Restrizioni e limitazioni per i controlli per sanità e scienze biologiche
In questa pagina vengono descritte le restrizioni, le limitazioni e altre configurazioni quando si utilizzano i controlli per la sanità e le scienze biologiche e la Controlli per le scienze biologiche con pacchetti di controllo dell'assistenza USA.
Panoramica
I pacchetti di controlli Healthcare and Life Sciences Controls e Healthcare and Life Sciences Controls with US Support ti consentono di eseguire carichi di lavoro conformi ai requisiti dell'Health Insurance Portability and Accountability Act (HIPAA) e di Health Information Trust Alliance (HITRUST).
Ogni prodotto supportato soddisfa i seguenti requisiti:
- Pubblicato in data Pagina del Contratto di società in affari (BAA, Business Associate Agreement) di Google Cloud
- Elencati nella pagina del Common Security Framework (CSF) di HITRUST di Google Cloud
- Supporta chiavi di crittografia gestite dal cliente (CMEK) di Cloud KMS
- Supporta i Controlli di servizio VPC
- Supporta i log di Access Transparency
- Supporta le richieste di Access Approval
- Supporta la residenza dei dati at-rest limitata alle località degli Stati Uniti
Consentire servizi aggiuntivi
Ogni pacchetto di controlli per la sanità e le scienze biologiche include un
dei servizi supportati, applicata in modo forzato da un
Limita l'utilizzo dei servizi
Vincolo del criterio dell'organizzazione (gcp.restrictServiceUsage) impostato nella tua
Cartella Assured Workloads. Tuttavia, puoi modificare il valore di questo vincolo per includere altri servizi, se il tuo carico di lavoro lo richiede. Consulta
Limita l'utilizzo delle risorse per i carichi di lavoro
per ulteriori informazioni.
Eventuali servizi aggiuntivi che scegli di aggiungere alla lista consentita devono essere elencati in pagina del BAA HIPAA di Google Cloud oppure essere elencato su Pagina HITRUST CSF di Google Cloud.
Quando aggiungi altri servizi modificando gcp.restrictServiceUsage
vincolo, il monitoraggio di Assured Workloads segnalerà la conformità
violazioni delle norme. Per rimuovere queste violazioni e impedire future notifiche per
aggiungere servizi alla lista consentita, devi
concedi un'eccezione per ogni
violazione delle norme.
Ulteriori considerazioni sono descritte nell'aggiunta di un servizio alla lista consentita nelle sezioni seguenti.
Chiavi di crittografia gestite dal cliente (CMEK)
Prima di aggiungere un servizio alla lista consentita, verifica che supporti CMEK consulta la pagina Servizi compatibili nel documentazione di Cloud KMS. Se vuoi consentire un servizio che non supportare CMEK, spetta a te accettare i rischi associati come descritto Responsabilità condivisa in Assured Workloads.
Se vuoi applicare una security posture più rigorosa quando utilizzi CMEK, vedi Pagina Visualizza l'utilizzo delle chiavi in Cloud KMS documentazione.
Residenza dei dati
Prima di aggiungere un servizio alla lista consentita, verifica che sia elencato nella alla pagina Servizi Google Cloud con residenza dei dati. Se vuoi consentire un servizio che non supporta la residenza dei dati, la scelta di accettare i rischi associati come descritto Responsabilità condivisa in Assured Workloads.
Controlli di servizio VPC
Prima di aggiungere un servizio alla lista consentita, verifica che sia supportato i Controlli di servizio VPC esaminando Prodotti supportati e limitazioni consulta la pagina Controlli di servizio VPC. Se vuoi consentire un servizio non supporta i Controlli di servizio VPC, puoi scegliere di accettare i ai rischi descritti in Responsabilità condivisa in Assured Workloads.
Access Transparency e Access Approval
Prima di aggiungere un servizio alla lista consentita, verifica che possa scrivere i log di Access Transparency e supporti le richieste di approvazione dell'accesso esaminando le seguenti pagine:
Se vuoi consentire un servizio che non scrive i log di Access Transparency e non supporta le richieste di Access Approval, puoi scegliere di accettare ai rischi associati, come descritto Responsabilità condivisa in Assured Workloads.
Prodotti e servizi supportati
I seguenti prodotti sono supportati nei pacchetti di controlli per il settore sanitario e delle scienze biologiche e per il settore sanitario e delle scienze biologiche con assistenza negli Stati Uniti:
| Prodotto supportato | Endpoint API globali | Restrizioni o limitazioni |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Nessuno |
| Artifact Registry |
artifactregistry.googleapis.com |
Nessuno |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Nessuno |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Nessuno |
| Autorizzazione binaria |
binaryauthorization.googleapis.com |
Nessuno |
| Certificate Authority Service |
privateca.googleapis.com |
Nessuno |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Nessuno |
| Cloud Build |
cloudbuild.googleapis.com |
Nessuno |
| Cloud Composer |
composer.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Nessuno |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Nessuno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nessuno |
| Cloud Logging |
logging.googleapis.com |
Nessuno |
| Pub/Sub |
pubsub.googleapis.com |
Nessuno |
| Cloud Router |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud Run |
run.googleapis.com |
Nessuno |
| Spanner |
spanner.googleapis.com |
Funzionalità interessate e i vincoli dei criteri dell'organizzazione |
| Cloud SQL |
sqladmin.googleapis.com |
Nessuno |
| Cloud Storage |
storage.googleapis.com |
Nessuno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nessuno |
| API Cloud Vision |
vision.googleapis.com |
Nessuno |
| Cloud VPN |
compute.googleapis.com |
Nessuno |
| Compute Engine |
compute.googleapis.com |
Vincoli dei criteri dell'organizzazione |
| Approfondimenti di Contact Center AI |
contactcenterinsights.googleapis.com |
Nessuno |
| Eventarc |
eventarc.googleapis.com |
Nessuno |
| Filestore |
file.googleapis.com |
Nessuno |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Nessuno |
| Memorystore for Redis |
redis.googleapis.com |
Nessuno |
| Persistent Disk |
compute.googleapis.com |
Nessuno |
| Secret Manager |
secretmanager.googleapis.com |
Nessuno |
| Sensitive Data Protection |
dlp.googleapis.com |
Nessuno |
| Speech-to-Text |
speech.googleapis.com |
Nessuno |
| Text-to-Speech |
texttospeech.googleapis.com |
Nessuno |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Nessuno |
| Controlli di servizio VPC |
accesscontextmanager.googleapis.com |
Nessuno |
Restrizioni e limitazioni
Le seguenti sezioni descrivono a livello di Google Cloud o specifiche del prodotto limitazioni o limitazioni delle funzionalità, inclusi eventuali criteri dell'organizzazione. vincoli impostati per impostazione predefinita nei controlli di sanità e scienze biologiche cartelle.
Vincoli dei criteri dell'organizzazione a livello di Google Cloud
Le seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta le seguenti località nell'elenco allowedValues:
|
gcp.restrictServiceUsage |
Impostato per consentire tutti i servizi supportati. Determina quali servizi possono essere abilitati e utilizzati. Per ulteriori informazioni, vedi Limita l'utilizzo delle risorse per i carichi di lavoro. |
gcp.restrictTLSVersion |
Imposta per negare le seguenti versioni TLS:
|
Compute Engine
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Imposta su True. Disabilita la creazione dei criteri di sicurezza di Google Cloud Armor. |
Spanner
Funzionalità di Spanner interessate
| Funzionalità | Descrizione |
|---|---|
| Dividi confini | Spanner usa un piccolo sottoinsieme di chiavi primarie
colonne da definire
confini separati,
che possono includere dati dei clienti e metadati. Un confine divisa in
Spanner indica la posizione in cui gli intervalli contigui di righe
sono suddivisi in parti più piccole. Questi confini di suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo in Controlli per il settore sanitario e delle scienze biologiche. |
Vincoli dei criteri dell'organizzazione di Spanner
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Imposta su True. Applica controlli aggiuntivi per la sovranità dei dati e la supportabilità Risorse Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Imposta su True. Disattiva la possibilità di creare istanze Spanner multiregione per applicare la residenza dei dati e la sovranità dei dati. |
Passaggi successivi
- Informazioni sui pacchetti di controlli per Assured Workloads.
- Scopri quali prodotti sono supportati per ogni pacchetto di controlli.