Batas Data untuk International Traffic in Arms Regulations (ITAR)

Halaman ini menjelaskan serangkaian kontrol yang diterapkan pada workload ITAR di Assured Workloads. Dokumen ini memberikan informasi mendetail tentang lokasi penyimpanan data, produk Google Cloud yang didukung dan endpoint API-nya, serta pembatasan atau batasan yang berlaku pada produk tersebut. Informasi tambahan berikut berlaku untuk ITAR:

• Residensi data: Paket kontrol ITAR menetapkan kontrol lokasi data untuk mendukung region khusus AS. Lihat bagian Batasan kebijakan organisasi di seluruhGoogle Cloud untuk mengetahui informasi selengkapnya.
• Dukungan: Layanan dukungan teknis untuk beban kerja ITAR tersedia dengan langganan Cloud Customer Care Enhanced atau Premium. Kasus dukungan workload ITAR diarahkan ke Orang Amerika Serikat yang berada di Amerika Serikat. Untuk mengetahui informasi selengkapnya, lihat Mendapatkan dukungan.
• Harga: Paket kontrol ITAR disertakan dalam tingkat Premium Assured Workloads, yang dikenai biaya tambahan sebesar 20%. Lihat harga Assured Workloads untuk mengetahui informasi selengkapnya.

Prasyarat

Agar tetap mematuhi persyaratan sebagai pengguna paket kontrol ITAR, verifikasi bahwa Anda memenuhi dan mematuhi prasyarat berikut:

• Buat folder ITAR menggunakan Assured Workloads dan deploy workload ITAR Anda hanya di folder tersebut.
• Aktifkan dan gunakan layanan ITAR dalam cakupan hanya untuk ITAR workload.
• Jangan ubah nilai batasan kebijakan organisasi default kecuali jika Anda memahami dan bersedia menerima risiko residensi data yang mungkin terjadi.
• Saat mengakses konsol Google Cloud untuk beban kerja ITAR, Anda harus menggunakan salah satu URL Jurisdiksi Google Cloud konsol berikut:
  • console.us.cloud.google.com
  • console.us.cloud.google untuk pengguna identitas gabungan
• Saat terhubung ke endpoint layanan, Anda harus menggunakan endpoint regional untuk layanan yang menawarkannya. Google Cloud Selain itu:
  • Saat terhubung ke endpoint layanan Google Cloud dari VM non-Google Cloud, seperti VM lokal atau VM penyedia cloud lain, Anda harus menggunakan salah satu opsi akses pribadi yang tersedia yang mendukung koneksi ke VM non-Google Cloud untuk merutekan traffic non-Google Cloud ke Google Cloud.
  • Saat terhubung ke Google Cloud endpoint layanan dari Google Cloud VM, Anda dapat menggunakan salah satu opsi akses pribadi yang tersedia.
  • Saat terhubung ke Google Cloud VM yang telah diekspos dengan alamat IP eksternal, lihat Mengakses API dari VM dengan alamat IP eksternal.
• Untuk semua layanan yang digunakan dalam folder ITAR, jangan menyimpan data teknis dalam jenis informasi konfigurasi keamanan atau yang ditentukan pengguna berikut:
  • Pesan error
  • Output konsol
  • Data atribut
  • Data konfigurasi layanan
  • Header paket jaringan
  • ID resource
  • Label data
• Gunakan hanya endpoint regional yang ditentukan untuk layanan yang menawarkannya. Untuk mengetahui informasi selengkapnya, lihat layanan ITAR dalam cakupan.
• Pertimbangkan untuk menerapkan praktik terbaik keamanan umum yang disediakan di Google Cloud pusat praktik terbaik keamanan.

Produk dan endpoint API yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua produk yang didukung melalui konsol Google Cloud . Pembatasan atau batasan yang memengaruhi fitur produk yang didukung, termasuk yang diterapkan melalui setelan batasan kebijakan organisasi, tercantum dalam tabel berikut.

Jika suatu produk tidak tercantum, produk tersebut tidak didukung dan tidak memenuhi persyaratan kontrol ITAR. Produk yang tidak didukung tidak direkomendasikan untuk digunakan tanpa uji tuntas dan pemahaman menyeluruh tentang tanggung jawab Anda dalam model tanggung jawab bersama. Sebelum menggunakan produk yang tidak didukung, pastikan Anda mengetahui dan bersedia menerima risiko terkait yang mungkin timbul, seperti dampak negatif terhadap residensi data atau kedaulatan data.

Batas dan pembatasan

Bagian berikut menjelaskan batasan atau pembatasan di seluruh Google Cloudatau khusus produk untuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default di folder ITAR. Batasan kebijakan organisasi lainnya yang berlaku—meskipun tidak ditetapkan secara default—dapat memberikan pertahanan mendalam tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Google Cloudlebar

Fitur Google Cloudyang terpengaruh

Fitur	Deskripsi
Google Cloud console	Untuk mengakses konsol Google Cloud saat menggunakan paket kontrol ITAR, Anda harus menggunakan salah satu URL berikut: console.us.cloud.google.com console.us.cloud.google untuk pengguna identitas gabungan Untuk mengetahui informasi selengkapnya, lihat halaman Konsol Google Cloud yurisdiksi.

Batasan kebijakan organisasi di seluruhGoogle Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh Google Cloud.

Batasan kebijakan organisasi	Deskripsi
gcp.resourceLocations	Tetapkan ke lokasi berikut dalam daftar allowedValues: us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Nilai ini membatasi pembuatan resource baru ke nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Lihat Layanan yang didukung lokasi resource untuk mengetahui daftar resource yang dapat dibatasi oleh batasan kebijakan organisasi Lokasi Resource, karena beberapa resource mungkin berada di luar cakupan dan tidak dapat dibatasi. Mengubah nilai ini dengan membuatnya kurang ketat berpotensi merusak residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data yang mematuhi kebijakan.
gcp.restrictCmekCryptoKeyProjects	Setel ke under:organizations/your-organization-name, yang merupakan organisasi Assured Workloads Anda. Anda dapat membatasi lebih lanjut nilai ini dengan menentukan project atau folder. Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci Cloud KMS untuk mengenkripsi data saat istirahat menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui menyediakan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data saat istirahat layanan dalam cakupan.
gcp.restrictNonCmekServices	Disetel ke daftar semua nama layanan API dalam cakupan, termasuk: bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas. Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan data saat istirahat dienkripsi dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google. Mengubah nilai ini dengan menghapus satu atau beberapa layanan dalam cakupan dari daftar dapat merusak kedaulatan data, karena data saat istirahat yang baru akan dienkripsi secara otomatis menggunakan kunci Google sendiri, bukan kunci Anda. Data istirahat yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
gcp.restrictServiceUsage	Disetel untuk mengizinkan semua produk dan endpoint API yang didukung. Menentukan layanan mana yang dapat digunakan dengan membatasi akses runtime ke resource-nya. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource.
gcp.restrictTLSVersion	Disetel untuk menolak versi TLS berikut: TLS_1_0 TLS_1_1 Lihat halaman Membatasi versi TLS untuk mengetahui informasi selengkapnya.

Google Cloud Armor

Fitur Google Cloud Armor yang terpengaruh

Fitur	Deskripsi
Kebijakan keamanan dengan cakupan global	Fitur ini dinonaktifkan oleh batasan kebijakan organisasi.compute.disableGlobalCloudArmorPolicy

BigQuery

Fitur BigQuery yang terpengaruh

Fitur	Deskripsi
Mengaktifkan BigQuery di folder baru	BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Assured Workloads baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dapat memakan waktu lebih lama dalam beberapa keadaan. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut: Di konsol Google Cloud , buka halaman Assured Workloads. Buka Assured Workloads Pilih folder Assured Workloads baru Anda dari daftar. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Pembatasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya. Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care. Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Assured Workloads Anda. Gemini di BigQuery tidak didukung oleh Assured Workloads.
API BigQuery yang sesuai	BigQuery API berikut mematuhi ITAR: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
Region	BigQuery mematuhi ITAR untuk semua region AS BigQuery, kecuali multi-region AS. Kepatuhan terhadap ITAR tidak dapat dijamin jika set data dibuat di multi-region AS, region non-AS, atau multi-region non-AS. Anda bertanggung jawab untuk menentukan region yang mematuhi ITAR saat membuat set data BigQuery.
Kueri pada set data ITAR dari project non-ITAR	BigQuery tidak mencegah set data ITAR dikueri dari project non-ITAR. Anda harus memastikan bahwa kueri apa pun yang menggunakan operasi baca atau gabung pada data teknis ITAR ditempatkan di folder yang mematuhi ITAR.
Koneksi ke sumber data eksternal	Tanggung jawab kepatuhan Google terbatas pada kemampuan BigQuery Connection API. Anda bertanggung jawab untuk memastikan kepatuhan produk sumber yang digunakan dengan BigQuery Connection API.
Fitur yang tidak didukung	Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di BigQuery CLI. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Assured Workloads. Interaksi dengan sumber data jarak jauh Model BQML yang dilatih secara eksternal tidak didukung. Model BQML yang dilatih secara internal didukung. Penyamaran data dinamis Ekspor GDrive Fungsi jarak jauh Kueri tersimpan Penjadwalan alur kerja Untuk BigQuery Studio, notebook tidak didukung. Gemini di BigQuery tidak didukung.
CLI BigQuery	BigQuery CLI didukung.
Google Cloud SDK	Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data bagi data teknis. Untuk memverifikasi versi Google Cloud SDK Anda saat ini, jalankan gcloud --version, lalu gcloud components update untuk mengupdate ke versi terbaru.
Kontrol administrator	BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Assured Workloads dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data	Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk beban kerja ITAR.
Transfer pihak ketiga	BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service.
Model BQML yang tidak sesuai	Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri	Tugas kueri hanya boleh dibuat dalam folder Assured Workloads.
Kueri pada set data di project lain	BigQuery tidak mencegah set data Assured Workloads dikueri dari project non-Assured Workloads. Anda harus memastikan bahwa kueri apa pun yang memiliki baca atau gabungan pada data Assured Workloads ditempatkan di folder Assured Workloads. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kuerinya menggunakan projectname.dataset.table di BigQuery CLI.
Cloud Logging	BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging _default atau membatasi bucket _default ke wilayah yang termasuk dalam cakupan untuk mempertahankan kepatuhan menggunakan perintah berikut: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Lihat Melokalkan log untuk mengetahui informasi selengkapnya.

Compute Engine

Fitur Compute Engine yang terpengaruh

Fitur	Deskripsi
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi gcp.restrictNonCmekServices di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data dari pengaktifan fitur ini.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi gcp.restrictNonCmekServices di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data dari pengaktifan fitur ini.
Google Cloud console	Fitur Compute Engine berikut tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI: Health check Grup endpoint jaringan
VM Solusi Bare Metal	Anda tidak dapat menggunakan VM Solusi Bare Metal (VM o2) karena VM Solusi Bare Metal tidak mematuhi ITAR.
VM Google Cloud VMware Engine	Anda tidak dapat menggunakan VM Google Cloud VMware Engine karena VM Google Cloud VMware Engine tidak mematuhi ITAR.
Membuat instance VM C3	Fitur ini dinonaktifkan.
Menggunakan persistent disk atau snapshotnya tanpa CMEK	Anda tidak dapat menggunakan persistent disk atau snapshotnya kecuali jika telah dienkripsi menggunakan CMEK.
Membuat VM bertingkat atau VM yang menggunakan virtualisasi bertingkat	Anda tidak dapat membuat VM bertingkat atau VM yang menggunakan virtualisasi bertingkat. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi compute.disableNestedVirtualization.
Menambahkan grup instance ke load balancer global	Anda tidak dapat menambahkan grup instance ke load balancer global. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi compute.disableGlobalLoadBalancing.
Merutekan permintaan ke load balancer HTTPS eksternal multi-region	Anda tidak dapat merutekan permintaan ke load balancer HTTPS eksternal multi-region. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi compute.restrictLoadBalancerCreationForTypes.
Membagikan persistent disk SSD dalam mode multi-penulis	Anda tidak dapat membagikan persistent disk SSD dalam mode multi-penulis antara instance VM.
Menangguhkan dan melanjutkan instance VM	Fitur ini dinonaktifkan. Menangguhkan dan melanjutkan instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan tidak dapat dienkripsi menggunakan CMEK. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi gcp.restrictNonCmekServices.
SSD Lokal	Fitur ini dinonaktifkan. Anda tidak akan dapat membuat instance dengan SSD Lokal karena SSD tersebut tidak dapat dienkripsi menggunakan CMEK. Fitur ini dinonaktifkan oleh batasan kebijakan organisasi gcp.restrictNonCmekServices.
Lingkungan tamu	Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data yang tidak dienkripsi saat istirahat dan saat digunakan. Bergantung pada konfigurasi VM Anda, update software ini mungkin diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket. Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi compute.trustedImageProjects. Lihat halaman Membangun image kustom untuk mengetahui informasi selengkapnya.
Kebijakan OS di VM Manager	Skrip inline dan file output biner dalam file kebijakan OS tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Oleh karena itu, jangan sertakan informasi sensitif apa pun dalam file ini. Atau, pertimbangkan untuk menyimpan skrip dan file output ini di bucket Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Contoh kebijakan OS. Jika Anda ingin membatasi pembuatan atau modifikasi resource kebijakan OS yang menggunakan skrip inline atau file output biner, aktifkan batasan kebijakan organisasi constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Untuk mengetahui informasi selengkapnya, lihat Batasan untuk Konfigurasi OS.
instances.getSerialPortOutput()	API ini dinonaktifkan; Anda tidak akan dapat memperoleh output port serial dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.
instances.getScreenshot()	API ini dinonaktifkan; Anda tidak akan dapat mengambil screenshot dari instance yang ditentukan menggunakan API ini. Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
compute.enableComplianceMemoryProtection	Tetapkan ke True. Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan pada konten memori saat terjadi kesalahan infrastruktur. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
compute.disableGlobalCloudArmorPolicy	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru, dan penambahan atau modifikasi aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan listingan kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum pemberlakuan batasan ini tetap berlaku.
compute.disableGlobalLoadBalancing	Tetapkan ke True. Menonaktifkan pembuatan produk load balancing global. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
compute.disableGlobalSelfManagedSslCertificate	Tetapkan ke True. Menonaktifkan pembuatan sertifikat SSL yang dikelola sendiri secara global. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
compute.disableInstanceDataAccessApis	Tetapkan ke True. Menonaktifkan instances.getSerialPortOutput() dan instances.getScreenshot() API secara global. Mengaktifkan batasan ini akan mencegah Anda membuat kredensial di VM Windows Server. Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan tindakan berikut: Aktifkan SSH untuk VM Windows. Jalankan perintah berikut untuk mengubah sandi VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Ganti kode berikut: VM_NAME: Nama VM yang sandinya sedang Anda tetapkan. USERNAME: Nama pengguna pengguna yang sandinya Anda tetapkan. PASSWORD: Sandi baru.
compute.disableNonFIPSMachineTypes	Tetapkan ke True. Menonaktifkan pembuatan jenis instance VM yang tidak mematuhi persyaratan FIPS.
compute.restrictNonConfidentialComputing	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
compute.trustedImageProjects	(Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan mendalam tambahan. Menetapkan nilai ini akan membatasi penyimpanan image dan instansiasi disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Cloud DNS

Fitur Cloud DNS yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur Cloud DNS tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.

Google Kubernetes Engine

Fitur Google Kubernetes Engine yang terpengaruh

Fitur	Deskripsi
Batasan resource cluster	Pastikan konfigurasi cluster Anda tidak menggunakan resource untuk layanan yang tidak didukung dalam program kepatuhan ITAR. Misalnya, konfigurasi berikut tidak valid karena memerlukan pengaktifan atau penggunaan layanan yang tidak didukung: set `binaryAuthorization.evaluationMode` to `enabled`

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan kebijakan organisasi	Deskripsi
container.restrictNoncompliantDiagnosticDataAccess	Tetapkan ke True. Menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol berdaulat atas workload. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Cloud Interconnect

Fitur Cloud Interconnect yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur Cloud Interconnect tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.
VPN ketersediaan tinggi (HA)	Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian Fitur Cloud VPN yang terpengaruh.

Cloud Load Balancing

Fitur Cloud Load Balancing yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur Cloud Load Balancing tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.
Load balancer regional	Anda hanya boleh menggunakan load balancer regional dengan ITAR. Lihat halaman berikut untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi load balancer regional: Load Balancer Aplikasi Internal Load Balancer Aplikasi eksternal regional Load Balancer Jaringan passthrough internal Load Balancer Jaringan passthrough eksternal

Cloud Logging

Fitur Cloud Logging yang terpengaruh

Fitur	Deskripsi
Sink log	Filter tidak boleh berisi Data Pelanggan. Sink log mencakup filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Mengikuti entri log secara langsung	Filter tidak boleh berisi Data Pelanggan. Sesi live tailing mencakup filter yang disimpan sebagai konfigurasi. Mengikuti log tidak menyimpan data entri log apa pun, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.
Pemberitahuan berbasis log	Fitur ini dinonaktifkan. Anda tidak dapat membuat pemberitahuan berbasis log di konsol Google Cloud .
URL yang dipersingkat untuk kueri Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat membuat URL kueri yang dipendek di konsol Google Cloud .
Menyimpan kueri di Logs Explorer	Fitur ini dinonaktifkan. Anda tidak dapat menyimpan kueri apa pun di konsol Google Cloud .
Log Analytics menggunakan BigQuery	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur Log Analytics.
Kebijakan pemberitahuan berbasis SQL	Fitur ini dinonaktifkan. Anda tidak dapat menggunakan fitur kebijakan pemberitahuan berbasis SQL.

Cloud Monitoring

Fitur Cloud Monitoring yang terpengaruh

Fitur	Deskripsi
Monitor Sintetis	Fitur ini dinonaktifkan.
Cek uptime	Fitur ini dinonaktifkan.
Widget panel log di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di EventAnnotation untuk Dasbor	Fitur ini dinonaktifkan. Filter EventAnnotation tidak dapat ditetapkan di dasbor.
SqlCondition di alertPolicies	Fitur ini dinonaktifkan. Anda tidak dapat menambahkan SqlCondition ke alertPolicy.

Cloud NAT

Fitur Cloud NAT yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur Cloud NAT tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.

Network Connectivity Center

Fitur Network Connectivity Center yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur Network Connectivity Center tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.

Pub/Sub

Batasan kebijakan organisasi Pub/Sub

Batasan kebijakan organisasi	Deskripsi
pubsub.enforceInTransitRegions	Tetapkan ke True. Memastikan bahwa Data Pelanggan hanya ditransit di dalam region yang diizinkan yang ditentukan dalam kebijakan penyimpanan pesan untuk topik Pub/Sub. Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Cloud Router

Fitur Cloud Router yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur Cloud Router tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.

Cloud Run

Fitur Cloud Run yang terpengaruh

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur Cloud Run berikut tidak didukung: Integrasi Cloud Trace Cloud Run Functions Pemicu Eventarc

Cloud SQL

Fitur Cloud SQL yang terpengaruh

Fitur	Deskripsi
Mengekspor ke CSV	Mengekspor ke CSV tidak mematuhi ITAR dan tidak boleh digunakan. Fitur ini dinonaktifkan di konsol Google Cloud .
executeSql	Metode executeSql dari Cloud SQL API tidak mematuhi ITAR dan tidak boleh digunakan.

Cloud Storage

Fitur Cloud Storage yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Untuk mempertahankan kepatuhan terhadap ITAR, Anda bertanggung jawab untuk menggunakan konsol Yurisdiksi Google Cloud . Konsol Jurisdiksi mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Endpoint API yang sesuai di bagian ini.
Endpoint API yang sesuai	Anda harus menggunakan salah satu endpoint regional yang mematuhi ITAR dengan Cloud Storage. Lihat Endpoint regional Cloud Storage dan Lokasi Cloud Storage untuk mengetahui informasi selengkapnya.
Pembatasan	Anda harus menggunakan endpoint regional Cloud Storage agar mematuhi ITAR. Untuk mengetahui informasi selengkapnya tentang endpoint regional Cloud Storage untuk ITAR, lihat Endpoint regional Cloud Storage. Operasi berikut tidak didukung oleh endpoint regional. Namun, operasi ini tidak membawa Data Pelanggan sebagaimana didefinisikan dalam persyaratan layanan residensi data. Oleh karena itu, Anda dapat menggunakan endpoint global untuk operasi ini sesuai kebutuhan tanpa melanggar kepatuhan ITAR: Operasi kunci HMAC Operasi akun layanan IAM Notifikasi Pub/Sub Notifikasi perubahan objek
Menyalin dan menulis ulang untuk objek	Operasi penyalinan dan penulisan ulang untuk objek didukung oleh endpoint regional jika bucket sumber dan tujuan berada di region yang ditentukan di endpoint. Namun, Anda tidak dapat menggunakan endpoint regional untuk menyalin atau menulis ulang objek dari satu bucket ke bucket lain jika bucket ada di lokasi yang berbeda. Titik akhir global dapat digunakan untuk menyalin atau menulis ulang di berbagai lokasi, tetapi kami tidak merekomendasikannya karena dapat melanggar kepatuhan ITAR.

Virtual Private Cloud (VPC)

Fitur VPC yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur jaringan VPC tidak tersedia di konsol. Google Cloud Gunakan API atau Google Cloud CLI sebagai gantinya.

Cloud VPN

Fitur Cloud VPN yang terpengaruh

Fitur	Deskripsi
Google Cloud console	Fitur Cloud VPN tidak tersedia di konsol Google Cloud . Gunakan API atau Google Cloud CLI sebagai gantinya.
Enkripsi	Anda hanya boleh menggunakan sandi yang sesuai dengan FIPS 140-2 saat membuat sertifikat dan mengonfigurasi keamanan IP Anda. Lihat halaman Cipher IKE yang didukung untuk mengetahui informasi selengkapnya tentang cipher yang didukung di Cloud VPN. Untuk panduan tentang memilih sandi yang sesuai dengan standar FIPS 140-2, lihat halaman Tervalidasi FIPS 140-2. Anda tidak dapat mengubah cipher yang ada di Google Cloud. Pastikan Anda mengonfigurasi cipher pada perlengkapan pihak ketiga yang digunakan dengan Cloud VPN.
Endpoint VPN	Anda hanya boleh menggunakan endpoint Cloud VPN yang berada di region dalam cakupan. Pastikan gateway VPN Anda dikonfigurasi untuk digunakan di region yang termasuk dalam cakupan saja.

Langkah berikutnya

• Pelajari cara membuat folder Assured Workloads
• Memahami harga Assured Workloads