Cambiaron los nombres de algunos paquetes de controles de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta el Aviso sobre el cambio de nombre del paquete de control.

Límite de datos de EE.UU. para salud y ciencias biológicas

En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando se usan los paquetes de controles de Límite de datos de EE.UU. para salud y ciencias biológicas y Límite de datos de EE.UU. para salud y ciencias biológicas con asistencia.

Descripción general

Los paquetes de controles de Límite de datos de EE.UU. para salud y ciencias biológicas y Límite de datos de EE.UU. para salud y ciencias biológicas con asistencia te permiten ejecutar cargas de trabajo que cumplen con los requisitos de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Alianza de Confianza en la Información de Salud (HITRUST).

Cada producto admitido cumple con los siguientes requisitos:

Se incluye en la página del Acuerdo entre Socios Comerciales (BAA) deGoogle Cloudsobre la HIPAA.
Se incluye en la página del HITRUST Common Security Framework (CSF) deGoogle Cloud
Admite claves de encriptación administradas por el cliente (CMEK) de Cloud KMS
Es compatible con los Controles del servicio de VPC
Admite registros de Transparencia de acceso
Admite solicitudes de aprobación de acceso
Admite la residencia de datos en reposo restringida a ubicaciones de EE.UU.

Cómo permitir servicios adicionales

Cada paquete de controles del límite de datos de EE.UU. para salud y ciencias biológicas incluye una configuración predeterminada de los servicios admitidos, que se aplica a través de una restricción de la política de la organización Restrict Service Usage (gcp.restrictServiceUsage) establecida en tu carpeta de Assured Workloads. Sin embargo, puedes modificar el valor de esta restricción para incluir otros servicios si tu carga de trabajo los requiere. Consulta Restringe el uso de recursos para cargas de trabajo para obtener más información.

Todos los servicios adicionales que elijas agregar a la lista de entidades permitidas deben aparecer en la página del BAA de HIPAA deGoogle Cloud o en la página del HITRUST CSF deGoogle Cloud.

Cuando agregues servicios adicionales modificando la restricción gcp.restrictServiceUsage, la supervisión de Assured Workloads informará las infracciones de cumplimiento. Para quitar estos incumplimientos y evitar futuras notificaciones sobre los servicios agregados a la lista de entidades permitidas, debes otorgar una excepción para cada incumplimiento.

En las siguientes secciones, se describen consideraciones adicionales para agregar un servicio a la lista de entidades permitidas.

Claves de encriptación administradas por el cliente (CMEK)

Antes de agregar un servicio a la lista de entidades permitidas, verifica que admita CMEK. Para ello, revisa la página Servicios compatibles en la documentación de Cloud KMS. Si quieres permitir un servicio que no admite la CMEK, puedes aceptar los riesgos asociados como se describe en Responsabilidad compartida en Assured Workloads.

Si deseas aplicar una postura de seguridad más estricta cuando usas CMEK, consulta la página Ver uso de la clave en la documentación de Cloud KMS.

Residencia de los datos

Antes de agregar un servicio a la lista de entidades permitidas, verifica que aparezca en la página Google Cloud Servicios con residencia de datos. Si quieres permitir un servicio que no admite la residencia de datos, puedes aceptar los riesgos asociados como se describe en Responsabilidad compartida en Assured Workloads.

Controles del servicio de VPC

Antes de agregar un servicio a la lista de entidades permitidas, verifica que sea compatible con los Controles del servicio de VPC. Para ello, consulta la página Productos admitidos y limitaciones en la documentación de los Controles del servicio de VPC. Si deseas permitir un servicio que no admite los Controles del servicio de VPC, puedes aceptar los riesgos asociados como se describe en Responsabilidad compartida en Assured Workloads.

Transparencia de acceso y aprobación de acceso

Antes de agregar un servicio a la lista de entidades permitidas, verifica que pueda escribir registros de Transparencia de acceso y que admita solicitudes de Access Approval. Para ello, revisa las siguientes páginas:

Si deseas permitir un servicio que no escribe registros de Transparencia de acceso y no admite solicitudes de Aprobación de acceso, puedes aceptar los riesgos asociados como se describe en Responsabilidad compartida en Assured Workloads.

Productos y servicios compatibles

Los siguientes productos son compatibles con los paquetes de controles del límite de datos de EE.UU. para salud y ciencias biológicas y el límite de datos de EE.UU. para salud y ciencias biológicas con asistencia:

Producto compatible	Extremos de API globales	Restricciones o limitaciones
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com`	Ninguno
Artifact Registry	`artifactregistry.googleapis.com`	Ninguno
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Ninguno
Servicio de transferencia de datos de BigQuery	`bigquerydatatransfer.googleapis.com`	Ninguno
Autorización binaria	`binaryauthorization.googleapis.com`	Ninguno
Certificate Authority Service	`privateca.googleapis.com`	Ninguno
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Ninguno
Cloud Build	`cloudbuild.googleapis.com`	Ninguno
Cloud Composer	`composer.googleapis.com`	Ninguno
Cloud Data Fusion	`datafusion.googleapis.com`	Ninguno
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Ninguno
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Ninguno
Cloud Data Fusion	`datafusion.googleapis.com`	Ninguno
Administración de identidades y accesos (IAM)	`iam.googleapis.com`	Ninguno
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Ninguno
Cloud Logging	`logging.googleapis.com`	Ninguno
Pub/Sub	`pubsub.googleapis.com`	Ninguno
Cloud Router	`networkconnectivity.googleapis.com`	Ninguno
Cloud Run	`run.googleapis.com`	Funciones afectadas
Spanner	`spanner.googleapis.com`	Funciones afectadas y restricciones de las políticas de la organización
Cloud SQL	`sqladmin.googleapis.com`	Ninguno
Cloud Storage	`storage.googleapis.com`	Ninguno
Cloud Tasks	`cloudtasks.googleapis.com`	Ninguno
API de Cloud Vision	`vision.googleapis.com`	Ninguno
Cloud VPN	`compute.googleapis.com`	Ninguno
Compute Engine	`compute.googleapis.com`	Restricciones de las políticas de la organización
Customer Experience Insights	`contactcenterinsights.googleapis.com`	Ninguno
Eventarc	`eventarc.googleapis.com`	Ninguno
Filestore	`file.googleapis.com`	Ninguno
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Ninguno
Memorystore para Redis	`redis.googleapis.com`	Ninguno
Persistent Disk	`compute.googleapis.com`	Ninguno
Secret Manager	`secretmanager.googleapis.com`	Ninguno
Sensitive Data Protection	`dlp.googleapis.com`	Ninguno
Speech-to-Text	`speech.googleapis.com`	Ninguno
Text-to-Speech	`texttospeech.googleapis.com`	Ninguno
Nube privada virtual (VPC)	`compute.googleapis.com`	Ninguno
Controles del servicio de VPC	`accesscontextmanager.googleapis.com`	Ninguno

Restricciones y limitaciones

En las siguientes secciones, se describen las restricciones o limitaciones de las funciones en todo Google Cloudo específicas del producto, incluidas las restricciones de políticas de la organización que se establecen de forma predeterminada en las carpetas del límite de datos de EE.UU. para salud y ciencias biológicas.

Restricciones de las políticas de la organización enGoogle Cloud

Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.

Restricción de las políticas de la organización	Descripción
`gcp.resourceLocations`	Establece las siguientes ubicaciones en la lista `allowedValues`: us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Este valor restringe la creación de recursos nuevos solo al grupo de valores seleccionado. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la selección. Consulta Servicios compatibles con las ubicaciones de recursos para obtener una lista de los recursos que se pueden restringir con la restricción de política de la organización Ubicaciones de recursos, ya que algunos recursos pueden estar fuera del alcance y no se pueden restringir. Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con los requisitos. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información.
`gcp.restrictServiceUsage`	Se configura para permitir todos los servicios compatibles. Determina qué servicios se pueden usar restringiendo el acceso en el tiempo de ejecución a sus recursos. Para obtener más información, consulta Cómo restringir el uso de recursos para las cargas de trabajo.
`gcp.restrictTLSVersion`	Se establece para rechazar las siguientes versiones de TLS: TLS_VERSION_1 TLS_VERSION_1_1 Consulta la página Restricción de versiones de TLS para obtener más información.

Compute Engine

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización	Descripción
`compute.disableGlobalCloudArmorPolicy`	Configurado como True. Inhabilita la creación de políticas de seguridad de Google Cloud Armor.

Cloud Run

Funciones de Cloud Run afectadas

Función	Descripción
Características no compatibles	No se admiten las siguientes funciones de Cloud Run: Integración de Cloud Trace Cloud Run Functions Activadores de Eventarc

Spanner

Funciones de Spanner afectadas

Función	Descripción
Límites de división	Spanner usa un pequeño subconjunto de claves primarias y columnas indexadas para definir límites de división, que pueden incluir datos y metadatos del cliente. Un límite de división en Spanner denota la ubicación en la que los rangos contiguos de filas se dividen en partes más pequeñas. El personal de Google puede acceder a estos límites divididos con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo en el límite de datos de EE.UU. para el sector de la salud y las ciencias biológicas.

Función

Descripción

Límites de división

Spanner usa un pequeño subconjunto de claves primarias y columnas indexadas para definir límites de división, que pueden incluir datos y metadatos del cliente. Un límite de división en Spanner denota la ubicación en la que los rangos contiguos de filas se dividen en partes más pequeñas.

El personal de Google puede acceder a estos límites divididos con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo en el límite de datos de EE.UU. para el sector de la salud y las ciencias biológicas.

Restricciones de las políticas de la organización de Spanner

Restricción de las políticas de la organización	Descripción
`spanner.assuredWorkloadsAdvancedServiceControls`	Configurado como True. Aplica controles adicionales de soberanía y capacidad de asistencia de los datos a los recursos de Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Configurado como True. Inhabilita la capacidad de crear instancias multirregionales de Spanner para aplicar la residencia y la soberanía de los datos.

¿Qué sigue?

Comprende los paquetes de controles para Assured Workloads.
Obtén más información sobre los productos compatibles con cada paquete de controles.