Paket kontrol International Traffic in Arms Regulations (ITAR)

Halaman ini menjelaskan kumpulan kontrol yang diterapkan pada workload ITAR di Assured Workloads. Halaman ini memberikan informasi mendetail tentang residensi data, produk Google Cloud yang didukung dan endpoint API-nya, serta pembatasan atau batasan yang berlaku pada produk tersebut. Informasi tambahan berikut berlaku untuk ITAR:

Prasyarat

Agar tetap mematuhi kebijakan sebagai pengguna paket kontrol ITAR, pastikan Anda memenuhi dan mematuhi prasyarat berikut:

  • Buat folder ITAR menggunakan Assured Workloads dan deploy workload ITAR Anda hanya di folder tersebut.
  • Hanya aktifkan dan gunakan layanan ITAR dalam cakupan untuk beban kerja ITAR.
  • Jangan ubah nilai batasan kebijakan organisasi default kecuali jika Anda memahami dan bersedia menerima risiko retensi data yang mungkin terjadi.
  • Saat mengakses konsol Google Cloud untuk workload ITAR, Anda harus menggunakan salah satu URL Konsol Google Cloud Yurisdiksi berikut:
  • Saat terhubung ke Google Cloud endpoint layanan, Anda harus menggunakan endpoint regional untuk layanan yang menawarkannya. Selain itu:
    • Saat terhubung ke Google Cloud endpoint layanan dari VM non-Google Cloud, seperti VM lokal atau VM penyedia cloud lainnya, Anda harus menggunakan salah satu opsi akses pribadi yang tersedia yang mendukung koneksi ke VM non-Google Cloud untuk merutekan traffic non-Google Cloud ke Google Cloud.
    • Saat terhubung ke Google Cloud endpoint layanan dari Google Cloud VM, Anda dapat menggunakan salah satu opsi akses pribadi yang tersedia.
    • Saat terhubung ke Google Cloud VM yang telah diekspos dengan alamat IP eksternal, baca Mengakses API dari VM dengan alamat IP eksternal.
  • Untuk semua layanan yang digunakan di folder ITAR, jangan simpan data teknis dalam jenis informasi konfigurasi keamanan atau yang ditentukan pengguna berikut:
    • Pesan error
    • Output konsol
    • Data atribut
    • Data konfigurasi layanan
    • Header paket jaringan
    • ID resource
    • Label data
  • Hanya gunakan endpoint regional atau lokasi yang ditentukan untuk layanan yang menawarkannya. Lihat layanan ITAR dalam cakupan untuk mengetahui informasi selengkapnya.
  • Pertimbangkan untuk menerapkan praktik terbaik keamanan umum yang diberikan di Google Cloud pusat praktik terbaik keamanan.

Produk dan endpoint API yang didukung

Kecuali jika dinyatakan lain, pengguna dapat mengakses semua produk yang didukung melalui konsol Google Cloud. Batasan atau pembatasan yang memengaruhi fitur produk yang didukung, termasuk yang diterapkan melalui setelan batasan kebijakan organisasi, tercantum dalam tabel berikut.

Jika produk tidak tercantum, produk tersebut tidak didukung dan belum memenuhi persyaratan kontrol untuk ITAR. Produk yang tidak didukung tidak direkomendasikan untuk digunakan tanpa uji kelayakan dan pemahaman menyeluruh tentang tanggung jawab Anda dalam model tanggung jawab bersama. Sebelum menggunakan produk yang tidak didukung, pastikan Anda mengetahui dan bersedia menerima risiko terkait yang terlibat, seperti dampak negatif terhadap retensi data atau kedaulatan data.

Produk yang didukung Endpoint API yang mematuhi ITAR Pembatasan atau batasan
Artifact Registry Endpoint API regional:
  • artifactregistry.us-central1.rep.googleapis.com
  • artifactregistry.us-central2.rep.googleapis.com
  • artifactregistry.us-east1.rep.googleapis.com
  • artifactregistry.us-east4.rep.googleapis.com
  • artifactregistry.us-east5.rep.googleapis.com
  • artifactregistry.us-east7.rep.googleapis.com
  • artifactregistry.us-south1.rep.googleapis.com
  • artifactregistry.us-west1.rep.googleapis.com
  • artifactregistry.us-west2.rep.googleapis.com
  • artifactregistry.us-west3.rep.googleapis.com
  • artifactregistry.us-west4.rep.googleapis.com
  • artifactregistry.us-west8.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • artifactregistry.googleapis.com
 Tidak ada
BigQuery Endpoint API regional:
  • bigquery.us-central1.rep.googleapis.com
  • bigquery.us-central2.rep.googleapis.com
  • bigquery.us-east1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquery.us-east5.rep.googleapis.com
  • bigquery.us-east7.rep.googleapis.com
  • bigquery.us-south1.rep.googleapis.com
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-west2.rep.googleapis.com
  • bigquery.us-west3.rep.googleapis.com
  • bigquery.us-west4.rep.googleapis.com
  • bigquery.us-west8.rep.googleapis.com
  • bigquerydatatransfer.us-central1.rep.googleapis.com
  • bigquerydatatransfer.us-central2.rep.googleapis.com
  • bigquerydatatransfer.us-east1.rep.googleapis.com
  • bigquerydatatransfer.us-east4.rep.googleapis.com
  • bigquerydatatransfer.us-east5.rep.googleapis.com
  • bigquerydatatransfer.us-east7.rep.googleapis.com
  • bigquerydatatransfer.us-south1.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.googleapis.com
  • bigquerydatatransfer.us-west2.rep.googleapis.com
  • bigquerydatatransfer.us-west3.rep.googleapis.com
  • bigquerydatatransfer.us-west4.rep.googleapis.com
  • bigquerydatatransfer.us-west8.rep.googleapis.com
  • bigquerymigration.us-central1.rep.googleapis.com
  • bigquerymigration.us-central2.rep.googleapis.com
  • bigquerymigration.us-east1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigquerymigration.us-east5.rep.googleapis.com
  • bigquerymigration.us-east7.rep.googleapis.com
  • bigquerymigration.us-south1.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-west2.rep.googleapis.com
  • bigquerymigration.us-west3.rep.googleapis.com
  • bigqueryreservation.us-central1.rep.googleapis.com
  • bigqueryreservation.us-central2.rep.googleapis.com
  • bigqueryreservation.us-east1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigqueryreservation.us-east5.rep.googleapis.com
  • bigqueryreservation.us-east7.rep.googleapis.com
  • bigqueryreservation.us-south1.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-west2.rep.googleapis.com
  • bigqueryreservation.us-west3.rep.googleapis.com
  • bigqueryreservation.us-west4.rep.googleapis.com
  • bigqueryreservation.us-west8.rep.googleapis.com
  • bigquerystorage.us-central1.rep.googleapis.com
  • bigquerystorage.us-central2.rep.googleapis.com
  • bigquerystorage.us-east1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerystorage.us-east5.rep.googleapis.com
  • bigquerystorage.us-east7.rep.googleapis.com
  • bigquerystorage.us-south1.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-west2.rep.googleapis.com
  • bigquerystorage.us-west3.rep.googleapis.com
  • bigquerystorage.us-west4.rep.googleapis.com
  • bigquerystorage.us-west8.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • bigquery.googleapis.com
  • bigqueryconnection.googleapis.com
  • bigquerydatapolicy.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigquerymigration.googleapis.com
  • bigqueryreservation.googleapis.com
  • bigquerystorage.googleapis.com
 Fitur yang terpengaruh
Certificate Authority Service Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • privateca.googleapis.com
 Tidak ada
Cloud Composer Endpoint API regional:
  • composer.us-central1.rep.googleapis.com
  • composer.us-east1.rep.googleapis.com
  • composer.us-east4.rep.googleapis.com
  • composer.us-east5.rep.googleapis.com
  • composer.us-east7.rep.googleapis.com
  • composer.us-south1.rep.googleapis.com
  • composer.us-west1.rep.googleapis.com
  • composer.us-west2.rep.googleapis.com
  • composer.us-west3.rep.googleapis.com
  • composer.us-west4.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • composer.googleapis.com
 Tidak ada
Cloud DNS Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • dns.googleapis.com
 Fitur yang terpengaruh
Cloud External Key Manager (Cloud EKM) Endpoint API regional:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • cloudkms.googleapis.com
 Tidak ada
Cloud HSM Endpoint API regional:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • cloudkms.googleapis.com
 Tidak ada
Cloud Interconnect Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
 Fitur yang terpengaruh
Cloud Key Management Service (Cloud KMS) Endpoint API regional:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • cloudkms.googleapis.com
 Tidak ada
Cloud Load Balancing Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
 Fitur yang terpengaruh
Cloud Logging Endpoint API regional:
  • logging.us-central1.rep.googleapis.com
  • logging.us-central2.rep.googleapis.com
  • logging.us-east1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com
  • logging.us-east5.rep.googleapis.com
  • logging.us-east7.rep.googleapis.com
  • logging.us-south1.rep.googleapis.com
  • logging.us-west1.rep.googleapis.com
  • logging.us-west2.rep.googleapis.com
  • logging.us-west3.rep.googleapis.com
  • logging.us-west4.rep.googleapis.com
  • logging.us-west8.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • logging.googleapis.com
 Fitur yang terpengaruh
Cloud Monitoring Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • monitoring.googleapis.com
 Fitur yang terpengaruh
Cloud NAT Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • networkconnectivity.googleapis.com
 Fitur yang terpengaruh
Cloud Router Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • networkconnectivity.googleapis.com
 Fitur yang terpengaruh
Cloud Run Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • run.googleapis.com
 Fitur yang terpengaruh
Cloud SQL Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • sqladmin.googleapis.com
 Fitur yang terpengaruh
Cloud Storage Endpoint API regional:
  • storage.us-central1.rep.googleapis.com
  • storage.us-central2.rep.googleapis.com
  • storage.us-east1.rep.googleapis.com
  • storage.us-east4.rep.googleapis.com
  • storage.us-east5.rep.googleapis.com
  • storage.us-east7.rep.googleapis.com
  • storage.us-south1.rep.googleapis.com
  • storage.us-west1.rep.googleapis.com
  • storage.us-west2.rep.googleapis.com
  • storage.us-west3.rep.googleapis.com
  • storage.us-west4.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • storage.googleapis.com
 Fitur yang terpengaruh
Cloud VPN Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
 Fitur yang terpengaruh
Compute Engine Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
 Fitur yang terpengaruh dan batasan kebijakan organisasi
Dataflow Endpoint API regional:
  • dataflow.us-central1.rep.googleapis.com
  • dataflow.us-central2.rep.googleapis.com
  • dataflow.us-east1.rep.googleapis.com
  • dataflow.us-east4.rep.googleapis.com
  • dataflow.us-east5.rep.googleapis.com
  • dataflow.us-east7.rep.googleapis.com
  • dataflow.us-south1.rep.googleapis.com
  • dataflow.us-west1.rep.googleapis.com
  • dataflow.us-west2.rep.googleapis.com
  • dataflow.us-west3.rep.googleapis.com
  • dataflow.us-west4.rep.googleapis.com
  • dataflow.us-west8.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
 Tidak ada
Dataproc Endpoint API regional:
  • dataproc.us-central1.rep.googleapis.com
  • dataproc.us-central2.rep.googleapis.com
  • dataproc.us-east1.rep.googleapis.com
  • dataproc.us-east4.rep.googleapis.com
  • dataproc.us-east5.rep.googleapis.com
  • dataproc.us-east7.rep.googleapis.com
  • dataproc.us-south1.rep.googleapis.com
  • dataproc.us-west1.rep.googleapis.com
  • dataproc.us-west2.rep.googleapis.com
  • dataproc.us-west3.rep.googleapis.com
  • dataproc.us-west4.rep.googleapis.com
  • dataproc.us-west8.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
 Tidak ada
Filestore Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • file.googleapis.com
 Tidak ada
Google Kubernetes Engine Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • container.googleapis.com
  • containersecurity.googleapis.com
 Fitur yang terpengaruh dan batasan kebijakan organisasi
Identity and Access Management (IAM) Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • iam.googleapis.com
 Tidak ada
Identity-Aware Proxy (IAP) Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • iap.googleapis.com
 Tidak ada
Network Connectivity Center Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • networkconnectivity.googleapis.com
 Fitur yang terpengaruh
Persistent Disk Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
 Tidak ada
Pub/Sub Endpoint API regional:
  • pubsub.us-central1.rep.googleapis.com
  • pubsub.us-central2.rep.googleapis.com
  • pubsub.us-east1.rep.googleapis.com
  • pubsub.us-east4.rep.googleapis.com
  • pubsub.us-east5.rep.googleapis.com
  • pubsub.us-south1.rep.googleapis.com
  • pubsub.us-west1.rep.googleapis.com
  • pubsub.us-west2.rep.googleapis.com
  • pubsub.us-west3.rep.googleapis.com
  • pubsub.us-west4.rep.googleapis.com

Endpoint API lokasi tidak didukung.

Endpoint API global:
  • pubsub.googleapis.com
 Tidak ada
Kontrol Layanan VPC Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • accesscontextmanager.googleapis.com
 Tidak ada
Virtual Private Cloud (VPC) Endpoint API regional tidak didukung.
Endpoint API lokasi tidak didukung.

Endpoint API global:
  • compute.googleapis.com
 Fitur yang terpengaruh

Batas dan pembatasan

Bagian berikut menjelaskan pembatasan atau batasan khusus produk atau seluruh Google Cloud untuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default di folder ITAR. Batasan kebijakan organisasi lainnya yang berlaku —meskipun tidak ditetapkan secara default— dapat memberikan pertahanan mendalam tambahan untuk lebih melindungi resource Google Cloud organisasi Anda.

Google Cloud-lebar

Batasan kebijakan organisasi di seluruhGoogle Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh Google Cloud.

Batasan kebijakan organisasi Deskripsi
gcp.resourceLocations Tetapkan ke lokasi berikut dalam daftar allowedValues:
  • us
  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4
Nilai ini membatasi pembuatan resource baru hanya ke grup nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Mengubah nilai ini dengan membuatnya kurang membatasi dapat berpotensi melemahkan residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data yang mematuhi kebijakan. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya.
gcp.restrictCmekCryptoKeyProjects Tetapkan ke under:organizations/your-organization-name, yang merupakan organisasi Assured Workloads Anda. Anda dapat lebih membatasi nilai ini dengan menentukan project atau folder.

Membatasi cakupan folder atau project yang disetujui yang dapat menyediakan kunci Cloud KMS untuk mengenkripsi data dalam penyimpanan menggunakan CMEK. Batasan ini mencegah folder atau project yang tidak disetujui untuk memberikan kunci enkripsi, sehingga membantu menjamin kedaulatan data untuk data dalam penyimpanan layanan dalam cakupan.
gcp.restrictNonCmekServices Tetapkan ke daftar semua nama layanan API dalam cakupan, termasuk:
  • bigquery.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Beberapa fitur mungkin terpengaruh untuk setiap layanan yang tercantum di atas.

Setiap layanan yang tercantum memerlukan Kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan data dalam penyimpanan dienkripsi dengan kunci yang dikelola oleh Anda, bukan mekanisme enkripsi default Google.

Mengubah nilai ini dengan menghapus satu atau beberapa layanan dalam cakupan dari daftar dapat melemahkan kedaulatan data, karena data dalam penyimpanan baru akan otomatis dienkripsi menggunakan kunci milik Google, bukan kunci Anda. Data dalam penyimpanan yang ada akan tetap dienkripsi oleh kunci yang Anda berikan.
gcp.restrictServiceUsage Tetapkan untuk mengizinkan semua produk dan endpoint API yang didukung.

Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource.
gcp.restrictTLSVersion Tetapkan untuk menolak versi TLS berikut:
  • TLS_1_0
  • TLS_1_1
Lihat halaman Membatasi versi TLS untuk mengetahui informasi selengkapnya.

BigQuery

Fitur BigQuery yang terpengaruh

Fitur Deskripsi
Mengaktifkan BigQuery di folder baru BigQuery didukung, tetapi tidak otomatis diaktifkan saat Anda membuat folder Workload Terjamin baru karena proses konfigurasi internal. Proses ini biasanya selesai dalam sepuluh menit, tetapi dalam beberapa situasi dapat memerlukan waktu lebih lama. Untuk memeriksa apakah proses telah selesai dan mengaktifkan BigQuery, selesaikan langkah-langkah berikut:
  1. Di konsol Google Cloud, buka halaman Workloads Terjamin.

    Buka Assured Workloads

  2. Pilih folder Assured Workloads baru Anda dari daftar.
  3. Di halaman Folder Details di bagian Allowed services, klik Review Available Updates.
  4. Di panel Layanan yang diizinkan, tinjau layanan yang akan ditambahkan ke kebijakan organisasi Batasan Penggunaan Resource untuk folder. Jika layanan BigQuery tercantum, klik Izinkan Layanan untuk menambahkannya.

    Jika layanan BigQuery tidak tercantum, tunggu hingga proses internal selesai. Jika layanan tidak tercantum dalam waktu 12 jam setelah pembuatan folder, hubungi Cloud Customer Care.

Setelah proses pengaktifan selesai, Anda dapat menggunakan BigQuery di folder Workload Terjamin.

Gemini di BigQuery tidak didukung oleh Assured Workloads.
BigQuery API yang Sesuai BigQuery API berikut mematuhi ITAR:
Region BigQuery mematuhi ITAR untuk semua region BigQuery AS kecuali multi-region AS. Kepatuhan ITAR tidak dapat dijamin jika set data dibuat di multi-region Amerika Serikat, region non-Amerika Serikat, atau multi-region non-Amerika Serikat. Anda bertanggung jawab untuk menentukan region yang mematuhi ITAR saat membuat set data BigQuery.
Kueri pada set data ITAR dari project non-ITAR BigQuery tidak mencegah set data ITAR dikueri dari project non-ITAR. Anda harus memastikan bahwa kueri apa pun yang menggunakan operasi baca atau join pada data teknis ITAR ditempatkan di folder yang mematuhi ITAR.
Koneksi ke sumber data eksternal Tanggung jawab kepatuhan Google terbatas pada kemampuan BigQuery Connection API. Anda bertanggung jawab untuk memastikan kepatuhan produk sumber yang digunakan dengan BigQuery Connection API.
Fitur yang tidak didukung Fitur BigQuery berikut tidak didukung dan tidak boleh digunakan di BigQuery CLI. Anda bertanggung jawab untuk tidak menggunakannya di BigQuery untuk Workload Terjamin.
BigQuery CLI BigQuery CLI didukung.

Google Cloud SDK Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk mempertahankan jaminan regionalisasi data untuk data teknis. Untuk memverifikasi versi Google Cloud SDK saat ini, jalankan gcloud --version, lalu gcloud components update untuk mengupdate ke versi terbaru.
Kontrol administrator BigQuery akan menonaktifkan API yang tidak didukung, tetapi administrator dengan izin yang memadai untuk membuat folder Beban Kerja Terjamin dapat mengaktifkan API yang tidak didukung. Jika hal ini terjadi, Anda akan diberi tahu tentang potensi ketidakpatuhan melalui dasbor pemantauan Assured Workloads.
Memuat data Konektor BigQuery Data Transfer Service untuk aplikasi Software as a Service (SaaS) Google, penyedia penyimpanan cloud eksternal, dan data warehouse tidak didukung. Anda bertanggung jawab untuk tidak menggunakan konektor BigQuery Data Transfer Service untuk beban kerja ITAR.
Transfer pihak ketiga BigQuery tidak memverifikasi dukungan untuk transfer pihak ketiga untuk BigQuery Data Transfer Service. Anda bertanggung jawab untuk memverifikasi dukungan saat menggunakan transfer pihak ketiga untuk BigQuery Data Transfer Service.
Model BQML yang tidak mematuhi kebijakan Model BQML yang dilatih secara eksternal tidak didukung.
Tugas kueri Tugas kueri hanya boleh dibuat dalam folder Assured Workloads.
Kueri pada set data di project lain BigQuery tidak mencegah set data Assured Workloads dikueri dari project non-Assured Workloads. Anda harus memastikan bahwa kueri apa pun yang memiliki operasi baca atau join pada data Assured Workloads ditempatkan di folder Assured Workloads. Anda dapat menentukan nama tabel yang sepenuhnya memenuhi syarat untuk hasil kueri menggunakan projectname.dataset.table di CLI BigQuery.
Cloud Logging BigQuery menggunakan Cloud Logging untuk beberapa data log Anda. Anda harus menonaktifkan bucket logging _default atau membatasi bucket _default ke region dalam cakupan untuk mempertahankan kepatuhan menggunakan perintah berikut:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Lihat Membuat log secara regional untuk mengetahui informasi selengkapnya.

Compute Engine

Fitur Compute Engine yang terpengaruh

Fitur Deskripsi
Menangguhkan dan melanjutkan instance VM Fitur ini dinonaktifkan.

Penangguhan dan pengaktifan kembali instance VM memerlukan penyimpanan disk persisten, dan penyimpanan disk persisten yang digunakan untuk menyimpan status VM yang ditangguhkan saat ini tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi gcp.restrictNonCmekServices di bagian di atas untuk memahami implikasi kedaulatan data dan residensi data dari mengaktifkan fitur ini.
SSD Lokal Fitur ini dinonaktifkan.

Anda tidak akan dapat membuat instance dengan SSD Lokal karena saat ini SSD Lokal tidak dapat dienkripsi menggunakan CMEK. Lihat batasan kebijakan organisasi gcp.restrictNonCmekServices di bagian di atas untuk memahami implikasi kedaulatan data dan retensi data dari mengaktifkan fitur ini.
Konsol Google Cloud Fitur Compute Engine berikut tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI:
VM Solusi Bare Metal Anda bertanggung jawab untuk tidak menggunakan VM Solusi Bare Metal (VM o2) karena VM Solusi Bare Metal tidak mematuhi ITAR.

VM Google Cloud VMware Engine Anda bertanggung jawab untuk tidak menggunakan VM Google Cloud VMware Engine, karena VM Google Cloud VMware Engine tidak mematuhi ITAR.

Membuat instance VM C3 Fitur ini dinonaktifkan.
Menggunakan persistent disk atau snapshot-nya tanpa CMEK Anda tidak dapat menggunakan persistent disk atau snapshot-nya kecuali jika telah dienkripsi menggunakan CMEK.
Membuat VM bertingkat atau VM yang menggunakan virtualisasi bertingkat Anda tidak dapat membuat VM bertingkat atau VM yang menggunakan virtualisasi bertingkat.

Fitur ini dinonaktifkan oleh batasan kebijakan organisasi compute.disableNestedVirtualization.
Menambahkan grup instance ke load balancer global Anda tidak dapat menambahkan grup instance ke load balancer global.

Fitur ini dinonaktifkan oleh batasan kebijakan organisasi compute.disableGlobalLoadBalancing.
Merutekan permintaan ke load balancer HTTPS eksternal multi-region Anda tidak dapat merutekan permintaan ke load balancer HTTPS eksternal multi-region.

Fitur ini dinonaktifkan oleh batasan kebijakan organisasi compute.restrictLoadBalancerCreationForTypes.
Membagikan persistent disk SSD dalam mode multi-penulis Anda tidak dapat membagikan persistent disk SSD dalam mode multi-penulis antara instance VM.
Menangguhkan dan melanjutkan instance VM Fitur ini dinonaktifkan.

Penangguhan dan pengaktifan kembali instance VM memerlukan penyimpanan persistent disk, dan penyimpanan persistent disk yang digunakan untuk menyimpan status VM yang ditangguhkan tidak dapat dienkripsi menggunakan CMEK.

Fitur ini dinonaktifkan oleh batasan kebijakan organisasi gcp.restrictNonCmekServices.
SSD Lokal Fitur ini dinonaktifkan.

Anda tidak akan dapat membuat instance dengan SSD Lokal karena tidak dapat dienkripsi menggunakan CMEK.

Fitur ini dinonaktifkan oleh batasan kebijakan organisasi gcp.restrictNonCmekServices.
Lingkungan tamu Skrip, daemon, dan biner yang disertakan dengan lingkungan tamu dapat mengakses data dalam penyimpanan dan data yang sedang digunakan yang tidak dienkripsi. Bergantung pada konfigurasi VM Anda, update pada software ini dapat diinstal secara default. Lihat Lingkungan tamu untuk mengetahui informasi spesifik tentang konten, kode sumber, dan lainnya dari setiap paket.

Komponen ini membantu Anda memenuhi kedaulatan data melalui kontrol dan proses keamanan internal. Namun, jika menginginkan kontrol tambahan, Anda juga dapat menyeleksi gambar atau agen Anda sendiri dan secara opsional menggunakan batasan kebijakan organisasi compute.trustedImageProjects.

Lihat halaman Mem-build image kustom untuk mengetahui informasi selengkapnya.
instances.getSerialPortOutput() API ini dinonaktifkan; Anda tidak akan dapat mendapatkan output port serial dari instance yang ditentukan menggunakan API ini.

Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.
instances.getScreenshot() API ini dinonaktifkan; Anda tidak akan dapat mendapatkan screenshot dari instance yang ditentukan menggunakan API ini.

Ubah nilai batasan kebijakan organisasi compute.disableInstanceDataAccessApis menjadi False untuk mengaktifkan API ini. Anda juga dapat mengaktifkan dan menggunakan port serial interaktif dengan mengikuti petunjuk di Mengaktifkan akses untuk project.

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi Deskripsi
compute.enableComplianceMemoryProtection Tetapkan ke Benar.

Menonaktifkan beberapa fitur diagnostik internal untuk memberikan perlindungan tambahan terhadap konten memori saat terjadi kerusakan infrastruktur.

Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
compute.disableGlobalCloudArmorPolicy Tetapkan ke Benar.

Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor global baru, dan penambahan atau perubahan aturan ke kebijakan keamanan Google Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau kemampuan untuk menghapus atau mengubah deskripsi dan listingan kebijakan keamanan Google Cloud Armor global. Kebijakan keamanan Google Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum penerapan batasan ini tetap berlaku.
compute.disableGlobalLoadBalancing Tetapkan ke Benar.

Menonaktifkan pembuatan produk load balancing global.

Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
compute.disableGlobalSelfManagedSslCertificate Tetapkan ke Benar.

Menonaktifkan pembuatan sertifikat SSL global yang dikelola sendiri.

Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.
compute.disableInstanceDataAccessApis Tetapkan ke Benar.

Menonaktifkan instances.getSerialPortOutput() dan instances.getScreenshot() API secara global.

Mengaktifkan batasan ini akan mencegah Anda membuat kredensial di VM Windows Server.

Jika Anda perlu mengelola nama pengguna dan sandi di VM Windows, lakukan hal berikut:
  1. Aktifkan SSH untuk Windows VM.
  2. Jalankan perintah berikut untuk mengubah sandi VM: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    Ganti kode berikut:
    • VM_NAME: Nama VM yang akan Anda tetapkan sandinya.
    • USERNAME: Nama pengguna yang sandinya Anda tetapkan.
    • PASSWORD: Sandi baru.
compute.disableNonFIPSMachineTypes Tetapkan ke Benar.

Menonaktifkan pembuatan jenis instance VM yang tidak mematuhi persyaratan FIPS.
compute.restrictNonConfidentialComputing

 (Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan menyeluruh tambahan. Lihat dokumentasi Confidential VM untuk mengetahui informasi selengkapnya.
compute.trustedImageProjects

 (Opsional) Nilai tidak ditetapkan. Tetapkan nilai ini untuk memberikan pertahanan menyeluruh tambahan.

Menetapkan nilai ini akan membatasi penyimpanan image dan pembuatan instance disk ke daftar project yang ditentukan. Nilai ini memengaruhi kedaulatan data dengan mencegah penggunaan gambar atau agen yang tidak sah.

Cloud DNS

Fitur Cloud DNS yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud DNS tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Google Kubernetes Engine

Fitur Google Kubernetes Engine yang terpengaruh

Fitur Deskripsi
Batasan resource cluster Pastikan konfigurasi cluster Anda tidak menggunakan resource untuk layanan yang tidak didukung dalam program kepatuhan ITAR. Misalnya, konfigurasi berikut tidak valid karena memerlukan pengaktifan atau penggunaan layanan yang tidak didukung:

set `binaryAuthorization.evaluationMode` to `enabled`

Batasan kebijakan organisasi Google Kubernetes Engine

Batasan kebijakan organisasi Deskripsi
container.restrictNoncompliantDiagnosticDataAccess Tetapkan ke Benar.

Menonaktifkan analisis gabungan masalah kernel, yang diperlukan untuk mempertahankan kontrol kedaulatan atas workload.

Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Cloud Interconnect

Fitur Cloud Interconnect yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud Interconnect tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.
VPN ketersediaan tinggi (HA) Anda harus mengaktifkan fungsi VPN dengan ketersediaan tinggi (HA) saat menggunakan Cloud Interconnect dengan Cloud VPN. Selain itu, Anda harus mematuhi persyaratan enkripsi dan regionalisasi yang tercantum di bagian Fitur Cloud VPN yang terpengaruh.

Cloud Load Balancing

Fitur Cloud Load Balancing yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud Load Balancing tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.
Load balancer regional Anda hanya boleh menggunakan load balancer regional dengan ITAR. Lihat halaman berikut untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi load balancer regional:

Cloud Logging

Fitur Cloud Logging yang terpengaruh

Fitur Deskripsi
Sink log Filter tidak boleh berisi Data Pelanggan.

Sink log menyertakan filter yang disimpan sebagai konfigurasi. Jangan membuat filter yang berisi Data Pelanggan.
Entri log pelacakan langsung Filter tidak boleh berisi Data Pelanggan.

Sesi pelacakan langsung menyertakan filter yang disimpan sebagai konfigurasi. Log tailing tidak menyimpan data entri log itu sendiri, tetapi dapat membuat kueri dan mengirimkan data di seluruh region. Jangan membuat filter yang berisi Data Pelanggan.
Pemberitahuan berbasis log Fitur ini dinonaktifkan.

Anda tidak dapat membuat pemberitahuan berbasis log di konsol Google Cloud.
URL yang dipersingkat untuk kueri Logs Explorer Fitur ini dinonaktifkan.

Anda tidak dapat membuat URL kueri yang disingkat di konsol Google Cloud.
Menyimpan kueri di Logs Explorer Fitur ini dinonaktifkan.

Anda tidak dapat menyimpan kueri apa pun di konsol Google Cloud.
Log Analytics menggunakan BigQuery Fitur ini dinonaktifkan.

Anda tidak dapat menggunakan fitur Log Analytics.
Kebijakan pemberitahuan berbasis SQL Fitur ini dinonaktifkan.

Anda tidak dapat menggunakan fitur kebijakan pemberitahuan berbasis SQL.

Cloud Monitoring

Fitur Cloud Monitoring yang terpengaruh

Fitur Deskripsi
Synthetic Monitor Fitur ini dinonaktifkan.
Pemeriksaan uptime Fitur ini dinonaktifkan.
Widget panel log di Dasbor Fitur ini dinonaktifkan.

Anda tidak dapat menambahkan panel log ke dasbor.
Widget panel pelaporan error di Dasbor Fitur ini dinonaktifkan.

Anda tidak dapat menambahkan panel pelaporan error ke dasbor.
Filter di EventAnnotation untuk Dasbor Fitur ini dinonaktifkan.

Filter EventAnnotation tidak dapat ditetapkan di dasbor.
SqlCondition di alertPolicies Fitur ini dinonaktifkan.

Anda tidak dapat menambahkan SqlCondition ke alertPolicy.

Cloud NAT

Fitur Cloud NAT yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud NAT tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Network Connectivity Center

Fitur Network Connectivity Center yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Fitur Network Connectivity Center tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Pub/Sub

Batasan kebijakan organisasi Pub/Sub

Batasan kebijakan organisasi Deskripsi
pubsub.enforceInTransitRegions Tetapkan ke Benar.

Memastikan bahwa Data Pelanggan hanya ditransisikan dalam region yang diizinkan yang ditentukan dalam kebijakan penyimpanan pesan untuk topik Pub/Sub.

Mengubah nilai ini dapat memengaruhi residensi data atau kedaulatan data beban kerja Anda.

Cloud Router

Fitur Cloud Router yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud Router tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Cloud Run

Fitur Cloud Run yang terpengaruh

Fitur Deskripsi
Fitur yang tidak didukung Fitur Cloud Run berikut tidak didukung:

Cloud SQL

Fitur Cloud SQL yang terpengaruh

Fitur Deskripsi
Mengekspor ke CSV Mengekspor ke CSV tidak mematuhi ITAR dan tidak boleh digunakan. Fitur ini dinonaktifkan di konsol Google Cloud.
executeSql Metode executeSql Cloud SQL API tidak mematuhi ITAR dan tidak boleh digunakan.

Cloud Storage

Fitur Cloud Storage yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Untuk mempertahankan kepatuhan ITAR, Anda bertanggung jawab untuk menggunakan Konsol Google Cloud Yurisdiksi. Konsol Yurisdiksi mencegah upload dan download objek Cloud Storage. Untuk mengupload dan mendownload objek Cloud Storage, lihat baris Endpoint API yang mematuhi kebijakan di bagian ini.
Endpoint API yang mematuhi kebijakan Anda harus menggunakan salah satu endpoint regional yang mematuhi ITAR dengan Cloud Storage. Lihat Endpoint regional Cloud Storage dan Lokasi Cloud Storage untuk mengetahui informasi selengkapnya.
Pembatasan Anda harus menggunakan endpoint regional Cloud Storage agar mematuhi ITAR. Untuk mengetahui informasi selengkapnya tentang endpoint regional Cloud Storage untuk ITAR, lihat Endpoint regional Cloud Storage.

Operasi berikut tidak didukung oleh endpoint regional. Namun, operasi ini tidak membawa Data Pelanggan sebagaimana ditentukan dalam persyaratan layanan retensi data. Oleh karena itu, Anda dapat menggunakan endpoint global untuk operasi ini sesuai kebutuhan tanpa melanggar kepatuhan ITAR:
Menyalin dan menulis ulang untuk objek Operasi salin dan tulis ulang untuk objek didukung oleh endpoint regional jika bucket sumber dan tujuan berada di region yang ditentukan di endpoint. Namun, Anda tidak dapat menggunakan endpoint regional untuk menyalin atau menulis ulang objek dari satu bucket ke bucket lain jika bucket ada di lokasi yang berbeda. Anda dapat menggunakan endpoint global untuk menyalin atau menulis ulang di seluruh lokasi, tetapi sebaiknya jangan melakukannya karena dapat melanggar kepatuhan ITAR.

Virtual Private Cloud (VPC)

Fitur VPC yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Fitur jaringan VPC tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.

Cloud VPN

Fitur Cloud VPN yang terpengaruh

Fitur Deskripsi
Konsol Google Cloud Fitur Cloud VPN tidak tersedia di konsol Google Cloud. Sebagai gantinya, gunakan API atau Google Cloud CLI.
Enkripsi Anda hanya boleh menggunakan cipher yang sesuai dengan FIPS 140-2 saat membuat sertifikat dan mengonfigurasi keamanan IP. Lihat halaman Cipher IKE yang didukung untuk mengetahui informasi selengkapnya tentang cipher yang didukung di Cloud VPN. Untuk panduan tentang memilih cipher yang sesuai dengan standar FIPS 140-2, lihat halaman Tervalidasi FIPS 140-2.

Anda tidak dapat mengubah cipher yang ada di Google Cloud. Pastikan Anda mengonfigurasi cipher di perangkat pihak ketiga yang digunakan dengan Cloud VPN.
Endpoint VPN Anda hanya boleh menggunakan endpoint Cloud VPN yang berada di Amerika Serikat. Pastikan gateway VPN Anda dikonfigurasi untuk digunakan hanya di wilayah AS.

Langkah berikutnya