Périmètre de données aux États-Unis pour la santé et les sciences de la vie
Cette page décrit l'ensemble des contrôles appliqués aux charges de travail du périmètre de données aux États-Unis pour la santé et les sciences de la vie dans Assured Workloads. Il fournit des informations détaillées sur la résidence des données, les produits Google Cloud compatibles et leurs points de terminaison d'API, ainsi que les restrictions ou limites applicables à ces produits.
Le périmètre de données aux États-Unis pour la santé et les sciences de la vie vous permet d'exécuter des charges de travail conformes aux exigences de la loi HIPAA (Health Insurance Portability and Accountability Act) et de l'alliance HITRUST (Health Information Trust Alliance). Chaque produit compatible est listé sur la page de l'accord de partenariat HIPAA deGoogle Cloud et sur la page du framework HITRUST Common Security Framework (CSF) deGoogle Cloud.
Les informations supplémentaires suivantes s'appliquent au périmètre de données aux États-Unis pour la santé et les sciences de la vie :
- Résidence des données : le package de contrôles du périmètre de données aux États-Unis pour la santé et les sciences de la vie définit les contrôles d'emplacement des données pour n'accepter que les régions des États-Unis. Pour en savoir plus, consultez la section Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud.
- Assistance : les services d'assistance technique pour les charges de travail du périmètre de données aux États-Unis pour la santé et les sciences de la vie sont disponibles avec les abonnements Cloud Customer Care Standard, Advanced ou Premium. Les demandes d'assistance concernant les charges de travail liées au périmètre de données aux États-Unis pour la santé et les sciences de la vie sont transmises au personnel d'assistance mondial. Si vous avez besoin d'une option de contrôle du personnel d'assistance plus restrictive, envisagez plutôt le package de contrôles Périmètre de données aux États-Unis pour la santé et les sciences de la vie avec assistance.
- Tarifs : le package de contrôles du périmètre de données aux États-Unis pour la santé et les sciences de la vie est inclus dans le niveau sans frais d'Assured Workloads, qui n'entraîne aucun frais supplémentaire. Pour en savoir plus, consultez la page Tarifs d'Assured Workloads.
Prérequis
Pour rester conforme en tant qu'utilisateur du package de contrôles du périmètre de données aux États-Unis pour la santé et les sciences de la vie, vérifiez que vous respectez les conditions préalables suivantes :
- Créez un dossier de périmètre de données aux États-Unis pour la santé et les sciences de la vie à l'aide d'Assured Workloads, puis déployez vos charges de travail HIPAA ou HITRUST uniquement dans ce dossier.
N'activez et n'utilisez que les services concernés pour les charges de travail du périmètre de données aux États-Unis pour la santé et les sciences de la vie. Si vous activez des services supplémentaires en modifiant la contrainte de règle d'administration Restreindre l'utilisation des services (
gcp.restrictServiceUsage) définie sur votre dossier Assured Workloads, vous choisissez d'accepter les risques associés, comme décrit dans Responsabilité partagée dans Assured Workloads. Les conditions préalables supplémentaires suivantes s'appliquent :- Pour rester conforme, chaque service doit figurer sur la page Accord de partenariat HIPAA deGoogle Cloud ou sur la page HITRUST CSF deGoogle Cloud.
- Si vous ajoutez des services à la liste autorisée en modifiant cette contrainte, la surveillance Assured Workloads signalera des cas de non-respect de la conformité. Pour supprimer ces cas de non-respect et éviter de recevoir d'autres notifications pour les services ajoutés à la liste d'autorisation, vous devez accorder une exception pour chaque cas de non-respect.
- Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec CMEK en consultant la page Services compatibles de la documentation Cloud KMS. Si vous souhaitez appliquer une sécurité plus stricte lorsque vous utilisez des CMEK, consultez la page Afficher l'utilisation des clés dans la documentation Cloud KMS.
- Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il figure sur la page Google Cloud Services avec résidence des données.
- Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec VPC Service Controls en consultant la page Produits compatibles et limites de la documentation VPC Service Controls.
- Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec Access Transparency et Access Approval.
N'utilisez pas les serveurs MCP Google Cloud, sauf indication contraire. Le périmètre de données aux États-Unis pour la santé et les sciences de la vie ne fournit pas de contrôles de résidence des données pour les données en cours d'utilisation et les données en transit avec les serveurs MCP Google Cloud. Pour bloquer l'accès aux serveurs MCP Google Cloud indésirables, consultez la page Contrôler l'utilisation des serveurs MCP Google Cloud avec IAM.
Ne modifiez pas les valeurs par défaut des contraintes de règles d'administration, sauf si vous comprenez et êtes prêt à accepter les risques liés à la résidence des données qui peuvent survenir.
Envisagez d'adopter les bonnes pratiques générales de sécurité fournies dans le centre des bonnes pratiques de sécurité Google Cloud .
Produits et points de terminaison d'API compatibles
Sauf indication contraire, les utilisateurs peuvent accéder à tous les produits compatibles via la console Google Cloud . Les restrictions ou limitations qui affectent les fonctionnalités d'un produit compatible, y compris celles appliquées par le biais des paramètres de contrainte des règles d'administration, sont listées dans le tableau suivant.
Si un produit n'est pas listé, cela signifie qu'il n'est pas pris en charge et qu'il ne répond pas aux exigences de contrôle du périmètre de données aux États-Unis pour la santé et les sciences de la vie. Il n'est pas recommandé d'utiliser des produits non compatibles sans avoir fait preuve de diligence raisonnable et sans avoir parfaitement compris vos responsabilités dans le modèle de responsabilité partagée. Avant d'utiliser un produit non compatible, assurez-vous d'être conscient des risques associés et de les accepter, comme les impacts négatifs sur la résidence ou la souveraineté des données.
| Produit concerné | points de terminaison de l'API | Restrictions ou limites |
|---|---|---|
| Access Approval |
accessapproval.googleapis.com |
Aucun |
| Access Context Manager |
accesscontextmanager.googleapis.com |
Aucun |
| Access Transparency |
accessapproval.googleapis.com |
Aucun |
| Agent Assist |
dialogflow.googleapis.com |
Aucun |
| AlloyDB pour PostgreSQL |
alloydb.googleapis.com |
Aucun |
| Apigee |
apigee.googleapis.com |
Aucun |
| Application Integration |
integrations.googleapis.com |
Aucun |
| Artifact Registry |
artifactregistry.googleapis.com |
Aucun |
| AutoML Tables |
aiplatform.googleapis.com |
Aucun |
| Service de sauvegarde et de reprise après sinistre |
backupdr.googleapis.com |
Aucun |
| Sauvegarde pour GKE |
gkebackup.googleapis.com |
Aucun |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Fonctionnalités concernées |
| Service de transfert de données BigQuery |
bigquerydatatransfer.googleapis.com |
Aucun |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Fonctionnalités concernées |
| Autorisation binaire |
binaryauthorization.googleapis.com |
Aucun |
| Certificate Authority Service |
privateca.googleapis.com |
Aucun |
| Gestionnaire de certificats |
certificatemanager.googleapis.com |
Aucun |
| Inventaire des éléments cloud |
cloudasset.googleapis.com |
Aucun |
| Cloud Build |
cloudbuild.googleapis.com |
Aucun |
| Cloud DNS |
dns.googleapis.com |
Aucun |
| Cloud Data Fusion |
datafusion.googleapis.com |
Aucun |
| Cloud Deploy |
clouddeploy.googleapis.com |
Aucun |
| Cloud HSM |
cloudkms.googleapis.com |
Aucun |
| API Cloud Healthcare |
healthcare.googleapis.com |
Aucun |
| Cloud Interconnect |
compute.googleapis.com |
Fonctionnalités concernées |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Aucun |
| Cloud Logging |
logging.googleapis.com |
Fonctionnalités concernées |
| Cloud Monitoring |
monitoring.googleapis.com |
Fonctionnalités concernées |
| Cloud Router |
compute.googleapis.com |
Aucun |
| Cloud Run |
run.googleapis.com |
Fonctionnalités concernées |
| Cloud Run Functions |
run.googleapis.com |
Aucun |
| Cloud SQL |
sqladmin.googleapis.com |
Aucun |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.googleapis.com |
Aucun |
| Cloud Storage |
storage.googleapis.com |
Aucun |
| Cloud Tasks |
cloudtasks.googleapis.com |
Aucun |
| Cloud VPN |
compute.googleapis.com |
Fonctionnalités concernées |
| API Cloud Vision |
vision.googleapis.com |
Fonctionnalités concernées |
| Compute Engine |
compute.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Dialogflow CX |
dialogflow.googleapis.com |
Aucun |
| Insights sur l'expérience client |
contactcenterinsights.googleapis.com |
Aucun |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Aucun |
| Dataform |
dataform.googleapis.com |
Aucun |
| Document AI |
documentai.googleapis.com |
Aucun |
| Eventarc |
eventarc.googleapis.com |
Aucun |
| Équilibreur de charge réseau passthrough externe |
compute.googleapis.com |
Aucun |
| Filestore |
file.googleapis.com |
Aucun |
| Firestore |
firestore.googleapis.com |
Aucun |
| GKE Hub |
gkehub.googleapis.com |
Aucun |
| IA générative sur Vertex AI |
aiplatform.googleapis.com |
Aucun |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Fonctionnalités concernées |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Aucun |
| Identity and Access Management (IAM) |
iam.googleapis.compolicytroubleshooter.googleapis.com |
Aucun |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Aucun |
| Équilibreur de charge réseau passthrough interne |
compute.googleapis.com |
Aucun |
| Key Access Justifications |
cloudekm.googleapis.comcloudkms.googleapis.com |
Aucun |
| Knowledge Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Fonctionnalités concernées |
| Looker (Google Cloud Core) |
looker.googleapis.com |
Aucun |
| Managed Service pour Apache Airflow |
composer.googleapis.com |
Aucun |
| Managed Service pour Apache Spark |
dataproc-control.googleapis.comdataproc.googleapis.com |
Aucun |
| Memorystore pour Redis |
redis.googleapis.com |
Aucun |
| Model Armor |
modelarmor.googleapis.com |
Aucun |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Fonctionnalités concernées |
| Persistent Disk |
compute.googleapis.com |
Aucun |
| Pub/Sub |
pubsub.googleapis.com |
Contraintes liées aux règles d'administration |
| Équilibreur de charge d'application externe régional |
compute.googleapis.com |
Aucun |
| Équilibreur de charge réseau proxy externe régional |
compute.googleapis.com |
Aucun |
| Équilibreur de charge d'application interne régional |
compute.googleapis.com |
Aucun |
| Équilibreur de charge réseau proxy interne régional |
compute.googleapis.com |
Aucun |
| Secret Manager |
secretmanager.googleapis.com |
Aucun |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Aucun |
| Security Command Center Premium |
securitycenter.googleapis.comsecuritycentermanagement.googleapis.comsecurityposture.googleapis.comwebsecurityscanner.googleapis.com |
Aucun |
| Sensitive Data Protection |
dlp.googleapis.com |
Aucun |
| Spanner |
spanner.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Speech-to-Text |
speech.googleapis.com |
Aucun |
| Service de transfert de stockage |
storagetransfer.googleapis.com |
Aucun |
| Text-to-Speech |
texttospeech.googleapis.com |
Aucun |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Aucun |
| Prédiction par lot Vertex AI |
aiplatform.googleapis.com |
Aucun |
| Prédiction en ligne Vertex AI |
aiplatform.googleapis.com |
Aucun |
| Vertex AI Search |
discoveryengine.googleapis.com |
Aucun |
| Vertex AI Training |
aiplatform.googleapis.com |
Aucun |
| Vertex AI Workbench |
notebooks.googleapis.com |
Aucun |
| Cloud privé virtuel (VPC) |
compute.googleapis.com |
Aucun |
Restrictions et limitations
Les sections suivantes décrivent les restrictions ou limites générales ou spécifiques aux produits pour les fonctionnalités, y compris les contraintes liées aux règles d'administration qui sont définies par défaut sur les dossiers du périmètre de données aux États-Unis pour la santé et les sciences de la vie. Google CloudD'autres contraintes de règles d'administration applicables, même si elles ne sont pas définies par défaut, peuvent fournir une défense en profondeur supplémentaire pour mieux protéger les ressources de votre organisation Google Cloud .
Google Cloudde large
Contraintes liées aux règles d'administration à l'échelle deGoogle Cloud
Les contraintes de règles d'administration suivantes s'appliquent à Google Cloud.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez les emplacements suivants dans la liste allowedValues :
Modifier cette valeur pour la rendre moins restrictive compromet potentiellement la résidence des données en autorisant la création ou le stockage de données en dehors d'une limite de données conforme. |
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). CMEK chiffre les données au repos à l'aide d'une clé que vous gérez, et non à l'aide des mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées avec la clé que vous avez fournie. |
gcp.restrictServiceUsage |
Définissez-le pour autoriser tous les produits et points de terminaison d'API compatibles. Détermine les services pouvant être utilisés en limitant l'accès du runtime à leurs ressources. Pour en savoir plus, consultez Restreindre l'utilisation des ressources. |
gcp.restrictTLSVersion |
Définissez les versions TLS suivantes sur "Refuser" :
|
BigQuery
Fonctionnalités BigQuery concernées
| Fonctionnalité | Description |
|---|---|
| Activer BigQuery dans un nouveau dossier | BigQuery est compatible, mais n'est pas automatiquement activé lorsque vous créez un dossier Assured Workloads en raison d'un processus de configuration interne. Cette opération prend normalement dix minutes, mais peut durer beaucoup plus longtemps dans certaines circonstances. Pour vérifier si le processus est terminé et activer BigQuery, procédez comme suit :
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. Gemini dans BigQuery n'est pas compatible avec Assured Workloads. |
| Fonctionnalités non compatibles | Les fonctionnalités BigQuery suivantes ne sont pas compatibles et ne doivent pas être utilisées dans la CLI BigQuery. Il vous incombe de ne pas les utiliser dans BigQuery pour Assured Workloads.
|
| CLI BigQuery | L'interface de ligne de commande BigQuery est compatible.
|
| SDK Google Cloud | Vous devez utiliser Google Cloud SDK version 403.0.0 ou ultérieure pour garantir la régionalisation des données techniques. Pour vérifier votre version actuelle de Google Cloud SDK, exécutez gcloud --version, puis gcloud components update pour passer à la version la plus récente.
|
| Commandes d'administration | BigQuery désactivera les API non compatibles, mais les administrateurs disposant des autorisations suffisantes pour créer des dossiers Assured Workloads peuvent activer une API non compatible. Si cela se produit, vous serez informé d'un éventuel non-respect des règles via le tableau de bord de surveillance Assured Workloads. |
| Charger des données | Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) de Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas compatibles. Il vous incombe de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour les charges de travail liées au périmètre de données américain pour le secteur de la santé et des sciences de la vie. |
| Transferts tiers | BigQuery ne vérifie pas la compatibilité des transferts tiers avec le service de transfert de données BigQuery. Il vous incombe de vérifier la compatibilité lorsque vous utilisez un transfert tiers pour le service de transfert de données BigQuery. |
| Modèles BQML non conformes | Les modèles BQML entraînés en externe ne sont pas acceptés. |
| Tâches de requête | Les jobs de requête ne doivent être créés que dans des dossiers Assured Workloads. |
| Requêtes sur des ensembles de données dans d'autres projets | BigQuery n'empêche pas d'interroger les ensembles de données Assured Workloads à partir de projets non Assured Workloads. Assurez-vous que toute requête qui effectue une lecture ou une jointure sur des données Assured Workloads est placée dans des dossiers Assured Workloads. Vous pouvez spécifier un nom de table complet pour le résultat de la requête à l'aide de projectname.dataset.table dans la CLI BigQuery.
|
| Cloud Logging | BigQuery utilise Cloud Logging pour certaines de vos données de journaux. Vous devez désactiver vos buckets de journaux _default ou limiter les buckets _default aux régions concernées pour rester conforme. Pour ce faire, utilisez la commande suivante :gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Pour en savoir plus, consultez Régionaliser vos journaux. |
Bigtable
Fonctionnalités Bigtable concernées
| Fonctionnalité | Description |
|---|---|
| Data Boost | Cette fonctionnalité est désactivée. |
| Limites de fractionnement | Bigtable utilise un petit sous-ensemble de clés de ligne pour définir les limites de division, qui peuvent inclure des données et des métadonnées client. Dans Bigtable, une limite de fractionnement indique l'emplacement où des plages contiguës de lignes d'une table sont fractionnées en tablets. Le personnel Google peut accéder à ces limites fractionnées à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans Assured Workloads. |
Cloud Interconnect
Fonctionnalités Cloud Interconnect concernées
| Fonctionnalité | Description |
|---|---|
| VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité lorsque vous utilisez Cloud Interconnect avec Cloud VPN. De plus, vous devez respecter les exigences de chiffrement et de régionalisation listées dans la section Fonctionnalités Cloud VPN concernées. |
Cloud Logging
Fonctionnalités Cloud Logging concernées
| Fonctionnalité | Description |
|---|---|
| Récepteurs de journaux | Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres stockés en tant que configuration. Ne créez pas de filtres contenant des données client. |
| Affichage en direct des dernières lignes des entrées de journal | Les filtres ne doivent pas contenir de données client. Une session d'affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. La lecture des journaux en temps réel ne stocke aucune donnée d'entrée de journal, mais peut interroger et transmettre des données entre les régions. Ne créez pas de filtres contenant des données client. |
| Règles d'alerte basées sur SQL | Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité de règles d'alerte basées sur SQL. |
Cloud Monitoring
Fonctionnalités Cloud Monitoring concernées
| Fonctionnalité | Description |
|---|---|
| Surveillance synthétique | Cette fonctionnalité est désactivée. |
| Tests de disponibilité | Cette fonctionnalité est désactivée. |
Cloud Run
Fonctionnalités Cloud Run concernées
| Fonctionnalité | Description |
|---|---|
| Fonctionnalités non compatibles | Les fonctionnalités Cloud Run suivantes ne sont pas prises en charge : |
API Cloud Vision
Fonctionnalités de l'API Cloud Vision concernées
| Fonctionnalité | Description |
|---|---|
| Points de terminaison de l'API Cloud Vision conformes à la norme HCLS | Il vous incombe d'utiliser uniquement le point de terminaison de l'API pour la région des États-Unis (us-vision.googleapis.com) pour l'API Cloud Vision. Le point de terminaison mondial (vision.googleapis.com) n'est pas conforme à la norme HCLS. Son utilisation peut compromettre la résidence des données de votre charge de travail.
|
Cloud VPN
Fonctionnalités Cloud VPN concernées
| Fonctionnalité | Description |
|---|---|
| Points de terminaison VPN | Vous ne devez utiliser que des points de terminaison Cloud VPN situés dans une région concernée. Assurez-vous que votre passerelle VPN est configurée pour être utilisée uniquement dans une région concernée. |
Compute Engine
Fonctionnalités Compute Engine concernées
| Fonctionnalité | Description |
|---|---|
| Environnement invité | Il est possible que les scripts, les daemons et les binaires inclus dans l'environnement invité accèdent aux données non chiffrées au repos et en cours d'utilisation. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et d'autres informations spécifiques à chaque package, consultez Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et des processus de sécurité internes. Toutefois, si vous souhaitez exercer un contrôle supplémentaire, vous pouvez également organiser vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects.
Pour en savoir plus, consultez Créer une image personnalisée. |
| Règles d'OS dans VM Manager |
Les scripts intégrés et les fichiers de sortie binaires dans les fichiers de règles d'OS ne sont pas chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). N'incluez aucune information sensible dans ces fichiers. Envisagez de stocker ces scripts et fichiers de sortie dans des buckets Cloud Storage. Pour en savoir plus, consultez Exemples de règles d'OS. Si vous souhaitez limiter la création ou la modification de ressources de règles d'OS qui utilisent des scripts intégrés ou des fichiers de sortie binaires, activez la contrainte de règle d'administration constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Pour en savoir plus, consultez Contraintes pour OS Config. |
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles dans les stratégies de sécurité Google Cloud Armor globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la suppression ou la modification de la description et de la liste des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les stratégies de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur. |
compute.restrictNonConfidentialComputing |
(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur Confidential VM. |
compute.trustedImageProjects |
(Facultatif) Aucune valeur n'est définie. Définissez cette valeur pour renforcer la défense en profondeur.
Définir cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés. |
Knowledge Catalog
Fonctionnalités de Knowledge Catalog
| Fonctionnalité | Description |
|---|---|
| Magasin d'attributs | Cette fonctionnalité est obsolète et désactivée. |
| Data Catalog | Cette fonctionnalité est obsolète et désactivée. Vous ne pouvez pas rechercher ni gérer vos métadonnées dans Data Catalog. |
| Lacs et zones | Cette fonctionnalité est désactivée. Vous ne pouvez pas gérer les lacs, les zones ni les tâches. |
Google Cloud Armor
Fonctionnalités Google Cloud Armor concernées
| Fonctionnalité | Description |
|---|---|
| Stratégies de sécurité à l'échelle mondiale | Cette fonctionnalité est désactivée par la contrainte liée aux règles d'administration de l'organisation compute.disableGlobalCloudArmorPolicy.
|
Network Connectivity Center
Fonctionnalités Network Connectivity Center concernées
| Fonctionnalité | Description |
|---|---|
| ConsoleGoogle Cloud | Les fonctionnalités Network Connectivity Center ne sont pas disponibles dans la console Google Cloud . Utilisez plutôt l'API ou Google Cloud CLI. |
Pub/Sub
Contraintes liées aux règles d'administration Pub/Sub
| Contrainte liée aux règles d'administration | Description |
|---|---|
pubsub.managed.disableSubscriptionMessageTransforms |
Défini sur True. Empêche la définition d'abonnements Pub/Sub avec des transformations de message unique (SMT). La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
pubsub.managed.disableTopicMessageTransforms |
Défini sur True. Empêche la définition de transformations de message unique (SMT) pour les sujets Pub/Sub. La modification de cette valeur peut affecter la résidence ou la souveraineté des données de votre charge de travail. |
Spanner
Fonctionnalités Spanner concernées
| Fonctionnalité | Description |
|---|---|
| Limites de fractionnement | Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir les limites de division, qui peuvent inclure des données et des métadonnées client. Dans Spanner, une limite de fractionnement indique l'emplacement où des plages de lignes contiguës sont divisées en éléments plus petits. Le personnel Google peut accéder à ces limites fractionnées à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles d'accès aux données administratives dans Assured Workloads. |
Contraintes liées aux règles d'administration Spanner
| Contrainte liée aux règles d'administration | Description |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Défini sur True. Applique des contrôles supplémentaires de souveraineté des données et d'assistance pour les ressources Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Défini sur True. Désactive la possibilité de créer des instances Spanner multirégionales pour appliquer la résidence et la souveraineté des données. |
Étapes suivantes
- Découvrez comment créer un dossier Assured Workloads.
- En savoir plus sur le package de contrôles Périmètre de données aux États-Unis pour la santé et les sciences de la vie avec assistance
- Comprendre les tarifs Assured Workloads