US-Datengrenze für Gesundheitswesen und Biowissenschaften
Auf dieser Seite werden die Kontrollen beschrieben, die auf Arbeitslasten der US-Datengrenze für Gesundheitswesen und Biowissenschaften in Assured Workloads angewendet werden. Sie enthält detaillierte Informationen zum Datenstandort, zu den unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen anwendbaren Einschränkungen für diese Produkte.
Mit der US-Datengrenze für Gesundheitswesen und Biowissenschaften können Sie Arbeitslasten ausführen, die den Anforderungen des Health Insurance Portability and Accountability Act (HIPAA) und der Health Information Trust Alliance (HITRUST) entsprechen. Jedes unterstützte Produkt ist auf der Seite HIPAA-Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) vonGoogle Cloud und auf der Seite HITRUST Common Security Framework (CSF) vonGoogle Cloud aufgeführt.
Die folgenden zusätzlichen Informationen gelten für die US-Datengrenze für Gesundheitswesen und Biowissenschaften:
- Datenstandort: Das Kontrollpaket „US-Datengrenze für Gesundheitswesen und Biowissenschaften“ legt die Steuerelemente für den Datenstandort so fest, dass nur Regionen in den USA unterstützt werden. Weitere Informationen finden Sie im Abschnitt Google Cloud-weite Einschränkungen für Organisationsrichtlinien.
- Support: Technischer Support für Arbeitslasten der US-Datengrenze für Gesundheitswesen und Biowissenschaften ist mit Cloud Customer Care-Abos mit Standard-, erweitertem oder Premium-Support verfügbar. Supportfälle für Arbeitslasten für Gesundheitswesen und Biowissenschaften, die der US-Datengrenze unterliegen, werden an globale Supportmitarbeiter weitergeleitet. Wenn Sie eine restriktivere Option zur Steuerung von Supportmitarbeitern benötigen, sollten Sie stattdessen das Kontrollpaket US-Datengrenze für Gesundheitswesen und Biowissenschaften mit Support in Betracht ziehen.
- Preise: Das Kontrollpaket „US-Datengrenze für Gesundheitswesen und Biowissenschaften“ ist im kostenlosen Kontingent von Assured Workloads enthalten, für das keine zusätzlichen Gebühren anfallen. Weitere Informationen finden Sie unter Preise für Assured Workloads.
Vorbereitung
Damit Sie als Nutzer des Kontrollpakets „US-Datengrenze für Gesundheitswesen und Biowissenschaften“ die Compliance einhalten, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:
- Erstellen Sie mit Assured Workloads einen Ordner für die US-Datengrenze für Gesundheitswesen und Biowissenschaften und stellen Sie Ihre HIPAA- oder HITRUST-Arbeitslasten nur in diesem Ordner bereit.
Aktivieren und verwenden Sie nur Dienste, die in den Anwendungsbereich fallen, für Arbeitslasten der US-Datengrenze für Gesundheitswesen und Biowissenschaften. Wenn Sie zusätzliche Dienste aktivieren, indem Sie die für Ihren Assured Workloads-Ordner festgelegte Organisationsrichtlinie Nutzung von Diensten einschränken (
gcp.restrictServiceUsage) ändern, akzeptieren Sie die damit verbundenen Risiken, wie unter Gemeinsame Verantwortung in Assured Workloads beschrieben. Es gelten die folgenden zusätzlichen Voraussetzungen:- Jeder Dienst muss auf der HIPAA BAA-Seite vonGoogle Cloud oder der HITRUST CSF-Seite vonGoogle Cloud aufgeführt sein, damit Sie die Compliance einhalten.
- Wenn Sie zusätzliche Dienste auf die Zulassungsliste setzen, indem Sie diese Einschränkung ändern, werden im Assured Workloads-Monitoring Complianceverstöße gemeldet. Wenn Sie diese Verstöße entfernen und zukünftige Benachrichtigungen für Dienste, die der Zulassungsliste hinzugefügt wurden, verhindern möchten, müssen Sie für jeden Verstoß eine Ausnahme gewähren.
- Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie, ob er CMEK unterstützt. Sehen Sie dazu in der Cloud KMS-Dokumentation auf der Seite Kompatible Dienste nach. Wenn Sie bei der Verwendung von CMEK eine strengere Sicherheitskonfiguration erzwingen möchten, lesen Sie die Seite Schlüsselnutzung ansehen in der Cloud KMS-Dokumentation.
- Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie, ob er auf der Seite Google Cloud Dienste mit Datenspeicherort aufgeführt ist.
- Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie in der Dokumentation zu VPC Service Controls auf der Seite Unterstützte Produkte und Einschränkungen, ob er von VPC Service Controls unterstützt wird.
- Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie, ob er von Access Transparency und Access Approval unterstützt wird.
Verwenden Sie Google Cloud-MCP-Server nur, wenn dies ausdrücklich angegeben ist. Die US-Datengrenze für Gesundheitswesen und Biowissenschaften bietet keine Kontrollen für den Datenstandort für Daten in Verwendung und bei der Übertragung mit Google Cloud MCP-Servern. Informationen zum Blockieren des Zugriffs auf unerwünschte Google Cloud MCP-Server finden Sie auf der Seite Verwendung von Google Cloud MCP-Servern mit IAM steuern.
Ändern Sie die Standardwerte für die Einschränkung der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenspeicherort verstehen und bereit sind, diese zu akzeptieren.
Wir empfehlen, die allgemeinen Best Practices für die Sicherheit zu übernehmen, die im Google Cloud Center für Sicherheits-Best-Practices bereitgestellt werden.
Unterstützte Produkte und API-Endpunkte
Sofern nicht anders angegeben, können Nutzer über die Google Cloud Console auf alle unterstützten Produkte zugreifen. Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derer, die durch Einschränkungseinstellungen für Organisationsrichtlinien erzwungen werden, sind in der folgenden Tabelle aufgeführt.
Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und hat die Kontrollanforderungen für die US-Datengrenze für Gesundheitswesen und Biowissenschaften nicht erfüllt. Die Verwendung nicht unterstützter Produkte wird nicht empfohlen, ohne dass Sie eine Due-Diligence-Prüfung durchgeführt und Ihre Verantwortlichkeiten im Modell der gemeinsamen Verantwortung sorgfältig verstanden haben. Bevor Sie ein nicht unterstütztes Produkt verwenden, sollten Sie sich über alle damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf den Datenspeicherort oder die Datenhoheit.
| Unterstütztes Produkt | API-Endpunkte | Einschränkungen oder Beschränkungen |
|---|---|---|
| Zugriffsgenehmigung |
accessapproval.googleapis.com |
Keine |
| Access Context Manager |
accesscontextmanager.googleapis.com |
Keine |
| Access Transparency |
accessapproval.googleapis.com |
Keine |
| Agent Assist |
dialogflow.googleapis.com |
Keine |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
Keine |
| Apigee |
apigee.googleapis.com |
Keine |
| Application Integration |
integrations.googleapis.com |
Keine |
| Artifact Registry |
artifactregistry.googleapis.com |
Keine |
| AutoML Tables |
aiplatform.googleapis.com |
Keine |
| Sicherung und Notfallwiederherstellung |
backupdr.googleapis.com |
Keine |
| Sicherung für GKE |
gkebackup.googleapis.com |
Keine |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Betroffene Funktionen |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Keine |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Betroffene Funktionen |
| Binärautorisierung |
binaryauthorization.googleapis.com |
Keine |
| Certificate Authority Service |
privateca.googleapis.com |
Keine |
| Zertifikatmanager |
certificatemanager.googleapis.com |
Keine |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
Keine |
| Cloud Build |
cloudbuild.googleapis.com |
Keine |
| Cloud DNS |
dns.googleapis.com |
Keine |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Cloud Deploy |
clouddeploy.googleapis.com |
Keine |
| Cloud HSM |
cloudkms.googleapis.com |
Keine |
| Cloud Healthcare API |
healthcare.googleapis.com |
Keine |
| Cloud Interconnect |
compute.googleapis.com |
Betroffene Funktionen |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Keine |
| Cloud Logging |
logging.googleapis.com |
Betroffene Funktionen |
| Cloud Monitoring |
monitoring.googleapis.com |
Betroffene Funktionen |
| Cloud Router |
compute.googleapis.com |
Keine |
| Cloud Run |
run.googleapis.com |
Betroffene Funktionen |
| Cloud Run-Funktionen |
run.googleapis.com |
Keine |
| Cloud SQL |
sqladmin.googleapis.com |
Keine |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.googleapis.com |
Keine |
| Cloud Storage |
storage.googleapis.com |
Keine |
| Cloud Tasks |
cloudtasks.googleapis.com |
Keine |
| Cloud VPN |
compute.googleapis.com |
Betroffene Funktionen |
| Cloud Vision API |
vision.googleapis.com |
Betroffene Funktionen |
| Compute Engine |
compute.googleapis.com |
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Dialogflow CX |
dialogflow.googleapis.com |
Keine |
| Customer Experience Insights |
contactcenterinsights.googleapis.com |
Keine |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Keine |
| Dataform |
dataform.googleapis.com |
Keine |
| Document AI |
documentai.googleapis.com |
Keine |
| Eventarc |
eventarc.googleapis.com |
Keine |
| Externer Passthrough-Network Load Balancer |
compute.googleapis.com |
Keine |
| Filestore |
file.googleapis.com |
Keine |
| Firestore |
firestore.googleapis.com |
Keine |
| GKE Hub |
gkehub.googleapis.com |
Keine |
| Generative KI in Vertex AI |
aiplatform.googleapis.com |
Keine |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Betroffene Funktionen |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Keine |
| Identitäts- und Zugriffsverwaltung |
iam.googleapis.compolicytroubleshooter.googleapis.com |
Keine |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Keine |
| Interner Passthrough-Network Load Balancer |
compute.googleapis.com |
Keine |
| Key Access Justifications |
cloudekm.googleapis.comcloudkms.googleapis.com |
Keine |
| Knowledge Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Betroffene Funktionen |
| Looker (Google Cloud Core) |
looker.googleapis.com |
Keine |
| Managed Service for Apache Airflow |
composer.googleapis.com |
Keine |
| Managed Service for Apache Spark |
dataproc-control.googleapis.comdataproc.googleapis.com |
Keine |
| Memorystore for Redis |
redis.googleapis.com |
Keine |
| Model Armor |
modelarmor.googleapis.com |
Keine |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Betroffene Funktionen |
| Persistent Disk |
compute.googleapis.com |
Keine |
| Pub/Sub |
pubsub.googleapis.com |
Einschränkungen für Organisationsrichtlinien |
| Regionaler externer Application Load Balancer |
compute.googleapis.com |
Keine |
| Regionaler externer Proxy-Network Load Balancer |
compute.googleapis.com |
Keine |
| Regionaler interner Application Load Balancer |
compute.googleapis.com |
Keine |
| Regionaler interner Proxy-Network Load Balancer |
compute.googleapis.com |
Keine |
| Secret Manager |
secretmanager.googleapis.com |
Keine |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Keine |
| Security Command Center Premium |
securitycenter.googleapis.comsecuritycentermanagement.googleapis.comsecurityposture.googleapis.comwebsecurityscanner.googleapis.com |
Keine |
| Sensitive Data Protection |
dlp.googleapis.com |
Keine |
| Spanner |
spanner.googleapis.com |
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Speech-to-Text |
speech.googleapis.com |
Keine |
| Storage Transfer Service |
storagetransfer.googleapis.com |
Keine |
| Text-to-Speech |
texttospeech.googleapis.com |
Keine |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Keine |
| Vertex AI Batch-Vorhersage |
aiplatform.googleapis.com |
Keine |
| Vertex AI-Onlinevorhersage |
aiplatform.googleapis.com |
Keine |
| Vertex AI Search |
discoveryengine.googleapis.com |
Keine |
| Vertex AI Training |
aiplatform.googleapis.com |
Keine |
| Vertex AI Workbench |
notebooks.googleapis.com |
Keine |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Keine |
Limits und Einschränkungen
In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit der US-Datengrenze für Gesundheitswesen und Biowissenschaften festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche gestaffelte Sicherheitsebene bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.
Google Cloud × Google Cloud
Google Cloud-weite Einschränkungen für Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie die folgenden Standorte in der Liste allowedValues fest:
Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen. |
gcp.restrictNonCmekServices |
Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich:
Für jeden aufgeführten Dienst sind kundenverwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK werden inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt. |
gcp.restrictServiceUsage |
Legen Sie fest, dass alle unterstützten Produkte und API-Endpunkte zugelassen werden. Bestimmt, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken. |
gcp.restrictTLSVersion |
Auf „Verweigern“ setzen für die folgenden TLS-Versionen:
|
BigQuery
Betroffene BigQuery-Funktionen
| Funktion | Beschreibung |
|---|---|
| BigQuery für einen neuen Ordner aktivieren | BigQuery wird unterstützt, ist aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Das liegt an einem internen Konfigurationsprozess. Dieser Vorgang dauert normalerweise zehn Minuten, kann aber unter Umständen auch länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery:
Nachdem der Aktivierungsprozess abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt. |
| Nicht unterstützte Funktionen | Die folgenden BigQuery-Funktionen werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in Ihrer Verantwortung, sie nicht in BigQuery für Assured Workloads zu verwenden.
|
| BigQuery-Befehlszeile | Die BigQuery-Befehlszeile wird unterstützt.
|
| Google Cloud SDK | Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um die Regionalisierung von technischen Daten zu gewährleisten. Führen Sie gcloud --version aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann gcloud components update, um auf die neueste Version zu aktualisieren.
|
| Steuerelemente für Administratoren | In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen von Assured Workloads-Ordnern können jedoch eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Assured Workloads-Monitoring-Dashboard über potenzielle Compliance-Verstöße benachrichtigt. |
| Daten laden | BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service (SaaS)), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, BigQuery Data Transfer Service-Connectors für US-Datengrenze nicht für Healthcare- und Life Sciences-Arbeitslasten zu verwenden. |
| Drittanbieter-Übertragungen | BigQuery überprüft nicht, ob Drittanbieterübertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, den Support zu prüfen, wenn Sie eine Drittanbieterübertragung für den BigQuery Data Transfer Service verwenden. |
| Nicht konforme BQML-Modelle | Extern trainierte BQML-Modelle werden nicht unterstützt. |
| Abfragejobs | Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden. |
| Abfragen für Datasets in anderen Projekten | BigQuery verhindert nicht, dass Assured Workloads-Datasets aus Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Alle Abfragen, die Daten aus Assured Workloads lesen oder mit ihnen verknüpfen, sollten in Assured Workloads-Ordnern platziert werden. Sie können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
|
| Cloud Logging | BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten Ihre _default-Logging-Buckets deaktivieren oder _default-Buckets auf die entsprechenden Regionen beschränken, um die Compliance aufrechtzuerhalten. Verwenden Sie dazu den folgenden Befehl:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Weitere Informationen finden Sie unter Logs regionalisieren. |
Bigtable
Betroffene Bigtable-Funktionen
| Funktion | Beschreibung |
|---|---|
| Data Boost | Die Funktion ist deaktiviert. |
| Split-Grenzen | Bigtable verwendet eine kleine Teilmenge von Zeilenschlüsseln, um die Aufteilungsgrenzen zu definieren. Diese können Kundendaten und Metadaten enthalten. Eine Split-Grenze in Bigtable gibt an, an welcher Stelle zusammenhängende Zeilenbereiche in einer Tabelle in Tabellenreihen aufgeteilt werden. Google-Mitarbeiter können auf diese geteilten Grenzen zugreifen, um technischen Support zu leisten und Fehler zu beheben. Sie unterliegen nicht den Datenzugriffssteuerungen für den administrativen Zugriff in Assured Workloads. |
Cloud Interconnect
Betroffene Cloud Interconnect-Funktionen
| Funktion | Beschreibung |
|---|---|
| Hochverfügbarkeits-VPN | Sie müssen die HA VPN-Funktion aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten. |
Cloud Logging
Betroffene Cloud Logging-Funktionen
| Funktion | Beschreibung |
|---|---|
| Logsenken | Filter sollten keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten. |
| Live-Verfolgung von Logeinträgen | Filter sollten keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten. |
| SQL-basierte Benachrichtigungsrichtlinien | Die Funktion ist deaktiviert. Sie können das Feature für SQL-basierte Benachrichtigungsrichtlinien nicht verwenden. |
Cloud Monitoring
Betroffene Cloud Monitoring-Funktionen
| Funktion | Beschreibung |
|---|---|
| Synthetischer Monitor | Die Funktion ist deaktiviert. |
| Verfügbarkeitsdiagnosen | Die Funktion ist deaktiviert. |
Cloud Run
Betroffene Cloud Run-Funktionen
| Funktion | Beschreibung |
|---|---|
| Nicht unterstützte Funktionen | Die folgenden Cloud Run-Funktionen werden nicht unterstützt: |
Cloud Vision API
Betroffene Cloud Vision API-Funktionen
| Funktion | Beschreibung |
|---|---|
| HCLS-konforme Cloud Vision API-Endpunkte | Es liegt in Ihrer Verantwortung, für die Cloud Vision API nur den API-Endpunkt für die US-Region (us-vision.googleapis.com) zu verwenden. Der globale Endpunkt (vision.googleapis.com) entspricht nicht den HCLS-Anforderungen. Wenn Sie ihn verwenden, kann dies den Datenstandort Ihrer Arbeitslast beeinträchtigen.
|
Cloud VPN
Betroffene Cloud VPN-Funktionen
| Funktion | Beschreibung |
|---|---|
| VPN-Endpunkte | Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in einer Region befinden, die in den Anwendungsbereich fällt. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region konfiguriert ist, die in den Anwendungsbereich fällt. |
Compute Engine
Betroffene Compute Engine-Funktionen
| Funktion | Beschreibung |
|---|---|
| Gastumgebung | Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und -prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die compute.trustedImageProjects Organisationsrichtlinieneinschränkung verwenden.
Weitere Informationen finden Sie unter Benutzerdefiniertes Image erstellen. |
| Betriebssystemrichtlinien in VM Manager |
Inline-Scripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Geben Sie in diesen Dateien keine vertraulichen Informationen an. Es empfiehlt sich, diese Skripts und Ausgabedateien in Cloud Storage-Buckets zu speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien. Wenn Sie die Erstellung oder Änderung von Betriebssystemrichtlinien-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die Einschränkung constraints/osconfig.restrictInlineScriptAndOutputFileUsage der Organisationsrichtlinie.Weitere Informationen finden Sie unter Einschränkungen für die Betriebssystemkonfiguration. |
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft. |
compute.restrictNonConfidentialComputing |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Weitere Informationen finden Sie in der Confidential VM-Dokumentation. |
compute.trustedImageProjects |
(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten.
Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden. |
Knowledge Catalog
Knowledge Catalog-Funktionen
| Funktion | Beschreibung |
|---|---|
| Attribute Store | Diese Funktion ist veraltet und deaktiviert. |
| Data Catalog | Diese Funktion ist veraltet und deaktiviert. Sie können Ihre Metadaten nicht in Data Catalog durchsuchen oder verwalten. |
| Lakes und Zonen | Die Funktion ist deaktiviert. Sie können keine Lakes, Zonen und Aufgaben verwalten. |
Google Cloud Armor
Betroffene Google Cloud Armor-Funktionen
| Funktion | Beschreibung |
|---|---|
| Globale Sicherheitsrichtlinien | Diese Funktion ist aufgrund der Einschränkung der compute.disableGlobalCloudArmorPolicy-Organisationsrichtlinie deaktiviert.
|
Network Connectivity Center
Betroffene Network Connectivity Center-Funktionen
| Funktion | Beschreibung |
|---|---|
| Google Cloud Console | Network Connectivity Center-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI. |
Pub/Sub
Einschränkungen für Organisationsrichtlinien für Pub/Sub
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
pubsub.managed.disableSubscriptionMessageTransforms |
Auf True festlegen. Deaktiviert das Festlegen von Single Message Transforms (SMTs) für Pub/Sub-Abos. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken. |
pubsub.managed.disableTopicMessageTransforms |
Auf True festlegen. Verhindert, dass für Pub/Sub-Themen Single Message Transforms (SMTs) festgelegt werden. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken. |
Spanner
Betroffene Spanner-Funktionen
| Funktion | Beschreibung |
|---|---|
| Split-Grenzen | Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Aufteilungsgrenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile aufgeteilt werden. Google-Mitarbeiter können auf diese geteilten Grenzen zugreifen, um technischen Support zu leisten und Fehler zu beheben. Sie unterliegen nicht den Datenzugriffssteuerungen für den administrativen Zugriff in Assured Workloads. |
Einschränkungen für Spanner-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Auf True festlegen. Wendet zusätzliche Kontrollen für Datenhoheit und Support auf Spanner-Ressourcen an. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Auf True festlegen. Deaktiviert die Möglichkeit, multiregionale Spanner-Instanzen zu erstellen, um den Datenstandort und die Datenhoheit zu erzwingen. |
Nächste Schritte
- Informationen zum Erstellen eines Assured Workloads-Ordners
- Informationen zum Kontrollpaket „US-Datengrenze für Gesundheitswesen und Biowissenschaften mit Support“
- Assured Workloads-Preise