国际武器贸易条例 (ITAR) 的数据边界

本页面介绍了 Assured Workloads 中应用于 ITAR 工作负载的一组控制措施。其中详细介绍了数据留存支持的 Google Cloud 产品及其 API 端点,以及这些产品适用的任何限制。以下附加信息适用于 ITAR:

  • 数据驻留:ITAR 控制软件包将数据位置控制设置为仅支持美国区域。如需了解详情,请参阅Google Cloud范围的组织政策限制条件部分。
  • 支持:增强型或高级 Cloud Customer Care 订阅可提供 ITAR 工作负载技术支持服务。ITAR 工作负载支持案例会转给位于美国的美国人。如需了解详情,请参阅获取支持
  • 价格:ITAR 控制软件包包含在 Assured Workloads 的高级层级中,需要额外支付 20% 的费用。如需了解详情,请参阅 Assured Workloads 价格

前提条件

作为 ITAR 控制软件包的用户,为了保持合规性,请验证您是否满足并遵守以下前提条件:

  • 使用 Assured Workloads 创建 ITAR 文件夹,并仅在该文件夹中部署 ITAR 工作负载。
  • 仅针对 ITAR 工作负载启用和使用符合 ITAR 要求的服务
  • 除非您了解并愿意接受可能发生的数据驻留风险,否则请勿更改默认的组织政策限制条件值。
  • 访问 Google Cloud 控制台以处理 ITAR 工作负载时,您必须使用以下管辖区级 Google Cloud 控制台网址之一:
  • 连接到 Google Cloud 服务端点时,您必须使用提供区域端点的服务。此外:
    • 当从非Google Cloud虚拟机(例如本地虚拟机或其他云提供商的虚拟机)连接到 Google Cloud 服务端点时,您必须使用支持连接到非Google Cloud 虚拟机的可用专用访问通道选项,才能将非Google Cloud 流量路由到 Google Cloud。
    • 从 Google Cloud 虚拟机连接到 Google Cloud 服务端点时,您可以使用任何可用的专用访问选项
    • 连接到 Google Cloud 已通过外部 IP 地址公开的虚拟机时,请参阅从具有外部 IP 地址的虚拟机访问 API
  • 对于 ITAR 文件夹中使用的所有服务,请勿在以下用户定义或安全配置信息类型中存储技术数据:
    • 错误消息
    • 控制台输出
    • 属性数据
    • 服务配置数据
    • 网络数据包标头
    • 资源标识符
    • 数据标签
  • 仅使用提供区域端点的服务的指定区域端点。如需了解详情,请参阅适用 ITAR 的服务
  • 不妨采纳Google Cloud 安全最佳实践中心提供的一般安全最佳实践。

支持的产品和 API 端点

除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。 下表列出了影响受支持产品的功能的限制,包括通过组织政策限制条件设置强制执行的限制。

如果未列出某产品,则表示该产品不受支持,并且未达到 ITAR 的管制要求。在未尽到合理注意义务且未充分了解您在责任共担模型中的责任之前,不建议使用不受支持的产品。在使用不受支持的产品之前,请确保您了解并愿意接受任何相关风险,例如对数据留存或数据主权产生负面影响。

支持的产品 符合 ITAR 要求的 API 端点 限制或局限
访问权限审批 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • accessapproval.googleapis.com
Access Context Manager 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • accesscontextmanager.googleapis.com
Artifact Registry 区域 API 端点:
  • artifactregistry.us-central1.rep.googleapis.com
  • artifactregistry.us-central2.rep.googleapis.com
  • artifactregistry.us-east1.rep.googleapis.com
  • artifactregistry.us-east4.rep.googleapis.com
  • artifactregistry.us-east5.rep.googleapis.com
  • artifactregistry.us-east7.rep.googleapis.com
  • artifactregistry.us-south1.rep.googleapis.com
  • artifactregistry.us-west1.rep.googleapis.com
  • artifactregistry.us-west2.rep.googleapis.com
  • artifactregistry.us-west3.rep.googleapis.com
  • artifactregistry.us-west4.rep.googleapis.com
  • artifactregistry.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • artifactregistry.googleapis.com
BigQuery 区域 API 端点:
  • bigquery.us-central1.rep.googleapis.com
  • bigquery.us-central2.rep.googleapis.com
  • bigquery.us-east1.rep.googleapis.com
  • bigquery.us-east4.rep.googleapis.com
  • bigquery.us-east5.rep.googleapis.com
  • bigquery.us-east7.rep.googleapis.com
  • bigquery.us-south1.rep.googleapis.com
  • bigquery.us-west1.rep.googleapis.com
  • bigquery.us-west2.rep.googleapis.com
  • bigquery.us-west3.rep.googleapis.com
  • bigquery.us-west4.rep.googleapis.com
  • bigquery.us-west8.rep.googleapis.com
  • bigquerydatatransfer.us-central1.rep.googleapis.com
  • bigquerydatatransfer.us-central2.rep.googleapis.com
  • bigquerydatatransfer.us-east1.rep.googleapis.com
  • bigquerydatatransfer.us-east4.rep.googleapis.com
  • bigquerydatatransfer.us-east5.rep.googleapis.com
  • bigquerydatatransfer.us-east7.rep.googleapis.com
  • bigquerydatatransfer.us-south1.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.googleapis.com
  • bigquerydatatransfer.us-west2.rep.googleapis.com
  • bigquerydatatransfer.us-west3.rep.googleapis.com
  • bigquerydatatransfer.us-west4.rep.googleapis.com
  • bigquerydatatransfer.us-west8.rep.googleapis.com
  • bigquerymigration.us-central1.rep.googleapis.com
  • bigquerymigration.us-central2.rep.googleapis.com
  • bigquerymigration.us-east1.rep.googleapis.com
  • bigquerymigration.us-east4.rep.googleapis.com
  • bigquerymigration.us-east5.rep.googleapis.com
  • bigquerymigration.us-east7.rep.googleapis.com
  • bigquerymigration.us-south1.rep.googleapis.com
  • bigquerymigration.us-west1.rep.googleapis.com
  • bigquerymigration.us-west2.rep.googleapis.com
  • bigquerymigration.us-west3.rep.googleapis.com
  • bigqueryreservation.us-central1.rep.googleapis.com
  • bigqueryreservation.us-central2.rep.googleapis.com
  • bigqueryreservation.us-east1.rep.googleapis.com
  • bigqueryreservation.us-east4.rep.googleapis.com
  • bigqueryreservation.us-east5.rep.googleapis.com
  • bigqueryreservation.us-east7.rep.googleapis.com
  • bigqueryreservation.us-south1.rep.googleapis.com
  • bigqueryreservation.us-west1.rep.googleapis.com
  • bigqueryreservation.us-west2.rep.googleapis.com
  • bigqueryreservation.us-west3.rep.googleapis.com
  • bigqueryreservation.us-west4.rep.googleapis.com
  • bigqueryreservation.us-west8.rep.googleapis.com
  • bigquerystorage.us-central1.rep.googleapis.com
  • bigquerystorage.us-central2.rep.googleapis.com
  • bigquerystorage.us-east1.rep.googleapis.com
  • bigquerystorage.us-east4.rep.googleapis.com
  • bigquerystorage.us-east5.rep.googleapis.com
  • bigquerystorage.us-east7.rep.googleapis.com
  • bigquerystorage.us-south1.rep.googleapis.com
  • bigquerystorage.us-west1.rep.googleapis.com
  • bigquerystorage.us-west2.rep.googleapis.com
  • bigquerystorage.us-west3.rep.googleapis.com
  • bigquerystorage.us-west4.rep.googleapis.com
  • bigquerystorage.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • bigquery.googleapis.com
  • bigqueryconnection.googleapis.com
  • bigquerydatapolicy.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigquerymigration.googleapis.com
  • bigqueryreservation.googleapis.com
  • bigquerystorage.googleapis.com
 受影响的功能
Certificate Authority Service 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • privateca.googleapis.com
Cloud Composer 区域 API 端点:
  • composer.us-central1.rep.googleapis.com
  • composer.us-east1.rep.googleapis.com
  • composer.us-east4.rep.googleapis.com
  • composer.us-east5.rep.googleapis.com
  • composer.us-east7.rep.googleapis.com
  • composer.us-south1.rep.googleapis.com
  • composer.us-west1.rep.googleapis.com
  • composer.us-west2.rep.googleapis.com
  • composer.us-west3.rep.googleapis.com
  • composer.us-west4.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • composer.googleapis.com
Cloud DNS 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • dns.googleapis.com
 受影响的功能
Cloud External Key Manager (Cloud EKM) 区域 API 端点:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • cloudkms.googleapis.com
Cloud HSM 区域 API 端点:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • cloudkms.googleapis.com
Cloud Interconnect 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
 受影响的功能
Cloud Key Management Service (Cloud KMS) 区域 API 端点:
  • cloudkms.us-central1.rep.googleapis.com
  • cloudkms.us-central2.rep.googleapis.com
  • cloudkms.us-east1.rep.googleapis.com
  • cloudkms.us-east4.rep.googleapis.com
  • cloudkms.us-east5.rep.googleapis.com
  • cloudkms.us-east7.rep.googleapis.com
  • cloudkms.us-south1.rep.googleapis.com
  • cloudkms.us-west1.rep.googleapis.com
  • cloudkms.us-west2.rep.googleapis.com
  • cloudkms.us-west3.rep.googleapis.com
  • cloudkms.us-west4.rep.googleapis.com
  • cloudkms.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • cloudkms.googleapis.com
Cloud Load Balancing 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
 受影响的功能
Cloud Logging 区域 API 端点:
  • logging.us-central1.rep.googleapis.com
  • logging.us-central2.rep.googleapis.com
  • logging.us-east1.rep.googleapis.com
  • logging.us-east4.rep.googleapis.com
  • logging.us-east5.rep.googleapis.com
  • logging.us-east7.rep.googleapis.com
  • logging.us-south1.rep.googleapis.com
  • logging.us-west1.rep.googleapis.com
  • logging.us-west2.rep.googleapis.com
  • logging.us-west3.rep.googleapis.com
  • logging.us-west4.rep.googleapis.com
  • logging.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • logging.googleapis.com
 受影响的功能
Cloud Monitoring 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • monitoring.googleapis.com
 受影响的功能
Cloud NAT 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • networkconnectivity.googleapis.com
 受影响的功能
Cloud OS Login API 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • oslogin.googleapis.com
Cloud Router 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • networkconnectivity.googleapis.com
 受影响的功能
Cloud Run 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • run.googleapis.com
 受影响的功能
Cloud SQL 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • sqladmin.googleapis.com
 受影响的功能
Cloud Storage 区域 API 端点:
  • storage.us-central1.rep.googleapis.com
  • storage.us-central2.rep.googleapis.com
  • storage.us-east1.rep.googleapis.com
  • storage.us-east4.rep.googleapis.com
  • storage.us-east5.rep.googleapis.com
  • storage.us-east7.rep.googleapis.com
  • storage.us-south1.rep.googleapis.com
  • storage.us-west1.rep.googleapis.com
  • storage.us-west2.rep.googleapis.com
  • storage.us-west3.rep.googleapis.com
  • storage.us-west4.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • storage.googleapis.com
 受影响的功能
Cloud VPN 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
 受影响的功能
Compute Engine 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
 受影响的功能组织政策限制条件
Dataflow 区域 API 端点:
  • dataflow.us-central1.rep.googleapis.com
  • dataflow.us-central2.rep.googleapis.com
  • dataflow.us-east1.rep.googleapis.com
  • dataflow.us-east4.rep.googleapis.com
  • dataflow.us-east5.rep.googleapis.com
  • dataflow.us-east7.rep.googleapis.com
  • dataflow.us-south1.rep.googleapis.com
  • dataflow.us-west1.rep.googleapis.com
  • dataflow.us-west2.rep.googleapis.com
  • dataflow.us-west3.rep.googleapis.com
  • dataflow.us-west4.rep.googleapis.com
  • dataflow.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • dataflow.googleapis.com
  • datapipelines.googleapis.com
Dataproc 区域 API 端点:
  • dataproc.us-central1.rep.googleapis.com
  • dataproc.us-central2.rep.googleapis.com
  • dataproc.us-east1.rep.googleapis.com
  • dataproc.us-east4.rep.googleapis.com
  • dataproc.us-east5.rep.googleapis.com
  • dataproc.us-east7.rep.googleapis.com
  • dataproc.us-south1.rep.googleapis.com
  • dataproc.us-west1.rep.googleapis.com
  • dataproc.us-west2.rep.googleapis.com
  • dataproc.us-west3.rep.googleapis.com
  • dataproc.us-west4.rep.googleapis.com
  • dataproc.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • dataproc-control.googleapis.com
  • dataproc.googleapis.com
外部直通式网络负载平衡器 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
Filestore 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • file.googleapis.com
Firebase 安全规则 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • firebaserules.googleapis.com
GKE Hub(舰队) 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • gkehub.googleapis.com
Google Cloud Armor 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
  • networksecurity.googleapis.com
 受影响的功能
Google Kubernetes Engine 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • container.googleapis.com
  • containersecurity.googleapis.com
 受影响的功能组织政策限制条件
身份和访问权限管理 (IAM) 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • iam.googleapis.com
Identity-Aware Proxy (IAP) 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • iap.googleapis.com
管辖区 Google Cloud 控制台 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • N/A
Memorystore for Redis 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • redis.googleapis.com
Network Connectivity Center 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • networkconnectivity.googleapis.com
 受影响的功能
组织政策服务 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • orgpolicy.googleapis.com
Persistent Disk 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
Pub/Sub 区域 API 端点:
  • pubsub.us-central1.rep.googleapis.com
  • pubsub.us-central2.rep.googleapis.com
  • pubsub.us-east1.rep.googleapis.com
  • pubsub.us-east4.rep.googleapis.com
  • pubsub.us-east5.rep.googleapis.com
  • pubsub.us-south1.rep.googleapis.com
  • pubsub.us-west1.rep.googleapis.com
  • pubsub.us-west2.rep.googleapis.com
  • pubsub.us-west3.rep.googleapis.com
  • pubsub.us-west4.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • pubsub.googleapis.com
区域级外部应用负载平衡器 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
区域级外部代理网络负载平衡器 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
区域级内部应用负载平衡器 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
区域级内部代理网络负载平衡器 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
Secret Manager 区域 API 端点:
  • secretmanager.us-central1.rep.googleapis.com
  • secretmanager.us-central2.rep.googleapis.com
  • secretmanager.us-east1.rep.googleapis.com
  • secretmanager.us-east4.rep.googleapis.com
  • secretmanager.us-east5.rep.googleapis.com
  • secretmanager.us-east7.rep.googleapis.com
  • secretmanager.us-south1.rep.googleapis.com
  • secretmanager.us-west1.rep.googleapis.com
  • secretmanager.us-west2.rep.googleapis.com
  • secretmanager.us-west3.rep.googleapis.com
  • secretmanager.us-west4.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • Not available
敏感数据保护 区域 API 端点:
  • dlp.us-central1.rep.googleapis.com
  • dlp.us-east1.rep.googleapis.com
  • dlp.us-east4.rep.googleapis.com
  • dlp.us-east5.rep.googleapis.com
  • dlp.us-south1.rep.googleapis.com
  • dlp.us-west1.rep.googleapis.com
  • dlp.us-west2.rep.googleapis.com
  • dlp.us-west3.rep.googleapis.com
  • dlp.us-west4.rep.googleapis.com
  • dlp.us-west8.rep.googleapis.com

不支持位置 API 端点。

全局 API 端点:
  • dlp.googleapis.com
Service Directory 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • servicedirectory.googleapis.com
VPC Service Controls 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • accesscontextmanager.googleapis.com
Virtual Private Cloud (VPC) 不支持区域 API 端点。
不支持位置 API 端点。

全局 API 端点:
  • compute.googleapis.com
 受影响的功能

限制和局限

以下部分介绍了功能方面的 Google Cloud范围或产品特定限制,包括默认在 ITAR 文件夹中设置的任何组织政策限制条件。其他适用的组织政策限制条件(即使默认设置未设置)可以提供额外的深度防御,以进一步保护贵组织的 Google Cloud 资源。

Google Cloud宽

受影响的 Google Cloud范围功能

功能 说明
Google Cloud 控制台 使用 ITAR 控制软件包时,如需访问 Google Cloud 控制台,您必须使用以下网址之一:
如需了解详情,请参阅管辖区 Google Cloud 控制台页面。

Google Cloud范围的组织政策限制条件

以下组织政策限制条件适用于 Google Cloud。

组织政策限制条件 说明
gcp.resourceLocations 设置为 allowedValues 列表中的以下位置:
  • us
  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4
此值将新资源的创建限制为仅限所选值。设置此标志后,您将无法在所选区域、多区域位置或其他位置创建任何资源。如需查看可受“资源位置”组织政策限制条件限制的资源列表,请参阅资源位置支持的服务,因为某些资源可能超出范围且无法限制。

如果更改此值,则允许更少的数据在合规的数据边界之外创建或存储,从而可能破坏数据驻留。
gcp.restrictCmekCryptoKeyProjects 设置为 under:organizations/your-organization-name,即您的 Assured Workloads 组织。您可以通过指定项目或文件夹来进一步限制此值。

限制已获批准的文件夹或项目的范围(这些文件夹或项目可提供 Cloud KMS 密钥用于使用 CMEK 加密静态数据)。此限制条件可防止未批准的文件夹或项目提供加密密钥,从而有助于保证范围内服务的静态数据的数据主权。
gcp.restrictNonCmekServices 设置为所有范围内的 API 服务名称的列表,包括:
  • bigquery.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
对于上述每个服务,一些功能可能会受到影响。

每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 允许使用您管理的密钥(而不是 Google 的默认加密机制)加密静态数据。

如果通过从列表中移除一个或多个范围内的服务来更改此值,则可能会破坏数据主权,因为系统会使用 Google 自己的密钥(而不是您自己的密钥)自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。
gcp.restrictServiceUsage 设置为允许所有受支持的产品和 API 端点

通过限制对运行时资源的访问来确定哪些服务可以使用。如需了解详情,请参阅限制资源使用
gcp.restrictTLSVersion 设置为拒绝以下 TLS 版本:
  • TLS_1_0
  • TLS_1_1
如需了解详情,请参阅限制 TLS 版本页面。

Google Cloud Armor

受影响的 Google Cloud Armor 功能

功能 说明
全球范围的安全政策 此功能已因组织政策限制而被停用。 compute.disableGlobalCloudArmorPolicy

BigQuery

受影响的 BigQuery 功能

功能 说明
在新文件夹中启用 BigQuery BigQuery 受支持,但由于内部配置流程,在您创建新的 Assured Workloads 文件夹时,系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery,请完成以下步骤:
  1. 在 Google Cloud 控制台中,前往 Assured Workloads 页面。

    前往 Assured Workloads

  2. 从列表中选择新的 Assured Workloads 文件夹。
  3. 文件夹详情页面的允许的服务部分,点击查看可用更新
  4. 允许的服务窗格中,查看要添加到相应文件夹的资源使用限制组织政策中的服务。如果列出了 BigQuery 服务,请点击允许服务以添加这些服务。

    如果未列出 BigQuery 服务,请等待内部进程完成。如果在创建文件夹后的 12 小时内未列出这些服务,请与 Cloud Customer Care 联系。

启用流程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。

Assured Workloads 不支持 Gemini in BigQuery。
符合要求的 BigQuery API 以下 BigQuery API 符合 ITAR 要求:
区域 BigQuery 在所有 BigQuery 美国区域(美国多区域除外)中均符合 ITAR 要求。如果数据集是在美国多区域、非美国区域或非美国多区域中创建的,则无法保证符合 ITAR 法规。您有责任在创建 BigQuery 数据集时指定符合 ITAR 要求的区域。
从非 ITAR 项目查询 ITAR 数据集 BigQuery 不会阻止从非 ITAR 项目查询 ITAR 数据集。您应确保对 ITAR 技术数据使用读取或联接操作的任何查询都放置在符合 ITAR 要求的文件夹中。
与外部数据源的连接 Google 的合规性责任仅限于 BigQuery Connection API 功能。您有责任确保与 BigQuery Connection API 搭配使用的源产品符合相关规定。
不受支持的功能 以下 BigQuery 功能不受支持,不应在 BigQuery CLI 中使用。您有责任不在 BigQuery for Assured Workloads 中使用这些模型。
BigQuery CLI 支持 BigQuery CLI。

Google Cloud SDK 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。
管理员控制功能 BigQuery 会停用不受支持的 API,但有足够权限创建 Assured Workloads 文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您将通过 Assured Workloads 监控信息中心收到有关可能不合规的通知。
正在加载数据 不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于 ITAR 工作负载。
第三方转移作业 BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移作业来执行 BigQuery Data Transfer Service 时,您有责任验证支持情况。
不合规的 BQML 模型 不支持外部训练的 BQML 模型
查询作业 查询作业应仅在 Assured Workloads 文件夹中创建。
针对其他项目中的数据集执行查询 BigQuery 不会阻止从非 Assured Workloads 项目查询 Assured Workloads 数据集。您应确保对 Assured Workloads 数据进行读取或联接的任何查询都放在 Assured Workloads 文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为查询结果指定完全限定的表名称
Cloud Logging BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 _default 日志记录存储分区或将 _default 存储分区限制为仅限相关地区,以确保合规性。为此,请使用以下命令:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

如需了解详情,请参阅区域化存储日志

Compute Engine

受影响的 Compute Engine 功能

功能 说明
暂停和恢复虚拟机实例 此功能处于禁用状态。

暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间目前无法使用 CMEK 加密。 请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。
本地 SSD 此功能处于禁用状态。

无法创建具有本地 SSD 的实例,因为它们目前无法使用 CMEK 进行加密。请参阅上述部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据主权和数据驻留的影响。
Google Cloud 控制台 以下 Compute Engine 功能在 Google Cloud 控制台中不可用。请改用 API 或 Google Cloud CLI:
裸金属解决方案虚拟机 您无法使用裸金属解决方案虚拟机(o2 虚拟机),因为裸金属解决方案虚拟机不符合 ITAR 要求。

Google Cloud VMware Engine 虚拟机 您无法使用 Google Cloud VMware Engine 虚拟机,因为 Google Cloud VMware Engine 虚拟机不符合 ITAR 要求。

创建 C3 虚拟机实例 此功能处于停用状态。
使用未采用 CMEK 的永久性磁盘或其快照 您无法使用永久性磁盘或其快照,除非它们已使用 CMEK 加密。
创建嵌套虚拟机或使用嵌套虚拟化的虚拟机 您无法创建嵌套虚拟机或使用嵌套虚拟化的虚拟机。

此功能已因compute.disableNestedVirtualization组织政策限制而被停用。
将实例组添加到全球负载均衡器 您无法将实例组添加到全局负载均衡器。

此功能已因compute.disableGlobalLoadBalancing组织政策限制而被停用。
将请求路由到多区域外部 HTTPS 负载均衡器 您无法将请求路由到多区域外部 HTTPS 负载平衡器。

此功能已通过 compute.restrictLoadBalancerCreationForTypes 组织政策限制停用。
共享多写入者模式的 SSD 永久性磁盘 您无法在多个虚拟机实例之间共享一个多写入者模式的 SSD 永久性磁盘。
暂停和恢复虚拟机实例 此功能处于禁用状态。

暂停和恢复虚拟机实例需要永久性磁盘存储空间,并且用于存储已暂停的虚拟机状态的永久性磁盘存储空间无法使用 CMEK 加密。

此功能已因gcp.restrictNonCmekServices组织政策限制而被停用。
本地 SSD 此功能处于禁用状态。

无法创建具有本地 SSD 的实例,因为它们无法使用 CMEK 进行加密。

此功能已因gcp.restrictNonCmekServices组织政策限制而被停用。
客机环境 客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境

这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您需要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。

如需了解详情,请参阅构建自定义映像页面。
虚拟机管理器中的操作系统政策 操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。 因此,请勿在这些文件中包含任何敏感信息。 或者,考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情,请参阅操作系统政策示例

如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源,请启用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 组织政策限制条件。

如需了解详情,请参阅 OS 配置的限制
instances.getSerialPortOutput() 此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。

compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False,以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。
instances.getScreenshot() 此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。

compute.disableInstanceDataAccessApis 组织政策限制条件值更改为 False,以启用此 API。您还可以按照为项目启用访问权限中的说明启用和使用交互式串行端口。

Compute Engine 组织政策限制条件

组织政策限制条件 说明
compute.enableComplianceMemoryProtection 设置为 True

停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。

更改此值可能会影响工作负载的数据驻留或数据主权。
compute.disableGlobalCloudArmorPolicy 设置为 True

禁止创建新的Google Cloud Armor 安全政策,以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。
compute.disableGlobalLoadBalancing 设置为 True

禁止创建全球负载均衡产品。

更改此值可能会影响工作负载的数据驻留或数据主权。
compute.disableGlobalSelfManagedSslCertificate 设置为 True

禁止创建自行管理的全球 SSL 证书。

更改此值可能会影响工作负载的数据驻留或数据主权。
compute.disableInstanceDataAccessApis 设置为 True

全局停用 instances.getSerialPortOutput()instances.getScreenshot() API。

启用此限制条件后,您将无法在 Windows Server 虚拟机上生成凭据

如果您需要在 Windows 虚拟机上管理用户名和密码,请执行以下操作:
  1. 为 Windows 虚拟机启用 SSH
  2. 运行以下命令可更改虚拟机的密码: 
      gcloud compute ssh
  VM_NAME --command "net user USERNAME PASSWORD"
    替换以下内容:
    • VM_NAME:您要设置密码的虚拟机的名称。
    • USERNAME:您要为其设置密码的用户的用户名。
    • PASSWORD:新密码。
compute.disableNonFIPSMachineTypes 设置为 True

禁止创建不符合 FIPS 要求的虚拟机实例类型。
compute.restrictNonConfidentialComputing

 (可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档
compute.trustedImageProjects

 (可选)不设置值。设置此值可提供额外的深度防御。

设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。

Cloud DNS

受影响的 Cloud DNS 功能

功能 说明
Google Cloud 控制台 Google Cloud 控制台中不提供 Cloud DNS 功能。请改用 API 或 Google Cloud CLI

Google Kubernetes Engine

受影响的 Google Kubernetes Engine 功能

功能 说明
集群资源限制 确保您的集群配置不会使用 ITAR 合规性计划不支持的服务的资源。例如,以下配置无效,因为它需要启用或使用不受支持的服务:

set `binaryAuthorization.evaluationMode` to `enabled`

Google Kubernetes Engine 组织政策限制条件

组织政策限制条件 说明
container.restrictNoncompliantDiagnosticDataAccess 设置为 True

停用内核问题的汇总分析,这是维护工作负载的主权所必需的。

更改此值可能会影响工作负载的数据驻留或数据主权。

Cloud Interconnect

受影响的 Cloud Interconnect 功能

功能 说明
Google Cloud 控制台 Google Cloud 控制台不支持 Cloud Interconnect 功能。请改用 API 或 Google Cloud CLI
高可用性 (HA) VPN 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。

Cloud Load Balancing

受影响的 Cloud Load Balancing 功能

功能 说明
Google Cloud 控制台 Google Cloud 控制台不支持 Cloud Load Balancing 功能。请改用 API 或 Google Cloud CLI
区域级负载均衡器 您必须仅将区域级负载平衡器与 ITAR 搭配使用。如需详细了解如何配置区域级负载平衡器,请参阅以下页面:

Cloud Logging

受影响的 Cloud Logging 功能

功能 说明
日志接收器 过滤条件不应包含客户数据。

日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。
Live Tailing 日志条目 过滤条件不应包含客户数据。

Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。
基于日志的提醒 此功能处于禁用状态。

您无法在 Google Cloud 控制台中创建基于日志的提醒。
日志浏览器查询的缩短的网址 此功能处于禁用状态。

您无法在 Google Cloud 控制台中创建查询的缩短网址。
在日志浏览器中保存查询 此功能处于禁用状态。

您无法在 Google Cloud 控制台中保存任何查询。
使用 BigQuery 的 Log Analytics 此功能处于禁用状态。

您无法使用日志分析功能。
基于 SQL 的提醒政策 此功能处于禁用状态。

您无法使用基于 SQL 的提醒政策功能。

Cloud Monitoring

受影响的 Cloud Monitoring 功能

功能 说明
合成监控工具 此功能处于禁用状态。
拨测 此功能处于禁用状态。
信息中心中的日志面板 widget 此功能处于禁用状态。

您无法向信息中心添加日志面板。
信息中心中的错误报告面板 widget 此功能处于禁用状态。

您无法向信息中心添加错误报告面板。
EventAnnotation 中的过滤条件 适用于信息中心 此功能处于禁用状态。

无法在信息中心内设置 EventAnnotation 的过滤条件。
SqlConditionalertPolicies 此功能处于禁用状态。

您无法向 alertPolicy 添加 SqlCondition

Cloud NAT

受影响的 Cloud NAT 功能

功能 说明
Google Cloud 控制台 Google Cloud 控制台不支持 Cloud NAT 功能。请改用 API 或 Google Cloud CLI

Network Connectivity Center

受影响的 Network Connectivity Center 功能

功能 说明
Google Cloud 控制台 Google Cloud 控制台不支持 Network Connectivity Center 功能。请改用 API 或 Google Cloud CLI

Pub/Sub

Pub/Sub 组织政策限制条件

组织政策限制条件 说明
pubsub.enforceInTransitRegions 设置为 True

确保客户数据只在 Pub/Sub 主题的消息存储政策中指定的允许区域内传输。

更改此值可能会影响工作负载的数据驻留或数据主权。

Cloud Router

受影响的 Cloud Router 功能

功能 说明
Google Cloud 控制台 Cloud Router 功能在 Google Cloud 控制台中不可用。 请改用 API 或 Google Cloud CLI

Cloud Run

受影响的 Cloud Run 功能

功能 说明
不受支持的功能 不支持以下 Cloud Run 功能:

Cloud SQL

受影响的 Cloud SQL 功能

功能 说明
导出为 CSV 文件 导出为 CSV 不符合 ITAR,不应使用。此功能已在 Google Cloud 控制台中停用。
executeSql Cloud SQL API 的 executeSql 方法不符合 ITAR,不应使用。

Cloud Storage

受影响的 Cloud Storage 功能

功能 说明
Google Cloud 控制台 为了保持 ITAR 合规性,您有责任使用管辖区级 Google Cloud 控制台。 管辖权控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象,请参阅本部分中的合规的 API 端点行。
符合要求的 API 端点 您必须将符合 ITAR 要求的区域端点与 Cloud Storage 搭配使用。如需了解详情,请参阅 Cloud Storage 区域端点Cloud Storage 位置
限制 您必须使用 Cloud Storage 区域端点才能符合 ITAR 要求。如需详细了解 ITAR 的 Cloud Storage 区域端点,请参阅 Cloud Storage 区域端点

区域端点不支持以下操作。不过,这些操作不会涉及数据驻留服务条款中定义的客户数据。 因此,您可以根据需要使用这些操作的全局端点,而不会违反 ITAR 合规性:
复制和重写对象 如果源存储分区和目标存储分区都位于端点中指定的区域,则区域端点支持针对对象的复制和重写操作。不过,如果存储桶位于不同的位置,则无法使用区域级端点将对象从一个存储桶复制或重写到另一个存储桶。可以使用全局端点跨位置复制或重写,但我们不建议这样做,因为这可能会违反 ITAR 合规性。

Virtual Private Cloud (VPC)

受影响的 VPC 功能

功能 说明
Google Cloud 控制台 Google Cloud 控制台中不提供 VPC 网络功能。请改用 API 或 Google Cloud CLI

Cloud VPN

受影响的 Cloud VPN 功能

功能 说明
Google Cloud 控制台 Google Cloud 控制台不支持 Cloud VPN 功能。请改用 API 或 Google Cloud CLI
加密 创建证书和配置 IP 安全性时,您必须仅使用符合 FIPS 140-2 标准的加密方式。如需详细了解 Cloud VPN 中支持的加密方式,请参阅支持的 IKE 加密方式页面。如需了解如何选择符合 FIPS 140-2 标准的加密方式,请参阅已通过 FIPS 140-2 验证页面。

您无法更改 Google Cloud中的现有加密方式。请确保在与 Cloud VPN 搭配使用的第三方设备上配置加密方式。
VPN 端点 您必须仅使用位于适用区域中的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在适用区域中使用。

后续步骤