Límite de datos para el reglamento sobre el tráfico internacional de armas de EE. UU. (ITAR)

En esta página se describe el conjunto de controles que se aplican a las cargas de trabajo de ITAR en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos Google Cloud compatibles y sus endpoints de API, así como las restricciones o limitaciones aplicables a esos productos. La siguiente información adicional se aplica a la ITAR:

• Residencia de datos: el paquete de controles de ITAR establece controles de ubicación de datos para admitir regiones solo de EE. UU. Consulta la sección Restricciones de las políticas de toda la organización deGoogle Cloud para obtener más información.
• Asistencia: los servicios de asistencia técnica para cargas de trabajo de ITAR están disponibles con las suscripciones a Cloud Customer Care Enhanced o Premium. Los casos de asistencia de cargas de trabajo de ITAR se derivan a personas estadounidenses que se encuentran en EE. UU. Para obtener más información, consulta el artículo Obtener asistencia.
• Precios: el paquete de control de ITAR se incluye en el nivel Premium de Assured Workloads, que conlleva un cargo adicional del 20 %. Consulta los precios de Assured Workloads para obtener más información.

Requisitos previos

Para seguir cumpliendo los requisitos como usuario del paquete de control de ITAR, comprueba que cumples los siguientes requisitos previos:

• Crea una carpeta de ITAR con Assured Workloads y despliega tus cargas de trabajo de ITAR solo en esa carpeta.
• Habilita y usa solo los servicios del ITAR que estén dentro del ámbito para las cargas de trabajo del ITAR.
• No cambies los valores predeterminados de las restricciones de la política de la organización, a menos que entiendas y aceptes los riesgos de residencia de datos que puedan producirse.
• Para acceder a la Google Cloud consola de cargas de trabajo de ITAR, debes usar una de las siguientes URLs de la consola jurisdiccional Google Cloud :
  • console.us.cloud.google.com
  • console.us.cloud.google para usuarios con identidad federada
• Cuando te conectes a los puntos finales de servicio, debes usar puntos finales regionales para los servicios que los ofrezcan. Google Cloud Además:
  • Cuando te conectes a Google Cloud puntos finales de servicio desde VMs que no sean deGoogle Cloud VMs (como VMs on-premise o de otros proveedores de servicios en la nube), debes usar una de las opciones de acceso privado disponibles que admitan conexiones a VMs que no sean deGoogle Cloud VMs para enrutar el tráfico que no sea deGoogle Cloud VMs a Google Cloud.
  • Cuando te conectes a Google Cloud puntos finales de servicio desde Google Cloud máquinas virtuales, puedes usar cualquiera de las opciones de acceso privado disponibles.
  • Cuando te conectes a Google Cloud máquinas virtuales que se hayan expuesto con direcciones IP externas, consulta Acceder a las APIs desde máquinas virtuales con direcciones IP externas.
• En todos los servicios que se usen en una carpeta de ITAR, no almacenes datos técnicos en los siguientes tipos de información de configuración de seguridad o definidos por el usuario:
  • Mensajes de error
  • Salida de la consola
  • Datos de atributos
  • Datos de configuración del servicio
  • Encabezados de paquetes de red
  • Identificadores de recursos
  • Etiquetas de datos
• Utilice solo los puntos finales regionales especificados para los servicios que los ofrecen. Para obtener más información, consulta los servicios incluidos en el ITAR.
• Te recomendamos que adoptes las prácticas recomendadas de seguridad generales que se indican en el Google Cloud centro de prácticas recomendadas de seguridad.

Productos y endpoints de API admitidos

A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos admitidos a través de la consola de Google Cloud . En la siguiente tabla se indican las restricciones o limitaciones que afectan a las funciones de un producto admitido, incluidas las que se aplican mediante los ajustes de restricciones de la política de la organización.

Si un producto no aparece en la lista, significa que no se admite y que no cumple los requisitos de control de ITAR. No se recomienda usar productos no admitidos sin haber tomado las precauciones necesarias y sin conocer a fondo las responsabilidades que te corresponden en el modelo de responsabilidad compartida. Antes de usar un producto no admitido, asegúrate de que conoces y aceptas los riesgos asociados, como los efectos negativos en la residencia o la soberanía de los datos.

Restricciones y limitaciones

En las siguientes secciones se describen las restricciones o limitaciones de las funciones en todo Google Cloudo en productos específicos, incluidas las restricciones de políticas de la organización que se definen de forma predeterminada en las carpetas de ITAR. Otras restricciones de políticas de la organización aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización. Google Cloud

Google Cloudde ancho

Funciones de todo el sitio afectadas Google Cloud

Función	Descripción
Google Cloud consola	Para acceder a la consola Google Cloud cuando se usa el paquete de control ITAR, debe usar una de las siguientes URLs: console.us.cloud.google.com console.us.cloud.google para usuarios de identidad federada Para obtener más información, consulta la página de la consola Jurisdictional Google Cloud .

Restricciones de las políticas de organización deGoogle Cloud

Las siguientes restricciones de la política de la organización se aplican en Google Cloud.

Restricción de política de organización	Descripción
gcp.resourceLocations	Selecciona las siguientes ubicaciones en la lista allowedValues: us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Este valor restringe la creación de recursos nuevos a los valores seleccionados. Si se define, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación fuera de la selección. Consulta la sección Servicios admitidos en ubicaciones de recursos para ver una lista de los recursos que se pueden restringir mediante la restricción de la política de organización de ubicaciones de recursos, ya que algunos recursos pueden estar fuera del ámbito y no se pueden restringir. Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o almacenen datos fuera de un límite de datos conforme.
gcp.restrictCmekCryptoKeyProjects	Se ha definido como under:organizations/your-organization-name, que es tu organización de Assured Workloads. Puede restringir aún más este valor especificando un proyecto o una carpeta. Limita el ámbito de las carpetas o proyectos aprobados que pueden proporcionar claves de Cloud KMS para cifrar datos en reposo mediante CMEK. Esta restricción impide que las carpetas o los proyectos no aprobados proporcionen claves de cifrado, lo que ayuda a garantizar la soberanía de los datos en reposo de los servicios incluidos en el ámbito.
gcp.restrictNonCmekServices	Se define como una lista de todos los nombres de servicios de API incluidos en el ámbito, entre los que se incluyen los siguientes: bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com Es posible que algunas funciones se vean afectadas en cada uno de los servicios indicados anteriormente. Cada servicio de la lista requiere claves de cifrado gestionadas por el cliente (CMEK). Las CMEK permiten que los datos en reposo se cifren con una clave gestionada por ti, no con los mecanismos de cifrado predeterminados de Google. Si cambias este valor quitando uno o varios servicios incluidos en el ámbito de la lista, puede que se vea afectada la soberanía de los datos, ya que los nuevos datos en reposo se cifrarán automáticamente con las claves de Google en lugar de con las tuyas. Los datos en reposo se seguirán cifrando con la clave que proporcionaste.
gcp.restrictServiceUsage	Se define para permitir todos los productos y endpoints de API admitidos. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos.
gcp.restrictTLSVersion	Definir para denegar las siguientes versiones de TLS: TLS_1_0 TLS_1_1 Consulta la página Restringir versiones de TLS para obtener más información.

Google Cloud Armor

Funciones de Google Cloud Armor afectadas

Función	Descripción
Políticas de seguridad de ámbito global	Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalCloudArmorPolicy.

BigQuery

Funciones de BigQuery afectadas

Función	Descripción
Habilitar BigQuery en una carpeta nueva	BigQuery es compatible, pero no se habilita automáticamente al crear una carpeta de Assured Workloads debido a un proceso de configuración interno. Este proceso suele completarse en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para comprobar si el proceso ha finalizado y habilitar BigQuery, sigue estos pasos: En la Google Cloud consola, ve a la página Assured Workloads. Ir a Assured Workloads Selecciona la nueva carpeta de Assured Workloads de la lista. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Ver actualizaciones disponibles. En el panel Servicios permitidos, revisa los servicios que se van a añadir a la política de organización Restricción de uso de recursos de la carpeta. Si aparecen servicios de BigQuery, haga clic en Permitir servicios para añadirlos. Si los servicios de BigQuery no aparecen en la lista, espera a que se complete el proceso interno. Si los servicios no aparecen en un plazo de 12 horas desde que se creó la carpeta, ponte en contacto con Asistencia de Google Cloud. Una vez que se haya completado el proceso de habilitación, podrá usar BigQuery en su carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery.
APIs de BigQuery que cumplen los requisitos	Las siguientes APIs de BigQuery cumplen los requisitos de ITAR: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
Regiones	BigQuery cumple la normativa ITAR en todas las regiones de EE. UU. de BigQuery, excepto en la multirregión de EE. UU. No se puede garantizar el cumplimiento de ITAR si se crea un conjunto de datos en una multirregión de EE. UU., en una región que no sea de EE. UU. o en una multirregión que no sea de EE. UU. Es tu responsabilidad especificar una región que cumpla la normativa ITAR al crear conjuntos de datos de BigQuery.
Consultas en conjuntos de datos de ITAR desde proyectos que no son de ITAR	BigQuery no impide que se consulten conjuntos de datos de ITAR desde proyectos que no sean de ITAR. Debes asegurarte de que cualquier consulta que use una operación de lectura o de unión en datos técnicos de ITAR se coloque en una carpeta que cumpla los requisitos de ITAR.
Conexiones a fuentes de datos externas	La responsabilidad de Google en cuanto al cumplimiento se limita a la función de la API Connection de BigQuery. Es su responsabilidad asegurarse de que los productos de origen que se usan con la API de conexión de BigQuery cumplen los requisitos.
Funciones no compatibles	Las siguientes funciones de BigQuery no se admiten y no deben usarse en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads. Interacción con fuentes de datos remotas No se admiten los modelos de BQML entrenados externamente. Se admiten los modelos de BQML entrenados internamente. Enmascaramiento de datos dinámico Exportación de GDrive Funciones remotas Consultas guardadas Programación de flujos de trabajo En BigQuery Studio, los cuadernos no se admiten. Gemini en BigQuery no es compatible.
CLI de BigQuery	Se admite la CLI de BigQuery.
SDK de Google Cloud	Debes usar la versión 403.0.0 o una posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar la versión actual del SDK de Google Cloud, ejecuta gcloud --version y, a continuación, gcloud components update para actualizar a la versión más reciente.
Controles del administrador	BigQuery inhabilitará las APIs no admitidas, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no admitida. Si esto ocurre, se te informará de las posibles infracciones a través del panel de control de monitorización de Assured Workloads.
Cargando datos	No se admiten los conectores de BigQuery Data Transfer Service para aplicaciones de software como servicio (SaaS) de Google, proveedores de almacenamiento en la nube externos y almacenes de datos. Es tu responsabilidad no usar los conectores de BigQuery Data Transfer Service para cargas de trabajo de ITAR.
Transferencias de terceros	BigQuery no verifica la compatibilidad con las transferencias de terceros de BigQuery Data Transfer Service. Es tu responsabilidad verificar la compatibilidad cuando utilices una transferencia de terceros con BigQuery Data Transfer Service.
Modelos de BQML no conformes	No se admiten los modelos de BQML entrenados externamente.
Tareas de consulta	Los trabajos de consulta solo se deben crear en carpetas de Assured Workloads.
Consultas en conjuntos de datos de otros proyectos	BigQuery no impide que se consulten conjuntos de datos de Assured Workloads desde proyectos que no sean de Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una lectura o una combinación de datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completo para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
Cloud Logging	BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar los segmentos de registros _default o restringir los segmentos _default a las regiones incluidas en el ámbito para mantener el cumplimiento mediante el siguiente comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulta Regionalizar los registros para obtener más información.

Compute Engine

Funciones de Compute Engine afectadas

Función	Descripción
Suspender y reanudar una instancia de máquina virtual	Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente. Actualmente, el almacenamiento en disco persistente que se usa para almacenar el estado de la VM suspendida no se puede cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
SSDs locales	Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque actualmente no se pueden cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para conocer las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
Google Cloud consola	Las siguientes funciones de Compute Engine no están disponibles en la consola de Google Cloud . En su lugar, usa la API o Google Cloud CLI: Comprobaciones del estado Grupos de puntos finales de red
VMs de Bare Metal Solution	No puedes usar VMs de Solución Bare Metal (VMs o2) porque no cumplen los requisitos de ITAR.
Máquinas virtuales de VMware Engine de Google Cloud	No puedes usar máquinas virtuales de VMware Engine de Google Cloud, ya que no cumplen los requisitos de ITAR.
Crear una instancia de VM C3	Esta función está inhabilitada.
Usar discos persistentes o sus capturas sin CMEK	No puedes usar discos persistentes ni sus capturas a menos que se hayan cifrado con CMEK.
Crear máquinas virtuales anidadas o máquinas virtuales que usen la virtualización anidada	No puedes crear máquinas virtuales anidadas ni máquinas virtuales que usen la virtualización anidada. Esta función está inhabilitada por la restricción de la política de la organización compute.disableNestedVirtualization.
Añadir un grupo de instancias a un balanceador de carga global	No puedes añadir un grupo de instancias a un balanceador de carga global. Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalLoadBalancing.
Enrutar solicitudes a un balanceador de carga HTTPS externo multirregional	No puedes enrutar solicitudes a un balanceador de carga HTTPS externo multirregional. Esta función está inhabilitada por la restricción de la política de la organización compute.restrictLoadBalancerCreationForTypes.
Compartir un disco persistente SSD en el modo de escritura múltiple	No puedes compartir un disco persistente SSD en modo multiescritura entre instancias de VM.
Suspender y reanudar una instancia de máquina virtual	Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente. Además, el almacenamiento en disco persistente que se usa para almacenar el estado de la máquina virtual suspendida no se puede cifrar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
SSDs locales	Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque no se pueden cifrar con CMEK. Esta función está inhabilitada por la restricción de la política de la organización gcp.restrictNonCmekServices.
Entorno de invitado	Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu máquina virtual, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta el entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete. Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización compute.trustedImageProjects. Consulta la página Crear una imagen personalizada para obtener más información.
Políticas de SO en VM Manager	Las secuencias de comandos insertadas y los archivos de salida binarios de los archivos de políticas del SO no se cifran con claves de cifrado gestionadas por el cliente (CMEK). Por lo tanto, no incluyas información sensible en estos archivos. También puedes almacenar estos archivos de secuencias de comandos y de salida en segmentos de Cloud Storage. Para obtener más información, consulta los ejemplos de políticas de SO. Si quieres restringir la creación o modificación de recursos de políticas de SO que usen secuencias de comandos insertadas o archivos de salida binarios, habilita la restricción de la política de organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Para obtener más información, consulta Restricciones de configuración del SO.
instances.getSerialPortOutput()	Esta API está inhabilitada. No podrás obtener la salida del puerto serie de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de Habilitar el acceso a un proyecto.
instances.getScreenshot()	Esta API está inhabilitada, por lo que no podrás obtener una captura de pantalla de la instancia especificada con ella. Cambia el valor de la restricción de la política de organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de Habilitar el acceso a un proyecto.

Restricciones de las políticas de organización de Compute Engine

Restricción de política de organización	Descripción
compute.enableComplianceMemoryProtection	Su valor debe ser True. Inhabilita algunas funciones de diagnóstico internas para proporcionar protección adicional de la memoria cuando se produce un fallo en la infraestructura. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo.
compute.disableGlobalCloudArmorPolicy	Su valor debe ser True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales, así como la adición o modificación de reglas en las políticas de seguridad de Google Cloud Armor globales. Esta restricción no limita la eliminación de reglas ni la capacidad de eliminar o cambiar la descripción y la lista de políticas de seguridad globales de Google Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Google Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de que se aplique esta restricción seguirán vigentes.
compute.disableGlobalLoadBalancing	Su valor debe ser True. Inhabilita la creación de productos de balanceo de carga global. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo.
compute.disableGlobalSelfManagedSslCertificate	Su valor debe ser True. Inhabilita la creación de certificados SSL autogestionados globales. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo.
compute.disableInstanceDataAccessApis	Su valor debe ser True. Inhabilita globalmente las APIs instances.getSerialPortOutput() y instances.getScreenshot(). Si habilitas esta restricción, no podrás generar credenciales en máquinas virtuales de Windows Server. Si necesitas gestionar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: Habilita SSH para máquinas virtuales Windows. Ejecuta el siguiente comando para cambiar la contraseña de la VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Sustituye lo siguiente: VM_NAME: el nombre de la máquina virtual cuya contraseña vas a definir. USERNAME: el nombre de usuario del usuario cuya contraseña vas a definir. PASSWORD: la nueva contraseña.
compute.disableNonFIPSMachineTypes	Su valor debe ser True. Inhabilita la creación de tipos de instancias de VM que no cumplan los requisitos de FIPS.
compute.restrictNonConfidentialComputing	(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la documentación sobre máquinas virtuales confidenciales.
compute.trustedImageProjects	(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Si se define este valor, el almacenamiento de imágenes y la creación de instancias de disco se limitarán a la lista de proyectos especificada. Este valor afecta a la soberanía de los datos, ya que impide el uso de imágenes o agentes no autorizados.

Cloud DNS

Funciones de Cloud DNS afectadas

Función	Descripción
Google Cloud consola	Las funciones de Cloud DNS no están disponibles en la Google Cloud consola. Usa la API o Google Cloud CLI.

Google Kubernetes Engine

Funciones de Google Kubernetes Engine afectadas

Función	Descripción
Restricciones de recursos de clúster	Asegúrate de que la configuración de tu clúster no use recursos para servicios que no se admitan en el programa de cumplimiento de ITAR. Por ejemplo, la siguiente configuración no es válida porque requiere habilitar o usar un servicio no admitido: set `binaryAuthorization.evaluationMode` to `enabled`

Restricciones de políticas de organización de Google Kubernetes Engine

Restricción de política de organización	Descripción
container.restrictNoncompliantDiagnosticDataAccess	Su valor debe ser True. Inhabilita el análisis agregado de los problemas del kernel, que es necesario para mantener el control soberano de una carga de trabajo. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo.

Cloud Interconnect

Funciones de Cloud Interconnect afectadas

Función	Descripción
Google Cloud consola	Las funciones de Cloud Interconnect no están disponibles en la consola de Google Cloud . Usa la API o Google Cloud CLI.
VPN de alta disponibilidad	Debes habilitar la función de VPN de alta disponibilidad cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir los requisitos de cifrado y regionalización que se indican en la sección Funciones de VPN de Cloud afectadas.

Cloud Load Balancing

Funciones de Cloud Load Balancing afectadas

Función	Descripción
Google Cloud consola	Las funciones de Cloud Load Balancing no están disponibles en la consola Google Cloud . Usa la API o Google Cloud CLI.
Balanceadores de carga regionales	Solo debes usar balanceadores de carga regionales con ITAR. Consulta las siguientes páginas para obtener más información sobre cómo configurar balanceadores de carga regionales: Balanceador de carga de aplicación interno Balanceador de carga de aplicación externo regional Balanceador de carga de red de paso a través interno Balanceador de carga de red de paso a través externo

Cloud Logging

Funciones de Cloud Logging afectadas

Función	Descripción
Sumideros de registros	Los filtros no deben contener datos de clientes. Los receptores de registro incluyen filtros que se almacenan como configuración. No cree filtros que contengan Datos de Clientes.
Seguimiento en tiempo real de entradas de registro	Los filtros no deben contener datos de clientes. Una sesión de seguimiento en directo incluye un filtro que se almacena como configuración. La función de seguimiento de registros no almacena ningún dato de entrada de registro, pero puede consultar y transmitir datos entre regiones. No cree filtros que contengan Datos de Clientes.
Alertas basadas en registros	Esta función está inhabilitada. No puedes crear alertas basadas en registros en la consola de Google Cloud .
URLs abreviadas para consultas del Explorador de registros	Esta función está inhabilitada. No puedes crear URLs acortadas de consultas en la Google Cloud consola.
Guardar consultas en el Explorador de registros	Esta función está inhabilitada. No puedes guardar ninguna consulta en la Google Cloud consola.
Analíticas de registros con BigQuery	Esta función está inhabilitada. No puedes usar la función Analíticas de registros.
Políticas de alertas basadas en SQL	Esta función está inhabilitada. No puedes usar la función de políticas de alertas basadas en SQL.

Cloud Monitoring

Funciones de Cloud Monitoring afectadas

Función	Descripción
Monitor sintético	Esta función está inhabilitada.
Comprobaciones de disponibilidad del servicio	Esta función está inhabilitada.
Widgets del panel de registro en Paneles de control	Esta función está inhabilitada. No puedes añadir un panel de registro a un panel de control.
Widgets del panel de informes de errores en Paneles de control	Esta función está inhabilitada. No puedes añadir un panel de informes de errores a un panel de control.
Filtrar en EventAnnotation por Paneles	Esta función está inhabilitada. Filtro de EventAnnotation no se puede definir en un panel de control.
SqlCondition en alertPolicies	Esta función está inhabilitada. No puedes añadir un SqlCondition a un alertPolicy.

Cloud NAT

Funciones de Cloud NAT afectadas

Función	Descripción
Google Cloud consola	Las funciones de Cloud NAT no están disponibles en la Google Cloud consola. Usa la API o Google Cloud CLI.

Network Connectivity Center

Funciones de Network Connectivity Center afectadas

Función	Descripción
Google Cloud consola	Las funciones de Network Connectivity Center no están disponibles en la consola de Google Cloud . Usa la API o Google Cloud CLI.

Pub/Sub

Restricciones de las políticas de organización de Pub/Sub

Restricción de política de organización	Descripción
pubsub.enforceInTransitRegions	Su valor debe ser True. Asegura que los Datos del Cliente solo se transfieran dentro de las regiones permitidas especificadas en la política de almacenamiento de mensajes del tema de Pub/Sub. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo.

Cloud Router

Funciones de Cloud Router afectadas

Función	Descripción
Google Cloud consola	Las funciones de Cloud Router no están disponibles en la consola de Google Cloud . En su lugar, usa la API o Google Cloud CLI.

Cloud Run

Funciones de Cloud Run afectadas

Función	Descripción
Funciones no compatibles	Las siguientes funciones de Cloud Run no se admiten: Integración de Cloud Trace Cloud Run Functions Activadores de Eventarc

Cloud SQL

Funciones de Cloud SQL afectadas

Función	Descripción
Exportar a CSV	Exportar a CSV no cumple con ITAR y no debe usarse. Esta función está inhabilitada en la consola Google Cloud .
executeSql	El método executeSql de la API de Cloud SQL no cumple los requisitos de ITAR y no se debe usar.

Cloud Storage

Funciones de Cloud Storage afectadas

Función	Descripción
Google Cloud consola	Para mantener el cumplimiento de ITAR, es tu responsabilidad usar la consola Jurisdictional Google Cloud . La consola Jurisdictional impide subir y descargar objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la fila Puntos finales de API conformes de esta sección.
Endpoints de API conformes	Debes usar uno de los endpoints regionales que cumplan la ITAR con Cloud Storage. Consulta más información sobre los endpoints regionales de Cloud Storage y las ubicaciones de Cloud Storage.
Restricciones	Para cumplir los requisitos de ITAR, debes usar los endpoints regionales de Cloud Storage. Para obtener más información sobre los endpoints regionales de Cloud Storage para ITAR, consulta Endpoints regionales de Cloud Storage. Los endpoints regionales no admiten las siguientes operaciones. Sin embargo, estas operaciones no conllevan Datos del Cliente, tal como se definen en los términos del servicio de residencia de datos. Por lo tanto, puedes usar los endpoints globales para estas operaciones según sea necesario sin infringir el cumplimiento de ITAR: Operaciones con claves HMAC Operaciones de cuentas de servicio de gestión de identidades y accesos Notificaciones de Pub/Sub Notificaciones de cambios en objetos
Copiar y reescribir objetos	Las operaciones de copia y reescritura de objetos se admiten en los endpoints regionales si los dos cubos (el de origen y el de destino) se encuentran en la región especificada en el endpoint. Sin embargo, no puedes usar puntos de terminación regionales para copiar o reescribir un objeto de un segmento a otro si los segmentos están en ubicaciones diferentes. Es posible usar endpoints globales para copiar o reescribir contenido entre ubicaciones, pero no lo recomendamos, ya que puede infringir el cumplimiento de la ITAR.

Nube privada virtual (VPC)

Funciones de VPC afectadas

Función	Descripción
Google Cloud consola	Las funciones de redes de VPC no están disponibles en la Google Cloud consola. Usa la API o Google Cloud CLI.

Cloud VPN

Funciones de Cloud VPN afectadas

Función	Descripción
Google Cloud consola	Las funciones de Cloud VPN no están disponibles en la consola. Google Cloud Usa la API o Google Cloud CLI.
Cifrado	Solo debes usar cifrados que cumplan el estándar FIPS 140-2 al crear certificados y configurar la seguridad IP. Consulta la página Algoritmos de cifrado IKE compatibles para obtener más información sobre los algoritmos de cifrado compatibles con Cloud VPN. Para obtener información sobre cómo seleccionar un cifrado que cumpla los estándares FIPS 140-2, consulta la página Validación FIPS 140-2. No puedes cambiar una cifra que ya tengas en Google Cloud. Asegúrate de configurar tu cifrado en el dispositivo de terceros que se utilice con Cloud VPN.
Puntos finales de VPN	Solo debes usar los endpoints de Cloud VPN que se encuentren en una región incluida en el ámbito. Asegúrate de que tu pasarela VPN esté configurada para usarse solo en una región incluida en el ámbito.

Siguientes pasos

• Consulta cómo crear una carpeta de Assured Workloads.
• Consulta los precios de Assured Workloads