Pacote de controle da Regulamentação sobre Tráfico Internacional de Armas (ITAR)
Esta página descreve o conjunto de controles aplicados às cargas de trabalho do ITAR no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos Google Cloud compatíveis e os endpoints de API deles, e todas as restrições ou limitações aplicáveis a esses produtos. As informações a seguir se aplicam ao ITAR:
- Residência de dados: o pacote de controle do ITAR define os controles de localização de dados para oferecer suporte a apenas regiões dos EUA. Consulte a seção Restrições da política da organização em todo oGoogle Cloud para mais informações.
- Suporte: os serviços de suporte técnico para cargas de trabalho da ITAR estão disponíveis com as assinaturas do Cloud Customer Care Enhanced ou Premium. Os casos de suporte de cargas de trabalho do ITAR são encaminhados a pessoas nos EUA localizadas nos EUA. Para mais informações, consulte Como receber suporte.
- Preços: o pacote de controle do ITAR está incluído no nível Premium das cargas de trabalho garantidas, que gera uma cobrança adicional de 20%. Consulte Preços do Assured Workloads para mais informações.
Pré-requisitos
Para continuar em conformidade como usuário do pacote de controle do ITAR, satisfaça e siga os seguintes pré-requisitos:
- Crie uma pasta ITAR usando o Assured Workloads e implante as cargas de trabalho ITAR somente nessa pasta.
- Ative e use apenas os serviços ITAR no escopo para cargas de trabalho ITAR.
- Não mude os valores de restrição padrão da política da organização, a menos que você entenda e esteja disposto a aceitar os riscos de residência de dados que podem ocorrer.
- Ao acessar o console do Google Cloud para cargas de trabalho do ITAR,
use um dos seguintes URLs
do console do Google Cloud de jurisdição:
- console.us.cloud.google.com
- console.us.cloud.google para usuários de identidade federada
- Ao se conectar a Google Cloud endpoints de serviço, use
endpoints regionais para serviços que
ofereçam isso. Além disso:
- Ao se conectar a endpoints de serviço Google Cloud de VMs nãoGoogle Cloud, como VMs locais ou de outros provedores de nuvem, é necessário usar uma das opções de acesso privado disponíveis que oferecem suporte a conexões com VMs nãoGoogle Cloud para rotear o tráfego nãoGoogle Cloud para Google Cloud.
- Ao se conectar a endpoints de serviço do Google Cloud usando VMs Google Cloud , é possível usar qualquer uma das opções de acesso particular disponíveis.
- Ao se conectar a Google Cloud VMs que foram expostas com endereços IP externos, consulte Acessar APIs em VMs com endereços IP externos.
- Para todos os serviços usados em uma pasta ITAR, não armazene
dados técnicos nos seguintes tipos de informações de configuração de segurança ou
definidos pelo usuário:
- Mensagens de erro
- Saída do console
- Dados de atributos
- Dados de configuração do serviço
- Cabeçalhos de pacotes de rede
- Identificadores de recursos
- Rótulos de dados
- Use apenas os endpoints regionais ou de localização especificados para serviços que ofereçam isso. Consulte Serviços do ITAR no escopo para mais informações.
- Considere adotar as práticas recomendadas de segurança gerais fornecidas na Google Cloud central de práticas recomendadas de segurança.
Produtos e endpoints de API com suporte
Salvo indicação contrária, os usuários podem acessar todos os produtos com suporte pelo console do Google Cloud. As restrições ou limitações que afetam os recursos de um produto com suporte, incluindo aquelas que são aplicadas com configurações de restrição da política da organização, estão listadas na tabela a seguir.
Se um produto não estiver listado, ele não terá suporte e não atenderá aos requisitos de controle do ITAR. Não é recomendável usar produtos sem suporte sem a devida diligência e um entendimento completo das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você está ciente e aceita os riscos associados, como impactos negativos na residência de dados ou soberania de dados.
| Produto compatível | Endpoints de API compatíveis com ITAR | Restrições ou limitações |
|---|---|---|
| Artifact Registry |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| BigQuery |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Certificate Authority Service |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
| Cloud Composer |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud DNS |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Gerenciador de chaves externas do Cloud (Cloud EKM) |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud HSM |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud Interconnect |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Cloud Key Management Service (Cloud KMS) |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Cloud Load Balancing |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Cloud Logging |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Cloud Monitoring |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Cloud NAT |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Cloud Router |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Cloud Run |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Cloud SQL |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Cloud Storage |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Recursos afetados |
| Cloud VPN |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Compute Engine |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados e restrições da política da organização |
| Dataflow |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Dataproc |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| Filestore |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
| Google Kubernetes Engine |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados e restrições da política da organização |
| Gerenciamento de identidade e acesso (IAM) |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
| Identity-Aware Proxy (IAP) |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
| Network Connectivity Center |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
| Persistent Disk |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
| Pub/Sub |
Endpoints regionais da API:
Endpoints de API de localização não são compatíveis. Endpoints da API global:
|
Nenhum |
| VPC Service Controls |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Nenhum |
| Nuvem privada virtual (VPC) |
Não há suporte para endpoints regionais da API. Não há suporte para endpoints de API de localização. Endpoints da API global:
|
Recursos afetados |
Restrições e limitações
As seções a seguir descrevem restrições ou limitações de recursos específicos do produto ou do Google Cloud, incluindo as restrições da política da organização definidas por padrão nas pastas ITAR. Outras restrições da política da organização aplicáveis, mesmo que não definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.
Google Cloudde largura
Restrições da política da organização em todo oGoogle Cloud
As seguintes restrições da política da organização se aplicam a Google Cloud.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Defina os seguintes locais na lista allowedValues:
|
gcp.restrictCmekCryptoKeyProjects |
Defina como under:organizations/your-organization-name, que é sua
organização do Assured Workloads. É possível restringir ainda mais esse valor especificando um projeto ou uma pasta.Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves do Cloud KMS para criptografia de dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo. |
gcp.restrictNonCmekServices |
Defina como uma lista de todos os
nomes de serviço de API no escopo, incluindo:
Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços em escopo da lista pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu. |
gcp.restrictServiceUsage |
Defina para permitir todos os produtos e endpoints de API compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Como restringir o uso de recursos. |
gcp.restrictTLSVersion |
Configurado para negar as seguintes versões do TLS:
|
BigQuery
Recursos do BigQuery afetados
| Recurso | Descrição |
|---|---|
| Como ativar o BigQuery em uma nova pasta | O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova
pasta de workloads garantidas devido a um processo de configuração interno. Esse processo normalmente
termina em 10 minutos, mas pode levar muito mais tempo em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:
Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta Assured Workloads. O Gemini no BigQuery não é compatível com as cargas de trabalho garantidas. |
| APIs BigQuery compatíveis | As APIs do BigQuery a seguir são compatíveis com o ITAR: |
| Regiões | O BigQuery está em conformidade com o ITAR para todas as regiões do BigQuery nos EUA, exceto a multirregional. A conformidade com o ITAR não pode ser garantida se um conjunto de dados for criado em uma multirregião dos EUA, uma região fora dos EUA ou uma multirregião fora dos EUA. É sua responsabilidade especificar uma região compatível com o ITAR ao criar conjuntos de dados do BigQuery. |
| Consultas em conjuntos de dados ITAR de projetos não ITAR | O BigQuery não impede que os conjuntos de dados do ITAR sejam consultados em projetos que não são do ITAR. É necessário garantir que qualquer consulta que use uma operação de leitura ou mesclagem em dados técnicos do ITAR seja colocada em uma pasta compatível com o ITAR. |
| Conexões com fontes de dados externas | A responsabilidade de conformidade do Google é limitada à capacidade da API BigQuery Connection. É sua responsabilidade garantir a conformidade dos produtos de origem usados com a API BigQuery Connection. |
| Recursos não suportados | Os recursos do BigQuery a seguir não têm suporte e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para
Assured Workloads.
|
| CLI do BigQuery | A CLI do BigQuery é compatível.
|
| SDK do Google Cloud | Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados para dados técnicos. Para verificar a versão atual do SDK do Google Cloud, execute gcloud --version e, em seguida, gcloud components update para atualizar para a versão mais recente.
|
| Controles do administrador | O BigQuery desativa APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta de cargas de trabalho garantidas podem ativar uma API sem suporte. Se isso acontecer, você vai receber um aviso de possível não conformidade no Painel de monitoramento do Assured Workloads. |
| Carregando dados | Não há suporte para conectores do serviço de transferência de dados do BigQuery para apps de Software as a Service (SaaS) do Google, provedores de armazenamento em nuvem externos e repositórios de dados. É sua responsabilidade não usar os conectores do serviço de transferência de dados do BigQuery para cargas de trabalho do ITAR. |
| Transferências de terceiros | O BigQuery não verifica o suporte a transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery. |
| Modelos do BQML sem compliance | Modelos do BQML treinados externamente não são aceitos. |
| Jobs de consulta | Os jobs de consulta só podem ser criados em pastas do Assured Workloads. |
| Consultas em conjuntos de dados em outros projetos | O BigQuery não impede que os conjuntos de dados do Assured Workloads sejam consultados
em projetos que não são do Assured Workloads. Verifique se todas as consultas que têm uma leitura ou uma mesclagem nos dados do Assured Workloads são colocadas em uma pasta do Assured Workloads. É possível especificar um
nome de tabela totalmente qualificado
para o resultado da consulta usando projectname.dataset.table na CLI do
BigQuery.
|
| Cloud Logging | O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative
seus buckets de registro _default ou restrinja os buckets _default a
regiões no escopo para manter a conformidade usando o seguinte comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Consulte Regionalizar seus registros para mais informações. |
Compute Engine
Recursos do Compute Engine afetados
| Recurso | Descrição |
|---|---|
| Como suspender e retomar uma instância de VM | Este recurso está desativado. A suspensão e a retomada de uma instância de VM exigem armazenamento em disco permanente. O armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices
na seção acima para entender as implicações da soberania e da residência de dados
ao ativar esse recurso.
|
| SSDs locais | Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque, no momento, eles não podem ser criptografados usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices
na seção acima para entender as implicações da soberania e da residência de dados
ao ativar esse recurso.
|
| Console do Google Cloud | Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Use a
API ou a Google Cloud CLI: |
| VMs da solução Bare Metal | É sua responsabilidade não usar VMs da Solução Bare Metal (VMs o2), porque elas
não são compatíveis com o ITAR.
|
| VMs do Google Cloud VMware Engine | É sua responsabilidade não usar VMs do Google Cloud VMware Engine, já que elas não são compatíveis com o ITAR.
|
| Como criar uma instância de VM C3 | Esse recurso está desativado. |
| Como usar discos permanentes ou os respectivos snapshots sem CMEK | Não é possível usar discos permanentes ou os snapshots deles, a menos que eles tenham sido criptografados usando
CMEK. |
| Como criar VMs aninhadas ou que usam a virtualização aninhada | Não é possível criar VMs aninhadas ou que usam a virtualização aninhada. Esse recurso foi desativado pela restrição de política da organização compute.disableNestedVirtualization.
|
| Como adicionar um grupo de instâncias a um balanceador de carga global | Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Esse recurso foi desativado pela restrição de política da organização compute.disableGlobalLoadBalancing.
|
| Como rotear solicitações para um balanceador de carga HTTPS externo multirregional | Não é possível rotear solicitações para um balanceador de carga HTTPS externo multirregional. Esse recurso foi desativado pela restrição de política da organização compute.restrictLoadBalancerCreationForTypes.
|
| Como compartilhar um disco permanente SSD no modo de vários gravadores | Não é possível compartilhar um disco permanente SSD no modo de vários gravadores entre instâncias. |
| Como suspender e retomar uma instância de VM | Este recurso está desativado. A suspensão e a retomada de uma instância de VM requer armazenamento em disco permanente. O armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEKs. Esse recurso foi desativado pela restrição de política da organização gcp.restrictNonCmekServices.
|
| SSDs locais | Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEKs. Esse recurso foi desativado pela restrição de política da organização gcp.restrictNonCmekServices.
|
| Ambiente para convidado | Os scripts, daemons e binários incluídos no ambiente
convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte
Ambiente convidado para informações específicas
sobre o conteúdo de cada pacote, o código-fonte e muito mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser mais controle, também é possível selecionar suas próprias imagens ou agentes e usar a restrição de política da organização compute.trustedImageProjects.
Consulte a página Como criar uma imagem personalizada para mais informações. |
instances.getSerialPortOutput()
|
Essa API está desativada. Não será possível receber a saída da porta serial da instância
especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis
para False para ativar essa API. Também é possível ativar e usar a porta serial interativa
seguindo as instruções em
Como ativar o acesso a um projeto.
|
instances.getScreenshot() |
Essa API está desativada. Não será possível fazer uma captura de tela da instância especificada
usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis
para False para ativar essa API. Também é possível ativar e usar a porta serial interativa
seguindo as instruções em
Como ativar o acesso a um projeto.
|
Restrições da política da organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.enableComplianceMemoryProtection |
Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência ou soberania de dados da sua carga de trabalho. |
compute.disableGlobalCloudArmorPolicy |
Definido como Verdadeiro. Desativa a criação de novas políticas de segurança globais do Google Cloud Armor e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou alterar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. Todas as políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor. |
compute.disableGlobalLoadBalancing |
Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga global. Alterar esse valor pode afetar a residência ou soberania de dados da sua carga de trabalho. |
compute.disableGlobalSelfManagedSslCertificate |
Definido como Verdadeiro. Desativa a criação de certificados SSL autogerenciados globais. Alterar esse valor pode afetar a residência ou soberania de dados da sua carga de trabalho. |
compute.disableInstanceDataAccessApis
| Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e
instances.getScreenshot().Ativar essa restrição impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte:
|
compute.disableNonFIPSMachineTypes
| Definido como Verdadeiro. Desativa a criação de tipos de instâncias de VM que não atendem aos requisitos do FIPS. |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa detalhada adicional. Consulte
a
documentação sobre VMs confidenciais
para mais informações. |
compute.trustedImageProjects |
(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa detalhada adicional.
A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados. |
Cloud DNS
Recursos do Cloud DNS afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud DNS não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Google Kubernetes Engine
Recursos do Google Kubernetes Engine afetados
| Recurso | Descrição |
|---|---|
| Restrições de recursos do cluster | Verifique se a configuração do cluster não usa recursos para serviços que não são
compatíveis com o programa de compliance do ITAR. Por exemplo, a configuração a seguir é
inválida porque exige a ativação ou o uso de um serviço sem suporte:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Restrições da política da organização do Google Kubernetes Engine
| Restrição da política da organização | Descrição |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Definido como Verdadeiro. Desativa a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Alterar esse valor pode afetar a residência ou soberania de dados da sua carga de trabalho. |
Cloud Interconnect
Recursos do Cloud Interconnect afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Interconnect não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
| VPN de alta disponibilidade (HA) | É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com a Cloud VPN. Além disso, é necessário obedecer aos requisitos de criptografia e regionalização listados na seção Recursos do Cloud VPN afetados. |
Cloud Load Balancing
Recursos do Cloud Load Balancing afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Load Balancing não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
| Balanceadores de carga regionais | Você só pode usar balanceadores de carga regionais com ITAR. Consulte as páginas a seguir para mais informações sobre como configurar balanceadores de carga regionais: |
Cloud Logging
Recursos do Cloud Logging afetados
| Recurso | Descrição |
|---|---|
| Coletores de registros | Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes. |
| Entradas de registro de acompanhamento ao vivo | Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes. |
| Alertas com base em registros | Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud. |
| URLs encurtados para consultas do Logs Explorer | Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console do Google Cloud. |
| Como salvar consultas no Buscador de registros | Este recurso está desativado. Não é possível salvar consultas no console do Google Cloud. |
| Análise de dados de registros usando o BigQuery | Este recurso está desativado. Não é possível usar o recurso de análise de registros. |
| Políticas de alerta baseadas em SQL | Este recurso está desativado. Não é possível usar o recurso de políticas de alertas baseadas em SQL. |
Cloud Monitoring
Recursos do Cloud Monitoring afetados
| Recurso | Descrição |
|---|---|
| Monitor sintético | Este recurso está desativado. |
| Verificação de tempo de atividade | Este recurso está desativado. |
| Widgets do painel de registro em Painéis | Este recurso está desativado. Não é possível adicionar um painel de registro a um painel. |
| Widgets do painel de relatórios de erros em Painéis | Este recurso está desativado. Não é possível adicionar um painel de relatórios de erros a um painel. |
Filtre em
EventAnnotation
para Painéis
|
Este recurso está desativado. O filtro de EventAnnotation
não pode ser definido em um painel.
|
SqlCondition
em alertPolicies
|
Este recurso está desativado. Não é possível adicionar um SqlCondition
a um
alertPolicy.
|
Cloud NAT
Recursos do Cloud NAT afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do NAT do Cloud não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Network Connectivity Center
Recursos do Network Connectivity Center afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Network Connectivity Center não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Pub/Sub
Restrições da política da organização do Pub/Sub
| Restrição da política da organização | Descrição |
|---|---|
pubsub.enforceInTransitRegions |
Definido como Verdadeiro. Garante que os dados do cliente transitem somente dentro das regiões permitidas especificadas na política de armazenamento de mensagens para o tópico do Pub/Sub. Alterar esse valor pode afetar a residência ou soberania de dados da sua carga de trabalho. |
Cloud Router
Recursos do Cloud Router afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Router não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI em vez disso. |
Cloud Run
Recursos do Cloud Run afetados
| Recurso | Descrição |
|---|---|
| Recursos não suportados | Os seguintes recursos do Cloud Run não são compatíveis: |
Cloud SQL
Recursos do Cloud SQL afetados
| Recurso | Descrição |
|---|---|
| Exportar para CSV | A exportação para CSV não é compatível com o ITAR e não deve ser usada. Esse recurso está desativado no console do Google Cloud. |
executeSql |
O método executeSql da API Cloud SQL não é compatível com o ITAR e
não deve ser usado. |
Cloud Storage
Recursos do Cloud Storage afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Para manter a conformidade com o ITAR, é sua responsabilidade usar o console jurisdicional do Google Cloud. O console de jurisdição impede o upload e o download de objetos do Cloud Storage. Para fazer upload e download de objetos do Cloud Storage, consulte a linha Endpoints da API em conformidade nesta seção. |
| Endpoints de API compatíveis | É necessário usar um dos endpoints regionais compatíveis com o ITAR com o Cloud Storage. Consulte Endpoints regionais do Cloud Storage e Locais do Cloud Storage para mais informações. |
| Restrições | É necessário usar endpoints regionais do Cloud Storage para estar em conformidade com o ITAR. Para mais informações sobre os endpoints regionais do Cloud Storage para o ITAR, consulte Endpoints regionais do Cloud Storage. As operações a seguir não são compatíveis com endpoints regionais. No entanto, essas operações não carregam dados do cliente, conforme definido nos termos do serviço de residência de dados. Portanto, é possível usar endpoints globais para essas operações conforme necessário sem violar a conformidade com o ITAR: |
| Copiar e reescrever para objetos | As operações de cópia e regravação de objetos são compatíveis com endpoints regionais se os buckets de origem e destino estiverem localizados na região especificada no endpoint. No entanto, não é possível usar endpoints regionais para copiar ou regravar um objeto de um bucket para outro se eles existirem em locais diferentes. É possível usar endpoints globais para copiar ou reescrever em vários locais, mas não recomendamos isso, porque pode violar a conformidade com o ITAR. |
Nuvem privada virtual (VPC)
Recursos da VPC afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos de rede da VPC não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Cloud VPN
Recursos do Cloud VPN afetados
| Recurso | Descrição |
|---|---|
| Console do Google Cloud | Os recursos da VPN do Cloud não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
| Criptografia | Use apenas criptografias compatíveis com FIPS 140-2 ao criar certificados e configurar
a segurança do IP. Consulte a página
Criptografias IKE aceitas
para mais informações sobre as criptografias aceitas no Cloud VPN. Para orientações sobre
como selecionar uma criptografia que esteja em conformidade com os padrões FIPS 140-2, consulte a
página Comprovação do FIPS 140-2. Não é possível mudar uma cifra existente em Google Cloud. Configure a criptografia no dispositivo de terceiros usado com o Cloud VPN. |
| Endpoints de VPN | É necessário usar apenas endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway da VPN está configurado apenas para uso em uma região dos EUA. |
A seguir
- Saiba como criar uma pasta do Assured Workloads
- Entenda os preços do Assured Workloads