美国医疗保健和生命科学行业的数据边界
本页介绍了使用“美国医疗保健和生命科学行业的数据边界”和“美国医疗保健和生命科学行业的数据边界与支持”控制软件包时的限制、局限和其他配置选项。
概览
“美国医疗保健和生命科学行业的数据边界”和“美国医疗保健和生命科学行业的数据边界与支持”控制软件包可让您运行符合《健康保险流通与责任法案》(HIPAA) 和健康信息信任联盟 (HITRUST) 要求的工作负载。
每款受支持的产品都必须满足以下要求:
- 列在 Google Cloud的 HIPAA 业务伙伴协议 (BAA) 页面上
- 列在 Google Cloud的 HITRUST 通用安全框架 (CSF) 页面上
- 支持 Cloud KMS 客户管理的加密密钥 (CMEK)
- 支持 VPC Service Controls
- 支持 Access Transparency 日志
- 支持访问权限审批请求
- 支持静态数据驻留,但仅限于美国境内
允许使用其他服务
每个“美国医疗保健和生命科学行业的数据边界”控制软件包都包含受支持服务的默认配置,该配置通过在 Assured Workloads 文件夹中设置的限制服务使用 (gcp.restrictServiceUsage) 组织政策限制条件来强制执行。不过,您可以修改此限制条件的值,以纳入其他服务(如果您的工作负载需要这些服务)。如需了解详情,请参阅限制工作负载的资源使用量。
您选择添加到许可名单中的任何其他服务都必须列在 Google Cloud的 HIPAA BAA 页面或 Google Cloud的 HITRUST CSF 页面上。
如果您通过修改 gcp.restrictServiceUsage 限制添加其他服务,Assured Workloads 监控功能会报告违规情况。如需移除这些违规问题并防止将来收到有关已添加到许可名单中的服务的通知,您必须为每项违规问题授予例外权限。
以下部分介绍了将服务添加到许可名单时的其他注意事项。
客户管理的加密密钥 (CMEK)
在将服务添加到许可名单之前,请查看 Cloud KMS 文档中的兼容的服务页面,验证该服务是否支持 CMEK。如果您想允许使用不支持 CMEK 的服务,则可以选择接受相关风险,如 Assured Workloads 中的共同责任中所述。
如果您想在使用 CMEK 时实施更严格的安全态势,请参阅 Cloud KMS 文档中的查看密钥使用情况页面。
数据驻留
在将服务添加到许可名单之前,请验证该服务是否列在Google Cloud 具有数据留存位置的服务页面上。如果您想允许使用不支持数据驻留的服务,则可以选择接受相关风险,如 Assured Workloads 中的共同责任中所述。
VPC Service Controls
在将服务添加到许可名单之前,请查看 VPC Service Controls 文档中的支持的产品和限制页面,验证该服务是否受 VPC Service Controls 支持。如果您想允许使用不支持 VPC Service Controls 的服务,则可以选择接受相关风险,如 Assured Workloads 中的共同责任中所述。
Access Transparency 和 Access Approval
在将服务添加到许可名单之前,请查看以下页面,验证该服务是否可以写入 Access Transparency 日志并支持 Access Approval 请求:
如果您想允许某个服务不写入 Access Transparency 日志且不支持 Access Approval 请求,您可以选择接受相关风险,如 Assured Workloads 中的共同责任中所述。
支持的产品和服务
美国医疗保健和生命科学行业的数据边界以及美国医疗保健和生命科学行业的数据边界与支持控制软件包支持以下产品:
| 支持的产品 | 全球 API 端点 | 限制或局限 |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comnetworksecurity.googleapis.comnetworkservices.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
无 |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
无 |
| Binary Authorization |
binaryauthorization.googleapis.com |
无 |
| Certificate Authority Service |
privateca.googleapis.com |
无 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
无 |
| Cloud Build |
cloudbuild.googleapis.com |
无 |
| Cloud Composer |
composer.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
无 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| 身份和访问权限管理 (IAM) |
iam.googleapis.com |
无 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
无 |
| Cloud Logging |
logging.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
无 |
| Cloud Router |
networkconnectivity.googleapis.com |
无 |
| Cloud Run |
run.googleapis.com |
受影响的功能 |
| Spanner |
spanner.googleapis.com |
受影响的功能 和组织政策限制条件 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud Vision API |
vision.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
无 |
| Compute Engine |
compute.googleapis.com |
组织政策限制条件 |
| 客户体验分析洞见 |
contactcenterinsights.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
无 |
| Memorystore for Redis |
redis.googleapis.com |
无 |
| Persistent Disk |
compute.googleapis.com |
无 |
| Secret Manager |
secretmanager.googleapis.com |
无 |
| 敏感数据保护 |
dlp.googleapis.com |
无 |
| Speech-to-Text |
speech.googleapis.com |
无 |
| Text-to-Speech |
texttospeech.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
限制和局限
以下部分介绍了功能方面的 Google Cloud级或产品级限制,包括美国医疗保健和生命科学行业的数据边界文件夹中默认设置的任何组织政策限制条件。
Google Cloud范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 allowedValues 列表中的以下位置:
|
gcp.restrictServiceUsage |
设置为允许所有支持的服务。 通过限制对运行时资源的访问来确定哪些服务可以使用。如需了解详情,请参阅限制工作负载的资源使用量。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
Compute Engine
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建 Google Cloud Armor 安全政策。 |
Cloud Run
受影响的 Cloud Run 功能
| 功能 | 说明 |
|---|---|
| 不受支持的功能 | 不支持以下 Cloud Run 功能: |
Spanner
受影响的 Spanner 功能
| 功能 | 说明 |
|---|---|
| 分块边界 | Spanner 使用一小部分主键和已编入索引的列来定义分块边界,这些边界可能包含客户数据和元数据。Spanner 中的分块边界表示将连续的行范围拆分为更小块的位置。 Google 人员可以出于技术支持和调试目的访问这些分块边界,并且这些边界不受美国医疗保健和生命科学行业的数据边界中的管理访问权限数据控制措施的约束。 |
Spanner 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
设置为 True。 对 Spanner 资源应用额外的数据主权和可支持性控制。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
设置为 True。 禁止创建多区域 Spanner 实例,以强制执行数据驻留和数据主权。 |