Limite de dados para a Regulamentação sobre Tráfico Internacional de Armas (ITAR)

Nesta página, descrevemos o conjunto de controles aplicados às cargas de trabalho da ITAR no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos do Google Cloud compatíveis e os endpoints de API deles, além de restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais se aplicam à ITAR:

• Residência de dados: o pacote de controles da ITAR define controles de localização de dados para oferecer suporte a regiões exclusivas dos EUA. Consulte a seção Restrições da política da organização em toda aGoogle Cloud para mais informações.
• Suporte: os serviços de suporte técnico para cargas de trabalho da ITAR estão disponíveis com as assinaturas do Cloud Customer Care Enhanced ou Premium. Os casos de suporte para cargas de trabalho da ITAR são encaminhados para pessoas nos EUA localizadas nos EUA. Para mais informações, consulte Como receber suporte.
• Preços: o pacote de controle da ITAR está incluído no nível Premium do Assured Workloads, que gera uma cobrança adicional de 20%. Consulte Preços do Assured Workloads para mais informações.

Pré-requisitos

Para manter a conformidade como usuário do pacote de controle do ITAR, verifique se você atende e segue os seguintes pré-requisitos:

• Crie uma pasta do ITAR usando o Assured Workloads e implante as cargas de trabalho do ITAR somente nessa pasta.
• Ative e use apenas os serviços da ITAR no escopo para cargas de trabalho da ITAR.
• Não mude os valores padrão da restrição de política da organização, a menos que você entenda e esteja disposto a aceitar os riscos de residência de dados que podem ocorrer.
• Ao acessar o console Google Cloud para cargas de trabalho da ITAR, use um dos seguintes URLs do console Google Cloud jurisdicional:
  • console.us.cloud.google.com
  • console.us.cloud.google para usuários de identidade federada
• Ao se conectar a endpoints de serviço do Google Cloud , use endpoints regionais para serviços que os oferecem. Além disso:
  • Ao se conectar a endpoints de serviço Google Cloud de VMs que não são doGoogle Cloud, como VMs locais ou de outros provedores de nuvem, use uma das opções de acesso particular disponíveis que oferecem suporte a conexões com VMs que não são doGoogle Cloud para rotear o tráfego que não é doGoogle Cloud para o Google Cloud.
  • Ao se conectar a endpoints de serviço Google Cloud de VMs Google Cloud , é possível usar qualquer uma das opções de acesso particular disponíveis.
  • Ao se conectar a VMs Google Cloud que foram expostas com endereços IP externo, consulte Acessar APIs em VMs com IP externo externos.
• Para todos os serviços usados em uma pasta da ITAR, não armazene dados técnicos nos seguintes tipos de informações de configuração de segurança ou definidos pelo usuário:
  • Mensagens de erro
  • Saída do console
  • Dados de atributos
  • Dados de configuração do serviço
  • Cabeçalhos de pacotes de rede
  • Identificadores de recursos
  • Rótulos de dados
• Use apenas os endpoints regionais especificados para serviços que os oferecem. Para mais informações, consulte serviços de TI no escopo da ITAR.
• Considere adotar as práticas recomendadas gerais de segurança fornecidas na Google Cloud central de práticas recomendadas de segurança.

Produtos e endpoints de API compatíveis

Salvo indicação em contrário, os usuários podem acessar todos os produtos compatíveis pelo console Google Cloud . As restrições ou limitações que afetam os recursos de um produto compatível, incluindo aquelas que são aplicadas pelas configurações de restrição da política da organização, estão listadas na tabela a seguir.

Se um produto não estiver listado, ele não será compatível e não terá atendido aos requisitos de controle da ITAR. Não é recomendável usar produtos sem suporte sem diligência prévia e uma compreensão completa das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você conhece e aceita os riscos associados, como impactos negativos na residência ou soberania de dados.

Restrições e limitações

As seções a seguir descrevem restrições ou limitações em todo o Google Cloudou específicas do produto para recursos, incluindo restrições de política da organização definidas por padrão em pastas da ITAR. Outras restrições aplicáveis da política da organização, mesmo que não sejam definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos do Google Cloud da sua organização.

Google Cloudde largura

Recursos afetados em todo o Google Cloud

Recurso	Descrição
Google Cloud console	Para acessar o console do Google Cloud ao usar o pacote de controle do ITAR, use um dos seguintes URLs: console.us.cloud.google.com console.us.cloud.google para usuários de identidade federada Para mais informações, consulte a página do console Google Cloud jurisdicional.

Restrições da política da organização em toda aGoogle Cloud

As restrições da política da organização a seguir se aplicam a Google Cloud.

Restrição da política da organização	Descrição
gcp.resourceLocations	Defina os seguintes locais na lista allowedValues: us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Esse valor restringe a criação de novos recursos aos valores selecionados. Quando definido, nenhum recurso pode ser criado em outras regiões, multirregiões ou locais fora da seleção. Consulte Serviços compatíveis com locais de recursos para ver uma lista de recursos que podem ser restringidos pela restrição da política da organização de locais de recursos, já que alguns recursos podem estar fora do escopo e não ser restritos. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade.
gcp.restrictCmekCryptoKeyProjects	Defina como under:organizations/your-organization-name, que é sua organização do Assured Workloads. É possível restringir ainda mais esse valor especificando um projeto ou uma pasta. Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves do Cloud KMS para criptografar dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo.
gcp.restrictNonCmekServices	Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo: bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com Alguns recursos podem ser afetados para cada um dos serviços listados acima. Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços em escopo da lista pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
gcp.restrictServiceUsage	Definido para permitir todos os produtos e endpoints de API compatíveis. Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Como restringir o uso de recursos.
gcp.restrictTLSVersion	Definido para negar as seguintes versões do TLS: TLS_1_0 TLS_1_1 Consulte a página Restringir versões do TLS para mais informações.

Google Cloud Armor

Recursos afetados do Google Cloud Armor

Recurso	Descrição
Políticas de segurança com escopo global	Esse recurso foi desativado pela restrição de política da organização compute.disableGlobalCloudArmorPolicy.

BigQuery

Recursos afetados do BigQuery

Recurso	Descrição
Ativar o BigQuery em uma nova pasta	O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma pasta do Assured Workloads devido a um processo de configuração interna. Esse processo normalmente leva 10 minutos, mas pode demorar mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas: No console Google Cloud , acesse a página Assured Workloads. Acesse o Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis. No painel Serviços permitidos, revise os serviços que serão adicionados à política da organização Restrição de uso de recursos da pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los. Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care. Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta do Assured Workloads. O Gemini no BigQuery não é compatível com o Assured Workloads.
APIs BigQuery em conformidade	As seguintes APIs do BigQuery estão em conformidade com a ITAR: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
Regiões	O BigQuery está em conformidade com a ITAR em todas as regiões dos EUA, exceto na multirregião dos EUA. Não é possível garantir a conformidade com a ITAR se um conjunto de dados for criado em uma multirregião dos EUA, uma região fora dos EUA ou uma multirregião fora dos EUA. É sua responsabilidade especificar uma região em conformidade com a ITAR ao criar conjuntos de dados do BigQuery.
Consultas em conjuntos de dados da ITAR de projetos que não são da ITAR	O BigQuery não impede que conjuntos de dados da ITAR sejam consultados em projetos que não são da ITAR. Verifique se todas as consultas que usam uma operação de leitura ou junção em dados técnicos da ITAR estão em uma pasta compatível com a ITAR.
Conexões com fontes de dados externas	A responsabilidade de compliance do Google é limitada à capacidade da API BigQuery Connection. É sua responsabilidade garantir a conformidade dos produtos de origem usados com a API BigQuery Connection.
Recursos não suportados	Os seguintes recursos do BigQuery não são compatíveis e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para o Assured Workloads. Interação com fontes de dados remotas Modelos do BQML treinados externamente não são compatíveis. Modelos do BQML treinados internamente são aceitos. Mascaramento de dados dinâmico Exportação do GDrive Funções remotas Consultas salvas Programação do fluxo de trabalho No BigQuery Studio, os notebooks não são compatíveis. O Gemini no BigQuery não é compatível.
CLI do BigQuery	A CLI do BigQuery é compatível.
SDK do Google Cloud	Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados técnicos. Para verificar sua versão atual do SDK Google Cloud, execute gcloud --version e depois gcloud components update para atualizar para a versão mais recente.
Controles do administrador	O BigQuery desativa as APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta do Assured Workloads podem ativar uma API sem suporte. Se isso acontecer, você vai receber uma notificação de possível não conformidade no painel de monitoramento do Assured Workloads.
Carregando dados	Conectores do serviço de transferência de dados do BigQuery para apps do Google software como serviço (SaaS), provedores externos de armazenamento em nuvem e data warehouses não são compatíveis. É sua responsabilidade não usar conectores do serviço de transferência de dados do BigQuery para cargas de trabalho da ITAR.
Transferências de terceiros	O BigQuery não verifica a compatibilidade com transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML não compatíveis	Modelos do BQML treinados externamente não são compatíveis.
Jobs de consulta	Os jobs de consulta só podem ser criados em pastas do Assured Workloads.
Consultas em conjuntos de dados em outros projetos	O BigQuery não impede que os conjuntos de dados do Assured Workloads sejam consultados em projetos que não são do Assured Workloads. Verifique se qualquer consulta que tenha uma leitura ou uma junção de dados do Assured Workloads está em uma pasta do Assured Workloads. É possível especificar um nome de tabela totalmente qualificado para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative os buckets de registro do _default ou restrinja-os a regiões no escopo para manter a conformidade usando o seguinte comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink . Consulte Regionalizar seus registros para mais informações._default

Compute Engine

Recursos afetados do Compute Engine

Recurso	Descrição
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM requerem armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque atualmente não é possível fazer a criptografia deles usando CMEKs. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
Google Cloud console	Os seguintes recursos do Compute Engine não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI: Verificações de integridade Grupos de endpoints de rede
VMs da Solução Bare Metal	Não é possível usar VMs da Solução Bare Metal (VMs o2) porque elas não estão em conformidade com a ITAR.
VMs do Google Cloud VMware Engine	Não é possível usar VMs do Google Cloud VMware Engine, porque elas não estão em conformidade com a ITAR.
Como criar uma instância de VM C3	Esse recurso está desativado.
Como usar discos permanentes ou instantâneos deles sem CMEK	Não é possível usar discos permanentes ou snapshots deles, a menos que tenham sido criptografados com CMEK.
Como criar VMs aninhadas ou que usam virtualização aninhada	Não é possível criar VMs aninhadas ou que usam virtualização aninhada. Esse recurso foi desativado pela restrição de política da organização compute.disableNestedVirtualization.
Como adicionar um grupo de instâncias a um balanceador de carga global	Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Esse recurso foi desativado pela restrição de política da organização compute.disableGlobalLoadBalancing.
Como rotear solicitações para um balanceador de carga HTTPS externo multirregional	Não é possível rotear solicitações para um balanceador de carga HTTPS externo multirregional. Esse recurso foi desativado pela restrição de política da organização compute.restrictLoadBalancerCreationForTypes.
Como compartilhar um disco permanente SSD no modo de vários gravadores	Não é possível compartilhar um disco permanente SSD no modo de vários gravadores entre instâncias de VM.
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Esse recurso foi desativado pela restrição da política da organização gcp.restrictNonCmekServices.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEK. Esse recurso foi desativado pela restrição da política da organização gcp.restrictNonCmekServices.
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente de convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser ter mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização compute.trustedImageProjects. Para mais informações, consulte a página Como criar uma imagem personalizada.
Políticas do SO no VM Manager	Os scripts inline e os arquivos de saída binários nos arquivos de política do SO não são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK). Por isso, não inclua informações sensíveis nesses arquivos. Como alternativa, armazene esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte Exemplos de políticas do SO. Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição de política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Para mais informações, consulte Restrições da Configuração do SO.
instances.getSerialPortOutput()	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Ativar o acesso a um projeto.
instances.getScreenshot()	Essa API está desativada. Não será possível receber uma captura de tela da instância especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False e ative a API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Ativar o acesso a um projeto.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
compute.enableComplianceMemoryProtection	Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
compute.disableGlobalCloudArmorPolicy	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
compute.disableGlobalLoadBalancing	Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
compute.disableGlobalSelfManagedSslCertificate	Definido como Verdadeiro. Desativa a criação de certificados SSL autogerenciados globais. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.
compute.disableInstanceDataAccessApis	Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot(). Ativar essa restrição impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte: Ative o SSH para VMs do Windows. Execute o comando a seguir para mudar a senha da VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Substitua: VM_NAME: o nome da VM para a qual você está definindo a senha. USERNAME: o nome de usuário da pessoa para quem você está definindo a senha. PASSWORD: a nova senha.
compute.disableNonFIPSMachineTypes	Definido como Verdadeiro. Desativa a criação de tipos de instâncias de VM que não atendem aos requisitos dos FIPS.
compute.restrictNonConfidentialComputing	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Consulte a documentação sobre VMs confidenciais para mais informações.
compute.trustedImageProjects	(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Cloud DNS

Recursos afetados do Cloud DNS

Recurso	Descrição
Google Cloud console	Os recursos do Cloud DNS não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.

Google Kubernetes Engine

Recursos afetados do Google Kubernetes Engine

Recurso	Descrição
Restrições de recursos do cluster	Verifique se a configuração do cluster não usa recursos para serviços que não são compatíveis com o programa de compliance da ITAR. Por exemplo, a configuração a seguir é inválida porque exige a ativação ou o uso de um serviço não compatível: set `binaryAuthorization.evaluationMode` to `enabled`

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização	Descrição
container.restrictNoncompliantDiagnosticDataAccess	Definido como Verdadeiro. Desativa a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.

Cloud Interconnect

Recursos afetados do Cloud Interconnect

Recurso	Descrição
Google Cloud console	Os recursos do Cloud Interconnect não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.
VPN de alta disponibilidade (HA)	É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, é necessário obedecer aos requisitos de criptografia e regionalização listados na seção Recursos afetados do Cloud VPN.

Cloud Load Balancing

Recursos afetados do Cloud Load Balancing

Recurso	Descrição
Google Cloud console	Os recursos do Cloud Load Balancing não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.
Balanceadores de carga regionais	É preciso usar apenas balanceadores de carga regionais com a ITAR. Consulte as páginas a seguir para mais informações sobre como configurar balanceadores de carga regionais: Balanceador de carga de aplicativo interno Balanceador de carga de aplicativo externo regional Balanceador de carga de rede de passagem interna Balanceador de carga de rede de passagem externo

Cloud Logging

Recursos afetados do Cloud Logging

Recurso	Descrição
Coletores de registros	Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo	Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados entrada de registro, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.
Alertas com base em registros	Este recurso está desativado. Não é possível criar alertas baseados em registros no console Google Cloud .
URLs encurtados para consultas do Explorador de registros	Este recurso está desativado. Não é possível criar URLs encurtados de consultas no Google Cloud console.
Salvar consultas no Explorador de registros	Este recurso está desativado. Não é possível salvar consultas no console Google Cloud .
Análise de dados de registros usando o BigQuery	Este recurso está desativado. Não é possível usar o recurso de análise de registros.
Políticas de alertas baseadas em SQL	Este recurso está desativado. Não é possível usar o recurso de políticas de alertas baseadas em SQL.

Cloud Monitoring

Recursos afetados do Cloud Monitoring

Recurso	Descrição
Monitor sintético	Este recurso está desativado.
Verificações de tempo de atividade	Este recurso está desativado.
Widgets do painel de registros em Painéis	Este recurso está desativado. Não é possível adicionar um painel de registros a um dashboard.
Widgets do painel de relatórios de erros em Painéis	Este recurso está desativado. Não é possível adicionar um painel de relatórios de erros a um dashboard.
Filtrar em EventAnnotation para Painéis	Este recurso está desativado. O filtro de EventAnnotation não pode ser definido em um painel.
SqlCondition em alertPolicies	Este recurso está desativado. Não é possível adicionar um SqlCondition a um alertPolicy.

Cloud NAT

Recursos afetados do Cloud NAT

Recurso	Descrição
Google Cloud console	Os recursos do Cloud NAT não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.

Network Connectivity Center

Recursos afetados do Network Connectivity Center

Recurso	Descrição
Google Cloud console	Os recursos do Network Connectivity Center não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.

Pub/Sub

Restrições da política da organização do Pub/Sub

Restrição da política da organização	Descrição
pubsub.enforceInTransitRegions	Definido como Verdadeiro. Garante que os dados do cliente transitem somente dentro das regiões permitidas especificadas na política de armazenamento de mensagens para o tópico do Pub/Sub. Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho.

Cloud Router

Recursos afetados do Cloud Router

Recurso	Descrição
Google Cloud console	Os recursos do Cloud Router não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.

Cloud Run

Recursos afetados do Cloud Run

Recurso	Descrição
Recursos não suportados	Os seguintes recursos do Cloud Run não são compatíveis: Integração do Cloud Trace Funções do Cloud Run Gatilhos do Eventarc

Cloud SQL

Recursos afetados do Cloud SQL

Recurso	Descrição
Exportando para CSV	A exportação para CSV não está em conformidade com a ITAR e não deve ser usada. Esse recurso está desativado no console Google Cloud .
executeSql	O método executeSql da API Cloud SQL não está em conformidade com a ITAR e não deve ser usado.

Cloud Storage

Recursos afetados do Cloud Storage

Recurso	Descrição
Google Cloud console	Para manter a conformidade com o ITAR, é sua responsabilidade usar o console Google Cloud jurisdicional. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints de API em conformidade nesta seção.
Endpoints de API em conformidade	É necessário usar um dos endpoints regionais em conformidade com a ITAR com o Cloud Storage. Consulte Endpoints regionais do Cloud Storage e Locais do Cloud Storage para mais informações.
Restrições	É necessário usar endpoints regionais do Cloud Storage para obedecer à ITAR. Para mais informações sobre endpoints regionais do Cloud Storage para a ITAR, consulte Endpoints regionais do Cloud Storage. As operações a seguir não são compatíveis com endpoints regionais. No entanto, essas operações não transferem dados do cliente, conforme definido nos termos de serviço de residência de dados. Portanto, é possível usar endpoints globais para essas operações conforme necessário sem violar a conformidade com o ITAR: Operações de chave HMAC Operações da conta de serviço do IAM Notificações do Pub/Sub Notificações de alteração de objeto
Copiar e reescrever para objetos	As operações de cópia e regravação de objetos são compatíveis com endpoints regionais se os buckets de origem e destino estiverem localizados na região especificada no endpoint. No entanto, não é possível usar endpoints regionais para copiar ou regravar um objeto de um bucket para outro se eles existirem em locais diferentes. É possível usar endpoints globais para copiar ou reescrever em vários locais, mas não recomendamos isso porque pode violar a conformidade com o ITAR.

Nuvem privada virtual (VPC)

Recursos da VPC afetados

Recurso	Descrição
Google Cloud console	Os recursos de rede VPC não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.

Cloud VPN

Recursos afetados do Cloud VPN

Recurso	Descrição
Google Cloud console	Os recursos da Cloud VPN não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI.
Criptografia	Use apenas criptografias compatíveis com FIPS 140-2 ao criar certificados e configurar a segurança de IP. Consulte a página Criptografias IKE aceitas para mais informações sobre as criptografias compatíveis com o Cloud VPN. Para orientações sobre como selecionar uma criptografia que esteja em conformidade com os padrões FIPS 140-2, consulte a página Comprovação do FIPS 140-2. Não é possível mudar uma criptografia em Google Cloud. Configure a criptografia no dispositivo de terceiros usado com o Cloud VPN.
Endpoints de VPN	Use apenas endpoints do Cloud VPN localizados em uma região no escopo. Verifique se o gateway da VPN está configurado para uso apenas em uma região no escopo.

A seguir

• Saiba como criar uma pasta do Assured Workloads
• Entenda os preços do Assured Workloads