The names for some Assured Workloads control packages have changed. For information about the name change, see Control package renaming notice.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Data Boundary for International Traffic in Arms Regulations (ITAR)

בדף הזה מתואר קבוצת אמצעי הבקרה שמוחלים על עומסי עבודה של ITAR ב-Assured Workloads. הוא כולל מידע מפורט על מיקום הנתונים, על מוצרים נתמכים Google Cloud ונקודות הקצה שלהם ב-API, ועל הגבלות או מגבלות שחלות על המוצרים האלה. המידע הנוסף הבא רלוונטי ל-ITAR:

מיקום האחסון של הנתונים: חבילת אמצעי הבקרה של ITAR מגדירה אמצעי בקרה למיקום הנתונים כדי לתמוך באזורים בארה"ב בלבד. מידע נוסף זמין בקטע Google Cloud-wide organization policy constraints.
תמיכה: שירותי תמיכה טכנית לעומסי עבודה של ITAR זמינים עם מינויים ל-Cloud Customer Care ברמות Enhanced או Premium. בקשות תמיכה בנושא עומסי עבודה של ITAR מועברות לאנשים או ישויות שנמצאים בארה"ב. מידע נוסף זמין במאמר בנושא קבלת תמיכה.
תמחור: חבילת הבקרה ITAR כלולה ברמת הפרימיום של Assured Workloads, שכוללת חיוב נוסף של 20%. מידע נוסף זמין במאמר בנושא תמחור של Assured Workloads.

דרישות מוקדמות

כדי להמשיך לעמוד בדרישות כמשתמש בחבילת אמצעי הבקרה של ITAR, צריך לוודא שאתם עומדים בדרישות המוקדמות הבאות:

יוצרים תיקיית ITAR באמצעות Assured Workloads ומפריסים את עומסי העבודה של ITAR רק בתיקייה הזו.
צריך להפעיל ולהשתמש רק בשירותים שכלולים בהיקף של ITAR עבור עומסי עבודה שקשורים ל-ITAR.
אל תשתמשו בשרתי Google Cloud MCP אלא אם צוין אחרת. תקנות ITAR לא מספקות אמצעי בקרה על מיקום הנתונים בשרתי MCP של Google Cloud, כשמדובר בנתונים בשימוש ובנתונים במעבר. כדי לחסום גישה לא רצויה לשרתי Google Cloud MCP, אפשר לעיין במאמר שליטה בשימוש בשרתי Google Cloud MCP באמצעות IAM.
אל תשנו את ערכי ברירת המחדל של האילוצים במדיניות הארגון, אלא אם אתם מבינים את הסיכונים של אחסון נתונים במדינה מסוימת שעלולים להתרחש ומוכנים לקבל אותם.
כשניגשים למסוף Google Cloud בשביל עומסי עבודה של ITAR, צריך להשתמש באחת מכתובות ה-URL הבאות של מסוף Google Cloud בתחום שיפוט:
- console.us.cloud.google.com
- ‫console.us.cloud.google למשתמשים עם זהויות מאוחדות
כשמתחברים לנקודות קצה של שירותים Google Cloud , צריך להשתמש בנקודות קצה אזוריות לשירותים שמציעים אותן. בנוסף:
- כשמתחברים לנקודות קצה של שירותים ממכונות וירטואליות שאינןGoogle Cloud, כמו מכונות וירטואליות מקומיות או של ספקי ענן אחרים, צריך להשתמש באחת מאפשרויות הגישה הפרטית שזמינות ותומכות בחיבורים למכונות וירטואליות שאינןGoogle Cloud , כדי לנתב את התעבורה שאינהGoogle Cloud אל Google Cloud. Google Cloud
- כשמתחברים לנקודות קצה של שירותים ממכונות וירטואליות, אפשר להשתמש בכל אחת מאפשרויות הגישה הפרטית שזמינות. Google Cloud Google Cloud
- כשמתחברים למכונות וירטואליות שנחשפו עם כתובות IP חיצוניות, כדאי לעיין במאמר גישה לממשקי API ממכונות וירטואליות עם כתובות IP חיצוניות. Google Cloud
בכל השירותים שבהם נעשה שימוש בתיקייה של ITAR, אל תשמרו נתונים טכניים בסוגי המידע הבאים של הגדרות אבטחה או הגדרות שהוגדרו על ידי המשתמש:
- הודעות שגיאה
- פלט המסוף
- נתוני מאפיינים
- נתוני הגדרת שירות
- כותרות של חבילות נתונים ברשת
- מזהי משאבים
- תוויות של נתונים
צריך להשתמש רק בנקודות הקצה האזוריות שצוינו לשירותים שמציעים אותן. מידע נוסף זמין במאמר בנושא שירותים שכלולים בהיקף של ITAR.
מומלץ לפעול לפי השיטות המומלצות הכלליות לאבטחה שמפורטות בGoogle Cloud מרכז השיטות המומלצות לאבטחה.

מוצרים נתמכים ונקודות קצה של API

אלא אם צוין אחרת, המשתמשים יכולים לגשת לכל המוצרים הנתמכים דרך מסוף Google Cloud . בטבלה הבאה מפורטות הגבלות שמשפיעות על התכונות של מוצר נתמך, כולל הגבלות שנאכפות באמצעות הגדרות של אילוצי מדיניות הארגון.

אם מוצר לא מופיע ברשימה, סימן שהוא לא נתמך ולא עומד בדרישות הבקרה של ITAR. לא מומלץ להשתמש במוצרים לא נתמכים בלי לבצע בדיקת נאותות ולהבין היטב את האחריות שלכם במסגרת מודל האחריות המשותפת. לפני שמשתמשים במוצר שלא נתמך, חשוב לוודא שאתם מודעים לסיכונים הכרוכים בכך ומוכנים לקבל אותם, כמו השפעות שליליות על מיקום הנתונים או על ריבונות הנתונים.

מוצר נתמך	נקודות קצה ל-API שתואמות ל-ITAR	הגבלות
אישור גישה	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `accessapproval.googleapis.com`	ללא
Access Context Manager	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `accesscontextmanager.googleapis.com`	ללא
‫AlloyDB ל-PostgreSQL	נקודות קצה אזוריות ל-API: `alloydb.us-central1.rep.googleapis.com` `alloydb.us-central2.rep.googleapis.com` `alloydb.us-east1.rep.googleapis.com` `alloydb.us-east4.rep.googleapis.com` `alloydb.us-east5.rep.googleapis.com` `alloydb.us-south1.rep.googleapis.com` `alloydb.us-west1.rep.googleapis.com` `alloydb.us-west2.rep.googleapis.com` `alloydb.us-west3.rep.googleapis.com` `alloydb.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `alloydb.googleapis.com`	ללא
Artifact Registry	נקודות קצה אזוריות ל-API: `artifactregistry.us-central1.rep.googleapis.com` `artifactregistry.us-central2.rep.googleapis.com` `artifactregistry.us-east1.rep.googleapis.com` `artifactregistry.us-east4.rep.googleapis.com` `artifactregistry.us-east5.rep.googleapis.com` `artifactregistry.us-east7.rep.googleapis.com` `artifactregistry.us-south1.rep.googleapis.com` `artifactregistry.us-west1.rep.googleapis.com` `artifactregistry.us-west2.rep.googleapis.com` `artifactregistry.us-west3.rep.googleapis.com` `artifactregistry.us-west4.rep.googleapis.com` `artifactregistry.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `artifactregistry.googleapis.com`	ללא
גיבוי ל-GKE	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `gkebackup.googleapis.com`	ללא
BigQuery	נקודות קצה אזוריות ל-API: `bigquery.us-central1.rep.googleapis.com` `bigquery.us-central2.rep.googleapis.com` `bigquery.us-east1.rep.googleapis.com` `bigquery.us-east4.rep.googleapis.com` `bigquery.us-east5.rep.googleapis.com` `bigquery.us-east7.rep.googleapis.com` `bigquery.us-south1.rep.googleapis.com` `bigquery.us-west1.rep.googleapis.com` `bigquery.us-west2.rep.googleapis.com` `bigquery.us-west3.rep.googleapis.com` `bigquery.us-west4.rep.googleapis.com` `bigquery.us-west8.rep.googleapis.com` `bigquerydatatransfer.us-central1.rep.googleapis.com` `bigquerydatatransfer.us-central2.rep.googleapis.com` `bigquerydatatransfer.us-east1.rep.googleapis.com` `bigquerydatatransfer.us-east4.rep.googleapis.com` `bigquerydatatransfer.us-east5.rep.googleapis.com` `bigquerydatatransfer.us-east7.rep.googleapis.com` `bigquerydatatransfer.us-south1.rep.googleapis.com` `bigquerydatatransfer.us-west1.rep.googleapis.com` `bigquerydatatransfer.us-west2.rep.googleapis.com` `bigquerydatatransfer.us-west3.rep.googleapis.com` `bigquerydatatransfer.us-west4.rep.googleapis.com` `bigquerydatatransfer.us-west8.rep.googleapis.com` `bigquerymigration.us-central1.rep.googleapis.com` `bigquerymigration.us-central2.rep.googleapis.com` `bigquerymigration.us-east1.rep.googleapis.com` `bigquerymigration.us-east4.rep.googleapis.com` `bigquerymigration.us-east5.rep.googleapis.com` `bigquerymigration.us-east7.rep.googleapis.com` `bigquerymigration.us-south1.rep.googleapis.com` `bigquerymigration.us-west1.rep.googleapis.com` `bigquerymigration.us-west2.rep.googleapis.com` `bigquerymigration.us-west3.rep.googleapis.com` `bigqueryreservation.us-central1.rep.googleapis.com` `bigqueryreservation.us-central2.rep.googleapis.com` `bigqueryreservation.us-east1.rep.googleapis.com` `bigqueryreservation.us-east4.rep.googleapis.com` `bigqueryreservation.us-east5.rep.googleapis.com` `bigqueryreservation.us-east7.rep.googleapis.com` `bigqueryreservation.us-south1.rep.googleapis.com` `bigqueryreservation.us-west1.rep.googleapis.com` `bigqueryreservation.us-west2.rep.googleapis.com` `bigqueryreservation.us-west3.rep.googleapis.com` `bigqueryreservation.us-west4.rep.googleapis.com` `bigqueryreservation.us-west8.rep.googleapis.com` `bigquerystorage.us-central1.rep.googleapis.com` `bigquerystorage.us-central2.rep.googleapis.com` `bigquerystorage.us-east1.rep.googleapis.com` `bigquerystorage.us-east4.rep.googleapis.com` `bigquerystorage.us-east5.rep.googleapis.com` `bigquerystorage.us-east7.rep.googleapis.com` `bigquerystorage.us-south1.rep.googleapis.com` `bigquerystorage.us-west1.rep.googleapis.com` `bigquerystorage.us-west2.rep.googleapis.com` `bigquerystorage.us-west3.rep.googleapis.com` `bigquerystorage.us-west4.rep.googleapis.com` `bigquerystorage.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	תכונות שהושפעו
שירות העברת נתונים ל-BigQuery	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `bigquerydatatransfer.googleapis.com`	ללא
Bigtable	נקודות קצה אזוריות ל-API: `bigtable.us-central1.rep.googleapis.com` `bigtable.us-central2.rep.googleapis.com` `bigtable.us-east1.rep.googleapis.com` `bigtable.us-east4.rep.googleapis.com` `bigtable.us-east5.rep.googleapis.com` `bigtable.us-south1.rep.googleapis.com` `bigtable.us-west1.rep.googleapis.com` `bigtable.us-west2.rep.googleapis.com` `bigtable.us-west3.rep.googleapis.com` `bigtable.us-west4.rep.googleapis.com` `bigtable.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `bigtable.googleapis.com` `bigtableadmin.googleapis.com`	ללא
Certificate Authority Service	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `privateca.googleapis.com`	ללא
‫Certificate Manager	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `certificatemanager.googleapis.com`	ללא
Cloud Build	נקודות קצה אזוריות ל-API: `cloudbuild.us-central1.rep.googleapis.com` `cloudbuild.us-central2.rep.googleapis.com` `cloudbuild.us-east1.rep.googleapis.com` `cloudbuild.us-east4.rep.googleapis.com` `cloudbuild.us-east5.rep.googleapis.com` `cloudbuild.us-south1.rep.googleapis.com` `cloudbuild.us-west1.rep.googleapis.com` `cloudbuild.us-west2.rep.googleapis.com` `cloudbuild.us-west3.rep.googleapis.com` `cloudbuild.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `cloudbuild.googleapis.com`	ללא
Cloud DNS	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `dns.googleapis.com`	תכונות שהושפעו
‫Cloud External Key Manager ‏ (Cloud EKM)	נקודות קצה אזוריות ל-API: `cloudkms.us-central1.rep.googleapis.com` `cloudkms.us-central2.rep.googleapis.com` `cloudkms.us-east1.rep.googleapis.com` `cloudkms.us-east4.rep.googleapis.com` `cloudkms.us-east5.rep.googleapis.com` `cloudkms.us-east7.rep.googleapis.com` `cloudkms.us-south1.rep.googleapis.com` `cloudkms.us-west1.rep.googleapis.com` `cloudkms.us-west2.rep.googleapis.com` `cloudkms.us-west3.rep.googleapis.com` `cloudkms.us-west4.rep.googleapis.com` `cloudkms.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `cloudkms.googleapis.com`	ללא
Cloud HSM	נקודות קצה אזוריות ל-API: `cloudkms.us-central1.rep.googleapis.com` `cloudkms.us-central2.rep.googleapis.com` `cloudkms.us-east1.rep.googleapis.com` `cloudkms.us-east4.rep.googleapis.com` `cloudkms.us-east5.rep.googleapis.com` `cloudkms.us-east7.rep.googleapis.com` `cloudkms.us-south1.rep.googleapis.com` `cloudkms.us-west1.rep.googleapis.com` `cloudkms.us-west2.rep.googleapis.com` `cloudkms.us-west3.rep.googleapis.com` `cloudkms.us-west4.rep.googleapis.com` `cloudkms.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `cloudkms.googleapis.com`	ללא
Cloud Interconnect	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	תכונות שהושפעו
Cloud Key Management Service ‏(Cloud KMS)	נקודות קצה אזוריות ל-API: `cloudkms.us-central1.rep.googleapis.com` `cloudkms.us-central2.rep.googleapis.com` `cloudkms.us-east1.rep.googleapis.com` `cloudkms.us-east4.rep.googleapis.com` `cloudkms.us-east5.rep.googleapis.com` `cloudkms.us-east7.rep.googleapis.com` `cloudkms.us-south1.rep.googleapis.com` `cloudkms.us-west1.rep.googleapis.com` `cloudkms.us-west2.rep.googleapis.com` `cloudkms.us-west3.rep.googleapis.com` `cloudkms.us-west4.rep.googleapis.com` `cloudkms.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `cloudkms.googleapis.com`	ללא
Cloud Load Balancing	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	תכונות שהושפעו
Cloud Logging	נקודות קצה אזוריות ל-API: `logging.us-central1.rep.googleapis.com` `logging.us-central2.rep.googleapis.com` `logging.us-east1.rep.googleapis.com` `logging.us-east4.rep.googleapis.com` `logging.us-east5.rep.googleapis.com` `logging.us-east7.rep.googleapis.com` `logging.us-south1.rep.googleapis.com` `logging.us-west1.rep.googleapis.com` `logging.us-west2.rep.googleapis.com` `logging.us-west3.rep.googleapis.com` `logging.us-west4.rep.googleapis.com` `logging.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `logging.googleapis.com`	תכונות שהושפעו
Cloud Monitoring	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `monitoring.googleapis.com`	תכונות שהושפעו
Cloud NAT	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	תכונות שהושפעו
Cloud OS Login API	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `oslogin.googleapis.com`	ללא
Cloud Router	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	תכונות שהושפעו
Cloud Run	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `run.googleapis.com`	תכונות שהושפעו
Cloud SQL	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `sqladmin.googleapis.com`	תכונות שהושפעו
Cloud Service Mesh	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `mesh.googleapis.com` `meshconfig.googleapis.com` `trafficdirector.googleapis.com` `networkservices.googleapis.com`	ללא
Cloud Storage	נקודות קצה אזוריות ל-API: `storage.us-central1.rep.googleapis.com` `storage.us-central2.rep.googleapis.com` `storage.us-east1.rep.googleapis.com` `storage.us-east4.rep.googleapis.com` `storage.us-east5.rep.googleapis.com` `storage.us-east7.rep.googleapis.com` `storage.us-south1.rep.googleapis.com` `storage.us-west1.rep.googleapis.com` `storage.us-west2.rep.googleapis.com` `storage.us-west3.rep.googleapis.com` `storage.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `storage.googleapis.com`	תכונות שהושפעו
‫Cloud VPN	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	תכונות שהושפעו
Compute Engine	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	התכונות שיושפעו ומגבלות שקשורות למדיניות הארגון
Dataflow	נקודות קצה אזוריות ל-API: `dataflow.us-central1.rep.googleapis.com` `dataflow.us-central2.rep.googleapis.com` `dataflow.us-east1.rep.googleapis.com` `dataflow.us-east4.rep.googleapis.com` `dataflow.us-east5.rep.googleapis.com` `dataflow.us-east7.rep.googleapis.com` `dataflow.us-south1.rep.googleapis.com` `dataflow.us-west1.rep.googleapis.com` `dataflow.us-west2.rep.googleapis.com` `dataflow.us-west3.rep.googleapis.com` `dataflow.us-west4.rep.googleapis.com` `dataflow.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `dataflow.googleapis.com` `datapipelines.googleapis.com`	ללא
Essential Contacts	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `essentialcontacts.googleapis.com`	ללא
מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	ללא
Filestore	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `file.googleapis.com`	ללא
כללי אבטחה של Firebase	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `firebaserules.googleapis.com`	ללא
Firestore	נקודות קצה אזוריות ל-API: `firestore.us-central1.rep.googleapis.com` `firestore.us-east1.rep.googleapis.com` `firestore.us-east4.rep.googleapis.com` `firestore.us-east5.rep.googleapis.com` `firestore.us-south1.rep.googleapis.com` `firestore.us-west1.rep.googleapis.com` `firestore.us-west2.rep.googleapis.com` `firestore.us-west3.rep.googleapis.com` `firestore.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `firestore.googleapis.com`	ללא
‫GKE Hub (fleets)	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `gkehub.googleapis.com`	ללא
‫GKE Identity Service	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `anthosidentityservice.googleapis.com`	ללא
Google Cloud Armor	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com` `networksecurity.googleapis.com`	תכונות שהושפעו
Google Kubernetes Engine	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `container.googleapis.com` `containersecurity.googleapis.com`	התכונות שיושפעו ומגבלות שקשורות למדיניות הארגון
ניהול זהויות והרשאות גישה (IAM)	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `iam.googleapis.com`	ללא
שרת proxy לאימות זהויות (IAP)	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `iap.googleapis.com`	ללא
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	ללא
Google Cloud מסוף לפי תחום שיפוט	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `Not applicable`	ללא
הצדקות גישה למפתחות	נקודות קצה אזוריות ל-API: `cloudkms.us-central1.rep.googleapis.com` `cloudkms.us-central2.rep.googleapis.com` `cloudkms.us-east1.rep.googleapis.com` `cloudkms.us-east4.rep.googleapis.com` `cloudkms.us-east5.rep.googleapis.com` `cloudkms.us-south1.rep.googleapis.com` `cloudkms.us-west1.rep.googleapis.com` `cloudkms.us-west2.rep.googleapis.com` `cloudkms.us-west3.rep.googleapis.com` `cloudkms.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `cloudekm.googleapis.com` `cloudkms.googleapis.com`	ללא
Knowledge Catalog	נקודות קצה אזוריות ל-API: `dataplex.us-central1.rep.googleapis.com` `dataplex.us-central2.rep.googleapis.com` `dataplex.us-east1.rep.googleapis.com` `dataplex.us-east4.rep.googleapis.com` `dataplex.us-east5.rep.googleapis.com` `dataplex.us-south1.rep.googleapis.com` `dataplex.us-west1.rep.googleapis.com` `dataplex.us-west2.rep.googleapis.com` `dataplex.us-west3.rep.googleapis.com` `dataplex.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `dataplex.googleapis.com` `datalineage.googleapis.com`	תכונות שהושפעו
Managed Service for Apache Airflow	נקודות קצה אזוריות ל-API: `composer.us-central1.rep.googleapis.com` `composer.us-east1.rep.googleapis.com` `composer.us-east4.rep.googleapis.com` `composer.us-east5.rep.googleapis.com` `composer.us-east7.rep.googleapis.com` `composer.us-south1.rep.googleapis.com` `composer.us-west1.rep.googleapis.com` `composer.us-west2.rep.googleapis.com` `composer.us-west3.rep.googleapis.com` `composer.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `composer.googleapis.com`	ללא
‫Managed Service for Apache Spark	נקודות קצה אזוריות ל-API: `dataproc.us-central1.rep.googleapis.com` `dataproc.us-central2.rep.googleapis.com` `dataproc.us-east1.rep.googleapis.com` `dataproc.us-east4.rep.googleapis.com` `dataproc.us-east5.rep.googleapis.com` `dataproc.us-east7.rep.googleapis.com` `dataproc.us-south1.rep.googleapis.com` `dataproc.us-west1.rep.googleapis.com` `dataproc.us-west2.rep.googleapis.com` `dataproc.us-west3.rep.googleapis.com` `dataproc.us-west4.rep.googleapis.com` `dataproc.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `dataproc-control.googleapis.com` `dataproc.googleapis.com`	ללא
‫Memorystore for Redis	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `redis.googleapis.com`	ללא
Network Connectivity Center	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `networkconnectivity.googleapis.com`	תכונות שהושפעו
Organization Policy Service	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `orgpolicy.googleapis.com`	ללא
Persistent Disk	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	ללא
Pub/Sub	נקודות קצה אזוריות ל-API: `pubsub.us-central1.rep.googleapis.com` `pubsub.us-central2.rep.googleapis.com` `pubsub.us-east1.rep.googleapis.com` `pubsub.us-east4.rep.googleapis.com` `pubsub.us-east5.rep.googleapis.com` `pubsub.us-south1.rep.googleapis.com` `pubsub.us-west1.rep.googleapis.com` `pubsub.us-west2.rep.googleapis.com` `pubsub.us-west3.rep.googleapis.com` `pubsub.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `pubsub.googleapis.com`	מגבלות שקשורות למדיניות הארגון
מאזן עומסים חיצוני אזורי של אפליקציות (ALB)	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	ללא
מאזן עומסי רשת אזורי חיצוני בשרת proxy	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	ללא
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	ללא
מאזן עומסי רשת פנימי אזורי בשרת proxy	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	ללא
מנהל המשאבים	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `cloudresourcemanager.googleapis.com`	ללא
Secret Manager	נקודות קצה אזוריות ל-API: `secretmanager.us-central1.rep.googleapis.com` `secretmanager.us-central2.rep.googleapis.com` `secretmanager.us-east1.rep.googleapis.com` `secretmanager.us-east4.rep.googleapis.com` `secretmanager.us-east5.rep.googleapis.com` `secretmanager.us-east7.rep.googleapis.com` `secretmanager.us-south1.rep.googleapis.com` `secretmanager.us-west1.rep.googleapis.com` `secretmanager.us-west2.rep.googleapis.com` `secretmanager.us-west3.rep.googleapis.com` `secretmanager.us-west4.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `Not available`	ללא
Secure Source Manager	נקודות קצה אזוריות ל-API: `securesourcemanager.us-central1.rep.googleapis.com` `securesourcemanager.us-east1.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `securesourcemanager.googleapis.com`	ללא
‫Security Command Center Premium	נקודות קצה אזוריות ל-API: `securitycenter.us.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `securitycenter.googleapis.com` `securitycentermanagement.googleapis.com` `securityposture.googleapis.com` `websecurityscanner.googleapis.com`	תכונות שהושפעו
Sensitive Data Protection	נקודות קצה אזוריות ל-API: `dlp.us-central1.rep.googleapis.com` `dlp.us-east1.rep.googleapis.com` `dlp.us-east4.rep.googleapis.com` `dlp.us-east5.rep.googleapis.com` `dlp.us-south1.rep.googleapis.com` `dlp.us-west1.rep.googleapis.com` `dlp.us-west2.rep.googleapis.com` `dlp.us-west3.rep.googleapis.com` `dlp.us-west4.rep.googleapis.com` `dlp.us-west8.rep.googleapis.com` אין תמיכה בנקודות קצה של API שמבוססות על מיקום. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `dlp.googleapis.com`	ללא
Service Directory	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `servicedirectory.googleapis.com`	ללא
VM Manager	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `osconfig.googleapis.com`	ללא
VPC Service Controls	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `accesscontextmanager.googleapis.com` `accesscontextintelligence.googleapis.com`	ללא
ענן וירטואלי פרטי (VPC)	אין תמיכה בנקודות קצה אזוריות של API. נקודות קצה של API שמבוססות על מיקום לא אפשרי. אין תמיכה בשרתי Google Cloud MCP. נקודות קצה גלובליות של API: `compute.googleapis.com`	תכונות שהושפעו

הגבלות ומגבלות

בסעיפים הבאים מתוארות הגבלות או מגבלות ברמת Google Cloudאו ברמת המוצר על תכונות, כולל אילוצים של מדיניות הארגון שמוגדרים כברירת מחדל בתיקיות ITAR. אילוצים אחרים של מדיניות הארגון שרלוונטיים – גם אם הם לא מוגדרים כברירת מחדל – יכולים לספק הגנה נוספת כדי להגן על המשאבים של הארגון Google Cloud .

Google Cloud-wide

תכונות שיושפעו Google Cloudבכל הארגון

תכונה	תיאור
מסוףGoogle Cloud	כדי לגשת למסוף Google Cloud כשמשתמשים בחבילת בקרת ITAR, צריך להשתמש באחת מכתובות ה-URL הבאות: console.us.cloud.google.com ‫console.us.cloud.google למשתמשים עם זהות מאוחדת

Google Cloudאילוצים של מדיניות הארגון

האילוצים הבאים של מדיניות הארגון חלים על כל Google Cloud.

אילוץ של מדיניות הארגון	תיאור
`gcp.resourceLocations`	מגדירים את המיקומים הבאים ברשימה `allowedValues`: `us` `us-central1` `us-central2` `us-east1` `us-east4` `us-east5` `us-south1` `us-west1` `us-west2` `us-west3` `us-west4` הערך הזה מגביל את יצירת המשאבים החדשים לערכים שנבחרו. אם המדיניות מוגדרת, אי אפשר ליצור משאבים באזורים אחרים, באזורים שכוללים מספר אזורים או במיקומים מחוץ לבחירה. במאמר בנושא שירותים שנתמכים על ידי מיקומי משאבים מפורטת רשימה של משאבים שאפשר להגביל באמצעות המגבלה של מדיניות הארגון בנושא מיקומי משאבים. יכול להיות שחלק מהמשאבים לא ייכללו בהיקף ולא ניתן יהיה להגביל אותם. שינוי הערך הזה כך שיהיה פחות מגביל עלול לפגוע במיקום הנתונים, כי הוא מאפשר ליצור או לאחסן נתונים מחוץ לגבולות נתונים תואמים.
`gcp.restrictCmekCryptoKeyProjects`	ההגדרה היא `under:organizations/your-organization-name`, שהוא הארגון שלכם ב-Assured Workloads. אפשר להגביל עוד יותר את הערך הזה על ידי ציון פרויקט או תיקייה. מגביל את היקף התיקיות או הפרויקטים שאושרו ויכולים לספק מפתחות Cloud KMS להצפנת נתונים במנוחה באמצעות CMEK. האילוץ הזה מונע מתיקיות או מפרויקטים לא מאושרים לספק מפתחות הצפנה, וכך עוזר להבטיח ריבונות הנתונים בשירותים שכלולים בהיקף ההגדרה, כשהם במנוחה.
`gcp.restrictNonCmekServices`	מוגדר לרשימה של כל שמות השירותים של ה-API שנכללים בהיקף, כולל: `bigquery.googleapis.com` `bigquerydatatransfer.googleapis.com` `compute.googleapis.com` `container.googleapis.com` `storage.googleapis.com` יכול להיות שחלק מהתכונות יושפעו בכל אחד מהשירותים שמפורטים למעלה. כל שירות שמופיע ברשימה דורש מפתחות הצפנה בניהול הלקוח (CMEK). הצפנת CMEK מתבצעת על נתונים באחסון באמצעות מפתח שמנוהל על ידכם, ולא באמצעות מנגנוני ההצפנה שמוגדרים כברירת מחדל ב-Google. שינוי הערך הזה על ידי הסרת שירות אחד או יותר מהרשימה עלול לפגוע בריבונות הנתונים, כי נתונים חדשים במצב מנוחה יוצפנו באופן אוטומטי באמצעות המפתחות של Google ולא המפתחות שלכם. נתונים קיימים באחסון יישארו מוצפנים באמצעות המפתח שסיפקתם.
`gcp.restrictServiceUsage`	ההגדרה צריכה להיות 'אפשרות שמאפשרת שימוש בכל נקודות הקצה של מוצרי API נתמכים'. הגבלת הגישה בזמן הריצה למשאבים של שירותים מסוימים, כדי לקבוע באילו שירותים אפשר להשתמש. מידע נוסף זמין במאמר בנושא הגבלת השימוש במשאבים.
`gcp.restrictTLSVersion`	הגדרה לדחיית גרסאות ה-TLS הבאות: `TLS_1_0` `TLS_1_1` מידע נוסף זמין במאמר בנושא הגבלת גרסאות TLS.

BigQuery

תכונות BigQuery שמושפעות

תכונה	תיאור
הפעלת BigQuery בתיקייה חדשה	‫BigQuery נתמך, אבל הוא לא מופעל באופן אוטומטי כשיוצרים תיקייה חדשה של Assured Workloads בגלל תהליך הגדרה פנימי. בדרך כלל התהליך הזה מסתיים תוך עשר דקות, אבל בנסיבות מסוימות הוא יכול להימשך הרבה יותר זמן. כדי לבדוק אם התהליך הסתיים ולהפעיל את BigQuery, מבצעים את השלבים הבאים: נכנסים לדף Assured Workloads במסוף Google Cloud . מעבר אל Assured Workloads בוחרים את התיקייה החדשה של Assured Workloads מהרשימה. בדף פרטי התיקייה, בקטע שירותים מורשים, לוחצים על בדיקת עדכונים זמינים. בחלונית Allowed services (שירותים מותרים), בודקים את השירותים שרוצים להוסיף למדיניות הארגון Resource Usage Restriction (הגבלת השימוש במשאבים) של התיקייה. אם שירותי BigQuery מופיעים ברשימה, לוחצים על Allow Services (התרת שירותים) כדי להוסיף אותם. אם שירותי BigQuery לא מופיעים ברשימה, צריך לחכות עד שהתהליך הפנימי יסתיים. אם השירותים לא מופיעים תוך 12 שעות מיצירת התיקייה, צריך לפנות אל Cloud Customer Care. אחרי שתהליך ההפעלה יושלם, תוכלו להשתמש ב-BigQuery בתיקייה Assured Workloads. ‫Gemini ב-BigQuery לא נתמך על ידי Assured Workloads.
ממשקי API תואמים של BigQuery	ממשקי ה-API הבאים של BigQuery תואמים ל-ITAR: `bigquery.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerymigration.googleapis.com` `bigquerystorage.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerydatatransfer.googleapis.com` ממשק ה-API של ההזמנות לא מופעל כברירת מחדל. מידע נוסף זמין במאמר הפעלת API בפרויקט ב- Google Cloud .
אזורים	‫BigQuery תואם ל-ITAR בכל האזורים בארה"ב של BigQuery, למעט האזור הגיאוגרפי בארה"ב שכולל מספר אזורים. אי אפשר להבטיח תאימות ל-ITAR אם מערך נתונים נוצר באזור בארה"ב, באזור שלא בארה"ב או במספר אזורים שלא בארה"ב. באחריותכם לציין אזור שתואם ל-ITAR כשיוצרים מערכי נתונים ב-BigQuery.
שאילתות על קבוצות נתונים של ITAR מפרויקטים שלא עומדים בדרישות ITAR	‫BigQuery לא מונע הפעלת שאילתות על מערכי נתונים של ITAR מפרויקטים שלא עומדים בדרישות ITAR. חשוב לוודא שכל שאילתה שמשתמשת בפעולת קריאה או בפעולת צירוף על נתונים טכניים של ITAR נמצאת בתיקייה שתואמת ל-ITAR.
חיבורים למקורות נתונים חיצוניים	האחריות של Google לתאימות מוגבלת ליכולת של BigQuery Connection API. באחריותכם לוודא שהמוצרים במקור שבהם נעשה שימוש ב-BigQuery Connection API עומדים בדרישות.
תכונות שלא נתמכות	אין תמיכה בתכונות הבאות של BigQuery, ואסור להשתמש בהן בכלי BigQuery CLI. באחריותכם לא להשתמש בהם ב-BigQuery עבור Assured Workloads. אינטראקציה עם מקורות נתונים מרוחקים אין תמיכה ב מודלים של BQML שאומנו חיצונית. יש תמיכה במודלים של BQML שעברו אימון פנימי. אין תמיכה בהסתרת נתונים באמצעות תגי מדיניות. יש תמיכה בהסתרת נתונים באמצעות החלת מדיניות נתונים ישירות על עמודות. ייצוא ל-Google Drive פונקציות מרחוק שאילתות שמורות תזמון תהליך עבודה ב-BigQuery Studio,‏ notebooks לא נתמכים. ‫Gemini ב-BigQuery לא נתמך.
‫BigQuery CLI	יש תמיכה ב-BigQuery CLI.
Google Cloud SDK	כדי לשמור על ההתחייבויות בנוגע לאזוריות הנתונים של נתונים טכניים, צריך להשתמש בגרסה 403.0.0 ואילך של Google Cloud SDK. כדי לוודא מהי גרסת Google Cloud SDK הנוכחית, מריצים את הפקודה `gcloud --version` ואז את הפקודה `gcloud components update` כדי לעדכן לגרסה החדשה ביותר.
אמצעי בקרה לאדמינים	מערכת BigQuery תשבית ממשקי API שלא נתמכים, אבל אדמינים עם הרשאות מספיקות ליצירת תיקיות של Assured Workloads יכולים להפעיל ממשק API שלא נתמך. אם זה יקרה, תקבלו הודעה על אי-תאימות פוטנציאלית דרך לוח הבקרה של Assured Workloads.
טעינת נתונים	אין תמיכה במחברים של שירות העברת נתונים ל-BigQuery עבור אפליקציות של Google Software as a Service‏ (SaaS), ספקי אחסון בענן חיצוניים ומחסני נתונים. באחריותכם לא להשתמש במחברים של שירות העברת הנתונים ל-BigQuery עבור עומסי עבודה של ITAR.
העברות לצד שלישי	‫BigQuery לא מאמת את התמיכה בהעברות של צד שלישי בשירות העברת הנתונים ל-BigQuery. באחריותכם לוודא שיש תמיכה כשמשתמשים בהעברה של צד שלישי בשירות העברת הנתונים ל-BigQuery.
מודלים של BQML שלא עומדים בדרישות	מודלים של BQML שאומנו חיצונית לא נתמכים.
משימות של השאילתה	צריך ליצור משימות של שאילתות רק בתיקיות Assured Workloads.
שאילתות במערכי נתונים בפרויקטים אחרים	‫BigQuery לא מונע הפעלת שאילתות על מערכי נתונים של Assured Workloads מפרויקטים שאינם Assured Workloads. חשוב לוודא שכל שאילתה שכוללת קריאה או צירוף של נתונים מ-Assured Workloads ממוקמת בתיקיות של Assured Workloads. אפשר לציין שם טבלה מלא לתוצאת השאילתה באמצעות `projectname.dataset.table` ב-BigQuery CLI.
Cloud Logging	חלק מנתוני היומן שלכם מועברים ל-BigQuery דרך Cloud Logging. כדי לשמור על תאימות, צריך להשבית את קטגוריות היומנים של `_default` או להגביל את הקטגוריות של `_default` לאזורים שכלולים בהיקף באמצעות הפקודה הבאה: `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` מידע נוסף זמין במאמר בנושא הגדרת אזור ליומנים.

Cloud DNS

התכונות שיושפעו ב-Cloud DNS

תכונה	תיאור
מסוףGoogle Cloud	התכונות של Cloud DNS לא זמינות במסוף Google Cloud . במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.

Cloud Interconnect

התכונות שיושפעו ב-Cloud Interconnect

תכונה	תיאור
מסוףGoogle Cloud	התכונות של Cloud Interconnect לא זמינות במסוף Google Cloud . במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.
VPN בזמינות גבוהה (HA)	כשמשתמשים ב-Cloud Interconnect עם Cloud VPN, צריך להפעיל את הפונקציונליות של VPN בזמינות גבוהה (HA). בנוסף, אתם צריכים לעמוד בדרישות ההצפנה והאזורים שמפורטות בקטע תכונות Cloud VPN שמושפעות.

Cloud Load Balancing

התכונות של Cloud Load Balancing שיושפעו

תכונה	תיאור
מסוףGoogle Cloud	התכונות של Cloud Load Balancing לא זמינות במסוף Google Cloud . במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.
מאזני עומסים אזוריים	חובה להשתמש במאזני עומסים אזוריים בלבד עם ITAR. מידע נוסף על הגדרת מאזני עומסים אזוריים זמין בדפים הבאים: מאזן עומסים פנימי של אפליקציות (ALB) מאזן עומסים חיצוני אזורי של אפליקציות (ALB) מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי

תכונה

תיאור

מסוףGoogle Cloud

התכונות של Cloud Load Balancing לא זמינות במסוף Google Cloud . במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.

מאזני עומסים אזוריים

חובה להשתמש במאזני עומסים אזוריים בלבד עם ITAR. מידע נוסף על הגדרת מאזני עומסים אזוריים זמין בדפים הבאים:

Cloud Logging

התכונות שיושפעו ב-Cloud Logging

תכונה	תיאור
פריטי Sink ביומן	המסננים לא צריכים להכיל נתוני לקוחות. אובייקטי sink ביומן כוללים מסננים שמאוחסנים כהגדרות. אל תיצרו מסננים שמכילים נתוני לקוחות.
רישום ביומן בזמן אמת	המסננים לא צריכים להכיל נתוני לקוחות. סשן של מעקב בזמן אמת כולל מסנן שמאוחסן כתצורה. הפעלת tailing של יומנים לא מאחסנת נתוני רשומות ביומן, אבל יכולה להריץ שאילתות על נתונים ולהעביר אותם בין אזורים. אל תיצרו מסננים שמכילים נתוני לקוחות.
התראות מבוססות-יומן	התכונה הזו מושבתת. אי אפשר ליצור התראות מבוססות-יומן ב Google Cloud מסוף.
כתובות URL מקוצרות לשאילתות ב-Logs Explorer	התכונה הזו מושבתת. אי אפשר ליצור כתובות URL מקוצרות של שאילתות במסוף Google Cloud .
שמירת שאילתות ב-Logs Explorer	התכונה הזו מושבתת. אי אפשר לשמור שאילתות במסוף Google Cloud .
מדיניות התראות שמבוססת על SQL	התכונה הזו מושבתת. אין לך אפשרות להשתמש בתכונה של מדיניות התראות מבוססת-SQL.

Cloud Monitoring

התכונות שיושפעו ב-Cloud Monitoring

תכונה	תיאור
Synthetic Monitor	התכונה הזו מושבתת.
בדיקת זמני פעילות	התכונה הזו מושבתת.
ווידג'טים של חלונית היומן בלוחות בקרה	התכונה הזו מושבתת. אי אפשר להוסיף חלונית יומן ללוח בקרה.
ווידג'טים של לוחות לדיווח על שגיאות במרכזי בקרה	התכונה הזו מושבתת. אי אפשר להוסיף לוח בקרה לדיווח על שגיאות.
סינון ב`EventAnnotation` במרכזי בקרה	התכונה הזו מושבתת. Filter of `EventAnnotation` cannot be set in a dashboard.
`SqlCondition` ב-`alertPolicies`	התכונה הזו מושבתת. אי אפשר להוסיף `SqlCondition` אל `alertPolicy`.

Cloud NAT

התכונות המושפעות של Cloud NAT

תכונה	תיאור
מסוףGoogle Cloud	התכונות של Cloud NAT לא זמינות במסוף Google Cloud . במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.

Cloud Router

התכונות המושפעות של Cloud Router

תכונה	תיאור
מסוףGoogle Cloud	התכונות של Cloud Router לא זמינות במסוף Google Cloud . במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.

Cloud Run

תכונות Cloud Run שמושפעות

תכונה	תיאור
תכונות שלא נתמכות	התכונות הבאות של Cloud Run לא נתמכות: שילוב עם Cloud Trace פונקציות Cloud Run טריגרים של Eventarc

Cloud SQL

התכונות שיושפעו ב-Cloud SQL

תכונה	תיאור
ייצוא לקובץ CSV	אל תשתמשו בתכונה ייצוא לקובץ CSV כי היא לא עומדת בדרישות של ITAR. התכונה הזו מושבתת במסוף Google Cloud .
`executeSql`	אל תשתמשו בשיטה `executeSql` של Cloud SQL API כי היא לא עומדת בדרישות של ITAR.

Cloud Storage

תכונות מושפעות ב-Cloud Storage

תכונה	תיאור
מסוףGoogle Cloud	כדי לשמור על תאימות ל-ITAR, באחריותכם להשתמש במסוף המתאים לסמכות השיפוט Google Cloud . במסוף של אזור שיפוט מסוים אי אפשר להעלות ולהוריד אובייקטים ב-Cloud Storage. כדי להעלות ולהוריד אובייקטים ב-Cloud Storage, אפשר לעיין בשורה נקודות קצה של API שעומדות בדרישות בקטע הזה.
נקודות קצה ל-API שעומדות בדרישות	חובה להשתמש באחת מנקודות הקצה האזוריות שתואמות ל-ITAR עם Cloud Storage. מידע נוסף זמין במאמרים נקודות קצה אזוריות ב-Cloud Storage ומיקומים ב-Cloud Storage.
הגבלות	כדי לעמוד בדרישות התאימות ל-ITAR, צריך להשתמש בנקודות קצה אזוריות של Cloud Storage. מידע נוסף על נקודות קצה אזוריות של Cloud Storage ל-ITAR זמין במאמר נקודות קצה אזוריות של Cloud Storage. נקודות קצה אזוריות לא תומכות בפעולות הבאות. עם זאת, הפעולות האלה לא כוללות נתוני לקוחות, כפי שמוגדר בתנאים למגבלות על מיקום הנתונים. לכן, אתם יכולים להשתמש בנקודות קצה גלובליות לפעולות האלה לפי הצורך, בלי להפר את דרישות התאימות ל-ITAR: פעולות של מפתח HMAC פעולות של חשבון שירות ב-IAM התראות Pub/Sub אם משתמש ינסה לבצע פעולה שלא נתמכת באמצעות נקודות קצה אזוריות, Cloud Storage יחזיר קוד שגיאת HTTP 400 עם הודעת השגיאה: `This endpoint does not implement this operation. Please use the global endpoint.`
העתקה ושכתוב של אובייקטים	נקודות קצה אזוריות תומכות בפעולות של העתקה ושכתוב של אובייקטים, אם גם קטגוריית המקור וגם קטגוריית היעד נמצאות באזור שצוין בנקודת הקצה. אבל אי אפשר להשתמש בנקודות קצה אזוריות כדי להעתיק או לשכתב אובייקט מקטגוריה אחת לאחרת, אם הקטגוריות נמצאות במיקומים שונים. אפשר להשתמש בנקודות קצה גלובליות כדי להעתיק או לשכתב בין מיקומים, אבל אנחנו לא ממליצים על כך כי זה עלול להוביל להפרה של התאימות לתקנות ITAR.

Cloud VPN

תכונות Cloud VPN שמושפעות

תכונה	תיאור
מסוףGoogle Cloud	התכונות של Cloud VPN לא זמינות במסוף Google Cloud . במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.
הצפנה	כשיוצרים אישורים ומגדירים את אבטחת ה-IP, צריך להשתמש רק בהצפנות שתואמות לתקן FIPS 140-2. מידע נוסף על הצפנות נתמכות ב-Cloud VPN זמין בדף הצפנות IKE הנתמכות. הנחיות לבחירת צופן שתואם לתקני FIPS 140-2 מופיעות בדף FIPS 140-2 Validated. אי אפשר לשנות צופן קיים ב- Google Cloud. מוודאים שמגדירים את ההצפנה במכשיר של צד שלישי שמשמש עם Cloud VPN.
נקודות קצה של VPN	חובה להשתמש רק בנקודות קצה של Cloud VPN שנמצאות באזור שכלול בהיקף. מוודאים ששער ה-VPN מוגדר לשימוש רק באזור שכלול בהיקף.

Compute Engine

תכונות מושפעות של Compute Engine

תכונה	תיאור
השהיה וחידוש של מכונה וירטואלית	התכונה הזו מושבתת. השהיה והפעלה מחדש של מכונה וירטואלית דורשות אחסון בדיסק לאחסון מתמיד, ובשלב הזה אי אפשר להצפין את האחסון בדיסק לאחסון מתמיד שמשמש לאחסון המצב של המכונה הווירטואלית המושהית באמצעות CMEK. כדי להבין את ההשלכות של הפעלת התכונה הזו על ריבונות הנתונים ועל מיקום הנתונים, אפשר לעיין במגבלת המדיניות של הארגון `gcp.restrictNonCmekServices` בקטע שלמעלה.
Local SSDs	התכונה הזו מושבתת. לא תוכלו ליצור מופע עם כונני SSD מקומיים כי אי אפשר להצפין אותם באמצעות CMEK. בקטע שלמעלה מוסבר על האילוץ של מדיניות הארגון `gcp.restrictNonCmekServices`, כדי להבין את ההשלכות של הפעלת התכונה הזו על ריבונות הנתונים ועל מיקום הנתונים.
מסוףGoogle Cloud	התכונות הבאות של Compute Engine לא זמינות במסוף Google Cloud . במקום זאת, אפשר להשתמש ב-API או ב-Google Cloud CLI: בדיקות תקינות קבוצות של נקודות קצה ברשת
שיקולי אבטחה לגבי מטא-נתונים של מכונות וירטואליות	באחריותכם לא לכתוב מידע אישי רגיש לשרת המטא-נתונים של המכונה הווירטואלית.
מכונות וירטואליות של Bare Metal Solution	אי אפשר להשתמש במכונות וירטואליות של Bare Metal Solution (מכונות וירטואליות מסוג o2) כי הן לא עומדות בדרישות של ITAR.
מכונות וירטואליות ב-Google Cloud VMware Engine	אי אפשר להשתמש במכונות וירטואליות של Google Cloud VMware Engine, כי הן לא עומדות בדרישות של ITAR.
יצירת מופע של מכונה וירטואלית מסוג C3	התכונה הזו מושבתת.
שימוש בדיסקים מתמידים או בתמונות המצב שלהם ללא CMEK	אי אפשר להשתמש בדיסקים קבועים או בתמונות המצב שלהם אלא אם הם מוצפנים באמצעות CMEK.
שיתוף של דיסק מתמיד שמבוסס על SSD במצב של גישת כתיבה מרובה	אי אפשר לשתף דיסק מתמיד שמבוסס על SSD במצב ריבוי כותבים בין מופעים של מכונות וירטואליות.
הוספת קבוצת מופעים למאזן עומסים גלובלי	אי אפשר להוסיף קבוצת מופעים למאזן עומסים גלובלי. התכונה הזו מושבתת בגלל אילוץ המדיניות של ארגון `compute.disableGlobalLoadBalancing`.
סביבת אורח	יכול להיות שסקריפטים, תהליכי daemon וקבצים בינאריים שכלולים בסביבת האורח יוכלו לגשת לנתונים לא מוצפנים במצב מנוחה ובזמן השימוש. יכול להיות שעדכונים לתוכנה הזו יותקנו כברירת מחדל, בהתאם להגדרות של המכונה הווירטואלית. מידע ספציפי על התוכן, קוד המקור ועוד של כל חבילה זמין במאמר בנושא סביבת אורח. הרכיבים האלה עוזרים לכם לעמוד בדרישות של ריבונות נתונים באמצעות אמצעי בקרה ותהליכים פנימיים. עם זאת, אם אתם רוצים שליטה נוספת, אתם יכולים גם לבחור תמונות או סוכנים משלכם, ואם תרצו, תוכלו להשתמש באילוץ `compute.trustedImageProjects` של מדיניות הארגון. מידע נוסף זמין במאמר בנושא יצירת תמונה בהתאמה אישית.
OS policies in VM Manager	סקריפטים מוטבעים וקבצים בינאריים של פלט בתוך קובצי מדיניות של מערכת ההפעלה לא מוצפנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK). אל תכללו מידע רגיש בקבצים האלה. מומלץ לאחסן את הסקריפטים האלה ואת קובצי הפלט בקטגוריות של Cloud Storage. דוגמאות למדיניות של מערכת הפעלה אם רוצים להגביל את היצירה או השינוי של משאבי מדיניות מערכת הפעלה שמשתמשים בסקריפטים מוטבעים או בקובצי פלט בינאריים, צריך להפעיל את אילוץ מדיניות הארגון `constraints/osconfig.restrictInlineScriptAndOutputFileUsage`. מידע נוסף זמין במאמר מגבלות של OS Config.
`instances.getSerialPortOutput()`	ממשק ה-API הזה מושבת. לא תהיה לכם אפשרות לקבל פלט של יציאה טורית מהמופע שצוין באמצעות ה-API הזה. כדי להפעיל את ה-API הזה, משנים את הערך של `compute.disableInstanceDataAccessApis` האילוץ של מדיניות הארגון ל-False. אפשר גם להפעיל ולהשתמש ביציאה הטורית האינטראקטיבית לפי ההוראות שבקטע הפעלת גישה לפרויקט.
`instances.getScreenshot()`	ממשק ה-API הזה מושבת. לא תהיה לך אפשרות לצלם צילום מסך מהמופע שצוין באמצעות ה-API הזה. כדי להפעיל את ה-API הזה, משנים את הערך של `compute.disableInstanceDataAccessApis` האילוץ של מדיניות הארגון ל-False. אפשר גם להפעיל ולהשתמש ביציאה הטורית האינטראקטיבית לפי ההוראות שבקטע הפעלת גישה לפרויקט.

מגבלות של מדיניות הארגון ב-Compute Engine

אילוץ של מדיניות הארגון	תיאור
`compute.enableComplianceMemoryProtection`	מגדירים את הערך True. ההגדרה משביתה חלק מתכונות האבחון הפנימיות כדי לספק הגנה נוספת על תכני הזיכרון במקרה של תקלה בתשתית. שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.
`compute.disableGlobalCloudArmorPolicy`	מגדירים את הערך True. משבית את היצירה של כללי מדיניות גלובליים לאבטחה ב-Google Cloud Armor ואת ההוספה או השינוי של כללים בכללי מדיניות גלובליים קיימים לאבטחה ב-Google Cloud Armor. המגבלה הזו לא חלה על הסרת כללים או על היכולת להסיר או לשנות את התיאור ואת כרטיס המוצר של מדיניות אבטחה גלובלית של Google Cloud Armor. האילוץ הזה לא משפיע על כללי מדיניות האבטחה האזוריים של Google Cloud Armor. כל כללי המדיניות הגלובליים והאזוריים לאבטחה שקיימים לפני האכיפה של ההגבלה הזו יישארו בתוקף.
`compute.disableGlobalLoadBalancing`	מגדירים את הערך True. משבית את היצירה של מוצרים גלובליים לאיזון עומסים. שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.
`compute.disableGlobalSelfManagedSslCertificate`	מגדירים את הערך True. משבית את היצירה של אישורי SSL בניהול עצמי ברמה הגלובלית. שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.
`compute.disableInstanceDataAccessApis`	מגדירים את הערך True. משבית את ממשקי ה-API של `instances.getSerialPortOutput()` ושל `instances.getScreenshot()` בכל העולם. הפעלת האילוץ הזה מונעת יצירת פרטי כניסה במכונות וירטואליות של Windows Server. אם אתם צריכים לנהל שם משתמש וסיסמה במכונת VM של Windows, אתם יכולים לפעול לפי השלבים הבאים: הפעלת SSH למכונות וירטואליות של Windows. מריצים את הפקודה הבאה כדי לשנות את הסיסמה של מכונת ה-VM: gcloud compute ssh `VM_NAME` --command "net user `USERNAME` `PASSWORD`" מחליפים את מה שכתוב בשדות הבאים: ‫`VM_NAME`: השם של המכונה הווירטואלית שאתם מגדירים לה סיסמה. ‫`USERNAME`: שם המשתמש של המשתמש שרוצים להגדיר לו סיסמה. `PASSWORD`: הסיסמה החדשה.
`compute.requireOsConfig`	מגדירים את הערך True. מפעיל את VM Manager (OS Config) בכל הפרויקטים החדשים. בכל המכונות הווירטואליות שייווצרו בפרויקטים חדשים, VM Manager יהיה מופעל.
`compute.restrictNonConfidentialComputing`	(אופציונלי) לא הוגדר ערך. כדאי להגדיר את הערך הזה כדי לספק הגנה נוספת. מידע נוסף זמין במאמרי העזרה בנושא מכונות וירטואליות חסויות.
`compute.trustedImageProjects`	(אופציונלי) לא הוגדר ערך. כדאי להגדיר את הערך הזה כדי לספק הגנה נוספת. הגדרת הערך הזה מגבילה את אחסון התמונות ואת יצירת המופעים של הדיסקים לרשימה שצוינה של פרויקטים. הערך הזה משפיע על ריבונות הנתונים, כי הוא מונע שימוש בתמונות או בסוכנים לא מורשים.

Knowledge Catalog

תכונות של Knowledge Catalog

תכונה	תיאור
Attribute Store	התכונה הזו יצאה משימוש והיא מושבתת.
Data Catalog	התכונה הזו יצאה משימוש והיא מושבתת. אי אפשר לחפש את המטא-נתונים או לנהל אותם בקטלוג הנתונים.
אגמים ואזורים	התכונה הזו מושבתת. אין לכם אפשרות לנהל אגמים, אזורים ומשימות.

Google Cloud Armor

התכונות של Google Cloud Armor שהושפעו

תכונה	תיאור
כללי מדיניות גלובליים לאבטחה	התכונה הזו מושבתת בגלל הגבלת המדיניות של הארגון `compute.disableGlobalCloudArmorPolicy`.

Google Kubernetes Engine

תכונות של Google Kubernetes Engine שהושפעו

תכונה	תיאור
הגבלות על משאבי אשכול	חשוב לוודא שהגדרת האשכול לא משתמשת במשאבים לשירותים שלא נתמכים ב-ITAR. לדוגמה, ההגדרה הבאה לא תקינה כי היא מחייבת הפעלה של שירות שלא נתמך או שימוש בו: set `binaryAuthorization.evaluationMode` to `enabled`

מגבלות של מדיניות הארגון ב-Google Kubernetes Engine

אילוץ של מדיניות הארגון	תיאור
`container.restrictNoncompliantDiagnosticDataAccess`	מגדירים את הערך True. משבית את הניתוח המצטבר של בעיות בליבת המערכת, שנדרש כדי לשמור על שליטה ריבונית בעומס עבודה. שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.

Network Connectivity Center

התכונות המושפעות ב-Network Connectivity Center

תכונה	תיאור
מסוףGoogle Cloud	התכונות של Network Connectivity Center לא זמינות ב- Google Cloud console. במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.

Pub/Sub

אילוצים של מדיניות הארגון ב-Pub/Sub

אילוץ של מדיניות הארגון	תיאור
`pubsub.enforceInTransitRegions`	מגדירים את הערך True. מוודא שנתוני הלקוח מועברים רק באזורים המותרים שצוינו במדיניות אחסון ההודעות בנושא ב-Pub/Sub. שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.
`pubsub.managed.disableSubscriptionMessageTransforms`	מגדירים את הערך True. משבית את האפשרות להגדיר מינויים ל-Pub/Sub עם Single Message Transforms (SMTs). שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.
`pubsub.managed.disableTopicMessageTransforms`	מגדירים את הערך True. ההגדרה הזו משביתה את האפשרות להגדיר Single Message Transforms (SMTs) בנושאים של Pub/Sub. שינוי הערך הזה עשוי להשפיע על מיקום הנתונים או על ריבונות הנתונים של עומס העבודה.

Security Command Center Premium

תכונות מושפעות ב-Security Command Center Premium

תכונה	תיאור
Compliance Manager	הכלי Compliance Manager לא נתמך ולא עומד בדרישות הבקרה של ITAR.
Data Security Posture Management	התכונה Data Security Posture Management לא נתמכת ולא עומדת בדרישות הבקרה של ITAR.

ענן וירטואלי פרטי (VPC)

התכונות המושפעות ב-VPC

תכונה	תיאור
מסוףGoogle Cloud	תכונות של רשתות VPC לא זמינות במסוף. Google Cloud במקום זאת, אפשר להשתמש בAPI או ב-Google Cloud CLI.