Pacchetto di controlli per le norme ITAR (International Traffic in Arms Regulations)
Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro ITAR in Assured Workloads. Fornisce informazioni dettagliate sulla residenza dei dati, sui prodotti Google Cloud supportati e sui relativi endpoint API, nonché su eventuali restrizioni o limitazioni applicabili a questi prodotti. Le seguenti informazioni aggiuntive si applicano al ITAR:
- Residenza dei dati: il pacchetto di controllo ITAR imposta i controlli della località dei dati per supportare le regioni solo degli Stati Uniti. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
- Assistenza: i servizi di assistenza tecnica per i carichi di lavoro ITAR sono disponibili con gli abbonamenti Cloud Customer Care di livello Avanzato o Premium. Le richieste di assistenza per i carichi di lavoro ITAR vengono inoltrate a persone giuridiche statunitensi con sede negli Stati Uniti. Per ulteriori informazioni, consulta la pagina Ricevere assistenza.
- Prezzi: il pacchetto di controllo ITAR è incluso nel livello Premium di Assured Workloads, che comporta un addebito aggiuntivo del 20%. Per ulteriori informazioni, consulta la pagina relativa ai prezzi di Assured Workloads.
Prerequisiti
Per mantenere la conformità in qualità di utente del pacchetto di controllo ITAR, assicurati di soddisfare e rispettare i seguenti prerequisiti:
- Crea una cartella ITAR utilizzando Assured Workloads e implementa le tue attività ITAR solo in quella cartella.
- Attiva e utilizza solo servizi ITAR coperti dall'ambito per i carichi di lavoro ITAR.
- Non modificare i valori predefiniti dei vincoli dei criteri dell'organizzazione, a meno che non comprenda e accetti i rischi di residenza dei dati che potrebbero verificarsi.
- Quando accedi alla console Google Cloud per i carichi di lavoro ITAR,
devi utilizzare uno dei seguenti URL della
console Google Cloud per le giurisdizioni:
- console.us.cloud.google.com
- console.us.cloud.google per gli utenti di identità federate
- Quando ti connetti agli Google Cloud endpoint di servizio, devi utilizzare gli endpoint a livello di area geografica per i servizi che li offrono. Inoltre:
- Quando ti connetti agli endpoint di servizio da VM nonGoogle Cloud, come le VM on-premise o di altri provider cloud, devi utilizzare una delle opzioni di accesso privato disponibili che supportano le connessioni a VM nonGoogle Cloud per instradare il traffico nonGoogle Cloud in Google Cloud. Google Cloud
- Quando ti connetti agli Google Cloud endpoint di servizio dalle Google Cloud VM, puoi utilizzare una delle opzioni di accesso privato disponibili.
- Quando ti colleghi a Google Cloud VM esposte con indirizzi IP esterni, consulta Accesso alle API da VM con indirizzi IP esterni.
- Per tutti i servizi utilizzati in una cartella ITAR, non memorizzare i dati tecnici nei seguenti tipi di informazioni di configurazione di sicurezza o definite dall'utente:
- Messaggi di errore
- Output console
- Dati degli attributi
- Dati di configurazione del servizio
- Intestazioni dei pacchetti di rete
- Identificatori delle risorse
- Etichette dati
- Utilizza solo gli endpoint regionali o basati sulla posizione specificati per i servizi che li offrono. Per ulteriori informazioni, consulta i servizi ITAR coperti.
- Valuta la possibilità di adottare le best practice di sicurezza generali fornite nel Google Cloud Centro best practice per la sicurezza.
Prodotti e endpoint API supportati
Salvo diversa indicazione, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud. Le limitazioni che interessano le funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle norme dell'organizzazione, sono elencate nella tabella seguente.
Se un prodotto non è elencato, significa che non è supportato e non ha soddisfatto i requisiti di controllo previsti dal Regolamento ITAR. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una conoscenza approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di conoscere e accettare i rischi associati, ad esempio gli impatti negativi sulla residenza dei dati o sulla sovranità dei dati.
| Prodotto supportato | Endpoint API conformi a ITAR | Restrizioni o limitazioni |
|---|---|---|
| Artifact Registry |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| BigQuery |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Certificate Authority Service |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Cloud Composer |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Cloud DNS |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud External Key Manager (Cloud EKM) |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Cloud HSM |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Cloud Interconnect |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud Key Management Service (Cloud KMS) |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Cloud Load Balancing |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud Logging |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud Monitoring |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud NAT |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud Router |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud Run |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud SQL |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud Storage |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Cloud VPN |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Compute Engine |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Dataflow |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Dataproc |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Filestore |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Google Kubernetes Engine |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Identity and Access Management (IAM) |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Identity-Aware Proxy (IAP) |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Network Connectivity Center |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
| Persistent Disk |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Pub/Sub |
Endpoint API regionali:
Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Controlli di servizio VPC |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Nessuno |
| Virtual Private Cloud (VPC) |
Gli endpoint API regionali non sono supportati. Gli endpoint dell'API Locational non sono supportati. Endpoint API globali:
|
Funzionalità interessate |
Restrizioni e limitazioni
Le sezioni seguenti descrivono le limitazioni o le restrizioni Google Cloud-wide o specifiche per prodotto per le funzionalità, inclusi eventuali vincoli delle norme dell'organizzazione impostati per impostazione predefinita nelle cartelle ITAR. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Larghezza:Google Cloud
Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a Google Cloud.
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta le seguenti località nell'elenco allowedValues:
|
gcp.restrictCmekCryptoKeyProjects |
Impostato su under:organizations/your-organization-name, ovvero la tua organizzazione Assured Workloads. Puoi limitare ulteriormente questo valore specificando un
progetto o una cartella.Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi Cloud KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce a cartelle o progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità sui dati per i dati a riposo dei servizi inclusi nell'ambito. |
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i nomi di servizi API inclusi nell'ambito, tra cui:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). La chiave CMEK consente di criptare i dati a riposo con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore mediante la rimozione dall'elenco di uno o più servizi inclusi nell'ambito potrebbe minare la sovranità dei dati, poiché i nuovi dati a riposo verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati con la chiave che hai fornito. |
gcp.restrictServiceUsage |
Impostato per consentire tutti i prodotti e gli endpoint API supportati. Determina quali servizi possono essere attivati e utilizzati. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse. |
gcp.restrictTLSVersion |
Impostato per negare le seguenti versioni TLS:
|
BigQuery
Funzionalità di BigQuery interessate
| Funzionalità | Descrizione |
|---|---|
| Attivazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova
cartella Workload garantiti a causa di una procedura di configurazione interna. In genere questa procedura termina in dieci minuti, ma in alcuni casi può richiedere molto più tempo. Per verificare se il processo è stato completato e per attivare BigQuery, segui questi passaggi:
Al termine della procedura di abilitazione, puoi utilizzare BigQuery nella cartella Carichi di lavoro garantiti. Gemini in BigQuery non è supportato da Assured Workloads. |
| API BigQuery conformi | Le seguenti API BigQuery sono conformi a ITAR: |
| Regioni | BigQuery è conforme a ITAR per tutte le regioni BigQuery degli Stati Uniti, ad eccezione della regione multiregionale degli Stati Uniti. La conformità alle ITAR non può essere garantita se un set di dati viene creato in una regione con più aree geografiche degli Stati Uniti, in una regione non statunitense o in una regione con più aree geografiche non statunitense. È tua responsabilità specificare una regione conforme a ITAR quando crei set di dati BigQuery. |
| Query sui set di dati ITAR da progetti non ITAR | BigQuery non impedisce l'esecuzione di query sui set di dati ITAR da progetti non ITAR. Devi assicurarti che qualsiasi query che utilizza un'operazione di lettura o unione sui dati tecnici ITAR sia collocata in una cartella conforme a ITAR. |
| Connessioni a origini dati esterne | La responsabilità di conformità di Google è limitata alla funzionalità dell'API di connessione BigQuery. È tua responsabilità garantire la conformità dei prodotti di origine utilizzati con l'API BigQuery Connection. |
| Funzionalità non supportate | Le seguenti funzionalità di BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per i carichi di lavoro garantiti.
|
| BigQuery CLI | La CLI BigQuery è supportata.
|
| Google Cloud SDK | Devi utilizzare la versione 403.0.0 o successiva del Google Cloud SDK per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione corrente di Google Cloud SDK, esegui
gcloud --version e poi gcloud components update per eseguire l'aggiornamento alla
versione più recente.
|
| Controlli per gli amministratori | BigQuery disattiva le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono attivare un'API non supportata. In questo caso, riceverai una notifica relativa alla potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads. |
| Caricamento di dati | I connettori BigQuery Data Transfer Service per le app Google Software as a Service (SaaS), i fornitori di archiviazione cloud esterni e i data warehouse non sono supportati. È responsabilità dell'utente non utilizzare i connettori di BigQuery Data Transfer Service per i carichi di lavoro ITAR. |
| Trasferimenti a terze parti | BigQuery non verifica il supporto dei trasferimenti di terze parti per BigQuery Data Transfer Service. È responsabilità dell'utente verificare l'assistenza quando utilizza un trasferimento di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
| Job di query | I job di query devono essere creati solo all'interno delle cartelle Assured Workloads. |
| Query sui set di dati in altri progetti | BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads da progetti non Assured Workloads. Assicurati che qualsiasi query che includa una lettura o una unione dei dati di Assured Workloads sia inserita in una cartella Assured Workloads. Puoi specificare un
nome di tabella completo
per il risultato della query utilizzando projectname.dataset.table nell'interfaccia a riga di comando
BigQuery.
|
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dei dati di log. Per mantenere la conformità, devi disattivare
i bucket di log _default o limitare i bucket _default alle
regioni in ambito utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Per ulteriori informazioni, consulta Eseguire la regionalizzazione dei log. |
Compute Engine
Funzionalità di Compute Engine interessate
| Funzionalità | Descrizione |
|---|---|
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono spazio di archiviazione su disco permanente e lo spazio di archiviazione su disco permanente utilizzato per memorizzare lo stato della VM sospesa non può attualmente essere criptato utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati derivanti dall'attivazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non è possibile usarle per la crittografia con CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati
derivanti dall'attivazione di questa funzionalità.
|
| Console Google Cloud | Le seguenti funzionalità di Compute Engine non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI: |
| VM Bare Metal Solution | È tua responsabilità non utilizzare le VM Bare Metal Solution (VM o2) perché non sono conformi alle ITAR.
|
| VM Google Cloud VMware Engine | È tua responsabilità non utilizzare le VM Google Cloud VMware Engine, in quanto non sono conformi alle ITAR.
|
| Creazione di un'istanza VM C3 | Questa funzionalità è disattivata. |
| Utilizzare i dischi permanenti o i relativi snapshot senza CMEK | Non puoi utilizzare i dischi permanenti o i relativi snapshot a meno che non siano stati criptati utilizzando
CMEK. |
| Creazione di VM nidificate o VM che utilizzano la virtualizzazione nidificata | Non puoi creare VM nidificate o VM che utilizzano la virtualizzazione nidificata. Questa funzionalità è disattivata dal vincolo del criterio dell'organizzazione compute.disableNestedVirtualization.
|
| Aggiunta di un gruppo di istanze a un bilanciatore del carico globale | Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalLoadBalancing.
|
| Indirizzare le richieste a un bilanciatore del carico HTTPS esterno a più regioni | Non puoi instradare le richieste a un bilanciatore del carico HTTPS esterno a più regioni. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.restrictLoadBalancerCreationForTypes.
|
| Condividere un disco permanente SSD in modalità multi-writer | Non puoi condividere un disco permanente SSD in modalità multi-autore tra istanze VM. |
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono spazio di archiviazione su disco permanente e lo spazio di archiviazione su disco permanente utilizzato per memorizzare lo stato della VM sospesa non può essere criptato utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptate utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
|
| Ambiente guest | È possibile che script, demoni e file binari inclusi nell'ambiente guest accedano ai dati at-rest e in uso non criptati. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a garantire la sovranità dei dati tramite controlli e procedure di sicurezza interna. Tuttavia, se vuoi un maggiore controllo, puoi anche organizzare le tue immagini o agenti e, facoltativamente, utilizzare il vincolo delle compute.trustedImageProjects norme dell'organizzazione.
Per ulteriori informazioni, consulta la pagina Creare un'immagine personalizzata. |
instances.getSerialPortOutput()
|
Questa API è disattivata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitazione dell'accesso per un progetto.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo del criterio dell'organizzazione compute.disableInstanceDataAccessApis su False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitazione dell'accesso per un progetto.
|
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
compute.enableComplianceMemoryProtection |
Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria quando si verifica un errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati del tuo carico di lavoro. |
compute.disableGlobalCloudArmorPolicy |
Imposta su True. Disabilita la creazione di nuovi criteri di sicurezza Google Cloud Armor e l'aggiunzione o la modifica di regole ai criteri di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sui criteri di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore. |
compute.disableGlobalLoadBalancing |
Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati del tuo carico di lavoro. |
compute.disableGlobalSelfManagedSslCertificate |
Imposta su True. Disabilita la creazione di certificati SSL autogestiti globali. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati del tuo carico di lavoro. |
compute.disableInstanceDataAccessApis
| Imposta su True. Disattiva a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot().L'attivazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, svolgi i seguenti passaggi:
|
compute.disableNonFIPSMachineTypes
| Imposta su True. Disabilita la creazione di tipi di istanze VM non conformi ai requisiti FIPS. |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per ulteriori informazioni, consulta la documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva.
L'impostazione di questo valore limita lo spazio di archiviazione delle immagini e l'inizializzazione del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'uso di agenti o immagini non autorizzati. |
Cloud DNS
Funzionalità di Cloud DNS interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud DNS non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Google Kubernetes Engine
Funzionalità di Google Kubernetes Engine interessate
| Funzionalità | Descrizione |
|---|---|
| Limitazioni delle risorse del cluster | Assicurati che la configurazione del cluster non utilizzi risorse per servizi non supportati nel programma di conformità ITAR. Ad esempio, la seguente configurazione è
non valida perché richiede l'attivazione o l'utilizzo di un servizio non supportato:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Disattiva l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un carico di lavoro. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati del tuo carico di lavoro. |
Cloud Interconnect
Funzionalità di Cloud Interconnect interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud Interconnect non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
| VPN ad alta disponibilità | Devi attivare la funzionalità VPN ad alta disponibilità (HA) quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate. |
Cloud Load Balancing
Funzionalità di Cloud Load Balancing interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud Load Balancing non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
| Bilanciatori del carico a livello di regione | Devi utilizzare solo bilanciatori del carico regionali con ITAR. Per ulteriori informazioni sulla configurazione dei bilanciatori del carico regionali, consulta le seguenti pagine: |
Cloud Logging
Funzionalità di Cloud Logging interessate
| Funzionalità | Descrizione |
|---|---|
| Sink dei log | I filtri non devono contenere dati dei clienti. I canali di log includono filtri archiviati come configurazione. Non creare filtri che contengono dati dei clienti. |
| Voci di log del monitoraggio in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. La funzionalità di monitoraggio dei log non memorizza i dati delle voci di log, ma può eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengono dati dei clienti. |
| Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud. |
| URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud. |
| Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud. |
| Log Analytics con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics. |
| Criteri di avviso basati su SQL | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL. |
Cloud Monitoring
Funzionalità di Cloud Monitoring interessate
| Funzionalità | Descrizione |
|---|---|
| Monitoraggio sintetico | Questa funzionalità è disattivata. |
| Controllo di uptime | Questa funzionalità è disattivata. |
| Widget del riquadro dei log in Dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un riquadro dei log a una dashboard. |
| Widget del riquadro di segnalazione degli errori in Dashboard | Questa funzionalità è disattivata. Non puoi aggiungere un riquadro di segnalazione degli errori a una dashboard. |
Filtra in
EventAnnotation
per le dashboard
|
Questa funzionalità è disattivata. Il filtro di EventAnnotation
non può essere impostato in una dashboard.
|
SqlCondition
in alertPolicies
|
Questa funzionalità è disattivata. Non puoi aggiungere un SqlCondition
a un
alertPolicy.
|
Cloud NAT
Funzionalità Cloud NAT interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità Cloud NAT non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Network Connectivity Center
Funzionalità di Network Connectivity Center interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Pub/Sub
Vincoli dei criteri dell'organizzazione Pub/Sub
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
pubsub.enforceInTransitRegions |
Imposta su True. Garantisce che i dati dei clienti transitino solo all'interno delle regioni consentite specificate nel criterio di archiviazione dei messaggi per l'argomento Pub/Sub. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati del tuo carico di lavoro. |
Router Cloud
Funzionalità di Cloud Router interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud Router non sono disponibili nella console Google Cloud. Utilizza invece l'API o Google Cloud CLI. |
Cloud Run
Funzionalità di Cloud Run interessate
| Funzionalità | Descrizione |
|---|---|
| Funzionalità non supportate | Le seguenti funzionalità di Cloud Run non sono supportate: |
Cloud SQL
Funzionalità di Cloud SQL interessate
| Funzionalità | Descrizione |
|---|---|
| Esportazione in formato CSV | L'esportazione in formato CSV non è conforme alle norme ITAR e non deve essere utilizzata. Questa funzionalità è disattivata nella console Google Cloud. |
executeSql |
Il metodo executeSql dell'API Cloud SQL non è conforme a ITAR e
non deve essere utilizzato. |
Cloud Storage
Funzionalità di Cloud Storage interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Per mantenere la conformità alle ITAR, è tua responsabilità utilizzare la console Google Cloud per le giurisdizioni. La console giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. Per caricare e scaricare gli oggetti Cloud Storage, consulta la riga Endpoint API conformi in questa sezione. |
| Endpoint API conformi | Devi utilizzare uno degli endpoint regionali conformi a ITAR con Cloud Storage. Per ulteriori informazioni, consulta Endpoint regionali di Cloud Storage e Località di Cloud Storage. |
| Limitazioni | Per essere conforme a ITAR, devi utilizzare gli endpoint regionali di Cloud Storage. Per ulteriori informazioni sugli endpoint a livello di regione di Cloud Storage per ITAR, consulta Endpoint a livello di regione di Cloud Storage. Le seguenti operazioni non sono supportate dagli endpoint regionali. Tuttavia, queste operazioni non trasferiscono i dati dei clienti come definiti nei Termini di servizio relativi alla residenza dei dati. Pertanto, puoi utilizzare gli endpoint globali per queste operazioni, se necessario, senza violare la conformità ITAR: |
| Copia e riscrivi per gli oggetti | Le operazioni di copia e riscrittura per gli oggetti sono supportate dagli endpoint regionali se entrambi i bucket di origine e di destinazione si trovano nella regione specificata nell'endpoint. Tuttavia, non puoi utilizzare gli endpoint regionali per copiare o riscrivere un oggetto da un bucket all'altro se i bucket esistono in posizioni diverse. È possibile utilizzare endpoint globali per copiare o riscrivire i dati in più località, ma non lo consigliamo perché potrebbe violare la conformità alle ITAR. |
Virtual Private Cloud (VPC)
Funzionalità VPC interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di networking VPC non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
Cloud VPN
Funzionalità Cloud VPN interessate
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità Cloud VPN non sono disponibili nella console Google Cloud. Utilizza l'API o Google Cloud CLI. |
| Crittografia | Devi utilizzare solo algoritmi di crittografia conformi a FIPS 140-2 durante la creazione dei certificati e la configurazione della sicurezza IP. Per ulteriori informazioni sulle crittografie supportate in Cloud VPN, consulta la pagina Tipi di crittografia IKE supportati. Per indicazioni su come selezionare un'algoritmo di crittografia conforme agli standard FIPS 140-2, consulta la pagina Convalida FIPS 140-2. Non puoi modificare una crittografia esistente in Google Cloud. Assicurati di configurare la crittografia sull'appliance di terze parti utilizzata con Cloud VPN. |
| Endpoint VPN | Devi utilizzare solo endpoint Cloud VPN situati negli Stati Uniti. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione degli Stati Uniti. |
Passaggi successivi
- Scopri come creare una cartella Assured Workloads
- Informazioni sui prezzi di Assured Workloads