Périmètre de données pour la réglementation ITAR (International Traffic in Arms Regulations)

Cette page décrit l'ensemble des contrôles appliqués aux charges de travail ITAR dans Assured Workloads. Il fournit des informations détaillées sur la résidence des données, les produits Google Cloud compatibles et leurs points de terminaison d'API, ainsi que les restrictions ou limites applicables à ces produits. Les informations supplémentaires suivantes s'appliquent à l'ITAR :

• Résidence des données : le package de contrôles ITAR définit les contrôles d'emplacement des données pour n'accepter que les les régions des États-Unis. Pour en savoir plus, consultez la section Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud.
• Assistance : les services d'assistance technique pour les charges de travail ITAR sont disponibles avec les abonnements Cloud Customer Care Enhanced ou Premium. Les demandes d'assistance concernant les charges de travail ITAR sont transmises à des personnes des États-Unis résidant aux États-Unis. Pour en savoir plus, consultez Obtenir de l'aide.
• Tarification : le package de contrôles ITAR est inclus dans le niveau Premium d'Assured Workloads, qui entraîne un supplément de 20 %. Pour en savoir plus, consultez Tarifs d'Assured Workloads.

Prérequis

Pour rester conforme en tant qu'utilisateur du package de contrôles ITAR, vérifiez que vous remplissez et respectez les conditions préalables suivantes :

• Créez un dossier ITAR à l'aide d'Assured Workloads et déployez vos charges de travail ITAR uniquement dans ce dossier.
• N'activez et n'utilisez que les services ITAR concernés pour les charges de travail ITAR.
• Ne modifiez pas les valeurs par défaut des contraintes de règles d'administration, sauf si vous comprenez et êtes prêt à accepter les risques liés à la résidence des données qui peuvent survenir.
• Lorsque vous accédez à la console Google Cloud pour les charges de travail ITAR, vous devez utiliser l'une des URL suivantes de la console Google Cloud juridictionnelle :
  • console.us.cloud.google.com
  • console.us.cloud.google pour les utilisateurs de l'identité fédérée
• Lorsque vous vous connectez aux points de terminaison de service Google Cloud , vous devez utiliser des points de terminaison régionaux pour les services qui en proposent. En outre :
  • Lorsque vous vous connectez à des points de terminaison de service Google Cloud à partir de VM nonGoogle Cloud(par exemple, des VM sur site ou d'autres fournisseurs de cloud), vous devez utiliser l'une des options d'accès privé disponibles qui sont compatibles avec les connexions aux VM nonGoogle Cloud pour acheminer le trafic nonGoogle Cloud vers Google Cloud.
  • Lorsque vous vous connectez à des points de terminaison de service Google Cloud à partir de VM Google Cloud , vous pouvez utiliser l'une des options d'accès privé disponibles.
  • Lorsque vous vous connectez à des VM Google Cloud exposées avec des adresses IP externes, consultez Accéder aux API à partir de VM avec des adresses IP externes.
• Pour tous les services utilisés dans un dossier ITAR, ne stockez pas de données techniques dans les types d'informations de configuration de sécurité ou définies par l'utilisateur suivants :
  • Messages d'erreur
  • Sortie vers la console
  • Données d'attribut
  • Données de configuration du service
  • En-têtes de paquets réseau
  • Identifiants de ressources
  • Libellés de données
• N'utilisez que les points de terminaison régionaux spécifiés pour les services qui en proposent. Pour en savoir plus, consultez la liste des services ITAR concernés.
• Envisagez d'adopter les bonnes pratiques générales de sécurité fournies dans le centre des bonnes pratiques de sécurité Google Cloud .

Produits et points de terminaison d'API compatibles

Sauf indication contraire, les utilisateurs peuvent accéder à tous les produits compatibles via la console Google Cloud . Les restrictions ou limitations qui affectent les fonctionnalités d'un produit compatible, y compris celles appliquées par le biais des paramètres de contraintes des règles d'administration, sont listées dans le tableau suivant.

Si un produit n'est pas listé, cela signifie qu'il n'est pas pris en charge et qu'il ne répond pas aux exigences de contrôle de l'ITAR. Il est déconseillé d'utiliser des produits non compatibles sans avoir fait preuve de diligence raisonnable et sans avoir bien compris vos responsabilités dans le modèle de responsabilité partagée. Avant d'utiliser un produit non compatible, assurez-vous d'être conscient des risques associés et de les accepter, comme les impacts négatifs sur la résidence ou la souveraineté des données.

Restrictions et limitations

Les sections suivantes décrivent les restrictions ou limites au niveau de Google Cloudou spécifiques aux produits pour les fonctionnalités, y compris les contraintes de règles d'administration définies par défaut sur les dossiers ITAR. D'autres contraintes de règles d'administration applicables, même si elles ne sont pas définies par défaut, peuvent fournir une défense en profondeur supplémentaire pour mieux protéger les ressources de votre organisation Google Cloud .

Google Cloudde large

Fonctionnalités concernées Google Cloud

Fonctionnalité	Description
ConsoleGoogle Cloud	Pour accéder à la console Google Cloud lorsque vous utilisez le package de contrôles ITAR, vous devez utiliser l'une des URL suivantes : console.us.cloud.google.com console.us.cloud.google pour les utilisateurs d'identité fédérée Pour en savoir plus, consultez la page Console Google Cloud .

Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud

Les contraintes de règles d'administration suivantes s'appliquent à Google Cloud.

Contrainte liée aux règles d'administration	Description
gcp.resourceLocations	Définissez les emplacements suivants dans la liste allowedValues : us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Cette valeur limite la création de ressources aux valeurs sélectionnées. Si cette option est définie, aucune ressource ne peut être créée dans d'autres régions, zones multirégionales ou emplacements en dehors de la sélection. Consultez la page Services compatibles avec les emplacements de ressources pour obtenir la liste des ressources qui peuvent être limitées par la contrainte de règle d'administration "Emplacements des ressources". En effet, certaines ressources peuvent être hors champ et ne pas pouvoir être limitées. Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme.
gcp.restrictCmekCryptoKeyProjects	Définissez la valeur sur under:organizations/your-organization-name, qui correspond à votre organisation Assured Workloads. Vous pouvez restreindre davantage cette valeur en spécifiant un projet ou un dossier. Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés Cloud KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou projets non approuvés de fournir des clés de chiffrement, ce qui permet de garantir la souveraineté des données au repos pour les services concernés.
gcp.restrictNonCmekServices	Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris : bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com Il est possible que certaines fonctionnalités soient affectées pour chacun des services listés ci-dessus. Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). Les clés CMEK permettent de chiffrer les données au repos avec une clé que vous gérez, et non avec les mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées avec la clé que vous avez fournie.
gcp.restrictServiceUsage	Définissez-le pour autoriser tous les produits et points de terminaison d'API compatibles. Détermine les services pouvant être utilisés en limitant l'accès du runtime à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources.
gcp.restrictTLSVersion	Définissez les versions TLS suivantes sur "Refuser" : TLS_1_0 TLS_1_1 Pour en savoir plus, consultez la page Restreindre les versions TLS.

Google Cloud Armor

Fonctionnalités Google Cloud Armor concernées

Fonctionnalité	Description
Règles de sécurité à portée globale	Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration compute.disableGlobalCloudArmorPolicy.

BigQuery

Fonctionnalités BigQuery concernées

Fonctionnalité	Description
Activer BigQuery dans un nouveau dossier	BigQuery est compatible, mais n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Cette opération prend normalement dix minutes, mais peut durer beaucoup plus longtemps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit : Dans la console Google Cloud , accédez à la page Assured Workloads. Accéder à Assured Workloads Sélectionnez votre nouveau dossier Assured Workloads dans la liste. Sur la page Informations sur le dossier, dans la section Services autorisés, cliquez sur Examiner les mises à jour disponibles. Dans le volet Services autorisés, vérifiez les services à ajouter à la règle d'administration Restriction d'utilisation des ressources pour le dossier. Si des services BigQuery sont listés, cliquez sur Autoriser les services pour les ajouter. Si les services BigQuery ne sont pas listés, attendez la fin du processus interne. Si les services ne sont pas listés dans les 12 heures suivant la création du dossier, contactez l'assistance client Cloud. Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. Gemini dans BigQuery n'est pas compatible avec Assured Workloads.
API BigQuery conformes	Les API BigQuery suivantes sont conformes à l'ITAR : bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
Régions	BigQuery est conforme à l'ITAR pour toutes les régions BigQuery aux États-Unis, à l'exception de la région multirégionale des États-Unis. La conformité ITAR ne peut pas être garantie si un ensemble de données est créé dans une région multirégionale des États-Unis, dans une région non américaine ou dans une région multirégionale non américaine. Il vous incombe de spécifier une région conforme à l'ITAR lorsque vous créez des ensembles de données BigQuery.
Requêtes sur les ensembles de données ITAR à partir de projets non ITAR	BigQuery n'empêche pas d'interroger les ensembles de données ITAR à partir de projets non ITAR. Vous devez vous assurer que toute requête utilisant une opération de lecture ou de jointure sur des données techniques ITAR est placée dans un dossier conforme à l'ITAR.
Connexions à des sources de données externes	La responsabilité de Google en matière de conformité se limite à la fonctionnalité de l'API BigQuery Connection. Il vous incombe de vous assurer de la conformité des produits sources utilisés avec l'API BigQuery Connection.
Fonctionnalités non compatibles	Les fonctionnalités BigQuery suivantes ne sont pas compatibles et ne doivent pas être utilisées dans la CLI BigQuery. Il vous incombe de ne pas les utiliser dans BigQuery pour Assured Workloads. Interaction avec des sources de données distantes Les modèles BQML entraînés en externe ne sont pas acceptés. Les modèles BQML entraînés en interne sont acceptés. Masquage dynamique des données Exportation GDrive Fonctions à distance Requêtes enregistrées Planification des workflows Les notebooks ne sont pas compatibles avec BigQuery Studio. Gemini dans BigQuery n'est pas compatible.
CLI BigQuery	L'interface de ligne de commande BigQuery est compatible.
SDK Google Cloud	Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour garantir la régionalisation des données techniques. Pour vérifier votre version actuelle de Google Cloud SDK, exécutez gcloud --version, puis gcloud components update pour passer à la version la plus récente.
Commandes d'administration	BigQuery désactivera les API non compatibles, mais les administrateurs disposant des autorisations suffisantes pour créer un dossier Assured Workloads peuvent activer une API non compatible. Si cela se produit, vous serez informé d'un non-respect potentiel via le tableau de bord de surveillance Assured Workloads.
Charger des données	Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) de Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas compatibles. Il vous incombe de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour les charges de travail ITAR.
Transferts tiers	BigQuery ne vérifie pas la compatibilité des transferts tiers avec le service de transfert de données BigQuery. Il vous incombe de vérifier la compatibilité lorsque vous utilisez un transfert tiers pour le service de transfert de données BigQuery.
Modèles BQML non conformes	Les modèles BQML entraînés en externe ne sont pas acceptés.
Tâches de requête	Les jobs de requête ne doivent être créés que dans des dossiers Assured Workloads.
Requêtes sur les ensembles de données dans d'autres projets	BigQuery n'empêche pas d'interroger les ensembles de données Assured Workloads à partir de projets non Assured Workloads. Assurez-vous que toute requête comportant une lecture ou une jointure sur des données Assured Workloads est placée dans un dossier Assured Workloads. Vous pouvez spécifier un nom de table complet pour le résultat de la requête à l'aide de projectname.dataset.table dans la CLI BigQuery.
Cloud Logging	BigQuery utilise Cloud Logging pour certaines de vos données de journaux. Vous devez désactiver vos buckets de journaux _default ou restreindre les buckets _default aux régions concernées pour rester conforme à l'aide de la commande suivante : gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Pour en savoir plus, consultez Régionaliser vos journaux.

Compute Engine

Fonctionnalités Compute Engine concernées

Fonctionnalité	Description
Suspendre et réactiver une instance de VM	Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
Disques SSD locaux	Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK pour le moment. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité en termes de souveraineté et de résidence des données.
ConsoleGoogle Cloud	Les fonctionnalités Compute Engine suivantes ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou la Google Cloud CLI : Vérifications d'état Groupes de points de terminaison du réseau
VM Bare Metal Solution	Vous ne pouvez pas utiliser les VM de la solution Bare Metal (VM o2), car elles ne sont pas conformes à l'ITAR.
VM Google Cloud VMware Engine	Vous ne pouvez pas utiliser les VM Google Cloud VMware Engine, car elles ne sont pas conformes à l'ITAR.
Créer une instance de VM C3	Cette fonctionnalité est désactivée.
Utiliser des disques persistants ou leurs instantanés sans CMEK	Vous ne pouvez pas utiliser les disques persistants ni leurs instantanés, sauf s'ils ont été chiffrés à l'aide de CMEK.
Créer des VM imbriquées ou des VM qui utilisent la virtualisation imbriquée	Vous ne pouvez pas créer de VM imbriquées ni de VM qui utilisent la virtualisation imbriquée. Cette fonctionnalité est désactivée par la contrainte liée aux règles de l'organisation compute.disableNestedVirtualization.
Ajouter un groupe d'instances à un équilibreur de charge global	Vous ne pouvez pas ajouter de groupe d'instances à un équilibreur de charge global. Cette fonctionnalité est désactivée par la contrainte liée aux règles de l'organisation compute.disableGlobalLoadBalancing.
Router les requêtes vers un équilibreur de charge HTTPS externe multirégional	Vous ne pouvez pas router les requêtes vers un équilibreur de charge HTTPS externe multirégional. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration compute.restrictLoadBalancerCreationForTypes.
Partager un disque persistant SSD en mode écriture simultanée	Vous ne pouvez pas partager un disque persistant SSD en mode écriture simultanée entre des instances de VM.
Suspendre et réactiver une instance de VM	Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut pas être chiffré avec CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
Disques SSD locaux	Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des disques SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK. Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation gcp.restrictNonCmekServices.
Environnement invité	Il est possible que des scripts, des daemons et des binaires inclus dans l'environnement invité accèdent à des données non chiffrées au repos et en cours d'utilisation. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et d'autres informations spécifiques à chaque package, consultez Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et processus de sécurité internes. Toutefois, si vous souhaitez exercer un contrôle supplémentaire, vous pouvez également organiser vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects. Pour en savoir plus, consultez la page Créer une image personnalisée.
Règles d'OS dans VM Manager	Les scripts intégrés et les fichiers de sortie binaires dans les fichiers de règles d'OS ne sont pas chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). Par conséquent, n'incluez aucune information sensible dans ces fichiers. Vous pouvez également envisager de stocker ces scripts et fichiers de sortie dans des buckets Cloud Storage. Pour en savoir plus, consultez Exemples de règles d'OS. Si vous souhaitez limiter la création ou la modification de ressources de règles d'OS qui utilisent des scripts intégrés ou des fichiers de sortie binaires, activez la contrainte de règle d'administration constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Pour en savoir plus, consultez Contraintes pour OS Config.
instances.getSerialPortOutput()	Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.
instances.getScreenshot()	Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès pour un projet.

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration	Description
compute.enableComplianceMemoryProtection	Défini sur True. Désactive certaines fonctionnalités de diagnostic interne pour renforcer la protection du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.
compute.disableGlobalCloudArmorPolicy	Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles dans les stratégies de sécurité Google Cloud Armor globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la suppression ou la modification de la description et de la liste des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les stratégies de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur.
compute.disableGlobalLoadBalancing	Défini sur True. Désactive la création de produits d'équilibrage de charge mondiaux. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.
compute.disableGlobalSelfManagedSslCertificate	Défini sur True. Désactive la création de certificats SSL autogérés au niveau mondial. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.
compute.disableInstanceDataAccessApis	Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot(). L'activation de cette contrainte vous empêche de générer des identifiants sur les VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit : Activez SSH pour les VM Windows. Exécutez la commande suivante pour modifier le mot de passe de la VM : gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Remplacez les éléments suivants : VM_NAME : nom de la VM pour laquelle vous définissez le mot de passe. USERNAME : nom d'utilisateur pour lequel vous définissez le mot de passe. PASSWORD : nouveau mot de passe.
compute.disableNonFIPSMachineTypes	Défini sur True. Désactive la création de types d'instances de VM non conformes aux exigences FIPS.
compute.restrictNonConfidentialComputing	(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur les Confidential VMs.
compute.trustedImageProjects	(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur. La définition de cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés.

Cloud DNS

Fonctionnalités Cloud DNS concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Cloud DNS ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.

Google Kubernetes Engine

Fonctionnalités Google Kubernetes Engine concernées

Fonctionnalité	Description
Restrictions concernant les ressources de cluster	Assurez-vous que la configuration de votre cluster n'utilise pas de ressources pour les services non compatibles avec le programme de conformité ITAR. Par exemple, la configuration suivante n'est pas valide, car elle nécessite l'activation ou l'utilisation d'un service non compatible : set `binaryAuthorization.evaluationMode` to `enabled`

Contraintes liées aux règles d'administration Google Kubernetes Engine

Contrainte liée aux règles d'administration	Description
container.restrictNoncompliantDiagnosticDataAccess	Défini sur True. Désactive l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.

Cloud Interconnect

Fonctionnalités Cloud Interconnect concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Cloud Interconnect ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.
VPN haute disponibilité	Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation listées dans la section Fonctionnalités Cloud VPN concernées.

Cloud Load Balancing

Fonctionnalités Cloud Load Balancing concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Cloud Load Balancing ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.
Équilibreurs de charge régionaux	Vous ne devez utiliser que des équilibreurs de charge régionaux avec l'ITAR. Pour en savoir plus sur la configuration des équilibreurs de charge régionaux, consultez les pages suivantes : Équilibreur de charge d'application interne Équilibreur de charge d'application externe régional Équilibreur de charge réseau passthrough interne Équilibreur de charge réseau passthrough externe

Cloud Logging

Fonctionnalités Cloud Logging concernées

Fonctionnalité	Description
Récepteurs de journaux	Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres stockés en tant que configuration. Ne créez pas de filtres contenant des données client.
Affichage en direct des dernières lignes des entrées de journal	Les filtres ne doivent pas contenir de données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. La journalisation des journaux ne stocke aucune donnée d'entrée de journal en elle-même, mais peut interroger et transmettre des données entre les régions. Ne créez pas de filtres contenant des données client.
Alertes basées sur les journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud .
URL raccourcies pour les requêtes de l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud .
Enregistrer des requêtes dans l'explorateur de journaux	Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud .
Analyse de journaux avec BigQuery	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité d'analyse des journaux.
Règles d'alerte basées sur SQL	Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité de règles d'alerte basées sur SQL.

Cloud Monitoring

Fonctionnalités Cloud Monitoring concernées

Fonctionnalité	Description
Surveillance synthétique	Cette fonctionnalité est désactivée.
Tests de disponibilité	Cette fonctionnalité est désactivée.
Widgets du panneau des journaux dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journaux à un tableau de bord.
Widgets du panneau "Rapports d'erreur" dans Tableaux de bord	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement des erreurs à un tableau de bord.
Filtre dans EventAnnotation pour Tableaux de bord	Cette fonctionnalité est désactivée. Le filtre EventAnnotation ne peut pas être défini dans un tableau de bord.
SqlCondition dans alertPolicies	Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de SqlCondition à un alertPolicy.

Cloud NAT

Fonctionnalités Cloud NAT concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Cloud NAT ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.

Network Connectivity Center

Fonctionnalités Network Connectivity Center concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Network Connectivity Center ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.

Pub/Sub

Contraintes liées aux règles d'administration Pub/Sub

Contrainte liée aux règles d'administration	Description
pubsub.enforceInTransitRegions	Défini sur True. Garantit que les données client ne transitent que dans les régions autorisées spécifiées dans la règle de stockage des messages pour le sujet Pub/Sub. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail.

Cloud Router

Fonctionnalités Cloud Router concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Cloud Router ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.

Cloud Run

Fonctionnalités Cloud Run concernées

Fonctionnalité	Description
Fonctionnalités non compatibles	Les fonctionnalités Cloud Run suivantes ne sont pas acceptées : Intégration à Cloud Trace Fonctions Cloud Run Déclencheurs Eventarc

Cloud SQL

Fonctionnalités Cloud SQL concernées

Fonctionnalité	Description
Exporter au format CSV	L'exportation au format CSV n'est pas conforme à l'ITAR et ne doit pas être utilisée. Cette fonctionnalité est désactivée dans la console Google Cloud .
executeSql	La méthode executeSql de l'API Cloud SQL n'est pas conforme à l'ITAR et ne doit pas être utilisée.

Cloud Storage

Fonctionnalités Cloud Storage concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Pour assurer la conformité ITAR, il est de votre responsabilité d'utiliser la console Google Cloud juridictionnelle. La console juridictionnelle empêche l'importation et le téléchargement d'objets Cloud Storage. Pour importer et télécharger des objets Cloud Storage, consultez la ligne Points de terminaison d'API conformes dans cette section.
Points de terminaison d'API conformes	Vous devez utiliser l'un des points de terminaison régionaux conformes à l'ITAR avec Cloud Storage. Pour en savoir plus, consultez les pages Points de terminaison régionaux Cloud Storage et Emplacements Cloud Storage.
Restrictions	Pour respecter l'ITAR, vous devez utiliser des points de terminaison régionaux Cloud Storage. Pour en savoir plus sur les points de terminaison régionaux Cloud Storage pour ITAR, consultez Points de terminaison régionaux Cloud Storage. Les opérations suivantes ne sont pas compatibles avec les points de terminaison régionaux. Toutefois, ces opérations ne transportent pas de données client telles que définies dans les Conditions d'utilisation du service de résidence des données. Par conséquent, vous pouvez utiliser des points de terminaison globaux pour ces opérations si nécessaire, sans enfreindre la conformité ITAR : Opérations de clé HMAC Opérations sur les comptes de service IAM Notifications Pub/Sub Notifications de modification des objets
Copier et réécrire pour les objets	Les opérations de copie et de réécriture d'objets sont acceptées par les points de terminaison régionaux si les buckets source et de destination se trouvent dans la région spécifiée dans le point de terminaison. Toutefois, vous ne pouvez pas utiliser de points de terminaison régionaux pour copier ou réécrire un objet d'un bucket à un autre si les buckets se trouvent dans des emplacements différents. Il est possible d'utiliser des points de terminaison globaux pour copier ou réécrire des données entre différents emplacements, mais nous vous le déconseillons, car cela peut enfreindre la conformité ITAR.

Cloud privé virtuel (VPC)

Fonctionnalités VPC concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités de mise en réseau VPC ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.

Cloud VPN

Fonctionnalités Cloud VPN concernées

Fonctionnalité	Description
ConsoleGoogle Cloud	Les fonctionnalités Cloud VPN ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI.
Chiffrement	Vous ne devez utiliser que des algorithmes de chiffrement conformes à la norme FIPS 140-2 lorsque vous créez des certificats et configurez la sécurité de vos adresses IP. Pour en savoir plus sur les algorithmes de chiffrement compatibles avec Cloud VPN, consultez la page Algorithmes de chiffrement IKE compatibles. Pour savoir comment sélectionner un algorithme de chiffrement conforme à la norme FIPS 140-2, consultez la page Certification FIPS 140-2. Vous ne pouvez pas modifier un chiffrement existant dans Google Cloud. Veillez à configurer votre algorithme de chiffrement sur votre appliance tierce utilisée avec Cloud VPN.
Points de terminaison VPN	Vous ne devez utiliser que des points de terminaison Cloud VPN situés dans une région concernée. Assurez-vous que votre passerelle VPN est configurée pour être utilisée uniquement dans une région concernée.

Étapes suivantes

• Découvrez comment créer un dossier Assured Workloads.
• Comprendre les tarifs Assured Workloads