Die Namen einiger Assured Workloads-Kontrollpakete haben sich geändert. Weitere Informationen zur Namensänderung finden Sie unter Hinweis zur Umbenennung von Kontrollpaketen.

US-Datengrenze für Gesundheitswesen und Biowissenschaften

Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie die Kontrollpakete „US-Datengrenze für Gesundheitswesen und Biowissenschaften“ und „US-Datengrenze für Gesundheitswesen und Biowissenschaften mit Support“ verwenden.

Übersicht

Mit den Kontrollpaketen „US-Datengrenze für Gesundheitswesen und Biowissenschaften“ und „US-Datengrenze für Gesundheitswesen und Biowissenschaften mit Support“ können Sie Arbeitslasten ausführen, die den Anforderungen des Health Insurance Portability and Accountability Act (HIPAA) und der Health Information Trust Alliance (HITRUST) entsprechen.

Jedes unterstützte Produkt erfüllt die folgenden Anforderungen:

Auf der Seite HIPAA Business Associate Agreement (BAA) vonGoogle Cloudaufgeführt
Auf der HITRUST Common Security Framework (CSF)-Seite vonGoogle Cloud aufgeführt
Unterstützt kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) von Cloud KMS
Unterstützt VPC Service Controls
Unterstützt Access Transparency-Logs
Unterstützt Anfragen für die Zugriffsgenehmigung
Unterstützt die Speicherung inaktiver Daten, die auf US-Standorte beschränkt ist

Zusätzliche Dienste zulassen

Jedes Kontrollpaket für die US-Datengrenze für Gesundheitswesen und Biowissenschaften enthält eine Standardkonfiguration der unterstützten Dienste, die durch die Organisationsrichtlinieneinschränkung Ressourcendienstnutzung einschränken (gcp.restrictServiceUsage) erzwungen wird, die für Ihren Assured Workloads-Ordner festgelegt ist. Sie können den Wert dieser Einschränkung jedoch ändern, um andere Dienste einzuschließen, wenn Ihre Arbeitslast dies erfordert. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.

Alle zusätzlichen Dienste, die Sie auf die Zulassungsliste setzen möchten, müssen auf der HIPAA BAA-Seite vonGoogle Cloud oder auf der HITRUST CSF-Seite vonGoogle Cloud aufgeführt sein.

Wenn Sie zusätzliche Dienste hinzufügen, indem Sie die Einschränkung gcp.restrictServiceUsage ändern, werden im Assured Workloads-Monitoring Complianceverstöße gemeldet. Wenn Sie diese Verstöße entfernen und zukünftige Benachrichtigungen für Dienste, die der Zulassungsliste hinzugefügt wurden, vermeiden möchten, müssen Sie für jeden Verstoß eine Ausnahme gewähren.

Zusätzliche Überlegungen beim Hinzufügen eines Dienstes zur Zulassungsliste werden in den folgenden Abschnitten beschrieben.

Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie, ob er CMEK unterstützt. Sehen Sie dazu in der Cloud KMS-Dokumentation auf der Seite Kompatible Dienste nach. Wenn Sie einen Dienst zulassen möchten, der CMEK nicht unterstützt, liegt es in Ihrem Ermessen, die damit verbundenen Risiken zu akzeptieren, wie unter Gemeinsame Verantwortung in Assured Workloads beschrieben.

Wenn Sie bei der Verwendung von CMEK eine strengere Sicherheitskonfiguration erzwingen möchten, lesen Sie die Seite Schlüsselnutzung ansehen in der Cloud KMS-Dokumentation.

Datenstandort

Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie, ob er auf der Seite Google Cloud Dienste mit Datenspeicherort aufgeführt ist. Wenn Sie einen Dienst zulassen möchten, der die Datenresidenz nicht unterstützt, liegt es in Ihrem Ermessen, die damit verbundenen Risiken zu akzeptieren, wie unter Gemeinsame Verantwortung in Assured Workloads beschrieben.

VPC Service Controls

Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie in der Dokumentation zu VPC Service Controls auf der Seite Unterstützte Produkte und Einschränkungen, ob er von VPC Service Controls unterstützt wird. Wenn Sie einen Dienst zulassen möchten, der VPC Service Controls nicht unterstützt, liegt es in Ihrem Ermessen, die damit verbundenen Risiken zu akzeptieren, wie unter Gemeinsame Verantwortung in Assured Workloads beschrieben.

Access Transparency und Zugriffsgenehmigung

Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie auf den folgenden Seiten, ob er Access Transparency-Logs schreiben kann und Access Approval-Anfragen unterstützt:

Wenn Sie einen Dienst zulassen möchten, der keine Access Transparency-Logs schreibt und keine Access Approval-Anfragen unterstützt, liegt es in Ihrem Ermessen, die damit verbundenen Risiken zu akzeptieren, wie unter Gemeinsame Verantwortung in Assured Workloads beschrieben.

Unterstützte Produkte und Dienste

Die folgenden Produkte werden in den Kontrollpaketen „US-Datengrenze für Gesundheitswesen und Biowissenschaften“ und „US-Datengrenze für Gesundheitswesen und Biowissenschaften mit Support“ unterstützt:

Unterstütztes Produkt	Globale API-Endpunkte	Einschränkungen
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com`	Keine
Artifact Registry	`artifactregistry.googleapis.com`	Keine
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Keine
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com`	Keine
Binärautorisierung	`binaryauthorization.googleapis.com`	Keine
Certificate Authority Service	`privateca.googleapis.com`	Keine
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Keine
Cloud Build	`cloudbuild.googleapis.com`	Keine
Cloud Composer	`composer.googleapis.com`	Keine
Cloud Data Fusion	`datafusion.googleapis.com`	Keine
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Keine
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Keine
Cloud Data Fusion	`datafusion.googleapis.com`	Keine
Identitäts- und Zugriffsverwaltung	`iam.googleapis.com`	Keine
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Keine
Cloud Logging	`logging.googleapis.com`	Keine
Pub/Sub	`pubsub.googleapis.com`	Keine
Cloud Router	`networkconnectivity.googleapis.com`	Keine
Cloud Run	`run.googleapis.com`	Betroffene Funktionen
Spanner	`spanner.googleapis.com`	Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien
Cloud SQL	`sqladmin.googleapis.com`	Keine
Cloud Storage	`storage.googleapis.com`	Keine
Cloud Tasks	`cloudtasks.googleapis.com`	Keine
Cloud Vision API	`vision.googleapis.com`	Keine
Cloud VPN	`compute.googleapis.com`	Keine
Compute Engine	`compute.googleapis.com`	Einschränkungen für Organisationsrichtlinien
Statistiken zur Kundenerfahrung	`contactcenterinsights.googleapis.com`	Keine
Eventarc	`eventarc.googleapis.com`	Keine
Filestore	`file.googleapis.com`	Keine
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Keine
Memorystore for Redis	`redis.googleapis.com`	Keine
Persistent Disk	`compute.googleapis.com`	Keine
Secret Manager	`secretmanager.googleapis.com`	Keine
Sensitive Data Protection	`dlp.googleapis.com`	Keine
Speech-to-Text	`speech.googleapis.com`	Keine
Text-to-Speech	`texttospeech.googleapis.com`	Keine
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Keine
VPC Service Controls	`accesscontextmanager.googleapis.com`	Keine

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit US-Datengrenzen für das Gesundheitswesen und die Biowissenschaften festgelegt sind.

Google Cloud-weite Einschränkungen für Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud -Dienste.

Einschränkung der Organisationsrichtlinie	Beschreibung
`gcp.resourceLocations`	Legen Sie die folgenden Standorte in der Liste `allowedValues` fest: us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Dieser Wert beschränkt das Erstellen neuer Ressourcen nur auf die ausgewählte Wertgruppe. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Eine Liste der Ressourcen, die durch die Organisationsrichtlinieneinschränkung „Ressourcenstandorte“ eingeschränkt werden können, finden Sie unter Unterstützte Dienste für Ressourcenstandorte. Einige Ressourcen sind möglicherweise nicht eingeschränkt. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen. Weitere Informationen finden Sie in der Dokumentation zu Wertgruppen für Organisationsrichtlinien.
`gcp.restrictServiceUsage`	Auf „Alle unterstützten Dienste zulassen“ festgelegt. Bestimmt, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.
`gcp.restrictTLSVersion`	Auf „Verweigern“ setzen für die folgenden TLS-Versionen: TLS_VERSION_1 TLS_VERSION_1_1 Weitere Informationen finden Sie auf der Seite TLS-Versionen einschränken.

Compute Engine

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`compute.disableGlobalCloudArmorPolicy`	Auf True festlegen. Deaktiviert das Erstellen von Google Cloud Armor-Sicherheitsrichtlinien.

Cloud Run

Betroffene Cloud Run-Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Cloud Run-Funktionen werden nicht unterstützt: Cloud Trace-Integration Cloud Run Functions Eventarc-Trigger

Spanner

Betroffene Spanner-Funktionen

Funktion	Beschreibung
Split-Grenzen	Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Aufteilungsgrenzen zu definieren, die Kundendaten und ‑metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile aufgeteilt werden. Google-Mitarbeiter können auf diese geteilten Grenzen zugreifen, um technischen Support zu leisten und Fehler zu beheben. Sie unterliegen nicht den administrativen Datenzugriffskontrollen in der US-Datengrenze für das Gesundheitswesen und die Biowissenschaften.

Funktion

Beschreibung

Split-Grenzen

Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Aufteilungsgrenzen zu definieren, die Kundendaten und ‑metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile aufgeteilt werden.

Google-Mitarbeiter können auf diese geteilten Grenzen zugreifen, um technischen Support zu leisten und Fehler zu beheben. Sie unterliegen nicht den administrativen Datenzugriffskontrollen in der US-Datengrenze für das Gesundheitswesen und die Biowissenschaften.

Einschränkungen für Spanner-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
`spanner.assuredWorkloadsAdvancedServiceControls`	Auf True festlegen. Wendet zusätzliche Kontrollen für Datenhoheit und Support auf Spanner-Ressourcen an.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Auf True festlegen. Deaktiviert die Möglichkeit, multiregionale Spanner-Instanzen zu erstellen, um den Datenstandort und die Datenhoheit zu erzwingen.

Nächste Schritte

Informationen zu den Kontrollpaketen für Assured Workloads.
Unterstützte Produkte für die einzelnen Kontrollpakete