Confine per i dati per l'International Traffic in Arms Regulations (ITAR)

Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro ITAR in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, sui prodotti Google Cloud supportati e sui relativi endpoint API e su eventuali limitazioni o restrizioni applicabili a questi prodotti. Le seguenti informazioni aggiuntive si applicano all'ITAR:

• Residenza dei dati: il pacchetto di controlli ITAR imposta i controlli della località dei dati per supportare solo le regioni degli Stati Uniti. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
• Assistenza: i servizi di assistenza tecnica per i carichi di lavoro ITAR sono disponibili con gli abbonamenti all'assistenza clienti Google Cloud Premium o Avanzata. Le richieste di assistenza per i carichi di lavoro ITAR vengono indirizzate a soggetti statunitensi che si trovano negli Stati Uniti. Per ulteriori informazioni, vedi Richiedere assistenza.
• Prezzi: il pacchetto di controllo ITAR è incluso nel livello Premium di Assured Workloads, che comporta un addebito aggiuntivo del 20%. Per ulteriori informazioni, consulta la pagina relativa ai prezzi di Assured Workloads.

Prerequisiti

Per rimanere conforme come utente del pacchetto di controllo ITAR, verifica di soddisfare e rispettare i seguenti prerequisiti:

• Crea una cartella ITAR utilizzando Assured Workloads ed esegui il deployment dei tuoi workload ITAR solo in questa cartella.
• Attiva e utilizza solo i servizi ITAR inclusi nell'ambito per i carichi di lavoro ITAR.
• Non modificare i valori predefiniti del vincolo dei criteri dell'organizzazione, a meno che tu non comprenda e non voglia accettare i rischi di residenza dei dati che potrebbero verificarsi.
• Quando accedi alla console Google Cloud per i carichi di lavoro ITAR, devi utilizzare uno dei seguenti URL della console Google Cloud per le giurisdizioni:
  • console.us.cloud.google.com
  • console.us.cloud.google per gli utenti con identità federata
• Quando ti connetti agli endpoint di servizio Google Cloud , devi utilizzare endpoint regionali per i servizi che li offrono. Inoltre:
  • Quando ti connetti agli endpoint di servizio da VM nonGoogle Cloud, ad esempio VM on-premise o di altri provider cloud, devi utilizzare una delle opzioni di accesso privato disponibili che supportano le connessioni a VM nonGoogle Cloud per instradare il traffico nonGoogle Cloud in Google Cloud. Google Cloud
  • Quando ti connetti agli endpoint di servizio Google Cloud dalle VM Google Cloud , puoi utilizzare una delle opzioni di accesso privato disponibili.
  • Quando ti connetti alle VM Google Cloud che sono state esposte con indirizzi IP esterni, consulta Accedere alle API da VM con indirizzi IP esterni.
• Per tutti i servizi utilizzati in una cartella ITAR, non archiviare dati tecnici nei seguenti tipi di informazioni di configurazione di sicurezza o definiti dall'utente:
  • Messaggi di errore
  • Output console
  • Dati degli attributi
  • Dati di configurazione del servizio
  • Intestazioni dei pacchetti di rete
  • Identificatori di risorse
  • Etichette dati
• Utilizza solo gli endpoint regionali specificati per i servizi che li offrono. Per maggiori informazioni, consulta Servizi ITAR inclusi nell'ambito.
• Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Google Cloud Centro best practice per la sicurezza.

Prodotti ed endpoint API supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le restrizioni o le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.

Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo dell'ITAR. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, come impatti negativi sulla residenza o sulla sovranità dei dati.

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o le restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi i vincoli dei criteri dell'organizzazione impostati per impostazione predefinita nelle cartelle ITAR. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud dell'organizzazione.

Google Cloud-wide

Funzionalità interessate Google Cloud

Funzionalità	Descrizione
ConsoleGoogle Cloud	Per accedere alla console Google Cloud quando utilizzi il pacchetto di controllo ITAR, devi utilizzare uno dei seguenti URL: console.us.cloud.google.com console.us.cloud.google per gli utenti con identità federata Per ulteriori informazioni, consulta la pagina Jurisdictional Google Cloud console.

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a Google Cloud.

Vincolo delle policy dell'organizzazione	Descrizione
gcp.resourceLocations	Imposta le seguenti località nell'elenco allowedValues: us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Questo valore limita la creazione di nuove risorse ai valori selezionati. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non limitabili. La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un confine dei dati conforme.
gcp.restrictCmekCryptoKeyProjects	Impostato su under:organizations/your-organization-name, che è la tua organizzazione Assured Workloads. Puoi limitare ulteriormente questo valore specificando un progetto o una cartella. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi Cloud KMS per criptare i dati at-rest utilizzando CMEK. Questo vincolo impedisce a cartelle o progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i dati inattivi dei servizi inclusi nell'ambito.
gcp.restrictNonCmekServices	Impostato su un elenco di tutti i nomi dei servizi API inclusi nell'ambito, tra cui: bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). La CMEK consente di criptare i dati inattivi con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito.
gcp.restrictServiceUsage	Imposta per consentire tutti i prodotti e gli endpoint API supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, vedi Limitazione dell'utilizzo delle risorse.
gcp.restrictTLSVersion	Imposta il rifiuto delle seguenti versioni TLS: TLS_1_0 TLS_1_1 Per saperne di più, consulta la pagina Limita le versioni TLS.

Google Cloud Armor

Funzionalità di Google Cloud Armor interessate

Funzionalità	Descrizione
Criteri di sicurezza con ambito globale	Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalCloudArmorPolicy.

BigQuery

Funzionalità di BigQuery interessate

Funzionalità	Descrizione
Abilitazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se la procedura è terminata e per abilitare BigQuery, completa i seguenti passaggi: Nella console Google Cloud , vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella, nella sezione Servizi consentiti, fai clic su Esamina aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads.
API BigQuery conformi	Le seguenti API BigQuery sono conformi all'ITAR: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
Regioni	BigQuery è conforme all'ITAR per tutte le regioni BigQuery degli Stati Uniti, ad eccezione della regione multiregionale degli Stati Uniti. La conformità all'ITAR non può essere garantita se un set di dati viene creato in una multiregione statunitense, in una regione non statunitense o in una multiregione non statunitense. È tua responsabilità specificare una regione conforme all'ITAR quando crei set di dati BigQuery.
Query sui set di dati ITAR da progetti non ITAR	BigQuery non impedisce l'esecuzione di query sui set di dati ITAR da progetti non ITAR. Devi assicurarti che qualsiasi query che utilizzi un'operazione di lettura o di join sui dati tecnici ITAR venga inserita in una cartella conforme all'ITAR.
Connessioni a origini dati esterne	La responsabilità di conformità di Google è limitata alla funzionalità dell'API BigQuery Connection. È tua responsabilità garantire la conformità dei prodotti di origine utilizzati con l'API BigQuery Connection.
Funzionalità non supportate	Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per Assured Workloads. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono supportati. Sono supportati i modelli BQML addestrati internamente. Mascheramento dinamico dei dati Esportazione di GDrive Funzioni remote Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, i notebook non sono supportati. Gemini in BigQuery non è supportato.
CLI BigQuery	L'interfaccia a riga di comando BigQuery è supportata.
Google Cloud SDK	Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui gcloud --version e poi gcloud components update per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads.
Caricamento di dati	I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori di BigQuery Data Transfer Service per i workload ITAR.
Trasferimenti di terze parti	BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono supportati.
Job di query	I job di query devono essere creati solo all'interno delle cartelle Assured Workloads.
Query sui set di dati in altri progetti	BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads da progetti non Assured Workloads. Devi assicurarti che qualsiasi query che abbia una lettura o un join sui dati di Assured Workloads venga inserita in una cartella Assured Workloads. Puoi specificare un nome di tabella completo per il risultato della query utilizzando projectname.dataset.table nella CLI BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare i bucket di logging _default o limitare i bucket _default alle regioni incluse nell'ambito utilizzando il seguente comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Per ulteriori informazioni, consulta Regionalizzare i log.

Compute Engine

Funzionalità di Compute Engine interessate

Funzionalità	Descrizione
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo delle policy dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptati utilizzando CMEK. Consulta il vincolo gcp.restrictNonCmekServices delle policy dell'organizzazione nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
ConsoleGoogle Cloud	Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI: Controlli di integrità Gruppi di endpoint di rete
VM Bare Metal Solution	Non puoi utilizzare le VM Bare Metal Solution (VM o2) perché non sono conformi all'ITAR.
VM Google Cloud VMware Engine	Non puoi utilizzare le VM Google Cloud VMware Engine, in quanto non sono conformi all'ITAR.
Creazione di un'istanza VM C3	Questa funzionalità è disattivata.
Utilizzo di dischi permanenti o dei relativi snapshot senza CMEK	Non puoi utilizzare i dischi permanenti o i relativi snapshot a meno che non siano stati criptati utilizzando CMEK.
Creazione di VM nidificate o VM che utilizzano la virtualizzazione nidificata	Non puoi creare VM nidificate o VM che utilizzano la virtualizzazione nidificata. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableNestedVirtualization.
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalLoadBalancing.
Routing delle richieste a un bilanciatore del carico HTTPS esterno multiregionale	Non puoi instradare le richieste a un bilanciatore del carico HTTPS esterno multiregionale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.restrictLoadBalancerCreationForTypes.
Condividere un disco permanente SSD in modalità multi-writer	Non puoi condividere un disco permanente SSD in modalità multi-writer tra le istanze VM.
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere criptata utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
Ambiente guest	È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e utilizzare facoltativamente il vincolo del criterio dell'organizzazione compute.trustedImageProjects. Per ulteriori informazioni, consulta la pagina Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager	Gli script incorporati e i file di output binari all'interno dei file delle norme del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Pertanto, non includere informazioni sensibili in questi file. In alternativa, valuta la possibilità di archiviare questi script e file di output nei bucket Cloud Storage. Per saperne di più, consulta Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse dei criteri del sistema operativo che utilizzano script in linea o file di output binari, attiva il vincolo dei criteri dell'organizzazione constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Per saperne di più, consulta Vincoli per OS Config.
instances.getSerialPortOutput()	Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione compute.disableInstanceDataAccessApis impostandolo su False per attivare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.
instances.getScreenshot()	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione compute.disableInstanceDataAccessApis impostandolo su False per attivare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
compute.enableComplianceMemoryProtection	Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
compute.disableGlobalCloudArmorPolicy	Imposta su True. Disabilita la creazione di nuove policy di sicurezza di Google Cloud Armor e l'aggiunta o la modifica di regole alle policy di sicurezza di Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sui criteri di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
compute.disableGlobalLoadBalancing	Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
compute.disableGlobalSelfManagedSslCertificate	Imposta su True. Disabilita la creazione di certificati SSL autogestiti globali. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
compute.disableInstanceDataAccessApis	Imposta su True. Disabilita a livello globale le API instances.getSerialPortOutput() e instances.getScreenshot(). L'abilitazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo: Attiva SSH per le VM Windows. Esegui questo comando per modificare la password della VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Sostituisci quanto segue: VM_NAME: il nome della VM per cui stai impostando la password. USERNAME: il nome utente dell'utente per cui stai impostando la password. PASSWORD: la nuova password.
compute.disableNonFIPSMachineTypes	Imposta su True. Disabilita la creazione di tipi di istanze VM non conformi ai requisiti FIPS.
compute.restrictNonConfidentialComputing	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per saperne di più, consulta la documentazione di Confidential VM.
compute.trustedImageProjects	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. L'impostazione di questo valore vincola l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Cloud DNS

Funzionalità di Cloud DNS interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud DNS non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.

Google Kubernetes Engine

Funzionalità di Google Kubernetes Engine interessate

Funzionalità	Descrizione
Limitazioni delle risorse cluster	Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nel programma di conformità ITAR. Ad esempio, la seguente configurazione non è valida perché richiede l'attivazione o l'utilizzo di un servizio non supportato: set `binaryAuthorization.evaluationMode` to `enabled`

Vincoli dei criteri dell'organizzazione Google Kubernetes Engine

Vincolo delle policy dell'organizzazione	Descrizione
container.restrictNoncompliantDiagnosticDataAccess	Imposta su True. Disabilita l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un workload. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Cloud Interconnect

Funzionalità Cloud Interconnect interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud Interconnect non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.
VPN ad alta disponibilità	Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate.

Cloud Load Balancing

Funzionalità di Cloud Load Balancing interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.
Bilanciatori del carico regionali	Con l'ITAR devi utilizzare solo bilanciatori del carico regionali. Per ulteriori informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine: Bilanciatore del carico delle applicazioni interno Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico di rete passthrough interno Bilanciatore del carico di rete passthrough esterno

Cloud Logging

Funzionalità di Cloud Logging interessate

Funzionalità	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti.
Voci di log di coda in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti.
Avvisi basati sui log	Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud .
URL abbreviati per le query di Esplora log	Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud .
Salvataggio delle query in Esplora log	Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud .
Analisi dei log tramite BigQuery	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics.
Policy di avviso basate su SQL	Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL.

Cloud Monitoring

Funzionalità di Cloud Monitoring interessate

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controlli di uptime	Questa funzionalità è disattivata.
Widget del pannello dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello dei log a una dashboard.
Widget del riquadro di segnalazione degli errori in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello di segnalazione degli errori a una dashboard.
Filtra in EventAnnotation per Dashboard	Questa funzionalità è disattivata. Il filtro di EventAnnotation non può essere impostato in una dashboard.
SqlCondition in alertPolicies	Questa funzionalità è disattivata. Non puoi aggiungere un SqlCondition a un alertPolicy.

Cloud NAT

Funzionalità Cloud NAT interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud NAT non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.

Network Connectivity Center

Funzionalità di Network Connectivity Center interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.

Pub/Sub

Vincoli dei criteri dell'organizzazione Pub/Sub

Vincolo delle policy dell'organizzazione	Descrizione
pubsub.enforceInTransitRegions	Imposta su True. Garantisce che i dati dei clienti transitino solo all'interno delle regioni consentite specificate nel criterio di archiviazione dei messaggi per l'argomento Pub/Sub. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Router Cloud

Funzionalità del router Cloud interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità del router Cloud non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Cloud SQL

Funzionalità di Cloud SQL interessate

Funzionalità	Descrizione
Esportazione in formato CSV	L'esportazione in formato CSV non è conforme all'ITAR e non deve essere utilizzata. Questa funzionalità è disattivata nella console Google Cloud .
executeSql	Il metodo executeSql dell'API Cloud SQL non è conforme all'ITAR e non deve essere utilizzato.

Cloud Storage

Funzionalità di Cloud Storage interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Per mantenere la conformità alle ITAR, è tua responsabilità utilizzare la console Google Cloud per le giurisdizioni. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi in questa sezione.
Endpoint API conformi	Devi utilizzare uno degli endpoint regionali conformi all'ITAR con Cloud Storage. Per saperne di più, consulta Endpoint regionali di Cloud Storage e Località di Cloud Storage.
Limitazioni	Per rispettare l'ITAR, devi utilizzare gli endpoint regionali di Cloud Storage. Per ulteriori informazioni sugli endpoint regionali di Cloud Storage per l'ITAR, consulta Endpoint regionali di Cloud Storage. Le seguenti operazioni non sono supportate dagli endpoint regionali. Tuttavia, queste operazioni non comportano il trasferimento dei dati del cliente come definito nei termini di servizio per la residenza dei dati. Pertanto, puoi utilizzare gli endpoint globali per queste operazioni in base alle necessità senza violare la conformità all'ITAR: Operazioni con le chiavi HMAC Operazioni account di servizio IAM Notifiche Pub/Sub Notifiche di modifica degli oggetti
Copia e riscrittura per gli oggetti	Le operazioni di copia e riscrittura per gli oggetti sono supportate dagli endpoint regionali se i bucket di origine e di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non puoi utilizzare endpoint regionali per copiare o riscrivere un oggetto da un bucket a un altro se i bucket si trovano in località diverse. È possibile utilizzare endpoint globali per copiare o riscrivere tra le località, ma non lo consigliamo in quanto potrebbe violare la conformità ITAR.

Virtual Private Cloud (VPC)

Funzionalità VPC interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di rete VPC non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.

Cloud VPN

Funzionalità Cloud VPN interessate

Funzionalità	Descrizione
ConsoleGoogle Cloud	Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI.
Crittografia	Quando crei certificati e configuri la sicurezza IP, devi utilizzare solo cifrari conformi allo standard FIPS 140-2. Per ulteriori informazioni sulle crittografie supportate in Cloud VPN, consulta la pagina Tipi di crittografia IKE supportati. Per indicazioni sulla selezione di una crittografia conforme agli standard FIPS 140-2, consulta la pagina Convalida FIPS 140-2. Non puoi modificare una crittografia esistente in Google Cloud. Assicurati di configurare la crittografia sull'appliance di terze parti utilizzata con Cloud VPN.
Endpoint VPN	Devi utilizzare solo endpoint Cloud VPN che si trovano in una regione inclusa nell'ambito. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione inclusa nell'ambito.

Passaggi successivi

• Scopri come creare una cartella Assured Workloads
• Informazioni sui prezzi di Assured Workloads