Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche
Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro di Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, prodotti Google Cloud supportati e i relativi endpoint API, nonché eventuali restrizioni o limitazioni applicabili a questi prodotti.
US Data Boundary for Healthcare and Life Sciences ti consente di eseguire carichi di lavoro conformi ai requisiti dell'Health Insurance Portability and Accountability Act (HIPAA) e dell'Health Information Trust Alliance (HITRUST). Ogni prodotto supportato è elencato nella pagina del Contratto di società in affari (BAA) HIPAA diGoogle Cloud e nella pagina del Common Security Framework (CSF) HITRUST diGoogle Cloud.
Le seguenti informazioni aggiuntive si applicano a Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche:
- Residenza dei dati: il pacchetto di controlli del Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche imposta i controlli della località dei dati per supportare solo le regioni degli Stati Uniti. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
- Assistenza: i servizi di assistenza tecnica per i carichi di lavoro di Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche sono disponibili con gli abbonamenti all'assistenza clienti Google Cloud Standard, Avanzata o Premium. Le richieste di assistenza per i workload del Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche vengono indirizzate al personale di assistenza globale. Se hai bisogno di un'opzione di controllo del personale di assistenza più restrittiva, valuta la possibilità di utilizzare il pacchetto di controlli US Data Boundary for Healthcare and Life Sciences with Support.
- Prezzi: il pacchetto di controlli di Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche è incluso nel Livello senza costi di Assured Workloads, che non comporta costi aggiuntivi. Per ulteriori informazioni, consulta la pagina relativa ai prezzi di Assured Workloads.
Prerequisiti
Per mantenere la conformità come utente del pacchetto di controlli del Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche, verifica di soddisfare e rispettare i seguenti prerequisiti:
- Crea una cartella Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche utilizzando Assured Workloads e implementa i tuoi carichi di lavoro HIPAA o HITRUST solo in questa cartella.
Attiva e utilizza solo i servizi inclusi nell'ambito per i carichi di lavoro di Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche. Se abiliti servizi aggiuntivi modificando il vincolo del criterio dell'organizzazione Limitazione dell'utilizzo dei servizi (
gcp.restrictServiceUsage) impostato nella cartella Assured Workloads, scegli di accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads. Si applicano i seguenti prerequisiti aggiuntivi:- Per rimanere conforme, ogni servizio deve essere elencato nella pagina BAA HIPAA diGoogle Cloud o nella pagina CSF HITRUST diGoogle Cloud.
- Quando inserisci nella lista consentita servizi aggiuntivi modificando questo vincolo, il monitoraggio di Assured Workloads segnalerà le violazioni della conformità. Per rimuovere queste violazioni ed evitare notifiche future per i servizi aggiunti alla lista consentita, devi concedere un'eccezione per ogni violazione.
- Prima di aggiungere un servizio alla lista consentita, verifica che supporti CMEK consultando la pagina Servizi compatibili nella documentazione di Cloud KMS. Se vuoi applicare una postura di sicurezza più rigorosa quando utilizzi CMEK, consulta la pagina Visualizza l'utilizzo delle chiavi nella documentazione di Cloud KMS.
- Prima di aggiungere un servizio alla lista consentita, verifica che sia elencato nella pagina Google Cloud Servizi con residenza dei dati.
- Prima di aggiungere un servizio alla lista consentita, verifica che sia supportato dai Controlli di servizio VPC consultando la pagina Prodotti supportati e limitazioni nella documentazione dei Controlli di servizio VPC.
- Prima di aggiungere un servizio alla lista consentita, verifica che sia supportato da Access Transparency e Access Approval.
Non utilizzare i server MCP di Google Cloud se non diversamente indicato. US Data Boundary per il settore sanitario e delle scienze biologiche non fornisce controlli di residenza dei dati per i dati in uso e in transito con i server Google Cloud MCP. Per bloccare l'accesso indesiderato ai server MCP Google Cloud, consulta la pagina Controlla l'utilizzo dei server MCP Google Cloud con IAM.
Non modificare i valori predefiniti del vincolo dei criteri dell'organizzazione, a meno che tu non comprenda e non voglia accettare i rischi di residenza dei dati che potrebbero verificarsi.
Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Google Cloud Centro best practice per la sicurezza.
Prodotti ed endpoint API supportati
Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.
Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per il Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, come impatti negativi sulla residenza o sulla sovranità dei dati.
| Prodotto supportato | Endpoint API | Restrizioni o limitazioni |
|---|---|---|
| Approvazione accesso |
accessapproval.googleapis.com |
Nessuno |
| Gestore contesto accesso |
accesscontextmanager.googleapis.com |
Nessuno |
| Access Transparency |
accessapproval.googleapis.com |
Nessuno |
| Agent Assist |
dialogflow.googleapis.com |
Nessuno |
| AlloyDB per PostgreSQL |
alloydb.googleapis.com |
Nessuno |
| Apigee |
apigee.googleapis.com |
Nessuno |
| Application Integration |
integrations.googleapis.com |
Nessuno |
| Artifact Registry |
artifactregistry.googleapis.com |
Nessuno |
| AutoML Tables |
aiplatform.googleapis.com |
Nessuno |
| Servizio di backup e DR |
backupdr.googleapis.com |
Nessuno |
| Backup per GKE |
gkebackup.googleapis.com |
Nessuno |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funzionalità interessate |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Nessuno |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Funzionalità interessate |
| Autorizzazione binaria |
binaryauthorization.googleapis.com |
Nessuno |
| Certificate Authority Service |
privateca.googleapis.com |
Nessuno |
| Certificate Manager |
certificatemanager.googleapis.com |
Nessuno |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
Nessuno |
| Cloud Build |
cloudbuild.googleapis.com |
Nessuno |
| Cloud DNS |
dns.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Cloud Deploy |
clouddeploy.googleapis.com |
Nessuno |
| Cloud HSM |
cloudkms.googleapis.com |
Nessuno |
| API Cloud Healthcare |
healthcare.googleapis.com |
Nessuno |
| Cloud Interconnect |
compute.googleapis.com |
Funzionalità interessate |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nessuno |
| Cloud Logging |
logging.googleapis.com |
Funzionalità interessate |
| Cloud Monitoring |
monitoring.googleapis.com |
Funzionalità interessate |
| Cloud Router |
compute.googleapis.com |
Nessuno |
| Cloud Run |
run.googleapis.com |
Funzionalità interessate |
| Cloud Run Functions |
run.googleapis.com |
Nessuno |
| Cloud SQL |
sqladmin.googleapis.com |
Nessuno |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.googleapis.com |
Nessuno |
| Cloud Storage |
storage.googleapis.com |
Nessuno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nessuno |
| Cloud VPN |
compute.googleapis.com |
Funzionalità interessate |
| API Cloud Vision |
vision.googleapis.com |
Funzionalità interessate |
| Compute Engine |
compute.googleapis.com |
Funzionalità interessate e vincoli delle policy dell'organizzazione |
| Dialogflow CX |
dialogflow.googleapis.com |
Nessuno |
| Approfondimenti sulla customer experience |
contactcenterinsights.googleapis.com |
Nessuno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Nessuno |
| Dataform |
dataform.googleapis.com |
Nessuno |
| Document AI |
documentai.googleapis.com |
Nessuno |
| Eventarc |
eventarc.googleapis.com |
Nessuno |
| Bilanciatore del carico di rete passthrough esterno |
compute.googleapis.com |
Nessuno |
| Filestore |
file.googleapis.com |
Nessuno |
| Firestore |
firestore.googleapis.com |
Nessuno |
| GKE Hub |
gkehub.googleapis.com |
Nessuno |
| AI generativa su Vertex AI |
aiplatform.googleapis.com |
Nessuno |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Funzionalità interessate |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Nessuno |
| Identity and Access Management (IAM) |
iam.googleapis.compolicytroubleshooter.googleapis.com |
Nessuno |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Nessuno |
| Bilanciatore del carico di rete passthrough interno |
compute.googleapis.com |
Nessuno |
| Key Access Justifications |
cloudekm.googleapis.comcloudkms.googleapis.com |
Nessuno |
| Knowledge Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Funzionalità interessate |
| Looker (Google Cloud core) |
looker.googleapis.com |
Nessuno |
| Managed Service for Apache Airflow |
composer.googleapis.com |
Nessuno |
| Managed Service for Apache Spark |
dataproc-control.googleapis.comdataproc.googleapis.com |
Nessuno |
| Memorystore for Redis |
redis.googleapis.com |
Nessuno |
| Model Armor |
modelarmor.googleapis.com |
Nessuno |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Funzionalità interessate |
| Persistent Disk |
compute.googleapis.com |
Nessuno |
| Pub/Sub |
pubsub.googleapis.com |
Vincoli delle policy dell'organizzazione |
| Bilanciatore del carico delle applicazioni esterno regionale |
compute.googleapis.com |
Nessuno |
| Bilanciatore del carico di rete proxy esterno regionale |
compute.googleapis.com |
Nessuno |
| Bilanciatore del carico delle applicazioni interno regionale |
compute.googleapis.com |
Nessuno |
| Bilanciatore del carico di rete proxy interno regionale |
compute.googleapis.com |
Nessuno |
| Secret Manager |
secretmanager.googleapis.com |
Nessuno |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Nessuno |
| Security Command Center Premium |
securitycenter.googleapis.comsecuritycentermanagement.googleapis.comsecurityposture.googleapis.comwebsecurityscanner.googleapis.com |
Nessuno |
| Sensitive Data Protection |
dlp.googleapis.com |
Nessuno |
| Spanner |
spanner.googleapis.com |
Funzionalità interessate e vincoli delle policy dell'organizzazione |
| Speech-to-Text |
speech.googleapis.com |
Nessuno |
| Storage Transfer Service |
storagetransfer.googleapis.com |
Nessuno |
| Text-to-Speech |
texttospeech.googleapis.com |
Nessuno |
| Controlli di servizio VPC |
accesscontextmanager.googleapis.com |
Nessuno |
| Previsioni in batch di Vertex AI |
aiplatform.googleapis.com |
Nessuno |
| Previsione online di Vertex AI |
aiplatform.googleapis.com |
Nessuno |
| Vertex AI Search |
discoveryengine.googleapis.com |
Nessuno |
| Vertex AI Training |
aiplatform.googleapis.com |
Nessuno |
| Vertex AI Workbench |
notebooks.googleapis.com |
Nessuno |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Nessuno |
Limitazioni e restrizioni
Le sezioni seguenti descrivono le limitazioni o le restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi i vincoli delle policy dell'organizzazione impostati per impostazione predefinita nelle cartelle di Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche. Altri vincoli delle norme dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud dell'organizzazione.
Google Cloud-wide
Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud
I seguenti vincoli delle policy dell'organizzazione si applicano a Google Cloud.
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta le seguenti località nell'elenco allowedValues:
La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un limite di dati conforme. |
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i
nomi di servizio API inclusi nell'ambito, tra cui:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK cripta i dati at-rest con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito. |
gcp.restrictServiceUsage |
Imposta l'opzione per consentire tutti gli endpoint API e prodotti supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, consulta Limitazione dell'utilizzo delle risorse. |
gcp.restrictTLSVersion |
Impostato per negare le seguenti versioni TLS:
|
BigQuery
Funzionalità di BigQuery interessate
| Funzionalità | Descrizione |
|---|---|
| Abilitazione di BigQuery in una nuova cartella | BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente
termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è terminato e per abilitare BigQuery, completa i seguenti passaggi:
Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads. |
| Funzionalità non supportate | Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella
CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per
Assured Workloads.
|
| CLI BigQuery | L'interfaccia a riga di comando BigQuery è supportata.
|
| Google Cloud SDK | Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati
per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui
gcloud --version e poi gcloud components update per eseguire l'aggiornamento
alla versione più recente.
|
| Controlli per gli amministratori | BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare cartelle Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads. |
| Caricamento di dati | I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori BigQuery Data Transfer Service per US Data Boundary per i carichi di lavoro di sanità e scienze della vita. |
| Trasferimenti di terze parti | BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service. |
| Modelli BQML non conformi | I modelli BQML addestrati esternamente non sono supportati. |
| Job di query | I job di query devono essere creati solo all'interno delle cartelle Assured Workloads. |
| Query sui set di dati in altri progetti | BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads da progetti non-Assured Workloads. Devi assicurarti che qualsiasi query che abbia una lettura o un join sui dati di Assured Workloads venga inserita nelle cartelle Assured Workloads. Puoi specificare un nome tabella completo per il risultato della query utilizzando projectname.dataset.table nella CLI BigQuery.
|
| Cloud Logging | BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare
i bucket di logging _default o limitare i bucket _default alle
regioni incluse nell'ambito utilizzando il seguente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Per saperne di più, consulta Regionalizzare i log. |
Bigtable
Funzionalità di Bigtable interessate
| Funzionalità | Descrizione |
|---|---|
| Data Boost | Questa funzionalità è disattivata. |
| Confini della suddivisione | Bigtable utilizza un piccolo sottoinsieme di chiavi di riga per definire i confini della suddivisione, che possono
includere dati e metadati dei clienti. Un limite di suddivisione in Bigtable indica la
posizione in cui gli intervalli contigui di righe di una tabella vengono suddivisi in tablet. Questi confini della suddivisione sono accessibili al personale di Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Assured Workloads. |
Cloud Interconnect
Funzionalità Cloud Interconnect interessate
| Funzionalità | Descrizione |
|---|---|
| VPN ad alta disponibilità | Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate. |
Cloud Logging
Funzionalità di Cloud Logging interessate
| Funzionalità | Descrizione |
|---|---|
| Sink di log | I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti. |
| Voci di log di coda in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di tailing in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti. |
| Policy di avviso basate su SQL | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità dei criteri di avviso basati su SQL. |
Cloud Monitoring
Funzionalità di Cloud Monitoring interessate
| Funzionalità | Descrizione |
|---|---|
| Monitoraggio sintetico | Questa funzionalità è disattivata. |
| Controlli di uptime | Questa funzionalità è disattivata. |
Cloud Run
Funzionalità di Cloud Run interessate
| Funzionalità | Descrizione |
|---|---|
| Funzionalità non supportate | Le seguenti funzionalità di Cloud Run non sono supportate: |
API Cloud Vision
Funzionalità dell'API Cloud Vision interessate
| Funzionalità | Descrizione |
|---|---|
| Endpoint API Cloud Vision conformi a HCLS | È tua responsabilità utilizzare solo l'endpoint API della regione Stati Uniti
(us-vision.googleapis.com) per l'API Cloud Vision. L'endpoint globale
(vision.googleapis.com) non è conforme a HCLS e
il suo utilizzo potrebbe compromettere la residenza dei dati del tuo workload.
|
Cloud VPN
Funzionalità Cloud VPN interessate
| Funzionalità | Descrizione |
|---|---|
| Endpoint VPN | Devi utilizzare solo endpoint Cloud VPN che si trovano in una regione inclusa nell'ambito. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione inclusa nell'ambito. |
Compute Engine
Funzionalità di Compute Engine interessate
| Funzionalità | Descrizione |
|---|---|
| Ambiente guest | È possibile che script, daemon e file binari inclusi nell'ambiente
guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta
Ambiente guest per informazioni
specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo della policy dell'organizzazione compute.trustedImageProjects.
Per saperne di più, vedi Creare un'immagine personalizzata. |
| Policy del sistema operativo in VM Manager |
Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando
chiavi di crittografia gestite dal cliente (CMEK). Non includere informazioni sensibili in
questi file. Valuta la possibilità di archiviare questi script e file di output in
bucket Cloud Storage. Per saperne di più, consulta
Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse di policy del sistema operativo che utilizzano script in linea o file di output binari, abilita il vincolo della policy dell'organizzazione constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Per saperne di più, consulta Vincoli per OS Config. |
Vincoli dei criteri dell'organizzazione Compute Engine
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Imposta su True. Disabilita la creazione di nuove policy di sicurezza Google Cloud Armor e l'aggiunta o la modifica di regole alle policy di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sulle policy di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore. |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per maggiori informazioni, consulta la documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva.
L'impostazione di questo valore vincola l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati. |
Knowledge Catalog
Funzionalità di Knowledge Catalog
| Funzionalità | Descrizione |
|---|---|
| Attribute Store | Questa funzionalità è ritirata e disattivata. |
| Data Catalog | Questa funzionalità è ritirata e disattivata. Non puoi cercare né gestire i tuoi metadati in Data Catalog. |
| Lake e zone | Questa funzionalità è disattivata. Non puoi gestire i lake, le zone e le attività. |
Google Cloud Armor
Funzionalità di Google Cloud Armor interessate
| Funzionalità | Descrizione |
|---|---|
| Policy di sicurezza con ambito globale | Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalCloudArmorPolicy.
|
Network Connectivity Center
Funzionalità di Network Connectivity Center interessate
| Funzionalità | Descrizione |
|---|---|
| ConsoleGoogle Cloud | Le funzionalità di Network Connectivity Center non sono disponibili nella console Google Cloud . Utilizza l'API o Google Cloud CLI. |
Pub/Sub
Vincoli delle policy dell'organizzazione Pub/Sub
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
pubsub.managed.disableSubscriptionMessageTransforms |
Imposta su True. Disabilita l'impostazione delle sottoscrizioni Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
pubsub.managed.disableTopicMessageTransforms |
Imposta su True. Disabilita l'impostazione di Single Message Transforms (SMT) per gli argomenti Pub/Sub. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload. |
Spanner
Funzionalità di Spanner interessate
| Funzionalità | Descrizione |
|---|---|
| Confini della suddivisione | Spanner utilizza un piccolo sottoinsieme di chiavi primarie e colonne indicizzate per definire i confini della suddivisione, che possono includere dati e metadati dei clienti. Un limite di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili al personale di Google per l'assistenza tecnica e il debug e non sono soggetti ai controlli di accesso ai dati amministrativi in Assured Workloads. |
Vincoli dei criteri dell'organizzazione Spanner
| Vincolo delle policy dell'organizzazione | Descrizione |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Imposta su True. Applica controlli aggiuntivi di sovranità dei dati e supporto alle risorse Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Imposta su True. Disabilita la possibilità di creare istanze Spanner multiregionali per applicare la residenza e la sovranità dei dati. |
Passaggi successivi
- Scopri come creare una cartella Assured Workloads
- Scopri di più sul pacchetto di controlli Data Boundary negli Stati Uniti per il settore sanitario e delle scienze biologiche con assistenza.
- Informazioni sui prezzi di Assured Workloads