Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati

Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan paket kontrol Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati serta Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati dengan Dukungan.

Ringkasan

Paket kontrol Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati serta Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati dengan Dukungan memungkinkan Anda menjalankan workload yang mematuhi persyaratan Health Insurance Portability and Accountability Act (HIPAA) dan Health Information Trust Alliance (HITRUST).

Setiap produk yang didukung memenuhi persyaratan berikut:

Tercantum di halaman Perjanjian Asosiasi Bisnis (BAA) HIPAAGoogle Cloud
Dicantumkan di halaman HITRUST Common Security Framework (CSF) Google Cloud
Mendukung Kunci enkripsi yang dikelola pelanggan (CMEK) Cloud KMS
Mendukung Kontrol Layanan VPC
Mendukung log Transparansi Akses
Mendukung permintaan Persetujuan Akses
Mendukung residensi data saat istirahat yang dibatasi untuk lokasi AS

Mengizinkan layanan tambahan

Setiap paket kontrol Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati mencakup konfigurasi default layanan yang didukung, yang diterapkan oleh batasan kebijakan organisasi Batasi Penggunaan Layanan (gcp.restrictServiceUsage) yang ditetapkan di folder Assured Workloads Anda. Namun, Anda dapat mengubah nilai batasan ini untuk menyertakan layanan lain jika workload Anda memerlukannya. Lihat Membatasi penggunaan resource untuk workload untuk mengetahui informasi selengkapnya.

Layanan tambahan apa pun yang Anda pilih untuk ditambahkan ke daftar yang diizinkan harus tercantum di halaman BAA HIPAA Google Cloud atau tercantum di halaman HITRUST CSF Google Cloud.

Saat Anda menambahkan layanan tambahan dengan mengubah batasan gcp.restrictServiceUsage, pemantauan Assured Workloads akan melaporkan pelanggaran kepatuhan. Untuk menghapus pelanggaran ini dan mencegah notifikasi di masa mendatang untuk layanan yang ditambahkan ke daftar yang diizinkan, Anda harus memberikan pengecualian untuk setiap pelanggaran.

Pertimbangan tambahan saat menambahkan layanan ke daftar yang diizinkan dijelaskan di bagian berikut.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Sebelum menambahkan layanan ke daftar yang diizinkan, verifikasi bahwa layanan tersebut mendukung CMEK dengan meninjau halaman Layanan yang kompatibel dalam dokumentasi Cloud KMS. Jika Anda ingin mengizinkan layanan yang tidak mendukung CMEK, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Jika Anda ingin menerapkan postur keamanan yang lebih ketat saat menggunakan CMEK, lihat halaman Melihat penggunaan kunci dalam dokumentasi Cloud KMS.

Residensi data

Sebelum menambahkan layanan ke daftar yang diizinkan, verifikasi bahwa layanan tersebut tercantum di halaman Google Cloud Layanan dengan Retensi Data. Jika Anda ingin mengizinkan layanan yang tidak mendukung residensi data, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Kontrol Layanan VPC

Sebelum menambahkan layanan ke daftar yang diizinkan, verifikasi bahwa layanan tersebut didukung oleh Kontrol Layanan VPC dengan meninjau halaman Produk dan batasan yang didukung dalam dokumentasi Kontrol Layanan VPC. Jika Anda ingin mengizinkan layanan yang tidak mendukung Kontrol Layanan VPC, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Transparansi Akses dan Persetujuan Akses

Sebelum menambahkan layanan ke daftar yang diizinkan, verifikasi bahwa layanan tersebut dapat menulis log Transparansi Akses dan mendukung permintaan Access Approval dengan meninjau halaman berikut:

Jika Anda ingin mengizinkan layanan yang tidak menulis log Transparansi Akses dan tidak mendukung permintaan Persetujuan Akses, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Produk dan layanan yang didukung

Produk berikut didukung dalam Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati dan paket kontrol Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati dengan Dukungan:

Produk yang didukung	Endpoint API global	Batasan atau pembatasan
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com`	Tidak ada
Artifact Registry	`artifactregistry.googleapis.com`	Tidak ada
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Tidak ada
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com`	Tidak ada
Otorisasi Biner	`binaryauthorization.googleapis.com`	Tidak ada
Certificate Authority Service	`privateca.googleapis.com`	Tidak ada
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Tidak ada
Cloud Build	`cloudbuild.googleapis.com`	Tidak ada
Cloud Composer	`composer.googleapis.com`	Tidak ada
Cloud Data Fusion	`datafusion.googleapis.com`	Tidak ada
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Tidak ada
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Tidak ada
Cloud Data Fusion	`datafusion.googleapis.com`	Tidak ada
Identity and Access Management (IAM)	`iam.googleapis.com`	Tidak ada
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Tidak ada
Cloud Logging	`logging.googleapis.com`	Tidak ada
Pub/Sub	`pubsub.googleapis.com`	Tidak ada
Cloud Router	`networkconnectivity.googleapis.com`	Tidak ada
Cloud Run	`run.googleapis.com`	Fitur yang terpengaruh
Spanner	`spanner.googleapis.com`	Fitur yang terpengaruh dan batasan kebijakan organisasi
Cloud SQL	`sqladmin.googleapis.com`	Tidak ada
Cloud Storage	`storage.googleapis.com`	Tidak ada
Cloud Tasks	`cloudtasks.googleapis.com`	Tidak ada
Cloud Vision API	`vision.googleapis.com`	Tidak ada
Cloud VPN	`compute.googleapis.com`	Tidak ada
Compute Engine	`compute.googleapis.com`	Batasan kebijakan organisasi.
Insight Pengalaman Pelanggan	`contactcenterinsights.googleapis.com`	Tidak ada
Eventarc	`eventarc.googleapis.com`	Tidak ada
Filestore	`file.googleapis.com`	Tidak ada
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Tidak ada
Memorystore for Redis	`redis.googleapis.com`	Tidak ada
Persistent Disk	`compute.googleapis.com`	Tidak ada
Secret Manager	`secretmanager.googleapis.com`	Tidak ada
Sensitive Data Protection	`dlp.googleapis.com`	Tidak ada
Speech-to-Text	`speech.googleapis.com`	Tidak ada
Text-to-Speech	`texttospeech.googleapis.com`	Tidak ada
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Tidak ada
Kontrol Layanan VPC	`accesscontextmanager.googleapis.com`	Tidak ada

Batas dan pembatasan

Bagian berikut menjelaskan batasan atau pembatasan Google Cloud-luas atau khusus produk untuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default di Batas Data AS untuk folder Healthcare and Life Sciences.

Batasan kebijakan organisasi di seluruhGoogle Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan kebijakan organisasi	Deskripsi
`gcp.resourceLocations`	Setel ke lokasi berikut dalam daftar `allowedValues`: us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Nilai ini membatasi pembuatan resource baru apa pun hanya untuk grup nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Lihat Layanan yang didukung lokasi resource untuk mengetahui daftar resource yang dapat dibatasi oleh batasan kebijakan organisasi Lokasi Resource, karena beberapa resource mungkin di luar cakupan dan tidak dapat dibatasi. Mengubah nilai ini dengan membuatnya kurang ketat berpotensi merusak residensi data dengan mengizinkan data dibuat atau disimpan di luar batas data yang sesuai. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya.
`gcp.restrictServiceUsage`	Disetel untuk mengizinkan semua layanan yang didukung. Menentukan layanan mana yang dapat digunakan dengan membatasi akses runtime ke resource-nya. Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.
`gcp.restrictTLSVersion`	Setel untuk menolak versi TLS berikut: TLS_VERSION_1 TLS_VERSION_1_1 Lihat halaman Membatasi versi TLS untuk mengetahui informasi selengkapnya.

Compute Engine

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
`compute.disableGlobalCloudArmorPolicy`	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor.

Cloud Run

Fitur Cloud Run yang terpengaruh

Fitur	Deskripsi
Fitur yang tidak didukung	Fitur Cloud Run berikut tidak didukung: Integrasi Cloud Trace Cloud Run Functions Pemicu Eventarc

Spanner

Fitur Spanner yang terpengaruh

Fitur	Deskripsi
Membagi batas	Spanner menggunakan subset kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil. Batasan yang terpisah ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol akses data administratif di Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati.

Fitur

Deskripsi

Membagi batas

Spanner menggunakan subset kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data dan metadata pelanggan. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil.

Batasan yang terpisah ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, serta tidak tunduk pada kontrol akses data administratif di Batas Data AS untuk Layanan Kesehatan dan Ilmu Hayati.

Batasan kebijakan organisasi Spanner

Batasan kebijakan organisasi	Deskripsi
`spanner.assuredWorkloadsAdvancedServiceControls`	Tetapkan ke True. Menerapkan kontrol kedaulatan data dan dukungan tambahan ke resource Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Tetapkan ke True. Menonaktifkan kemampuan untuk membuat instance Spanner multi-region guna menerapkan residensi data dan kedaulatan data.

Langkah berikutnya

Pahami paket kontrol untuk Assured Workloads.
Pelajari produk yang didukung untuk setiap paket kontrol.