定义映像页面。 |
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以启用和使用交互式串行端口。 |
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False 以启用此 API。您还可以
启用并使用交互式串行端口。
|
Cloud DNS 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud DNS 功能。使用 请改用 API 或 Google Cloud CLI。 |
Cloud Interconnect 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Cloud Interconnect 功能在 Google Cloud 控制台。请改用 API 或 Google Cloud CLI。 |
| 高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵守本部分列出的加密和区域化要求。 |
Cloud Load Balancing 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Cloud Load Balancing 功能 Google Cloud 控制台。请改用 API 或 Google Cloud CLI。 |
| 区域级负载均衡器 | 您只能将区域级负载平衡器与 ITAR 搭配使用。请参阅以下内容
如需详细了解如何配置区域级负载平衡器,请参阅以下内容: |
Cloud Logging 功能
如需将 Cloud Logging 与客户管理的加密密钥 (CMEK) 搭配使用,您必须完成 Cloud Logging 文档中为组织启用 CMEK 页面中的步骤。
| 特征 | 说明 |
|---|---|
| 日志接收器 | 请勿在接收器过滤条件中输入敏感信息(客户数据)。Sink 过滤器被视为服务数据。 |
| Live Tailing 日志条目 | 请勿创建包含客户数据的过滤条件。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。 |
| 基于日志的提醒 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建基于日志的提醒。 |
| 日志浏览器查询的缩短的网址 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建查询的缩短网址。 |
| 在日志浏览器中保存查询 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中保存任何查询。 |
| 使用 BigQuery 的日志分析 | 此功能处于禁用状态。 您无法使用日志分析功能。 |
Cloud Monitoring 功能
| 特征 | 说明 |
|---|---|
| 合成监控工具 | 此功能处于禁用状态。 |
| 正常运行时间检查 | 此功能处于禁用状态。 |
| 信息中心中的日志面板微件 | 此功能已停用。 您无法将日志面板添加到信息中心。 |
| 信息中心中的 Error Reporting 面板小部件 | 此功能已停用。 您无法添加错误报告 添加到信息中心 |
在 EventAnnotation 中过滤信息中心
|
此功能已停用。 过滤条件: EventAnnotation
无法在信息中心内设置。
|
Network Connectivity Center 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Network Connectivity Center 功能。使用 使用 API 或 Google Cloud CLI 。 |
Cloud NAT 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud NAT 功能。请改用 API 或 Google Cloud CLI。 |
Cloud Router 功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Router 功能。 请改用 API 或 Google Cloud CLI。 |
Cloud SQL 特性
| 特征 | 说明 |
|---|---|
| 导出为 CSV 文件 | 导出到 CSV 文件不符合 ITAR 规定,不应使用。此功能已在以下版本中停用: Google Cloud 控制台 |
executeSql |
Cloud SQL API 的 executeSql 方法不是
符合 ITAR 规定,不应使用。 |
Cloud Storage 的功能
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | 为了保持 ITAR 合规性,您有责任使用 管辖区 Google Cloud 控制台。管辖区控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象,请参阅下方的合规 API 端点行。 |
| 合规的 API 端点 | 您必须使用某个符合 ITAR 标准的区域级端点 Cloud Storage如需了解详情,请参阅 Cloud Storage 区域端点和 Cloud Storage 位置。 |
| 限制 | 您必须使用 Cloud Storage 区域端点,才能符合 ITAR 要求。如需详细了解适用于 ITAR 的 Cloud Storage 区域性端点,请参阅 Cloud Storage 区域性端点。 区域端点不支持以下操作。 不过,这些操作不会携带数据驻留服务条款中所定义的客户数据。因此,您可以将全球端点用于 在不违反 ITAR 合规性的前提下,执行这些必要的操作: |
| 复制和重写对象 | 以下对象的复制和重写操作: 对象均受区域端点支持, 目标存储分区位于端点中指定的区域。 但是,您无法使用区域端点来复制或重写对象 如果存储桶位于不同位置,则可以在存储桶之间转移。您可以使用全局端点在多个位置复制或重写数据,但我们不建议这样做,因为这可能会违反 ITAR 合规性要求。 |
GKE 功能
| 特征 | 说明 |
|---|---|
| 集群资源限制 | 确保您的集群配置没有将资源用于
ITAR 合规性计划中不支持的服务。例如,以下配置无效,因为它需要启用或使用不受支持的服务:
set `binaryAuthorization.evaluationMode` to `enabled`
|
VPC 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台中不提供 VPC 网络功能。请改用 API 或 Google Cloud CLI。 |
Cloud VPN 特性
| 特征 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不提供 Cloud VPN 功能。请改用 API 或 Google Cloud CLI。 |
| 加密 | 创建证书和配置 IP 安全性时,您只能使用符合 FIPS 140-2 的加密方式。如需详细了解 Cloud VPN 中支持的加密方式,请参阅此页面。对于
有关如何选择符合 FIPS 140-2 标准的加密方式的指南,
请参阅此页面。 目前无法更改 Google Cloud 中的现有加密。 请确保您在 与 Cloud VPN 搭配使用 |
| VPN 端点 | 您只能使用位于美国的 Cloud VPN 端点。 确保您的 VPN 网关已配置为仅在美国区域使用。 |
脚注
2.系统支持 BigQuery,但由于内部配置流程,当您创建新的“受保工作负载”文件夹时,系统不会自动启用 BigQuery。此过程通常需要 10 分钟才能完成,但在某些情况下可能需要更长时间。要检查
若要启用 BigQuery,请完成以下步骤:
- 在 Google Cloud 控制台中,转到 Assured Workloads 页面。
- 从列表中选择新的 Assured Workloads 文件夹。
- 在文件夹详细信息页面的允许的服务部分,点击 查看可用更新。
- 在允许的服务窗格中,查看要添加到
资源使用限制
文件夹的组织政策。如果系统列出了 BigQuery 服务,请点击
选择允许服务即可添加这些服务。
如果其中未列出 BigQuery 服务,请等待内部流程完成。如果 服务未在文件夹创建 12 小时内列出,请联系 Cloud Customer Care。
启用流程完成后,您就可以在 Assured Workloads 文件夹中使用 BigQuery 了。
Assured Workloads 不支持 Gemini in BigQuery。
后续步骤
- 了解 ITAR 控制软件包。
- 了解哪些产品受支持 每个控制包