美國醫療照護與生命科學資料邊界
本頁說明使用「美國醫療照護與生命科學資料邊界」和「美國醫療照護與生命科學資料邊界與支援」控制套件時的限制和其他設定選項。
總覽
您可以透過「美國醫療照護與生命科學資料邊界」和「美國醫療照護與生命科學資料邊界與支援」控制項套件,執行符合《健康保險流通與責任法案》(HIPAA) 和健康資訊信賴聯盟 (HITRUST) 規定的工作負載。
每項支援的產品都符合下列規定:
- 列於 Google Cloud的《健康保險流通與責任法案》業務合作協議 (BAA) 頁面
- 列於 HITRUST Common Security Framework (CSF) 頁面Google Cloud
- 支援 Cloud KMS 客戶自行管理的加密金鑰 (CMEK)
- 支援 VPC Service Controls
- 支援資料存取透明化控管機制記錄
- 支援存取權核准要求
- 支援靜態資料落地機制,但僅限美國境內
允許使用其他服務
每個美國醫療照護與生命科學資料邊界控制套件都包含支援服務的預設設定,並透過在 Assured Workloads 資料夾中設定的「限制服務用量」(gcp.restrictServiceUsage) 機構政策限制強制執行。不過,如果工作負載需要其他服務,您可以修改這項限制的值。詳情請參閱「限制工作負載的資源用量」。
您選擇加入許可清單的任何其他服務,都必須列在 Google Cloud的《健康保險流通與責任法案》業務合作協議頁面,或列在 Google Cloud的 HITRUST CSF 頁面。
如果您修改 gcp.restrictServiceUsage 限制條件來新增其他服務,Assured Workloads 監控功能會回報違規事項。如要移除這些違規事項,並避免日後收到已加入許可清單的服務通知,請務必為每項違規事項授予例外狀況。
如要將服務新增至允許清單,請參閱下列章節瞭解其他注意事項。
由客戶管理的加密金鑰 (CMEK)
將服務加入許可清單前,請先查看 Cloud KMS 說明文件中的「相容服務」頁面,確認服務支援 CMEK。如果您想允許不支援 CMEK 的服務,請選擇接受相關風險,詳情請參閱「Assured Workloads 中的責任分擔」。
如要在使用 CMEK 時強制執行更嚴格的安全防護措施,請參閱 Cloud KMS 說明文件中的「查看金鑰使用情形」頁面。
資料落地
將服務加入允許清單前,請先確認該服務是否列於「Google Cloud 資料落地服務」頁面。如要允許不支援資料駐留的服務,您可以選擇接受相關風險,詳情請參閱「Assured Workloads 中的共同責任」。
VPC Service Controls
將服務新增至許可清單前,請先參閱 VPC Service Controls 說明文件的「支援的產品和限制」頁面,確認該服務是否支援 VPC Service Controls。如要允許使用不支援 VPC Service Controls 的服務,您可以選擇接受相關風險,詳情請參閱「Assured Workloads 中的責任分擔」。
資料存取透明化控管機制與 Access Approval
將服務加入允許清單前,請先查看下列頁面,確認服務可以寫入資料存取透明化控管機制記錄,並支援 Access Approval 要求:
如果您想允許不寫入資料存取透明化控管機制記錄檔,且不支援 Access Approval 要求的服務,您可以選擇接受相關風險,如「Assured Workloads 中的責任分擔」一文所述。
支援的產品和服務
美國醫療照護與生命科學資料邊界,以及美國醫療照護與生命科學資料邊界與支援控管套件支援下列產品:
| 支援的產品 | 全域 API 端點 | 限制 |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comnetworksecurity.googleapis.comnetworkservices.googleapis.com |
無 |
| Artifact Registry |
artifactregistry.googleapis.com |
無 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
無 |
| BigQuery 資料移轉服務 |
bigquerydatatransfer.googleapis.com |
無 |
| 二進位授權 |
binaryauthorization.googleapis.com |
無 |
| 憑證授權單位服務 |
privateca.googleapis.com |
無 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
無 |
| Cloud Build |
cloudbuild.googleapis.com |
無 |
| Cloud Composer |
composer.googleapis.com |
無 |
| Cloud Data Fusion |
datafusion.googleapis.com |
無 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
無 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
無 |
| Cloud Data Fusion |
datafusion.googleapis.com |
無 |
| 身分與存取權管理 (IAM) |
iam.googleapis.com |
無 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
無 |
| Cloud Logging |
logging.googleapis.com |
無 |
| Pub/Sub |
pubsub.googleapis.com |
無 |
| Cloud Router |
networkconnectivity.googleapis.com |
無 |
| Cloud Run |
run.googleapis.com |
受影響的功能 |
| Spanner |
spanner.googleapis.com |
受影響的功能 和機構政策限制 |
| Cloud SQL |
sqladmin.googleapis.com |
無 |
| Cloud Storage |
storage.googleapis.com |
無 |
| Cloud Tasks |
cloudtasks.googleapis.com |
無 |
| Cloud Vision API |
vision.googleapis.com |
無 |
| Cloud VPN |
compute.googleapis.com |
無 |
| Compute Engine |
compute.googleapis.com |
組織政策限制 |
| Customer Experience Insights |
contactcenterinsights.googleapis.com |
無 |
| Eventarc |
eventarc.googleapis.com |
無 |
| Filestore |
file.googleapis.com |
無 |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
無 |
| Memorystore for Redis |
redis.googleapis.com |
無 |
| Persistent Disk |
compute.googleapis.com |
無 |
| Secret Manager |
secretmanager.googleapis.com |
無 |
| Sensitive Data Protection |
dlp.googleapis.com |
無 |
| Speech-to-Text |
speech.googleapis.com |
無 |
| Text-to-Speech |
texttospeech.googleapis.com |
無 |
| 虛擬私有雲 (VPC) |
compute.googleapis.com |
無 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
無 |
規定與限制
以下各節說明功能 Google Cloud層級或產品專屬的限制,包括美國醫療照護與生命科學資料邊界資料夾預設的任何機構政策限制。
Google Cloud全機構適用的組織政策限制
下列機構政策限制適用於任何適用的 Google Cloud 服務。
| 機構政策限制 | 說明 |
|---|---|
gcp.resourceLocations |
在 allowedValues 清單中設定下列位置:
|
gcp.restrictServiceUsage |
設為允許所有支援的服務。 限制對資源的執行階段存取權,決定可使用的服務。詳情請參閱「限制工作負載的資源用量」。 |
gcp.restrictTLSVersion |
設定拒絕下列 TLS 版本:
|
Compute Engine
Compute Engine 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
設為 True。 禁止建立 Google Cloud Armor 安全性政策。 |
Cloud Run
受影響的 Cloud Run 功能
| 功能 | 說明 |
|---|---|
| 不支援的功能 | 系統不支援下列 Cloud Run 功能: |
Spanner
受影響的 Spanner 功能
| 功能 | 說明 |
|---|---|
| 分割邊界 | Spanner 會使用一小部分主鍵和已建立索引的資料欄來定義分割界線,其中可能包含客戶資料和中繼資料。Spanner 中的分割界線表示連續資料列範圍分割成較小片段的位置。 Google 人員可基於技術支援和偵錯目的存取這些分割邊界,且不受美國醫療照護與生命科學資料邊界中的管理存取資料控制項限制。 |
Spanner 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
設為 True。 對 Spanner 資源套用額外的資料主權和支援性控制項。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
設為 True。 禁止建立多區域 Spanner 執行個體,以強制執行資料落地權和資料主權。 |