Les noms de certains packages de contrôles Assured Workloads ont été modifiés. Pour en savoir plus sur ce changement de nom, consultez Avis concernant le changement de nom du package Control.

Périmètre de données aux États-Unis pour la santé et les sciences de la vie

Cette page décrit les restrictions, les limites et les autres options de configuration lorsque vous utilisez les packages de contrôles "Périmètre de données aux États-Unis pour la santé et les sciences de la vie" et "Périmètre de données aux États-Unis pour la santé et les sciences de la vie avec assistance".

Présentation

Les packages de contrôles "Périmètre de données aux États-Unis pour la santé et les sciences de la vie" et "Périmètre de données aux États-Unis pour la santé et les sciences de la vie avec assistance" vous permettent d'exécuter des charges de travail conformes aux exigences de la loi HIPAA (Health Insurance Portability and Accountability Act) et de l'alliance HITRUST (Health Information Trust Alliance).

Chaque produit compatible répond aux exigences suivantes :

Listé sur la page de l'accord de partenariat HIPAA deGoogle Cloud
Listé sur la page HITRUST Common Security Framework (CSF) deGoogle Cloud
Compatible avec les clés de chiffrement gérées par le client (CMEK) Cloud KMS
Compatible avec VPC Service Controls
Compatible avec les journaux Access Transparency
Compatible avec les demandes Access Approval
Compatible avec la résidence des données au repos limitée aux emplacements aux États-Unis

Autoriser des services supplémentaires

Chaque package de contrôles du périmètre de données aux États-Unis pour la santé et les sciences de la vie inclut une configuration par défaut des services compatibles, qui est appliquée par une contrainte de règle d'administration Restreindre l'utilisation des services (gcp.restrictServiceUsage) définie sur votre dossier Assured Workloads. Toutefois, vous pouvez modifier la valeur de cette contrainte pour inclure d'autres services si votre charge de travail les requiert. Pour en savoir plus, consultez Restreindre l'utilisation des ressources pour les charges de travail.

Tous les services supplémentaires que vous choisissez d'ajouter à la liste d'autorisation doivent figurer sur la page Accord de partenariat HIPAA deGoogle Cloud ou sur la page HITRUST CSF deGoogle Cloud.

Lorsque vous ajoutez des services en modifiant la contrainte gcp.restrictServiceUsage, la surveillance Assured Workloads signale les cas de non-conformité. Pour supprimer ces cas de non-respect et éviter de recevoir d'autres notifications pour les services ajoutés à la liste d'autorisation, vous devez accorder une exception pour chaque cas de non-respect.

Les sections suivantes décrivent d'autres points à prendre en compte lorsque vous ajoutez un service à la liste d'autorisation.

Clés de chiffrement gérées par le client (CMEK)

Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec CMEK en consultant la page Services compatibles de la documentation Cloud KMS. Si vous souhaitez autoriser un service qui ne prend pas en charge CMEK, vous pouvez choisir d'accepter les risques associés, comme décrit dans Responsabilité partagée dans Assured Workloads.

Si vous souhaitez appliquer une stratégie de sécurité plus stricte lorsque vous utilisez des CMEK, consultez la page Afficher l'utilisation des clés dans la documentation Cloud KMS.

Résidence des données

Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il figure sur la page Google Cloud Services avec résidence des données. Si vous souhaitez autoriser un service qui ne prend pas en charge la résidence des données, vous pouvez choisir d'accepter les risques associés, comme décrit dans Responsabilité partagée dans Assured Workloads.

VPC Service Controls

Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec VPC Service Controls en consultant la page Produits compatibles et limites de la documentation VPC Service Controls. Si vous souhaitez autoriser un service non compatible avec VPC Service Controls, vous pouvez choisir d'accepter les risques associés, comme décrit dans Responsabilité partagée dans Assured Workloads.

Access Transparency et Access Approval

Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il peut écrire des journaux Access Transparency et qu'il accepte les demandes Access Approval en consultant les pages suivantes :

Si vous souhaitez autoriser un service qui n'écrit pas de journaux Access Transparency et qui n'accepte pas les demandes d'approbation de l'accès, vous pouvez choisir d'accepter les risques associés, comme décrit dans Responsabilité partagée dans Assured Workloads.

Produits et services compatibles

Les produits suivants sont compatibles avec les packages de contrôles "Périmètre de données aux États-Unis pour la santé et les sciences de la vie" et "Périmètre de données aux États-Unis pour la santé et les sciences de la vie avec assistance" :

Produit concerné	Points de terminaison de l'API globale	Restrictions ou limites
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com`	Aucun
Artifact Registry	`artifactregistry.googleapis.com`	Aucun
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Aucun
Service de transfert de données BigQuery	`bigquerydatatransfer.googleapis.com`	Aucun
Autorisation binaire	`binaryauthorization.googleapis.com`	Aucun
Certificate Authority Service	`privateca.googleapis.com`	Aucun
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Aucun
Cloud Build	`cloudbuild.googleapis.com`	Aucun
Cloud Composer	`composer.googleapis.com`	Aucun
Cloud Data Fusion	`datafusion.googleapis.com`	Aucun
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Aucun
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Aucun
Cloud Data Fusion	`datafusion.googleapis.com`	Aucun
Identity and Access Management (IAM)	`iam.googleapis.com`	Aucun
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Aucun
Cloud Logging	`logging.googleapis.com`	Aucun
Pub/Sub	`pubsub.googleapis.com`	Aucun
Cloud Router	`networkconnectivity.googleapis.com`	Aucun
Cloud Run	`run.googleapis.com`	Fonctionnalités concernées
Spanner	`spanner.googleapis.com`	Fonctionnalités concernées et contraintes liées aux règles d'administration
Cloud SQL	`sqladmin.googleapis.com`	Aucun
Cloud Storage	`storage.googleapis.com`	Aucun
Cloud Tasks	`cloudtasks.googleapis.com`	Aucun
API Cloud Vision	`vision.googleapis.com`	Aucun
Cloud VPN	`compute.googleapis.com`	Aucun
Compute Engine	`compute.googleapis.com`	Contraintes liées aux règles d'administration
Insights sur l'expérience client	`contactcenterinsights.googleapis.com`	Aucun
Eventarc	`eventarc.googleapis.com`	Aucun
Filestore	`file.googleapis.com`	Aucun
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Aucun
Memorystore pour Redis	`redis.googleapis.com`	Aucun
Persistent Disk	`compute.googleapis.com`	Aucun
Secret Manager	`secretmanager.googleapis.com`	Aucun
Sensitive Data Protection	`dlp.googleapis.com`	Aucun
Speech-to-Text	`speech.googleapis.com`	Aucun
Text-to-Speech	`texttospeech.googleapis.com`	Aucun
Cloud privé virtuel (VPC)	`compute.googleapis.com`	Aucun
VPC Service Controls	`accesscontextmanager.googleapis.com`	Aucun

Restrictions et limitations

Les sections suivantes décrivent les restrictions ou limites générales ou spécifiques à un produit pour les fonctionnalités, y compris les contraintes liées aux règles d'administration qui sont définies par défaut sur les dossiers du périmètre de données aux États-Unis pour la santé et les sciences de la vie. Google Cloud

Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud

Les contraintes liées aux règles d'administration suivantes s'appliquent à tous les services Google Cloud concernés.

Contrainte liée aux règles d'administration	Description
`gcp.resourceLocations`	Définissez les emplacements suivants dans la liste `allowedValues` : us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Cette valeur limite la création de ressources au groupe de valeurs sélectionné. Si cette option est définie, aucune ressource ne peut être créée dans d'autres régions, emplacements multirégionaux ou emplacements en dehors de la sélection. Consultez la page Services compatibles avec les emplacements de ressources pour obtenir la liste des ressources qui peuvent être limitées par la contrainte de règle d'administration "Emplacements des ressources", car certaines ressources peuvent être hors champ et ne pas pouvoir être limitées. Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration.
`gcp.restrictServiceUsage`	Définissez cette option pour autoriser tous les services compatibles. Détermine les services pouvant être utilisés en limitant l'accès à l'exécution à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources pour les charges de travail.
`gcp.restrictTLSVersion`	Définissez les versions TLS suivantes sur "Refuser" : TLS_VERSION_1 TLS_VERSION_1_1 Pour en savoir plus, consultez la page Restreindre les versions TLS.

Compute Engine

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration	Description
`compute.disableGlobalCloudArmorPolicy`	Défini sur True. Désactive la création de stratégies de sécurité Google Cloud Armor.

Cloud Run

Fonctionnalités Cloud Run concernées

Fonctionnalité	Description
Fonctionnalités non compatibles	Les fonctionnalités Cloud Run suivantes ne sont pas prises en charge : Intégration à Cloud Trace Fonctions Cloud Run Déclencheurs Eventarc

Spanner

Fonctionnalités Spanner concernées

Fonctionnalité	Description
Limites de fractionnement	Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir les limites de fractionnement, qui peuvent inclure des données et des métadonnées client. Dans Spanner, une limite de fractionnement indique l'emplacement où des plages contiguës de lignes sont divisées en plus petits fragments. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans le périmètre de données aux États-Unis pour la santé et les sciences de la vie.

Fonctionnalité

Description

Limites de fractionnement

Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir les limites de fractionnement, qui peuvent inclure des données et des métadonnées client. Dans Spanner, une limite de fractionnement indique l'emplacement où des plages contiguës de lignes sont divisées en plus petits fragments.

Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans le périmètre de données aux États-Unis pour la santé et les sciences de la vie.

Contraintes liées aux règles d'administration Spanner

Contrainte liée aux règles d'administration	Description
`spanner.assuredWorkloadsAdvancedServiceControls`	Défini sur True. Applique des contrôles supplémentaires de souveraineté et de compatibilité des données aux ressources Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Défini sur True. Désactive la possibilité de créer des instances Spanner multirégionales pour appliquer la résidence et la souveraineté des données.

Étapes suivantes

Comprendre les packages de contrôles pour Assured Workloads.
Découvrez les produits compatibles pour chaque package de contrôles.