國際武器貿易條例 (ITAR) 資料邊界

本頁面說明在 Assured Workloads 中，套用至 ITAR 工作負載的一組控管措施。這份文件詳細說明資料所在地、支援的產品 Google Cloud 及其 API 端點，以及這些產品適用的限制。以下額外資訊適用於 ITAR：

• 資料落地：ITAR 控制項套件會設定資料位置控制項，以便僅支援美國的區域。詳情請參閱「Google Cloud全機構組織政策限制」一節。
• 支援：如要取得 ITAR 工作負載的技術支援服務，請訂閱 Enhanced 或 Premium Cloud Customer Care。ITAR 工作負載支援案件會轉送給位於美國的美國自然人/法人。詳情請參閱「取得支援」一文。
• 價格：ITAR 控制套件包含在 Assured Workloads 的進階方案中，會產生額外 20% 的費用。詳情請參閱「Assured Workloads 計費方式」。

必要條件

如要確保 ITAR 控制套件使用者身分符合規定，請確認您符合並遵守下列必要條件：

• 使用 Assured Workloads 建立 ITAR 資料夾，並只在該資料夾中部署 ITAR 工作負載。
• 僅針對 ITAR 工作負載啟用及使用適用 ITAR 規範的服務。
• 除非您瞭解並願意接受可能發生的資料落地風險，否則請勿變更機構政策限制的預設值。
• 存取 ITAR 工作負載的 Google Cloud 控制台時， 必須使用下列其中一個管轄區 Google Cloud 控制台 網址：
  • console.us.cloud.google.com
  • console.us.cloud.google (適用於同盟身分使用者)
• 連線至 Google Cloud 服務端點時，您必須使用提供服務的區域端點。此外：
  • 從非 Google Cloud VM (例如地端部署或其他雲端供應商的 VM) 連線至Google Cloud服務端點時，您必須使用支援連線至非Google Cloud VM 的可用私人存取選項，將非Google Cloud 流量轉送至 Google Cloud。
  • 從 VM 連線至 Google Cloud 服務端點時 Google Cloud ，可以使用任何可用的私人存取選項。
  • 如要連線至已透過外部 IP 位址公開的 VM，請參閱「 Google Cloud 從具有外部 IP 位址的 VM 存取 API」。
• 對於 ITAR 資料夾中使用的所有服務，請勿在下列使用者定義或安全性設定資訊類型中儲存技術資料：
  • 錯誤訊息
  • 控制台輸出內容
  • 屬性資料
  • 服務設定資料
  • 網路封包標頭
  • 資源 ID
  • 資料標籤
• 如果服務提供指定區域端點，請務必使用這些端點。詳情請參閱適用 ITAR 的服務。
• 建議採用Google Cloud 安全性最佳做法中心提供的一般安全性最佳做法。

支援的產品和 API 端點

除非另有說明，否則使用者可以透過 Google Cloud 控制台存取所有支援的產品。 下表列出會影響支援產品功能的限制，包括透過機構政策限制設定強制執行的限制。

如果產品未列出，表示該產品不受支援，且未符合 ITAR 的管制規定。如未盡到應盡的注意義務，並充分瞭解共責式安全性模型中的責任，建議不要使用不受支援的產品。使用不支援的產品前，請務必瞭解並願意接受相關風險，例如對資料駐留或資料主權的負面影響。

規定與限制

以下各節說明功能 Google Cloud層面或產品專屬的限制，包括 ITAR 資料夾預設設定的機構政策限制。其他適用的機構政策限制 (即使不是預設設定) 可提供額外的縱深防禦措施，進一步保護機構的資源。 Google Cloud

Google Cloud-wide

受影響的 Google Cloud功能

功能	說明
Google Cloud 控制台	使用 ITAR 控制套件時，如要存取 Google Cloud 控制台，請使用下列網址： console.us.cloud.google.com console.us.cloud.google 適用於聯盟身分使用者 詳情請參閱管轄區 Google Cloud 控制台頁面。

Google Cloud全機構適用的機構政策限制

下列機構政策限制適用於整個 Google Cloud。

機構政策限制	說明
gcp.resourceLocations	在 allowedValues 清單中設定下列位置： us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 這個值會將新資源的建立作業限制在所選值。設定後，您就無法在所選區域、多區域或位置以外的任何位置建立資源。如要查看可透過「資源位置」機構政策限制的資源清單，請參閱「資源位置支援的服務」，因為部分資源可能超出範圍，無法限制。 如果變更這個值，放寬限制，可能會允許在符合規定的資料邊界外建立或儲存資料，進而破壞資料落地性。
gcp.restrictCmekCryptoKeyProjects	設為 under:organizations/your-organization-name，也就是您的 Assured Workloads 機構。您可以指定專案或資料夾，進一步限制這個值。 限制可提供 Cloud KMS 金鑰的核准資料夾或專案範圍，確保只有這些金鑰可用於透過 CMEK 加密靜態資料。這項限制可防止未獲核准的資料夾或專案提供加密金鑰，因此有助於確保適用範圍內服務的靜態資料主權。
gcp.restrictNonCmekServices	設定為所有適用範圍內API 服務名稱的清單，包括： bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com 上述各項服務的部分功能可能會受到影響。 清單中的每項服務都必須使用客戶自行管理的加密金鑰 (CMEK)。CMEK 可讓您使用自己管理的金鑰，而非 Google 的預設加密機制，加密靜態資料。 從清單中移除一或多項適用服務來變更這個值，可能會損害資料主權，因為系統會使用 Google 專屬金鑰而非您的金鑰，自動加密新的靜態資料。現有的靜態資料仍會以您提供的金鑰加密。
gcp.restrictServiceUsage	設為允許所有支援的產品和 API 端點。 限制對資源的執行階段存取權，決定可使用的服務。詳情請參閱「限制資源用量」。
gcp.restrictTLSVersion	設為拒絕下列 TLS 版本： TLS_1_0 TLS_1_1 詳情請參閱「限制傳輸層安全標準 (TLS) 版本」 頁面。

Google Cloud Armor

受影響的 Google Cloud Armor 功能

功能	說明
全域範圍的安全性政策	這項功能已遭compute.disableGlobalCloudArmorPolicy機構政策限制停用。

BigQuery

受影響的 BigQuery 功能

功能	說明
在新資料夾中啟用 BigQuery	系統支援 BigQuery，但由於內部設定程序，建立新的 Assured Workloads 資料夾時不會自動啟用。這項程序通常會在十分鐘內完成，但在某些情況下可能需要更多時間。如要檢查程序是否完成並啟用 BigQuery，請完成下列步驟： 前往 Google Cloud 控制台的「Assured Workloads」頁面。 前往 Assured Workloads 從清單中選取新的 Assured Workloads 資料夾。 在「Allowed services」(允許的服務) 區段的「Folder Details」(資料夾詳細資料) 頁面中，按一下「Review Available Updates」(查看可用更新)。 在「允許的服務」窗格中，檢查要新增至資料夾「資源用量限制」機構政策的服務。如果列出 BigQuery 服務，請按一下「允許服務」新增服務。 如果未列出 BigQuery 服務，請等待內部程序完成。如果資料夾建立後 12 小時內未列出服務，請與 Cloud Customer Care 聯絡。 啟用程序完成後，您就可以在 Assured Workloads 資料夾中使用 BigQuery。 Assured Workloads 不支援 Gemini in BigQuery。
符合規範的 BigQuery API	下列 BigQuery API 符合 ITAR 規定： bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
區域	BigQuery 美國多區域位置除外，所有 BigQuery 美國區域位置都符合 ITAR 規定。如果資料集是在美國多地區、非美國地區或非美國多地區建立，則無法保證符合 ITAR 規定。建立 BigQuery 資料集時，您有責任指定符合 ITAR 規範的區域。
從非 ITAR 專案查詢 ITAR 資料集	BigQuery 不會禁止從非 ITAR 專案查詢 ITAR 資料集。請確保對 ITAR 技術資料使用讀取或聯結作業的任何查詢，都放在符合 ITAR 規範的資料夾中。
連線至外部資料來源	Google 的法規遵循責任僅限於 BigQuery Connection API 功能。您有責任確保與 BigQuery Connection API 搭配使用的來源產品符合規定。
不支援的功能	BigQuery CLI 不支援下列 BigQuery 功能，請勿使用。您有責任確保不會在 BigQuery 中使用這些模型處理受控工作負載。 與遠端資料來源互動 不支援 外部訓練的 BQML 模型。 支援 內部訓練的 BQML 模型。 遮蓋動態資料 匯出至 Google 雲端硬碟 遠端函式 儲存的查詢 工作流程排程 BigQuery Studio 不支援筆記本。 不支援 Gemini in BigQuery。
BigQuery CLI	支援 BigQuery CLI。
Google Cloud SDK	您必須使用 Google Cloud SDK 403.0.0 以上版本，才能確保技術資料的資料區域化。如要確認目前的 Google Cloud SDK 版本，請執行 gcloud --version，然後執行 gcloud components update，更新至最新版本。
管理員控制項	BigQuery 會停用不支援的 API，但管理員只要具備建立 Assured Workloads 資料夾的足夠權限，就能啟用不支援的 API。如果發生這種情況，您會透過 Assured Workloads 監控資訊主頁收到潛在不符規定的通知。
正在載入資料	不支援 Google 軟體即服務 (SaaS) 應用程式、外部雲端儲存空間供應商和資料倉儲的 BigQuery 資料移轉服務連接器。您有責任確保不將 BigQuery 資料移轉服務連接器用於 ITAR 工作負載。
第三方轉移	BigQuery 不會驗證 BigQuery 資料移轉服務是否支援第三方轉移。使用任何第三方移轉服務搭配 BigQuery 資料移轉服務時，您有責任確認支援情況。
不符規定的 BQML 模型	不支援外部訓練的 BQML 模型。
查詢工作	查詢作業只能在 Assured Workloads 資料夾中建立。
查詢其他專案中的資料集	BigQuery 不會禁止從非 Assured Workloads 專案查詢 Assured Workloads 資料集。請務必將任何讀取或聯結 Assured Workloads 資料的查詢，放在 Assured Workloads 資料夾中。您可以在 BigQuery CLI 中使用 projectname.dataset.table，為查詢結果指定完整格式的資料表名稱。
Cloud Logging	BigQuery 會使用 Cloud Logging 處理部分記錄檔資料。您應停用 _default 記錄檔值區，或將 _default 值區限制在適用範圍的區域，以使用下列指令維持法規遵循狀態： gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink 詳情請參閱「將記錄檔區域化」。

Compute Engine

受影響的 Compute Engine 功能

功能	說明
暫停及重新啟用 VM 執行個體	這項功能已停用。 暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間，且用於儲存暫停 VM 狀態的永久磁碟儲存空間目前無法使用 CMEK 加密。 請參閱上文的gcp.restrictNonCmekServices機構政策限制，瞭解啟用這項功能對資料主權和資料駐留的影響。
本機 SSD	這項功能已停用。 您將無法建立具有本機 SSD 的執行個體，因為目前無法使用 CMEK 加密本機 SSD。請參閱上方「gcp.restrictNonCmekServices 機構政策限制」一節，瞭解啟用這項功能對資料主權和資料駐留的影響。
Google Cloud 控制台	Google Cloud 控制台不支援下列 Compute Engine 功能。請改用 API 或 Google Cloud CLI： 安全狀態檢查 網路端點群組
Bare Metal 解決方案 VM	您無法使用 Bare Metal 解決方案 VM (o2 VM)，因為這類 VM 不符合 ITAR 規定。
Google Cloud VMware Engine VM	您無法使用 Google Cloud VMware Engine VM，因為 Google Cloud VMware Engine VM 不符合 ITAR 規定。
建立 C3 VM 執行個體	這項功能已停用。
使用未啟用 CMEK 的永久磁碟或快照	您必須使用 CMEK 加密永久磁碟或其快照，才能使用這些磁碟或快照。
建立巢狀 VM 或使用巢狀虛擬化的 VM	您無法建立巢狀 VM 或使用巢狀虛擬化的 VM。 這項功能已遭compute.disableNestedVirtualization機構組織 政策限制停用。
將執行個體群組新增至全域負載平衡器	您無法將執行個體群組新增至全域負載平衡器。 這項功能已遭compute.disableGlobalLoadBalancing機構組織 政策限制停用。
將要求轉送至多區域外部 HTTPS 負載平衡器	您無法將要求轉送至多區域外部 HTTPS 負載平衡器。 這項功能已遭compute.restrictLoadBalancerCreationForTypes 機構政策限制停用。
在多寫入端模式下共用 SSD 永久磁碟	您無法在 VM 執行個體之間，以多重寫入模式共用 SSD 永久磁碟。
暫停及重新啟用 VM 執行個體	這項功能已停用。 暫停及重新啟用 VM 執行個體需要永久磁碟儲存空間，且用於儲存暫停 VM 狀態的永久磁碟儲存空間無法使用 CMEK 加密。 這項功能已遭gcp.restrictNonCmekServices機構政策 限制停用。
本機 SSD	這項功能已停用。 您無法建立具有本機 SSD 的執行個體，因為本機 SSD 無法使用 CMEK 加密。 這項功能已遭gcp.restrictNonCmekServices機構政策 限制停用。
訪客環境	訪客環境隨附的指令碼、常駐程式和二進位檔可能會存取未加密的靜態和使用中資料。視 VM 設定而定，系統可能會預設安裝這類軟體的更新。如要瞭解各個套件的內容、原始碼等具體資訊，請參閱「訪客環境」。 這些元件可透過內部安全控管和程序，協助您符合資料主權規定。不過，如要進一步控管，您也可以自行管理圖片或代理程式，並視需要使用 compute.trustedImageProjects 機構政策限制。 詳情請參閱「建立自訂映像檔」頁面。
VM 管理員中的 OS 政策	作業系統政策檔案中的內嵌指令碼和二進位輸出檔案，不會使用客戶自行管理的加密金鑰 (CMEK) 加密。因此，請勿在這些檔案中加入任何私密資訊。 或者，您也可以考慮將這些指令碼和輸出檔案儲存在 Cloud Storage 值區中。詳情請參閱範例 OS 政策。 如要限制建立或修改使用內嵌指令碼或二進位輸出檔案的 OS 政策資源，請啟用constraints/osconfig.restrictInlineScriptAndOutputFileUsage 機構政策限制。 詳情請參閱「 OS Config 的限制」。
instances.getSerialPortOutput()	這個 API 已停用，您將無法使用這個 API 從指定執行個體取得序列埠輸出內容。 將 compute.disableInstanceDataAccessApis 機構政策限制值變更為 False，即可啟用這項 API。您也可以按照「啟用專案的存取權」一文中的操作說明，啟用及使用互動式序列埠。
instances.getScreenshot()	這個 API 已停用，您無法使用這個 API 從指定執行個體擷取螢幕截圖。 將 compute.disableInstanceDataAccessApis 機構政策限制值變更為 False，即可啟用這項 API。您也可以按照「啟用專案的存取權」一文中的操作說明，啟用及使用互動式序列埠。

Compute Engine 機構政策限制

機構政策限制	說明
compute.enableComplianceMemoryProtection	設為 True。 停用部分內部診斷功能，在發生基礎架構故障時，提供額外的記憶體內容保護措施。 變更這個值可能會影響工作負載的資料駐留或資料主權。
compute.disableGlobalCloudArmorPolicy	設為 True。 禁止建立新的全域 Google Cloud Armor 安全性政策，以及禁止在現有的全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制未禁止移除規則，或者移除或變更全域 Google Cloud Armor 安全性政策的說明和清單。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。
compute.disableGlobalLoadBalancing	設為 True。 停用全球性負載平衡產品的建立功能。 變更這個值可能會影響工作負載的資料駐留或資料主權。
compute.disableGlobalSelfManagedSslCertificate	設為 True。 停用全球性自行管理 SSL 憑證的建立功能。 變更這個值可能會影響工作負載的資料駐留或資料主權。
compute.disableInstanceDataAccessApis	設為 True。 全域停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。 啟用這項限制後，您就無法在 Windows Server VM 上產生憑證。 如要管理 Windows VM 的使用者名稱和密碼，請按照下列步驟操作： 為 Windows VM 啟用 SSH。 執行下列指令來變更 VM 的密碼： gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" 取代下列項目： VM_NAME：要設定密碼的 VM 名稱。 USERNAME：您要為其設定密碼的使用者名稱。 PASSWORD：新密碼。
compute.disableNonFIPSMachineTypes	設為 True。 禁止建立不符 FIPS 規範的 VM 執行個體類型。
compute.restrictNonConfidentialComputing	(選用) 未設定值。請設定這個值，以提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件。
compute.trustedImageProjects	(選用) 未設定值。設定這個值，提供額外的縱深防禦。 設定這個值後，映像檔儲存空間和磁碟執行個體化作業就會限制在指定的專案清單中。這個值會禁止使用任何未經授權的映像檔或代理程式，進而影響資料主權。

Cloud DNS

受影響的 Cloud DNS 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud DNS 功能。請改用 API 或 Google Cloud CLI。

Google Kubernetes Engine

受影響的 Google Kubernetes Engine 功能

功能	說明
叢集資源限制	請確認叢集設定未將資源用於 ITAR 法規遵循計畫不支援的服務。舉例來說，下列設定無效，因為需要啟用或使用不支援的服務： set `binaryAuthorization.evaluationMode` to `enabled`

Google Kubernetes Engine 機構政策限制

機構政策限制	說明
container.restrictNoncompliantDiagnosticDataAccess	設為 True。 停用核心問題的匯總分析，這是維持工作負載主權控制權的必要條件。 變更這個值可能會影響工作負載的資料駐留或資料主權。

Cloud Interconnect

受影響的 Cloud Interconnect 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud Interconnect 功能。請改用 API 或 Google Cloud CLI。
高可用性 (HA) VPN	使用 Cloud Interconnect 和 Cloud VPN 時，必須啟用高可用性 (HA) VPN 功能。此外，您也必須遵守「受影響的 Cloud VPN 功能」一節列出的加密和區域化規定。

Cloud Load Balancing

受影響的 Cloud Load Balancing 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不支援 Cloud Load Balancing 功能。請改用 API 或 Google Cloud CLI。
區域性負載平衡器	您只能搭配 ITAR 使用區域負載平衡器。如要進一步瞭解如何設定區域負載平衡器，請參閱下列頁面： 內部應用程式負載平衡器 區域性外部應用程式負載平衡器 內部直通式網路負載平衡器 外部直通式網路負載平衡器

Cloud Logging

受影響的 Cloud Logging 功能

功能	說明
記錄接收器	篩選器不得包含客戶資料。 記錄接收器包含篩選器，篩選器會儲存為設定。請勿建立含有顧客資料的篩選器。
即時追蹤記錄項目	篩選器不得包含客戶資料。 即時追蹤工作階段包含篩選器，並以設定的形式儲存。追蹤記錄本身不會儲存任何記錄項目資料，但可以跨區域查詢及傳輸資料。請勿建立含有顧客資料的篩選器。
記錄式快訊	這項功能已停用。 您無法在 Google Cloud 控制台中建立記錄式快訊。
記錄檔探索工具查詢的縮短網址	這項功能已停用。 您無法在 Google Cloud 控制台中建立查詢的縮短網址。
在記錄檔探索工具中儲存查詢	這項功能已停用。 您無法在 Google Cloud 控制台中儲存任何查詢。
使用 BigQuery 分析記錄檔	這項功能已停用。 您無法使用記錄檔分析功能。
以 SQL 為基礎的快訊政策	這項功能已停用。 您無法使用以 SQL 為基礎的快訊政策功能。

Cloud Monitoring

受影響的 Cloud Monitoring 功能

功能	說明
綜合監控項目	這項功能已停用。
運作時間檢查	這項功能已停用。
記錄面板小工具，位於資訊主頁	這項功能已停用。 您無法在資訊主頁中新增記錄面板。
錯誤報告面板小工具 位於資訊主頁	這項功能已停用。 您無法在資訊主頁中新增錯誤報告面板。
在「資訊主頁」中篩選 EventAnnotation	這項功能已停用。 無法在資訊主頁中設定 EventAnnotation 篩選器。
SqlCondition in alertPolicies	這項功能已停用。 您無法將 SqlCondition 新增至 alertPolicy。

Cloud NAT

受影響的 Cloud NAT 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud NAT 功能。請改用 API 或 Google Cloud CLI。

Network Connectivity Center

受影響的 Network Connectivity Center 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不支援 Network Connectivity Center 功能。請改用 API 或 Google Cloud CLI。

Pub/Sub

Pub/Sub 機構政策限制

機構政策限制	說明
pubsub.enforceInTransitRegions	設為 True。 確保客戶資料僅在允許的區域內傳輸。該區域是在 Pub/Sub 主題的訊息儲存空間政策中指定。 變更這個值可能會影響工作負載的資料駐留或資料主權。

Cloud Router

受影響的 Cloud Router 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud Router 功能。 請改用 API 或 Google Cloud CLI。

Cloud Run

受影響的 Cloud Run 功能

功能	說明
不支援的功能	系統不支援下列 Cloud Run 功能： Cloud Trace 整合 Cloud Run functions Eventarc 觸發條件

Cloud SQL

受影響的 Cloud SQL 功能

功能	說明
正在匯出為 CSV	匯出為 CSV 不符合 ITAR 規定，因此不應使用。這項功能已在 Google Cloud 控制台中停用。
executeSql	Cloud SQL API 的 executeSql 方法不符合 ITAR 規定，因此不應使用。

Cloud Storage

受影響的 Cloud Storage 功能

功能	說明
Google Cloud 控制台	為確保符合 ITAR 規定，您有責任使用管轄區 Google Cloud 控制台。 Jurisdictional 控制台會禁止上傳及下載 Cloud Storage 物件。如要上傳及下載 Cloud Storage 物件，請參閱本節中的「符合規範的 API 端點」列。
符合規範的 API 端點	您必須搭配 Cloud Storage 使用其中一個符合 ITAR 規範的地區端點。詳情請參閱「Cloud Storage 區域端點」和「Cloud Storage 位置」。
限制	您必須使用 Cloud Storage 地區端點，才能符合 ITAR 規定。如要進一步瞭解 ITAR 適用的 Cloud Storage 區域端點，請參閱「Cloud Storage 區域端點」。 區域端點不支援下列作業。不過，這些作業不會攜帶資料落地服務條款中定義的「客戶資料」。因此，您可以視需要使用這些作業的全球端點，不會違反 ITAR 法規： HMAC 金鑰作業 IAM 服務帳戶作業 Pub/Sub 通知 物件變更通知
複製及重新編寫物件	如果來源和目標值區都位於端點指定的區域，區域端點就支援物件的複製和重新寫入作業。不過，如果值區位於不同位置，您就無法使用區域端點，將物件從一個值區複製或重寫至另一個值區。您可以使用全域端點在不同位置之間複製或重新編寫內容，但我們不建議這麼做，因為這可能會違反 ITAR 法規。

虛擬私人雲端 (VPC)

受影響的虛擬私有雲功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不提供虛擬私有雲網路功能。請改用 API 或 Google Cloud CLI。

Cloud VPN

受影響的 Cloud VPN 功能

功能	說明
Google Cloud 控制台	Google Cloud 控制台不提供 Cloud VPN 功能。請改用 API 或 Google Cloud CLI。
加密	建立憑證及設定 IP 安全性時，您只能使用符合 FIPS 140-2 規範的密碼。如要進一步瞭解 Cloud VPN 支援的加密方式，請參閱「支援的 IKE 加密方式」頁面。如要瞭解如何選取符合 FIPS 140-2 標準的密碼，請參閱「通過 FIPS 140-2 驗證」頁面。 您無法在 Google Cloud中變更現有密碼。請務必在與 Cloud VPN 搭配使用的第三方設備上設定加密方式。
VPN 端點	您只能使用位於適用區域的 Cloud VPN 端點。請確認 VPN 閘道已設定為僅在適用範圍內的區域使用。

後續步驟

• 瞭解如何建立 Assured Workloads 資料夾
• 瞭解 Assured Workloads 定價