国際武器取引規則（ITAR）のデータ境界

このページでは、Assured Workloads の ITAR ワークロードに適用される一連の制御について説明します。データ所在地、サポートされている Google Cloud プロダクトとその API エンドポイント、それらのプロダクトに適用される制限事項に関する詳細情報が提供されます。ITAR には、次の追加情報が適用されます。

• データ所在地: ITAR コントロール パッケージは、米国のみのリージョンをサポートするデータ ロケーション コントロールを設定します。詳細については、Google Cloud全体の組織のポリシーの制約をご覧ください。
• サポート: ITAR ワークロードのテクニカル サポート サービスは、エンハンストまたはプレミアムの Cloud カスタマーケア サブスクリプションで利用できます。ITAR ワークロードのサポートケースは、米国に拠点を置く米国人に転送されます。詳細については、サポートの利用をご覧ください。
• 料金: ITAR コントロール パッケージは Assured Workloads のプレミアム ティアに含まれており、20% の追加料金が発生します。詳細については、Assured Workloads の料金をご覧ください。

前提条件

ITAR コントロール パッケージのユーザーとしてコンプライアンスを維持するには、次の前提条件を満たし、遵守していることを確認してください。

• Assured Workloads を使用して ITAR フォルダを作成し、そのフォルダにのみ ITAR ワークロードをデプロイします。
• ITAR ワークロードには、ITAR の対象となるサービスのみを有効にして使用します。
• 発生する可能性のあるデータ所在地のリスクを理解し、それを受け入れる意思がある場合を除き、デフォルトの組織のポリシーの制約値を変更しないでください。
• ITAR ワークロードの Google Cloud コンソールにアクセスする場合は、次のいずれかの管轄区域の Google Cloud コンソール URL を使用する必要があります。
  • console.us.cloud.google.com
  • console.us.cloud.google（フェデレーション ID ユーザーの場合）
• Google Cloud サービス エンドポイントに接続する場合は、そのエンドポイントを提供するサービスのリージョン エンドポイントを使用する必要があります。さらに、以下のことにご留意ください。
  • オンプレミスまたは他のクラウド プロバイダの VM など、Google Cloud以外の VM から Google Cloud サービス エンドポイントに接続する場合は、使用可能ないずれかのプライベート アクセス オプションを使用する必要があります。ここでは、Google Cloud 以外の VM への接続をサポートし、Google Cloud 以外のトラフィックを Google Cloudにルーティングします。
  • Google Cloud VM から Google Cloud サービス エンドポイントに接続する場合は、使用可能なプライベート アクセス オプションのいずれかを使用できます。
  • 外部 IP アドレスで公開されている Google Cloud VM に接続する場合は、外部 IP アドレスを持つ VM から API にアクセスするをご覧ください。
• ITAR フォルダで使用されるすべてのサービスでは、次のユーザー定義またはセキュリティ構成情報タイプに技術データを保存しないでください。
  • エラー メッセージ
  • コンソール出力
  • 属性データ
  • サービス構成データ
  • ネットワーク パケット ヘッダー
  • リソース識別子
  • データラベル
• 指定されたリージョン エンドポイントは、それらを提供するサービスにのみ使用します。詳細については、ITAR の対象となる IT サービスをご覧ください。
• Google Cloud セキュリティ ベスト プラクティス センターで提供されている一般的なセキュリティ ベスト プラクティスの導入を検討してください。

サポートされているプロダクトと API エンドポイント

特に明記されていない限り、ユーザーは Google Cloud コンソールからすべてのサポート対象プロダクトにアクセスできます。サポートされているプロダクトの機能に影響する制限事項（組織のポリシーの制約の設定によって適用される制限事項を含む）を次の表に示します。

商品がリストにない場合、その商品はサポートされておらず、ITAR の制御要件を満たしていません。デュー デリジェンスや責任共有モデルにおけるお客様の責任を十分に理解せずに、サポート対象外のプロダクトを使用することはおすすめしません。サポートされていないプロダクトを使用する前に、データ所在地やデータ主権への悪影響など、関連するリスクを認識し、受け入れることを確認してください。

制限事項

以下のセクションでは、 Google Cloud全体またはプロダクト固有の制限、または機能の制限について説明します。これには、ITAR フォルダにデフォルトで設定されている組織ポリシーの制約も含まれます。デフォルトで設定されていない場合でも、その他の適用可能な組織のポリシーの制約により、組織の Google Cloud リソースをさらに保護するための多層防御を追加できます。

Google Cloud幅

影響を受ける Google Cloud全体の機能

機能	説明
Google Cloud コンソール	ITAR コントロール パッケージを使用するときに Google Cloud コンソールにアクセスするには、次のいずれかの URL を使用する必要があります。 console.us.cloud.google.com console.us.cloud.google（フェデレーション ID ユーザーの場合） 詳細については、法域 Google Cloud コンソールのページをご覧ください。

Google Cloud全体の組織ポリシー制約

次の組織のポリシーの制約は、 Google Cloud全体に適用されます。

組織のポリシーの制約	説明
gcp.resourceLocations	allowedValues リストの次のロケーションに設定します。 us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 この値は、新しいリソースの作成を選択した値に制限します。設定すると、選択したリージョン、マルチリージョン、ロケーションの外部にあるリージョン、マルチリージョン、ロケーションにリソースを作成できなくなります。一部のリソースは範囲外で制限できないため、リソース ロケーションの組織のポリシーの制約によって制限できるリソースの一覧については、リソース ロケーションのサポート対象サービスをご覧ください。 制限を緩くしてこの値を変更すると、準拠したデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。
gcp.restrictCmekCryptoKeyProjects	Assured Workloads 組織である under:organizations/your-organization-name に設定します。プロジェクトまたはフォルダを指定することで、この値をさらに制限できます。 CMEK を使用して保管中のデータを暗号化するために Cloud KMS 鍵を提供できる承認済みフォルダまたはプロジェクトの範囲を制限します。この制約により、承認されていないフォルダまたはプロジェクトが暗号鍵を提供できなくなるため、対象範囲内のサービスの保管中のデータのデータ主権を保証できます。
gcp.restrictNonCmekServices	対象範囲内のすべての API サービス名のリストに設定します。次に例を示します。 bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com 上記の各サービスで、一部の機能が影響を受ける場合があります。 各サービスには、顧客管理の暗号鍵（CMEK）が必要です。CMEK を使用すると、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化できます。 リストから 1 つ以上の対象サービスを削除してこの値を変更すると、データ主権が損なわれる可能性があります。新しい保管中のデータは、ユーザーではなく Google 独自の鍵を使用して自動的に暗号化されるためです。既存の保存データは、指定した鍵によって暗号化されます。
gcp.restrictServiceUsage	すべてのサポートされているプロダクトと API エンドポイントを許可するように設定します。 リソースへのランタイム アクセスを制限することで、使用できるサービスを決定します。詳細については、リソースの使用量の制限をご覧ください。
gcp.restrictTLSVersion	次の TLS バージョンを拒否するように設定します。 TLS_1_0 TLS_1_1 詳細については、TLS バージョンを制限するページをご覧ください。

Google Cloud Armor

影響を受ける Google Cloud Armor の機能

機能	説明
グローバル スコープのセキュリティ ポリシー	この機能は、compute.disableGlobalCloudArmorPolicy 組織のポリシーの制約によって無効になっています。

BigQuery

影響を受ける BigQuery の機能

機能	説明
新しいフォルダで BigQuery を有効にする	BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の操作を行います。 Google Cloud コンソールで、[Assured Workloads] ページに移動します。 Assured Workloads に移動 リストから新しい Assured Workloads フォルダを選択します。 [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。 [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、 サービスを許可するをクリックし、これを追加します。 BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。 有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。 Gemini in BigQuery は Assured Workloads ではサポートされていません。
準拠している BigQuery API	次の BigQuery API は ITAR に準拠しています。 bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
リージョン	BigQuery は、米国のマルチリージョンを除くすべての BigQuery 米国リージョンで ITAR に準拠しています。データセットが米国のマルチリージョン、米国以外のリージョン、米国以外のマルチリージョンに作成されている場合、ITAR への準拠は保証されません。BigQuery データセットを作成する際に ITAR に準拠するリージョンを指定する責任はお客様にあります。
ITAR 以外のプロジェクトからの ITAR データセットに対するクエリ	BigQuery では、ITAR 以外のプロジェクトからの ITAR データセットへのクエリを防ぐことはできません。ITAR 技術データに対して読み取りまたは結合オペレーションを使用するクエリはすべて、ITAR 準拠のフォルダに配置する必要があります。
外部データソースへの接続	Google のコンプライアンス責任は、BigQuery Connection API の機能に限定されます。BigQuery Connection API で使用されるソースプロダクトのコンプライアンスを確保するのは、お客様の責任です。
サポートされていない機能	次の BigQuery 機能はサポートされていないため、BigQuery CLI では使用しないでください。Assured Workloads に対して、これらを BigQuery で使用しないようにすることはお客様の責任です。 リモート データソースとのやり取り 外部でトレーニングされた BQML モデルはサポートされていません。 内部でトレーニングされた BQML モデルはサポートされています。 動的データのマスキング GDrive エクスポート リモート関数 保存したクエリ ワークフローのスケジュール設定 BigQuery Studio では notebooksはサポートされていません。 Gemini in BigQuery はサポートされていません。
BigQuery CLI	BigQuery CLI がサポートされています。
Google Cloud SDK	テクニカル データのデータリージョン指定の保証を維持するには、Google Cloud SDK バージョン 403.0.0 以降を使用する必要があります。現在の Google Cloud SDK のバージョンを確認するには、gcloud --version を実行してから gcloud components update を実行し、最新バージョンに更新します。
管理機能	BigQuery はサポートされていない API を無効にしますが、Assured Workloads フォルダを作成するのに十分な権限を持つ管理者は、サポートされていない API を有効にできます。この場合、Assured Workloads モニタリング ダッシュボードで、コンプライアンス違反の可能性がある旨が通知されます。
データの読み込み	Google Software as a Service（SaaS）アプリ、外部クラウド ストレージ プロバイダ、データ ウェアハウス用の BigQuery Data Transfer Service コネクタはサポートされていません。お客様は、ITAR ワークロードに対して BigQuery Data Transfer Service コネクタを使用しないようにする責任があります。
サードパーティ転送	BigQuery は、BigQuery Data Transfer Service のサードパーティ転送のサポートを検証しません。BigQuery Data Transfer Service のサードパーティ転送を使用する際のサポート確認は、お客様の責任です。
非準拠 BQML モデル	外部でトレーニングされた BQML モデルはサポートされていません。
クエリジョブ	クエリジョブは、Assured Workloads フォルダ内でのみ作成する必要があります。
他のプロジェクトのデータセットに対するクエリ	BigQuery では、Assured Workloads 以外のプロジェクトから Assured Workloads データセットへのクエリを防ぐことはできません。Assured Workloads データに対して読み取りや結合を行うクエリはすべて、Assured Workloads フォルダに配置する必要があります。ユーザーは、BigQuery CLI で projectname.dataset.table を使用して、クエリ結果の完全修飾されたテーブル名を指定できます。
Cloud Logging	BigQuery は、一部のログデータに対して Cloud Logging を利用します。コンプライアンスを維持するには、_default ロギング バケットを無効にするか、次のコマンドを使用して _default バケットを対象範囲内のリージョンに制限する必要があります。 gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink 詳細については、ログをリージョン化するをご覧ください。

Compute Engine

影響を受ける Compute Engine の機能

機能	説明
VM インスタンスの一時停止および再開	この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスク ストレージは、現在、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。
ローカル SSD	この機能は無効になっています。 現在、ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。
Google Cloud コンソール	次の Compute Engine 機能は、 Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。 ヘルスチェック ネットワーク エンドポイント グループ
Bare Metal Solution VM	Bare Metal Solution VM（o2 VM）は ITAR に準拠していないため、使用できません。
Google Cloud VMware Engine VM	Google Cloud VMware Engine VM は ITAR に準拠していないため、Google Cloud VMware Engine VM を使用することはできません。
C3 VM インスタンスを作成する	この機能は無効になっています。
CMEK を使用せずに永続ディスクまたはそのスナップショットを使用する	永続ディスクまたはそのスナップショットは、CMEK を使用して暗号化されていない限り使用できません。
ネストされた VM またはネストされた仮想化を使用する VM の作成	ネストされた VM またはネストされた仮想化を使用する VM は作成できません。 この機能は、compute.disableNestedVirtualization 組織ポリシー制約によって無効になっています。
ロードバランサへのインスタンス グループの追加	インスタンス グループをグローバル ロードバランサに追加することはできません。 この機能は、compute.disableGlobalLoadBalancing 組織ポリシー制約によって無効になっています。
マルチリージョンの外部 HTTPS ロードバランサへのリクエストの転送	マルチリージョンの外部 HTTPS ロードバランサにリクエストを転送することはできません。 この機能は、compute.restrictLoadBalancerCreationForTypes 組織ポリシー制約によって無効になっています。
マルチライター モードでの SSD 永続ディスクの共有	SSD 永続ディスクを VM インスタンス間で共有する（マルチライター モード）ことはできません。
VM インスタンスの一時停止と再開	この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスク ストレージは、CMEK を使用して暗号化できません。 この機能は、gcp.restrictNonCmekServices 組織ポリシー制約によって無効になっています。
ローカル SSD	この機能は無効になっています。 ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。 この機能は、gcp.restrictNonCmekServices 組織ポリシー制約によって無効になっています。
ゲスト環境	ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされることがあります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。 これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージまたはエージェントを選択して、compute.trustedImageProjects 組織ポリシーの制約をオプションとして使用することもできます。 詳細については、カスタム イメージのビルドのページをご覧ください。
VM Manager の OS ポリシー	OS ポリシー ファイル内のインライン スクリプトとバイナリ出力ファイルは、顧客管理の暗号鍵（CMEK）を使用して暗号化されません。そのため、これらのファイルに機密情報を含めないでください。または、これらのスクリプトと出力ファイルを Cloud Storage バケットに保存することを検討してください。詳細については、OS ポリシーの例をご覧ください。 インライン スクリプトまたはバイナリ出力ファイルを使用する OS ポリシー リソースの作成または変更を制限する場合は、constraints/osconfig.restrictInlineScriptAndOutputFileUsage 組織のポリシー制約を有効にします。 詳細については、 OS Config の制約をご覧ください。
instances.getSerialPortOutput()	この API は無効です。この API を使用して指定したインスタンスからシリアルポート出力を取得することはできません。 この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。プロジェクトのアクセスを有効にするの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。
instances.getScreenshot()	この API は無効です。この API を使用して指定したインスタンスからスクリーンショットを取得することはできません。 この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。プロジェクトのアクセスを有効にするの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。

Compute Engine の組織のポリシーの制約

組織のポリシーの制約	説明
compute.enableComplianceMemoryProtection	True に設定します。 インフラストラクチャ障害が発生したときにメモリ コンテンツを追加で保護するために、一部の内部診断機能を無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。
compute.disableGlobalCloudArmorPolicy	True に設定します。 新しいグローバル Google Cloud Armor セキュリティ ポリシーの作成と、既存のグローバル Google Cloud Armor セキュリティ ポリシーへのルールの追加または変更を無効にします。この制約は、ルールの削除や、グローバル Google Cloud Armor セキュリティ ポリシーの説明と一覧取得の削除または変更を制限するものではありません。リージョン Google Cloud Armor セキュリティ ポリシーは、この制約の影響を受けません。この制約の適用前から存在するグローバル セキュリティ ポリシーとリージョン セキュリティ ポリシーは引き続き有効です。
compute.disableGlobalLoadBalancing	True に設定します。 グローバル ロード バランシング プロダクトの作成を無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。
compute.disableGlobalSelfManagedSslCertificate	True に設定します。 グローバル セルフマネージド SSL 証明書の作成を無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。
compute.disableInstanceDataAccessApis	True に設定します。 instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。 この制約を有効にすると、Windows Server VM で認証情報を生成できなくなります。 Windows VM でユーザー名とパスワードを管理する必要がある場合は、次の操作を行います。 Windows VM 用の SSH を有効にします。 次のコマンドを実行して、VM のパスワードを変更します。 gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" 次のように置き換えます。 VM_NAME: パスワードを設定する VM の名前。 USERNAME: パスワードを設定するユーザーのユーザー名。 PASSWORD: 新しいパスワード。
compute.disableNonFIPSMachineTypes	True に設定します。 FIPS 要件に準拠していない VM インスタンス タイプの作成を無効にします。
compute.restrictNonConfidentialComputing	（省略可）値が設定されていません。多層防御を提供するには、この値を設定します。詳細については、Confidential VM のドキュメントをご覧ください。
compute.trustedImageProjects	（省略可）値が設定されていません。多層防御を提供するには、この値を設定します。 この値を設定すると、イメージ ストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。

Cloud DNS

影響を受ける Cloud DNS の機能

機能	説明
Google Cloud コンソール	Cloud DNS の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Google Kubernetes Engine

影響を受ける Google Kubernetes Engine の機能

機能	説明
クラスタ リソースの制限	クラスタ構成で、ITAR コンプライアンス プログラムでサポートされていないサービスのリソースが使用されていないことを確認します。たとえば、次の構成は、サポートされていないサービスの有効化または使用が必要であるため、無効です。 set `binaryAuthorization.evaluationMode` to `enabled`

Google Kubernetes Engine の組織のポリシーの制約

組織のポリシーの制約	説明
container.restrictNoncompliantDiagnosticDataAccess	True に設定します。 ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。

Cloud Interconnect

影響を受ける Cloud Interconnect の機能

機能	説明
Google Cloud コンソール	Cloud Interconnect の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。
高可用性（HA）VPN	Cloud VPN で Cloud Interconnect を使用する場合は、高可用性（HA）VPN 機能を有効にする必要があります。また、影響を受ける Cloud VPN の機能セクションに記載されている暗号化と地域化の要件にも準拠する必要があります。

Cloud Load Balancing

影響を受ける Cloud Load Balancing の機能

機能	説明
Google Cloud コンソール	Cloud Load Balancing の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。
リージョン ロードバランサ	ITAR では、リージョン ロードバランサのみを使用する必要があります。リージョン ロードバランサの構成の詳細については、次のページをご覧ください。 内部アプリケーション ロードバランサ リージョン外部アプリケーション ロードバランサ 内部パススルー ネットワーク ロードバランサ 外部パススルー ネットワーク ロードバランサ

Cloud Logging

影響を受ける Cloud Logging の機能

機能	説明
ログシンク	フィルタに顧客データを含めないでください。 ログシンクには、構成として格納されるフィルタが含まれます。顧客データを含むフィルタは作成しないでください。
ライブ テーリング ログエントリ	フィルタに顧客データを含めないでください。 ライブ テーリング セッションには、構成として格納されたフィルタが含まれます。テーリングログによって、ログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして送信できます。顧客データを含むフィルタは作成しないでください。
ログベースのアラート	この機能は無効になっています。 Google Cloud コンソールでログベースのアラートを作成することはできません。
ログ エクスプローラ クエリの短縮 URL	この機能は無効になっています。 Google Cloud コンソールでは、クエリの短縮 URL を作成できません。
ログ エクスプローラにクエリを保存する	この機能は無効になっています。 Google Cloud コンソールではクエリを保存できません。
BigQuery を使用したログ分析	この機能は無効になっています。 Log Analytics 機能は使用できません。
SQL ベースのアラート ポリシー	この機能は無効になっています。 SQL ベースのアラート ポリシー機能は使用できません。

Cloud Monitoring

影響を受ける Cloud Monitoring の機能

機能	説明
合成モニター	この機能は無効になっています。
稼働時間チェック	この機能は無効になっています。
ダッシュボードのログパネル ウィジェット	この機能は無効になっています。 ダッシュボードにログパネルを追加することはできません。
ダッシュボードの Error Reporting パネル ウィジェット	この機能は無効になっています。 ダッシュボードに Error Reporting パネルを追加することはできません。
ダッシュボードの EventAnnotation のフィルタ	この機能は無効になっています。 EventAnnotation のフィルタはダッシュボードで設定できません。
alertPolicies の SqlCondition	この機能は無効になっています。 alertPolicy に SqlCondition を追加することはできません。

Cloud NAT

影響を受ける Cloud NAT の機能

機能	説明
Google Cloud コンソール	Cloud NAT の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Network Connectivity Center

影響を受ける Network Connectivity Center の機能

機能	説明
Google Cloud コンソール	ネットワーク接続センターの機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Pub/Sub

Pub/Sub 組織のポリシーの制約

組織のポリシーの制約	説明
pubsub.enforceInTransitRegions	True に設定します。 お客様のデータが、Pub/Sub トピックのメッセージ ストレージ ポリシーで指定された、許可されるリージョン内でのみ転送されるようにします。 この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。

Cloud Router

影響を受ける Cloud Router の機能

機能	説明
Google Cloud コンソール	Cloud Router の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Cloud Run

影響を受ける Cloud Run の機能

機能	説明
サポートされていない機能	次の Cloud Run 機能はサポートされていません。 Cloud Trace の統合 Cloud Run functions Eventarc トリガー

Cloud SQL

影響を受ける Cloud SQL の機能

機能	説明
CSV へのエクスポート	CSV へのエクスポートは ITAR に準拠していないため、使用しないでください。この機能は Google Cloud コンソールでは無効になっています。
executeSql	Cloud SQL API の executeSql メソッドは ITAR に準拠していないため、使用しないでください。

Cloud Storage

影響を受ける Cloud Storage の機能

機能	説明
Google Cloud コンソール	ITAR への準拠を維持するため、管轄区域の Google Cloud コンソールを使用する責任はお客様にあります。管轄地区のコンソールでは、Cloud Storage オブジェクトのアップロードとダウンロードがブロックされます。Cloud Storage オブジェクトをアップロードおよびダウンロードするには、このセクションの準拠した API エンドポイントの行をご覧ください。
準拠した API エンドポイント	Cloud Storage で ITAR 準拠のリージョン エンドポイントのいずれかを使用する必要があります。詳細については、Cloud Storage リージョン エンドポイントと Cloud Storage のロケーションをご覧ください。
制限事項	ITAR に準拠するには、Cloud Storage リージョン エンドポイントを使用する必要があります。ITAR の Cloud Storage リージョン エンドポイントの詳細については、Cloud Storage リージョン エンドポイントをご覧ください。 次のオペレーションは、リージョン エンドポイントではサポートされていません。ただし、これらのオペレーションでは、データ所在地に関するサービス規約で定義されている顧客データを扱いません。したがって、ITAR への準拠に違反することなく、必要に応じてこれらのオペレーションにグローバル エンドポイントを使用できます。 HMAC キー オペレーション IAM サービス アカウントのオペレーション Pub/Sub 通知 オブジェクト変更通知
オブジェクトのコピーと書き換え	オブジェクトのコピーと書き換えのオペレーションは、送信元バケットと宛先バケットの両方がエンドポイントで指定されたリージョンにある場合、リージョン エンドポイントでサポートされます。ただし、バケットが複数のロケーションに存在する場合は、リージョン エンドポイントを使用してバケット間でオブジェクトをコピーまたはリライトすることはできません。グローバル エンドポイントを使用してロケーション間でコピーまたはリライトすることは可能ですが、ITAR への準拠に違反する可能性があるため、おすすめしません。

Virtual Private Cloud（VPC）

影響を受ける VPC 機能

機能	説明
Google Cloud コンソール	VPC ネットワーキング機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Cloud VPN

影響を受ける Cloud VPN の機能

機能	説明
Google Cloud コンソール	Cloud VPN の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。
暗号化	証明書の作成と IP セキュリティの構成には、FIPS 140-2 準拠の暗号のみを使用する必要があります。Cloud VPN でサポートされている暗号の詳細については、サポートされている IKE の暗号をご覧ください。FIPS 140-2 標準に準拠する暗号を選択する方法については、FIPS 140-2 認証取得済みページをご覧ください。 Google Cloudで既存の暗号を変更することはできません。Cloud VPN で使用するサードパーティ アプライアンスでも暗号が構成されていることを確認します。
VPN エンドポイント	対象範囲内のリージョンにある Cloud VPN エンドポイントのみを使用する必要があります。VPN ゲートウェイが対象範囲内のリージョンでのみ使用されるように構成されていることを確認します。

次のステップ

• Assured Workloads フォルダを作成する方法を学習する。
• Assured Workloads の料金について