I nomi di alcuni pacchetti di controlli di Assured Workloads sono cambiati. Per informazioni sul cambio di nome, vedi Controllare l'avviso di ridenominazione del pacchetto.

Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche

Questa pagina descrive le limitazioni e le altre opzioni di configurazione quando utilizzi i pacchetti di controlli Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche e Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche con assistenza.

Panoramica

I pacchetti di controlli Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche e Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche con assistenza ti consentono di eseguire carichi di lavoro conformi ai requisiti dell'Health Insurance Portability and Accountability Act (HIPAA) e dell'Health Information Trust Alliance (HITRUST).

Ogni prodotto supportato soddisfa i seguenti requisiti:

Elencato nella pagina del Contratto di società in affari (BAA) diGoogle Cloud
Elencato nella pagina HITRUST Common Security Framework (CSF) diGoogle Cloud
Supporta le chiavi di crittografia gestite dal cliente (CMEK) di Cloud KMS
Supporta i Controlli di servizio VPC
Supporta i log di Access Transparency
Supporta le richieste di Access Approval
Supporta la residenza dei dati at-rest limitata alle località degli Stati Uniti

Consentire servizi aggiuntivi

Ogni pacchetto di controlli del confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche include una configurazione predefinita dei servizi supportati, che viene applicata da un vincolo dei criteri dell'organizzazione Limitazione dell'utilizzo del servizio (gcp.restrictServiceUsage) impostato nella cartella Assured Workloads. Tuttavia, puoi modificare il valore di questo vincolo per includere altri servizi se il tuo carico di lavoro lo richiede. Per saperne di più, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.

Qualsiasi servizio aggiuntivo che scegli di aggiungere alla lista consentita deve essere elencato nella pagina BAA HIPAA diGoogle Cloud o nella pagina CSF HITRUST diGoogle Cloud.

Quando aggiungi servizi aggiuntivi modificando il vincolo gcp.restrictServiceUsage, il monitoraggio di Assured Workloads segnalerà le violazioni della conformità. Per rimuovere queste violazioni ed evitare notifiche future per i servizi aggiunti alla lista consentita, devi concedere un'eccezione per ogni violazione.

Ulteriori considerazioni da tenere presenti quando aggiungi un servizio alla lista consentita sono descritte nelle sezioni seguenti.

Chiavi di crittografia gestite dal cliente (CMEK)

Prima di aggiungere un servizio alla lista consentita, verifica che supporti CMEK consultando la pagina Servizi compatibili nella documentazione di Cloud KMS. Se vuoi consentire un servizio che non supporta CMEK, è tua scelta accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.

Se vuoi applicare una postura di sicurezza più rigorosa quando utilizzi CMEK, consulta la pagina Visualizzare l'utilizzo delle chiavi nella documentazione di Cloud KMS.

Residenza dei dati

Prima di aggiungere un servizio alla lista consentita, verifica che sia elencato nella pagina Google Cloud Servizi con residenza dei dati. Se vuoi consentire un servizio che non supporta la residenza dei dati, è tua scelta accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.

Controlli di servizio VPC

Prima di aggiungere un servizio alla lista consentita, verifica che sia supportato dai Controlli di servizio VPC consultando la pagina Prodotti supportati e limitazioni nella documentazione dei Controlli di servizio VPC. Se vuoi consentire un servizio che non supporta Controlli di servizio VPC, spetta a te accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.

Access Transparency e Access Approval

Prima di aggiungere un servizio alla lista consentita, verifica che possa scrivere i log di Access Transparency e supporti le richieste di approvazione dell'accesso esaminando le seguenti pagine:

Se vuoi consentire un servizio che non scrive log Access Transparency e non supporta le richieste di approvazione dell'accesso, spetta a te accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.

Prodotti e servizi supportati

I seguenti prodotti sono supportati nei pacchetti di controlli Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche e Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche con assistenza:

Prodotto supportato	Endpoint API globali	Restrizioni o limitazioni
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com`	Nessuno
Artifact Registry	`artifactregistry.googleapis.com`	Nessuno
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Nessuno
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com`	Nessuno
Autorizzazione binaria	`binaryauthorization.googleapis.com`	Nessuno
Certificate Authority Service	`privateca.googleapis.com`	Nessuno
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Nessuno
Cloud Build	`cloudbuild.googleapis.com`	Nessuno
Cloud Composer	`composer.googleapis.com`	Nessuno
Cloud Data Fusion	`datafusion.googleapis.com`	Nessuno
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Nessuno
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nessuno
Cloud Data Fusion	`datafusion.googleapis.com`	Nessuno
Identity and Access Management (IAM)	`iam.googleapis.com`	Nessuno
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Nessuno
Cloud Logging	`logging.googleapis.com`	Nessuno
Pub/Sub	`pubsub.googleapis.com`	Nessuno
Cloud Router	`networkconnectivity.googleapis.com`	Nessuno
Cloud Run	`run.googleapis.com`	Funzionalità interessate
Spanner	`spanner.googleapis.com`	Funzionalità interessate e vincoli delle policy dell'organizzazione
Cloud SQL	`sqladmin.googleapis.com`	Nessuno
Cloud Storage	`storage.googleapis.com`	Nessuno
Cloud Tasks	`cloudtasks.googleapis.com`	Nessuno
API Cloud Vision	`vision.googleapis.com`	Nessuno
Cloud VPN	`compute.googleapis.com`	Nessuno
Compute Engine	`compute.googleapis.com`	Vincoli delle policy dell'organizzazione
Approfondimenti sull'esperienza cliente	`contactcenterinsights.googleapis.com`	Nessuno
Eventarc	`eventarc.googleapis.com`	Nessuno
Filestore	`file.googleapis.com`	Nessuno
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Nessuno
Memorystore for Redis	`redis.googleapis.com`	Nessuno
Persistent Disk	`compute.googleapis.com`	Nessuno
Secret Manager	`secretmanager.googleapis.com`	Nessuno
Sensitive Data Protection	`dlp.googleapis.com`	Nessuno
Speech-to-Text	`speech.googleapis.com`	Nessuno
Text-to-Speech	`texttospeech.googleapis.com`	Nessuno
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Nessuno
Controlli di servizio VPC	`accesscontextmanager.googleapis.com`	Nessuno

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o le restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi i vincoli delle norme dell'organizzazione impostati per impostazione predefinita nelle cartelle del confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche.

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.

Vincolo delle policy dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta le seguenti località nell'elenco `allowedValues`: us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Questo valore limita la creazione di nuove risorse solo al gruppo di valori selezionato. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo di policy dell'organizzazione Località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non limitabili. La modifica di questo valore rendendolo meno restrittivo potrebbe compromettere la residenza dei dati consentendo la creazione o l'archiviazione dei dati al di fuori di un limite di dati conforme. Per saperne di più, consulta la documentazione relativa ai gruppi di valori delle policy dell'organizzazione.
`gcp.restrictServiceUsage`	Impostato per consentire tutti i servizi supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per saperne di più, consulta Limitare l'utilizzo delle risorse per i workload.
`gcp.restrictTLSVersion`	Imposta il rifiuto delle seguenti versioni TLS: TLS_VERSION_1 TLS_VERSION_1_1 Per saperne di più, consulta la pagina Limita le versioni TLS.

Compute Engine

Vincoli dei criteri dell'organizzazione Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
`compute.disableGlobalCloudArmorPolicy`	Imposta su True. Disabilita la creazione dei criteri di sicurezza di Google Cloud Armor.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Spanner

Funzionalità di Spanner interessate

Funzionalità	Descrizione
Confini della suddivisione	Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i limiti di suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli di accesso ai dati amministrativi nel confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche.

Funzionalità

Descrizione

Confini della suddivisione

Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i limiti di suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole.

Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli di accesso ai dati amministrativi nel confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche.

Vincoli dei criteri dell'organizzazione Spanner

Vincolo delle policy dell'organizzazione	Descrizione
`spanner.assuredWorkloadsAdvancedServiceControls`	Imposta su True. Applica controlli aggiuntivi di sovranità e supporto dei dati alle risorse Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Imposta su True. Disabilita la possibilità di creare istanze Spanner multiregionali per applicare la residenza e la sovranità dei dati.

Passaggi successivi

Scopri i pacchetti di controlli per Assured Workloads.
Scopri quali prodotti sono supportati per ogni pacchetto di controlli.