Paquete de control de los Reglamentos sobre tráfico internacional en armas (ITAR)

En esta página, se describe el conjunto de controles que se aplican a las cargas de trabajo de ITAR en Assured Workloads. Proporciona información detallada sobre la residencia de datos, los productos Google Cloud compatibles y sus extremos de API, y cualquier restricción o limitación aplicable a esos productos. La siguiente información adicional se aplica a la ITAR:

  • Residencia de datos: El paquete de control de ITAR establece controles de ubicación de datos para admitir regiones solo de EE.UU.. Consulta la sección restricciones de las políticas de la organización deGoogle Cloud para obtener más información.
  • Asistencia: Los servicios de asistencia técnica para cargas de trabajo de ITAR están disponibles con las suscripciones a la Atención al cliente de Cloud mejorada o premium. Los casos de asistencia de cargas de trabajo de ITAR se dirigen a personas físicas o jurídicas de EE.UU. que se encuentren en ese país. Si necesitas más información, consulta Obtén asistencia.
  • Precios: El paquete de control de ITAR se incluye en el nivel Premium de Assured Workloads, que genera un cargo adicional del 20%. Consulta los precios de Assured Workloads para obtener más información.

Requisitos previos

Para mantener el cumplimiento como usuario del paquete de control de ITAR, asegúrate de cumplir con los siguientes requisitos previos y respetarlos:

  • Crea una carpeta de ITAR con Assured Workloads y implementa tus cargas de trabajo de ITAR solo en esa carpeta.
  • Habilita y usa solo servicios del ITAR dentro del alcance para las cargas de trabajo del ITAR.
  • No cambies los valores de restricción predeterminados de la política de la organización, a menos que comprendas y estés dispuesto a aceptar los riesgos de residencia de datos que puedan ocurrir.
  • Cuando accedas a la consola de Google Cloud para cargas de trabajo de ITAR, debes usar una de las siguientes URLs de la consola de Google Cloud jurisdiccional:
  • Cuando te conectes a los Google Cloud extremos de servicio, debes usar extremos regionales para los servicios que los ofrezcan. Además:
    • Cuando te conectes a los extremos de servicio de Google Cloud desde VMs que no sean deGoogle Cloud, como las VMs locales o de otros proveedores de servicios en la nube, debes usar una de las opciones de acceso privado disponibles que admitan conexiones a VMs que no sean deGoogle Cloud para enrutar el tráfico que no sea deGoogle Cloud a Google Cloud.
    • Cuando te conectes a Google Cloud extremos de servicio desde Google Cloud VMs, puedes usar cualquiera de las opciones de acceso privado disponibles.
    • Cuando te conectes a Google Cloud VMs que se expusieron con direcciones IP externas, consulta Accede a las APIs desde las VMs con direcciones IP externas.
  • Para todos los servicios que se usan en una carpeta de ITAR, no almacenes datos técnicos en los siguientes tipos de información de configuración de seguridad o definidos por el usuario:
    • Mensajes de error
    • Resultado de la consola
    • Datos de atributos
    • Datos de configuración del servicio
    • Encabezados de paquetes de red
    • Identificadores de recursos
    • Etiquetas de datos
  • Usa solo los extremos regionales o de ubicación especificados para los servicios que los ofrezcan. Consulta los servicios de ITAR dentro del alcance para obtener más información.
  • Considera adoptar las prácticas recomendadas de seguridad generales que se proporcionan en el Google Cloud Centro de prácticas recomendadas de seguridad.

Productos y extremos de API compatibles

A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos compatibles a través de la consola de Google Cloud. En la siguiente tabla, se enumeran las restricciones o limitaciones que afectan las funciones de un producto compatible, incluidas las que se aplican a través de la configuración de restricciones de la política de la organización.

Si un producto no aparece en la lista, significa que no es compatible y no cumple con los requisitos de control de la ITAR. No se recomienda el uso de productos no compatibles sin la diligencia debida y sin comprender a fondo tus responsabilidades en el modelo de responsabilidad compartida. Antes de usar un producto no compatible, asegúrate de conocer y aceptar los riesgos asociados, como los impactos negativos en la residencia o soberanía de los datos.

Producto compatible Extremos de API que cumplen con ITAR Restricciones o limitaciones
Artifact Registry Extremos de la API regionales:
  • artifactregistry.us-central1.rep.googleapis.com
  • artifactregistry.us-central2.rep.googleapis.com
  • artifactregistry.us-east1.rep.googleapis.com
  • artifactregistry.us-east4.rep.googleapis.com
  • artifactregistry.us-east5.rep.googleapis.com
  • artifactregistry.us-east7.rep.googleapis.com
  • artifactregistry.us-south1.rep.googleapis.com
  • artifactregistry.us-west1.rep.googleapis.com
  • artifactregistry.us-west2.rep.googleapis.com
  • artifactregistry.us-west3.rep.googleapis.com
  • artifactregistry.us-west4.rep.googleapis.com
  • artifactregistry.us-west8.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • artifactregistry.googleapis.com
 Ninguno
BigQuery Extremos de la API regionales:
  • bigquery.us-central1.rep.googleapis.com
  • bigquery.us-central2.rep.googleapis.com
  • bigquery.us-east1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquery.us-east5.rep.googleapis.com
  • bigquery.us-east7.rep.googleapis.com
  • bigquery.us-south1.rep.googleapis.com
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-west2.rep.googleapis.com
  • bigquery.us-west3.rep.googleapis.com
  • bigquery.us-west4.rep.googleapis.com
  • bigquery.us-west8.rep.googleapis.com
  • bigquerydatatransfer.us-central1.rep.googleapis.com
  • bigquerydatatransfer.us-central2.rep.googleapis.com
  • bigquerydatatransfer.us-east1.rep.googleapis.com
  • bigquerydatatransfer.us-east4.rep.googleapis.com
  • bigquerydatatransfer.us-east5.rep.googleapis.com
  • bigquerydatatransfer.us-east7.rep.googleapis.com
  • bigquerydatatransfer.us-south1.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.googleapis.com
  • bigquerydatatransfer.us-west2.rep.googleapis.com
  • bigquerydatatransfer.us-west3.rep.googleapis.com
  • bigquerydatatransfer.us-west4.rep.googleapis.com
  • bigquerydatatransfer.us-west8.rep.googleapis.com
  • bigquerymigration.us-central1.rep.googleapis.com
  • bigquerymigration.us-central2.rep.googleapis.com
  • bigquerymigration.us-east1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigquerymigration.us-east5.rep.googleapis.com
  • bigquerymigration.us-east7.rep.googleapis.com
  • bigquerymigration.us-south1.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-west2.rep.googleapis.com
  • bigquerymigration.us-west3.rep.googleapis.com
  • bigqueryreservation.us-central1.rep.googleapis.com
  • bigqueryreservation.us-central2.rep.googleapis.com
  • bigqueryreservation.us-east1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigqueryreservation.us-east5.rep.googleapis.com
  • bigqueryreservation.us-east7.rep.googleapis.com
  • bigqueryreservation.us-south1.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-west2.rep.googleapis.com
  • bigqueryreservation.us-west3.rep.googleapis.com
  • bigqueryreservation.us-west4.rep.googleapis.com
  • bigqueryreservation.us-west8.rep.googleapis.com
  • bigquerystorage.us-central1.rep.googleapis.com
  • bigquerystorage.us-central2.rep.googleapis.com
  • bigquerystorage.us-east1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerystorage.us-east5.rep.googleapis.com
  • bigquerystorage.us-east7.rep.googleapis.com
  • bigquerystorage.us-south1.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-west2.rep.googleapis.com
  • bigquerystorage.us-west3.rep.googleapis.com
  • bigquerystorage.us-west4.rep.googleapis.com
  • bigquerystorage.us-west8.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • bigquery.googleapis.com
  • bigqueryconnection.googleapis.com
  • bigquerydatapolicy.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigquerymigration.googleapis.com
  • bigqueryreservation.googleapis.com
  • bigquerystorage.googleapis.com
 Funciones afectadas
Certificate Authority Service No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • privateca.googleapis.com
 Ninguno
Cloud Composer Extremos de la API regionales:
  • composer.us-central1.rep.googleapis.com
  • composer.us-east1.rep.googleapis.com
  • composer.us-east4.rep.googleapis.com
  • composer.us-east5.rep.googleapis.com
  • composer.us-east7.rep.googleapis.com
  • composer.us-south1.rep.googleapis.com
  • composer.us-west1.rep.googleapis.com
  • composer.us-west2.rep.googleapis.com
  • composer.us-west3.rep.googleapis.com
  • composer.us-west4.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • composer.googleapis.com
 Ninguno
Cloud DNS No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • dns.googleapis.com
 Funciones afectadas
Cloud External Key Manager (Cloud EKM) Extremos de la API regionales:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • cloudkms.googleapis.com
 Ninguno
Cloud HSM Extremos de la API regionales:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • cloudkms.googleapis.com
 Ninguno
Cloud Interconnect No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • compute.googleapis.com
 Funciones afectadas
Cloud Key Management Service (Cloud KMS) Extremos de la API regionales:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • cloudkms.googleapis.com
 Ninguno
Cloud Load Balancing No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • compute.googleapis.com
 Funciones afectadas
Cloud Logging Extremos de la API regionales:
  • logging.us-central1.rep.googleapis.com
  • logging.us-central2.rep.googleapis.com
  • logging.us-east1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com
  • logging.us-east5.rep.googleapis.com
  • logging.us-east7.rep.googleapis.com
  • logging.us-south1.rep.googleapis.com
  • logging.us-west1.rep.googleapis.com
  • logging.us-west2.rep.googleapis.com
  • logging.us-west3.rep.googleapis.com
  • logging.us-west4.rep.googleapis.com
  • logging.us-west8.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • logging.googleapis.com
 Funciones afectadas
Cloud Monitoring No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • monitoring.googleapis.com
 Funciones afectadas
Cloud NAT No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • networkconnectivity.googleapis.com
 Funciones afectadas
Cloud Router No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • networkconnectivity.googleapis.com
 Funciones afectadas
Cloud Run No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • run.googleapis.com
 Funciones afectadas
Cloud SQL No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • sqladmin.googleapis.com
 Funciones afectadas
Cloud Storage Extremos de la API regionales:
  • storage.us-central1.rep.googleapis.com
  • storage.us-central2.rep.googleapis.com
  • storage.us-east1.rep.googleapis.com
  • storage.us-east4.rep.googleapis.com
  • storage.us-east5.rep.googleapis.com
  • storage.us-east7.rep.googleapis.com
  • storage.us-south1.rep.googleapis.com
  • storage.us-west1.rep.googleapis.com
  • storage.us-west2.rep.googleapis.com
  • storage.us-west3.rep.googleapis.com
  • storage.us-west4.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • storage.googleapis.com
 Funciones afectadas
Cloud VPN No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • compute.googleapis.com
 Funciones afectadas
Compute Engine No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • compute.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Dataflow Extremos de la API regionales:
  • dataflow.us-central1.rep.googleapis.com
  • dataflow.us-central2.rep.googleapis.com
  • dataflow.us-east1.rep.googleapis.com
  • dataflow.us-east4.rep.googleapis.com
  • dataflow.us-east5.rep.googleapis.com
  • dataflow.us-east7.rep.googleapis.com
  • dataflow.us-south1.rep.googleapis.com
  • dataflow.us-west1.rep.googleapis.com
  • dataflow.us-west2.rep.googleapis.com
  • dataflow.us-west3.rep.googleapis.com
  • dataflow.us-west4.rep.googleapis.com
  • dataflow.us-west8.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
 Ninguno
Dataproc Extremos de la API regionales:
  • dataproc.us-central1.rep.googleapis.com
  • dataproc.us-central2.rep.googleapis.com
  • dataproc.us-east1.rep.googleapis.com
  • dataproc.us-east4.rep.googleapis.com
  • dataproc.us-east5.rep.googleapis.com
  • dataproc.us-east7.rep.googleapis.com
  • dataproc.us-south1.rep.googleapis.com
  • dataproc.us-west1.rep.googleapis.com
  • dataproc.us-west2.rep.googleapis.com
  • dataproc.us-west3.rep.googleapis.com
  • dataproc.us-west4.rep.googleapis.com
  • dataproc.us-west8.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
 Ninguno
Filestore No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • file.googleapis.com
 Ninguno
Google Kubernetes Engine No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Funciones afectadas y restricciones de las políticas de la organización
Administración de identidades y accesos (IAM) No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • iam.googleapis.com
 Ninguno
Identity-Aware Proxy (IAP) No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • iap.googleapis.com
 Ninguno
Network Connectivity Center No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • networkconnectivity.googleapis.com
 Funciones afectadas
Persistent Disk No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • compute.googleapis.com
 Ninguno
Pub/Sub Extremos de la API regionales:
  • pubsub.us-central1.rep.googleapis.com
  • pubsub.us-central2.rep.googleapis.com
  • pubsub.us-east1.rep.googleapis.com
  • pubsub.us-east4.rep.googleapis.com
  • pubsub.us-east5.rep.googleapis.com
  • pubsub.us-south1.rep.googleapis.com
  • pubsub.us-west1.rep.googleapis.com
  • pubsub.us-west2.rep.googleapis.com
  • pubsub.us-west3.rep.googleapis.com
  • pubsub.us-west4.rep.googleapis.com

No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • pubsub.googleapis.com
 Ninguno
Controles del servicio de VPC No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • accesscontextmanager.googleapis.com
 Ninguno
Nube privada virtual (VPC) No se admiten extremos de API regionales.
No se admiten los extremos de API de ubicación.

Extremos de API globales:
  • compute.googleapis.com
 Funciones afectadas

Restricciones y limitaciones

En las siguientes secciones, se describen las restricciones o limitaciones de las funciones de Google Cloudo específicas del producto, incluidas las restricciones de las políticas de la organización que se establecen de forma predeterminada en las carpetas de ITAR. Otras restricciones aplicables de la política de la organización, incluso si no se establecen de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos Google Cloud de tu organización.

Ancho deGoogle Cloud

Restricciones de las políticas de la organización enGoogle Cloud

Las siguientes restricciones de la política de la organización se aplican a Google Cloud.

Restricción de las políticas de la organización Descripción
gcp.resourceLocations Establece las siguientes ubicaciones en la lista allowedValues:
  • us
  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4
Este valor restringe la creación de recursos nuevos solo al grupo de valores seleccionado. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la selección. Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos conforme. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información.
gcp.restrictCmekCryptoKeyProjects Establece el valor en under:organizations/your-organization-name, que es tu organización de Assured Workloads. Puedes restringir aún más este valor si especificas un proyecto o una carpeta.

Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de Cloud KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance.
gcp.restrictNonCmekServices Se establece en una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes:
  • bigquery.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Algunas funciones pueden verse afectadas por cada uno de los servicios mencionados anteriormente.

Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). CMEK permite que los datos en reposo se encripten con una clave administrada por ti, no los mecanismos de encriptación predeterminados de Google.

Si cambias este valor mediante la eliminación de uno o más servicios dentro del alcance de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente mediante las claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
gcp.restrictServiceUsage Se establece para permitir todos los productos y extremos de API compatibles.

Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Restringe el uso de recursos.
gcp.restrictTLSVersion Se establece para denegar las siguientes versiones de TLS:
  • TLS_1_0
  • TLS_1_1
Consulta la página Cómo restringir las versiones de TLS para obtener más información.

BigQuery

Funciones de BigQuery afectadas

Función Descripción
Habilita BigQuery en una carpeta nueva BigQuery es compatible, pero no se habilita automáticamente cuando creas una nueva carpeta de cargas de trabajo aseguradas debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
  1. En la consola de Google Cloud, ve a la página Assured Workloads.

    Ve a Assured Workloads

  2. Selecciona tu nueva carpeta de Assured Workloads en la lista.
  3. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Revisar actualizaciones disponibles.
  4. En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización Restringir el uso de recursos de la carpeta. Si los servicios de BigQuery aparecen en la lista, haz clic en Permitir servicios para agregarlos.

    Si no aparecen los servicios de BigQuery, espera a que se complete el proceso interno. Si los servicios no aparecen en la lista en un plazo de 12 horas después de crear la carpeta, comunícate con Atención al cliente de Cloud.

Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta Assured Workloads.

Gemini en BigQuery no es compatible con Assured Workloads.
APIs de BigQuery que cumplen con las políticas Las siguientes APIs de BigQuery cumplen con el ITAR:
Regiones BigQuery cumple con el ITAR en todas las regiones de BigQuery de EE.UU., excepto en la región multirregional de EE.UU. No se puede garantizar el cumplimiento de las ITAR si se crea un conjunto de datos en una ubicación multirregional de EE.UU., en una región fuera de EE.UU. o en una ubicación multirregional fuera de EE.UU. Es su responsabilidad especificar una región que cumpla con las ITAR cuando cree conjuntos de datos de BigQuery.
Consultas sobre conjuntos de datos de ITAR desde proyectos que no son de ITAR BigQuery no impide que se consulten conjuntos de datos de ITAR desde proyectos que no son de ITAR. Debes asegurarte de que cualquier consulta que use una operación de lectura o combinación en datos técnicos de la ITAR se coloque en una carpeta que cumpla con la ITAR.
Conexiones a fuentes de datos externas La responsabilidad de cumplimiento de Google se limita a la función de la API de BigQuery Connection. Es su responsabilidad garantizar el cumplimiento de los productos de origen que se usan con la API de BigQuery Connection.
Características no compatibles Las siguientes funciones de BigQuery no son compatibles y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para cargas de trabajo seguras.
CLI de BigQuery Se admite la CLI de BigQuery.

SDK de Google Cloud Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos para los datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
Controles del administrador BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de cargas de trabajo garantizadas pueden habilitar una API no compatible. Si esto ocurre, se te notificará sobre un posible incumplimiento a través del panel de supervisión de Assured Workloads.
Carga datos No se admiten los conectores del Servicio de transferencia de datos de BigQuery para apps de software de Google como servicio (SaaS), proveedores externos de almacenamiento en la nube y almacenes de datos. Es su responsabilidad no usar los conectores del Servicio de transferencia de datos de BigQuery para cargas de trabajo de ITAR.
Transferencias de terceros BigQuery no verifica la compatibilidad con transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad verificar la compatibilidad cuando uses cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery.
Modelos de BQML no conformes No se admiten los modelos de BQML entrenados de forma externa.
Trabajos de consulta Las tareas de consulta solo deben crearse dentro de las carpetas de Assured Workloads.
Consultas en conjuntos de datos de otros proyectos BigQuery no impide que se consulten conjuntos de datos de cargas de trabajo garantizadas desde proyectos que no son de cargas de trabajo garantizadas. Debes asegurarte de que cualquier consulta que tenga una operación de lectura o unión en los datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completamente calificado para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
Cloud Logging BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Para mantener el cumplimiento, debes inhabilitar tus buckets de registro _default o restringir los buckets _default a regiones dentro del alcance con el siguiente comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Consulta Regionaliza los registros para obtener más información.

Compute Engine

Funciones de Compute Engine afectadas

Función Descripción
Suspende y reanuda una instancia de VM Se inhabilitó esta función.

La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar mediante el uso de CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
SSD locales Se inhabilitó esta función.

No podrás crear una instancia con SSD locales porque, por el momento, no se pueden encriptar mediante CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
Consola de Google Cloud Las siguientes funciones de Compute Engine no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI:
VM de la solución Bare Metal Es su responsabilidad no usar las VMs de Bare Metal Solution (VMs de o2) porque no cumplen con las ITAR.

VM de Google Cloud VMware Engine Es su responsabilidad no usar las VMs de Google Cloud VMware Engine, ya que estas no cumplen con las ITAR.

Cómo crear una instancia de VM C3 Esta función está inhabilitada.
Cómo usar discos persistentes o sus instantáneas sin CMEK No puedes usar discos persistentes ni sus instantáneas, a menos que se hayan encriptado con CMEK.
Crear VMs anidadas o VMs que usan virtualización anidada No puedes crear VMs anidadas ni VMs que usen virtualización anidada.

La restricción de la política de la organización compute.disableNestedVirtualization inhabilita esta función.
Agrega un grupo de instancias a un balanceador de cargas global No puedes agregar un grupo de instancias a un balanceador de cargas global.

La restricción de la política de la organización compute.disableGlobalLoadBalancing inhabilita esta función.
Enruta las solicitudes a un balanceador de cargas HTTPS externo multirregional No puedes enrutar solicitudes a un balanceador de cargas HTTPS externo multirregional.

La restricción de la política de la organización compute.restrictLoadBalancerCreationForTypes inhabilita esta función.
Cómo compartir un disco persistente SSD en modo de multiescritura No puedes compartir un disco persistente SSD en modo de multiescritura entre instancias de VM.
Suspende y reanuda una instancia de VM Se inhabilitó esta función.

La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar mediante el uso de CMEK.

La restricción de la política de la organización gcp.restrictNonCmekServices inhabilita esta función.
SSD locales Se inhabilitó esta función.

No podrás crear una instancia con SSD locales porque no se pueden encriptar con CMEK.

La restricción de la política de la organización gcp.restrictNonCmekServices inhabilita esta función.
Entorno huésped Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más.

Estos componentes te ayudan a cumplir con la soberanía de los datos mediante procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización compute.trustedImageProjects.

Consulta la página Cómo compilar una imagen personalizada para obtener más información.
instances.getSerialPortOutput() Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso a un proyecto.
instances.getScreenshot() Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API.

Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso a un proyecto.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización Descripción
compute.enableComplianceMemoryProtection Configurado como True.

Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
compute.disableGlobalCloudArmorPolicy Configurado como True.

Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad globales de Google Cloud Armor existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes.
compute.disableGlobalLoadBalancing Configurado como True.

Inhabilita la creación de productos de balanceo de cargas global.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
compute.disableGlobalSelfManagedSslCertificate Configurado como True.

Inhabilita la creación de certificados SSL autoadministrados globales.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.
compute.disableInstanceDataAccessApis Configurado como True.

Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot().

Si habilitas esta restricción, no podrás generar credenciales en VMs de Windows Server.

Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
  1. Habilita SSH para VMs de Windows.
  2. Ejecuta el siguiente comando para cambiar la contraseña de la VM: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    Reemplaza lo siguiente:
    • VM_NAME: Es el nombre de la VM para la que configuras la contraseña.
    • USERNAME: Es el nombre de usuario del usuario para el que estás configurando la contraseña.
    • PASSWORD: La contraseña nueva.
compute.disableNonFIPSMachineTypes Configurado como True.

Inhabilita la creación de tipos de instancias de VM que no cumplen con los requisitos de FIPS.
compute.restrictNonConfidentialComputing

 (Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.
compute.trustedImageProjects

 (Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional.

Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados.

Cloud DNS

Funciones de Cloud DNS afectadas

Función Descripción
Consola de Google Cloud Las funciones de Cloud DNS no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Google Kubernetes Engine

Funciones de Google Kubernetes Engine afectadas

Función Descripción
Restricciones de recursos del clúster Asegúrate de que la configuración de tu clúster no use recursos para servicios que no sean compatibles con el programa de cumplimiento de ITAR. Por ejemplo, la siguiente configuración no es válida porque requiere habilitar o usar un servicio no compatible:

set `binaryAuthorization.evaluationMode` to `enabled`

Restricciones de las políticas de la organización de Google Kubernetes Engine

Restricción de las políticas de la organización Descripción
container.restrictNoncompliantDiagnosticDataAccess Configurado como True.

Inhabilita el análisis agregado de los problemas del kernel, que es necesario para mantener el control soberano de una carga de trabajo.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.

Cloud Interconnect

Funciones de Cloud Interconnect afectadas

Función Descripción
Consola de Google Cloud Las funciones de Cloud Interconnect no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.
VPN con alta disponibilidad (HA) Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en la sección Funciones de Cloud VPN afectadas.

Cloud Load Balancing

Funciones de Cloud Load Balancing afectadas

Función Descripción
Consola de Google Cloud Las funciones de Cloud Load Balancing no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.
Balanceadores de cargas regionales Solo debes usar balanceadores de cargas regionales con ITAR. Consulta las siguientes páginas para obtener más información sobre la configuración de balanceadores de cargas regionales:

Cloud Logging

Funciones de Cloud Logging afectadas

Función Descripción
Receptores de registros Los filtros no deben contener datos del cliente.

Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos de clientes.
Entradas de registro de transmisión de registros en tiempo real Los filtros no deben contener datos del cliente.

Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos del cliente.
Alertas basadas en registros Se inhabilitó esta función.

No puedes crear alertas basadas en registros en la consola de Google Cloud.
URLs reducidas para las consultas del Explorador de registros Se inhabilitó esta función.

No puedes crear URLs acortadas de consultas en la consola de Google Cloud.
Guarda consultas en el Explorador de registros Se inhabilitó esta función.

No puedes guardar ninguna consulta en la consola de Google Cloud.
Análisis de registros con BigQuery Se inhabilitó esta función.

No puedes usar la función de estadísticas de registros.
Políticas de alertas basadas en SQL Se inhabilitó esta función.

No puedes usar la función de políticas de alertas basadas en SQL.

Cloud Monitoring

Funciones de Cloud Monitoring afectadas

Función Descripción
Monitor sintético Se inhabilitó esta función.
Verificación del tiempo de actividad Se inhabilitó esta función.
Widgets del panel de registros en Paneles de control Se inhabilitó esta función.

No puedes agregar un panel de registro a un panel.
Widgets del panel de informes de errores en Paneles Se inhabilitó esta función.

No puedes agregar un panel de informes de errores a un panel.
Filtra en EventAnnotation por Paneles. Se inhabilitó esta función.

No se puede configurar el filtro de EventAnnotation en un panel.
SqlCondition en alertPolicies Se inhabilitó esta función.

No puedes agregar un SqlCondition a un alertPolicy.

Cloud NAT

Funciones de Cloud NAT afectadas

Función Descripción
Consola de Google Cloud Las funciones de Cloud NAT no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Network Connectivity Center

Funciones de Network Connectivity Center afectadas

Función Descripción
Consola de Google Cloud Las funciones de Network Connectivity Center no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Pub/Sub

Restricciones de las políticas de la organización de Pub/Sub

Restricción de las políticas de la organización Descripción
pubsub.enforceInTransitRegions Configurado como True.

Garantiza que los datos del cliente solo pasen por las regiones permitidas que se especificaron en la política de almacenamiento de mensajes del tema de Pub/Sub.

Cambiar este valor puede afectar la residencia de los datos o la soberanía de los datos de tu carga de trabajo.

Cloud Router

Funciones de Cloud Router afectadas

Función Descripción
Consola de Google Cloud Las funciones de Cloud Router no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Cloud Run

Funciones de Cloud Run afectadas

Función Descripción
Características no compatibles No se admiten las siguientes funciones de Cloud Run:

Cloud SQL

Funciones de Cloud SQL afectadas

Función Descripción
Exportación a CSV La exportación a CSV no cumple con las ITAR y no se debe usar. Esta función está inhabilitada en la consola de Google Cloud.
executeSql El método executeSql de la API de Cloud SQL no cumple con las ITAR y no se debe usar.

Cloud Storage

Funciones de Cloud Storage afectadas

Función Descripción
Consola de Google Cloud Para mantener el cumplimiento de ITAR, es tu responsabilidad usar la consola de Google Cloud jurisdiccional. La consola de jurisdicción evita que se suban y descarguen objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la fila Extremos de API compatibles en esta sección.
Extremos de API que cumplen con los requisitos Debes usar uno de los extremos regionales que cumplen con el ITAR con Cloud Storage. Para obtener más información, consulta Puntos finales regionales de Cloud Storage y Ubicaciones de Cloud Storage.
Restricciones Debes usar extremos regionales de Cloud Storage para cumplir con las ITAR. Para obtener más información sobre los extremos regionales de Cloud Storage para ITAR, consulta Extremos regionales de Cloud Storage.

Los extremos regionales no admiten las siguientes operaciones. Sin embargo, estas operaciones no llevan Datos del Cliente, como se define en las Condiciones del servicio de residencia de datos. Por lo tanto, puedes usar extremos globales para estas operaciones según sea necesario sin infringir el cumplimiento de ITAR:
Copia y reescribe objetos Los extremos regionales admiten operaciones de copia y reescritura de objetos si los buckets de origen y destino se encuentran en la región especificada en el extremo. Sin embargo, no puedes usar extremos regionales para copiar o reescribir un objeto de un bucket a otro si los buckets existen en ubicaciones diferentes. Es posible usar extremos globales para copiar o reescribir en todas las ubicaciones, pero no lo recomendamos, ya que podría incumplir el cumplimiento de ITAR.

Nube privada virtual (VPC)

Funciones de VPC afectadas

Función Descripción
Consola de Google Cloud Las funciones de redes de VPC no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.

Cloud VPN

Funciones de Cloud VPN afectadas

Función Descripción
Consola de Google Cloud Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI.
Encriptación Cuando crees certificados y configures la seguridad de tu IP, solo debes usar algoritmos de cifrado que cumplan con el estándar FIPS 140-2. Consulta la página Algoritmos de cifrado de IKE admitidos para obtener más información sobre los algoritmos de cifrado admitidos en Cloud VPN. Para obtener orientación sobre cómo seleccionar un algoritmo de cifrado que cumpla con los estándares FIPS 140-2, consulta la página Validación con FIPS 140-2.

No puedes cambiar un algoritmo de cifrado existente en Google Cloud. Asegúrate de configurar el algoritmo de cifrado en el dispositivo de terceros que se usa con Cloud VPN.
Extremos de VPN Solo debes usar los extremos de Cloud VPN que se encuentran en EE.UU. Asegúrate de que la puerta de enlace de VPN esté configurada solo para usarse en una región de EE.UU.

¿Qué sigue?