Limite de dados dos EUA para saúde e ciências biológicas
Nesta página, descrevemos o conjunto de controles aplicados ao limite de dados dos EUA para cargas de trabalho de saúde e ciências biológicas no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos do Google Cloud compatíveis e os endpoints de API deles, além de restrições ou limitações aplicáveis a esses produtos.
Com o limite de dados dos EUA para saúde e ciências biológicas, é possível executar cargas de trabalho em conformidade com os requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e da Health Information Trust Alliance (HITRUST). Cada produto compatível está listado na página do Aditivo de Parceria Comercial (BAA) da HIPAA doGoogle Cloud e na página do HITRUST Common Security Framework (CSF) doGoogle Cloud.
As seguintes informações adicionais se aplicam ao limite de dados dos EUA para saúde e ciências biológicas:
- Residência de dados: o pacote de controles do limite de dados dos EUA para saúde e ciências biológicas define controles de localização de dados para oferecer suporte a regiões exclusivas dos EUA. Consulte a seção Restrições da política da organização em toda aGoogle Cloud para mais informações.
- Suporte: os serviços de suporte técnico para cargas de trabalho do limite de dados dos EUA para saúde e ciências biológicas estão disponíveis com as assinaturas Standard, Enhanced ou Premium do Cloud Customer Care. Os casos de suporte do limite de dados dos EUA para cargas de trabalho de saúde e ciências biológicas são encaminhados para a equipe de suporte global. Se você precisar de uma opção de controle de equipe de suporte mais restritiva, considere o pacote de controles Limite de dados dos EUA para saúde e ciências biológicas com suporte.
- Preços: o pacote de controle do limite de dados dos EUA para saúde e ciências biológicas está incluído no nível sem custo financeiro do Assured Workloads, que não gera cobranças adicionais. Consulte Preços do Assured Workloads para mais informações.
Pré-requisitos
Para manter a conformidade como usuário do pacote de controles do limite de dados dos EUA para saúde e ciências biológicas, verifique se você atende e segue os seguintes pré-requisitos:
- Crie uma pasta de limite de dados dos EUA para saúde e ciências biológicas usando o Assured Workloads e implante suas cargas de trabalho da HIPAA ou do HITRUST apenas nessa pasta.
Ative e use apenas serviços no escopo para limites de dados dos EUA para cargas de trabalho de saúde e ciências biológicas. Se você ativar outros serviços modificando a restrição de política da organização Restringir uso do serviço (
gcp.restrictServiceUsage) definida na pasta do Assured Workloads, estará aceitando os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads. Os seguintes pré-requisitos adicionais se aplicam:- Cada serviço precisa ser listado na página do BAA da HIPAA doGoogle Cloud ou na página do HITRUST CSF doGoogle Cloud para que você continue em conformidade.
- Quando você permite outros serviços modificando essa restrição, o monitoramento do Assured Workloads informa violações de compliance. Para remover essas violações e evitar notificações futuras de serviços adicionados à lista de permissões, conceda uma exceção para cada violação.
- Antes de adicionar um serviço à lista de permissões, verifique se ele é compatível com a CMEK. Para isso, consulte a página Serviços compatíveis na documentação do Cloud KMS. Se você quiser aplicar uma postura de segurança mais rígida ao usar a CMEK, consulte a página Ver uso da chave na documentação do Cloud KMS.
- Antes de adicionar um serviço à lista de permissões, verifique se ele está listado na página Google Cloud Serviços com residência de dados.
- Antes de adicionar um serviço à lista de permissões, verifique se ele é compatível com o VPC Service Controls consultando a página Produtos e limitações compatíveis na documentação do VPC Service Controls.
- Antes de adicionar um serviço à lista de permissões, verifique se ele é compatível com a Transparência no acesso e a Aprovação de acesso.
Não use servidores MCP do Google Cloud, a menos que indicado de outra forma. O limite de dados dos EUA para saúde e ciências biológicas não oferece controles de residência de dados para dados em uso e em trânsito com servidores MCP do Google Cloud. Para bloquear o acesso indesejado aos servidores do MCP no Google Cloud, consulte a página Controlar o uso de servidores do MCP no Google Cloud com o IAM.
Não mude os valores padrão da restrição de política da organização, a menos que você entenda e esteja disposto a aceitar os riscos de residência de dados que podem ocorrer.
Considere adotar as práticas recomendadas gerais de segurança fornecidas na Google Cloud central de práticas recomendadas de segurança.
Produtos e endpoints de API compatíveis
Salvo indicação em contrário, os usuários podem acessar todos os produtos compatíveis pelo console Google Cloud . As restrições ou limitações que afetam os recursos de um produto compatível, incluindo aquelas que são aplicadas pelas configurações de restrição da política da organização, estão listadas na tabela a seguir.
Se um produto não estiver listado, ele não terá suporte e não terá atendido aos requisitos de controle do limite de dados dos EUA para saúde e ciências biológicas. Não é recomendável usar produtos sem suporte sem auditoria e uma compreensão completa das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você conhece e aceita os riscos associados, como impactos negativos na residência ou soberania de dados.
| Produto compatível | Endpoints de API | Restrições ou limitações |
|---|---|---|
| Aprovação de acesso |
accessapproval.googleapis.com |
Nenhum |
| Access Context Manager |
accesscontextmanager.googleapis.com |
Nenhum |
| Transparência no acesso |
accessapproval.googleapis.com |
Nenhum |
| Agent Assist |
dialogflow.googleapis.com |
Nenhum |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
Nenhum |
| Apigee |
apigee.googleapis.com |
Nenhum |
| Application Integration |
integrations.googleapis.com |
Nenhum |
| Artifact Registry |
artifactregistry.googleapis.com |
Nenhum |
| AutoML Tables |
aiplatform.googleapis.com |
Nenhum |
| Serviço de backup e DR |
backupdr.googleapis.com |
Nenhum |
| Backup para GKE |
gkebackup.googleapis.com |
Nenhum |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Recursos afetados |
| Serviço de transferência de dados do BigQuery |
bigquerydatatransfer.googleapis.com |
Nenhum |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Recursos afetados |
| Autorização binária |
binaryauthorization.googleapis.com |
Nenhum |
| Certificate Authority Service |
privateca.googleapis.com |
Nenhum |
| Gerenciador de certificados |
certificatemanager.googleapis.com |
Nenhum |
| Inventário de recursos do Cloud |
cloudasset.googleapis.com |
Nenhum |
| Cloud Build |
cloudbuild.googleapis.com |
Nenhum |
| Cloud DNS |
dns.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Cloud Deploy |
clouddeploy.googleapis.com |
Nenhum |
| Cloud HSM |
cloudkms.googleapis.com |
Nenhum |
| API Cloud Healthcare |
healthcare.googleapis.com |
Nenhum |
| Cloud Interconnect |
compute.googleapis.com |
Recursos afetados |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nenhum |
| Cloud Logging |
logging.googleapis.com |
Recursos afetados |
| Cloud Monitoring |
monitoring.googleapis.com |
Recursos afetados |
| Cloud Router |
compute.googleapis.com |
Nenhum |
| Cloud Run |
run.googleapis.com |
Recursos afetados |
| Cloud Run functions |
run.googleapis.com |
Nenhum |
| Cloud SQL |
sqladmin.googleapis.com |
Nenhum |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.googleapis.com |
Nenhum |
| Cloud Storage |
storage.googleapis.com |
Nenhum |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nenhum |
| Cloud VPN |
compute.googleapis.com |
Recursos afetados |
| API Cloud Vision |
vision.googleapis.com |
Recursos afetados |
| Compute Engine |
compute.googleapis.com |
Recursos afetados e restrições da política da organização |
| Dialogflow CX |
dialogflow.googleapis.com |
Nenhum |
| Customer Experience Insights |
contactcenterinsights.googleapis.com |
Nenhum |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Nenhum |
| Dataform |
dataform.googleapis.com |
Nenhum |
| Document AI |
documentai.googleapis.com |
Nenhum |
| Eventarc |
eventarc.googleapis.com |
Nenhum |
| Balanceador de carga de rede de passagem externo |
compute.googleapis.com |
Nenhum |
| Filestore |
file.googleapis.com |
Nenhum |
| Firestore |
firestore.googleapis.com |
Nenhum |
| Hub GKE |
gkehub.googleapis.com |
Nenhum |
| IA generativa na Vertex AI |
aiplatform.googleapis.com |
Nenhum |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Recursos afetados |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Nenhum |
| Gerenciamento de identidade e acesso (IAM) |
iam.googleapis.compolicytroubleshooter.googleapis.com |
Nenhum |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Nenhum |
| Balanceador de carga de rede de passagem interno |
compute.googleapis.com |
Nenhum |
| Justificativas de acesso às chaves |
cloudekm.googleapis.comcloudkms.googleapis.com |
Nenhum |
| Knowledge Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Recursos afetados |
| Looker (Google Cloud Core) |
looker.googleapis.com |
Nenhum |
| Serviço gerenciado para Apache Airflow |
composer.googleapis.com |
Nenhum |
| Serviço Gerenciado para Apache Spark |
dataproc-control.googleapis.comdataproc.googleapis.com |
Nenhum |
| Memorystore para Redis |
redis.googleapis.com |
Nenhum |
| Model Armor |
modelarmor.googleapis.com |
Nenhum |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Recursos afetados |
| Persistent Disk |
compute.googleapis.com |
Nenhum |
| Pub/Sub |
pubsub.googleapis.com |
Restrições das políticas da organização |
| Balanceador de carga de aplicativo externo regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de rede de proxy externo regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de aplicativo interno e regional |
compute.googleapis.com |
Nenhum |
| Balanceador de carga de rede de proxy interno regional |
compute.googleapis.com |
Nenhum |
| Secret Manager |
secretmanager.googleapis.com |
Nenhum |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Nenhum |
| Security Command Center Premium |
securitycenter.googleapis.comsecuritycentermanagement.googleapis.comsecurityposture.googleapis.comwebsecurityscanner.googleapis.com |
Nenhum |
| Proteção de Dados Sensíveis |
dlp.googleapis.com |
Nenhum |
| Spanner |
spanner.googleapis.com |
Recursos afetados e restrições da política da organização |
| Speech-to-Text |
speech.googleapis.com |
Nenhum |
| Serviço de transferência do Cloud Storage |
storagetransfer.googleapis.com |
Nenhum |
| Text-to-Speech |
texttospeech.googleapis.com |
Nenhum |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Nenhum |
| Previsão em lote da Vertex AI |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI online prediction |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI para Pesquisa |
discoveryengine.googleapis.com |
Nenhum |
| Treinamento da Vertex AI |
aiplatform.googleapis.com |
Nenhum |
| Vertex AI Workbench |
notebooks.googleapis.com |
Nenhum |
| Nuvem privada virtual (VPC) |
compute.googleapis.com |
Nenhum |
Restrições e limitações
As seções a seguir descrevem restrições ou limitações em toda a Google Cloudou específicas do produto para recursos, incluindo restrições de política da organização definidas por padrão nas pastas do limite de dados dos EUA para saúde e ciências biológicas. Outras restrições aplicáveis da política da organização, mesmo que não sejam definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.
Google Cloudde largura
Restrições da política da organização em toda aGoogle Cloud
As restrições da política da organização a seguir se aplicam a Google Cloud.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Defina os seguintes locais na lista allowedValues:
Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados em conformidade. |
gcp.restrictNonCmekServices |
Defina como uma lista de todos os
nomes de serviço de API no escopo, incluindo:
Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK criptografa dados em repouso com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços em escopo da lista pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu. |
gcp.restrictServiceUsage |
Definido para permitir todos os produtos e endpoints de API compatíveis. Determina quais serviços podem ser usados restringindo o acesso em tempo de execução aos recursos deles. Para mais informações, consulte Restringir o uso de recursos. |
gcp.restrictTLSVersion |
Definido para negar as seguintes versões do TLS:
|
BigQuery
Recursos afetados do BigQuery
| Recurso | Descrição |
|---|---|
| Ativar o BigQuery em uma nova pasta | O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma pasta do
Assured Workloads devido a um processo de configuração interna. Esse processo normalmente leva 10 minutos, mas pode demorar mais em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas:
Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta do Assured Workloads. O Gemini no BigQuery não é compatível com o Assured Workloads. |
| Recursos não suportados | Os seguintes recursos do BigQuery não são compatíveis e não devem ser usados na
CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para o Assured Workloads.
|
| CLI do BigQuery | A CLI do BigQuery é compatível.
|
| SDK do Google Cloud | Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados técnicos. Para verificar sua versão atual do SDK Google Cloud, execute
gcloud --version e depois gcloud components update para atualizar para
a versão mais recente.
|
| Controles do administrador | O BigQuery desativa as APIs sem suporte, mas os administradores com permissões suficientes para criar pastas do Assured Workloads podem ativar uma API sem suporte. Se isso acontecer, você vai receber uma notificação sobre possível não conformidade no painel de monitoramento do Assured Workloads. |
| Carregando dados | Os conectores do serviço de transferência de dados do BigQuery para apps do Google software como serviço (SaaS), provedores externos de armazenamento em nuvem e data warehouses não são compatíveis. É sua responsabilidade não usar conectores do serviço de transferência de dados do BigQuery para cargas de trabalho de saúde e ciências da vida no Limite de Dados dos EUA. |
| Transferências de terceiros | O BigQuery não verifica a compatibilidade com transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery. |
| Modelos do BQML não compatíveis | Modelos do BQML treinados externamente não são compatíveis. |
| Jobs de consulta | Os jobs de consulta só podem ser criados em pastas do Assured Workloads. |
| Consultas em conjuntos de dados de outros projetos | O BigQuery não impede que os conjuntos de dados do Assured Workloads sejam consultados em projetos que não são do Assured Workloads. Verifique se todas as consultas que têm uma leitura ou uma junção em
dados do Assured Workloads estão nas pastas do Assured Workloads. É possível especificar um
nome de tabela totalmente qualificado
para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery.
|
| Cloud Logging | O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative os buckets de registros do _default ou restrinja os buckets do _default a regiões no escopo para manter a conformidade usando o seguinte comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Para mais informações, consulte Regionalizar seus registros. |
Bigtable
Recursos afetados do Bigtable
| Recurso | Descrição |
|---|---|
| Data Boost | Este recurso está desativado. |
| Limites de divisão | O Bigtable usa um pequeno subconjunto de chaves de linha para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Bigtable indica o local em que intervalos contíguos de linhas em uma tabela são divididos em blocos. Esses limites de divisão podem ser acessados por funcionários do Google para suporte técnico e depuração, e não estão sujeitos a controles de dados de acesso administrativo no Assured Workloads. |
Cloud Interconnect
Recursos afetados do Cloud Interconnect
| Recurso | Descrição |
|---|---|
| VPN de alta disponibilidade (HA) | É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, é necessário obedecer aos requisitos de criptografia e regionalização listados na seção Recursos afetados do Cloud VPN. |
Cloud Logging
Recursos afetados do Cloud Logging
| Recurso | Descrição |
|---|---|
| Coletores de registros | Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes. |
| Entradas de registro de acompanhamento ao vivo | Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada de registro, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes. |
| Políticas de alertas baseadas em SQL | Este recurso está desativado. Não é possível usar o recurso de políticas de alertas baseadas em SQL. |
Cloud Monitoring
Recursos afetados do Cloud Monitoring
| Recurso | Descrição |
|---|---|
| Monitor sintético | Este recurso está desativado. |
| Verificações de tempo de atividade | Este recurso está desativado. |
Cloud Run
Recursos afetados do Cloud Run
| Recurso | Descrição |
|---|---|
| Recursos não suportados | Os seguintes recursos do Cloud Run não são compatíveis: |
API Cloud Vision
Recursos afetados da API Cloud Vision
| Recurso | Descrição |
|---|---|
| Endpoints da API Cloud Vision compatíveis com HCLS | É sua responsabilidade usar apenas o endpoint de API da região dos EUA
(us-vision.googleapis.com) para a API Cloud Vision. O endpoint global (vision.googleapis.com) não está em conformidade com a HCLS, e o uso dele pode prejudicar a residência de dados da sua carga de trabalho.
|
Cloud VPN
Recursos afetados do Cloud VPN
| Recurso | Descrição |
|---|---|
| Endpoints de VPN | Use apenas endpoints do Cloud VPN localizados em uma região no escopo. Verifique se o gateway da VPN está configurado para uso apenas em uma região no escopo. |
Compute Engine
Recursos afetados do Compute Engine
| Recurso | Descrição |
|---|---|
| Ambiente para convidado | Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte
Ambiente convidado para informações específicas sobre
o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização compute.trustedImageProjects.
Para mais informações, consulte Como criar uma imagem personalizada. |
| Políticas do SO no VM Manager |
Os scripts inline e os arquivos de saída binários nos arquivos de política do SO não são criptografados usando
chaves de criptografia gerenciadas pelo cliente (CMEK). Não inclua informações sensíveis nesses arquivos. Considere armazenar esses scripts e arquivos de saída em buckets do Cloud Storage. Para mais informações, consulte
Exemplos de políticas do SO. Se você quiser restringir a criação ou modificação de recursos de política do SO que usam scripts inline ou arquivos de saída binários, ative a restrição da política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Para mais informações, consulte Restrições para a Configuração do SO. |
Restrições da política da organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Definido como Verdadeiro. Desativa a criação de novas políticas de segurança globais do Google Cloud Armor e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou mudar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação obrigatória dessa restrição continuam em vigor. |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Para mais informações, consulte a documentação sobre VMs confidenciais. |
compute.trustedImageProjects |
(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade.
A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados. |
Knowledge Catalog
Recursos do Knowledge Catalog
| Recurso | Descrição |
|---|---|
| Attribute Store | Esse recurso está descontinuado e desativado. |
| Data Catalog | Esse recurso está descontinuado e desativado. Não é possível pesquisar nem gerenciar seus metadados no Data Catalog. |
| Lakes e zonas | Este recurso está desativado. Não é possível gerenciar lakes, zonas e tarefas. |
Google Cloud Armor
Recursos afetados do Google Cloud Armor
| Recurso | Descrição |
|---|---|
| Políticas de segurança com escopo global | Esse recurso foi desativado pela restrição de política da organização compute.disableGlobalCloudArmorPolicy.
|
Network Connectivity Center
Recursos afetados do Network Connectivity Center
| Recurso | Descrição |
|---|---|
| Console doGoogle Cloud | Os recursos do Network Connectivity Center não estão disponíveis no console Google Cloud . Use a API ou a Google Cloud CLI. |
Pub/Sub
Restrições da política da organização do Pub/Sub
| Restrição da política da organização | Descrição |
|---|---|
pubsub.managed.disableSubscriptionMessageTransforms |
Definido como Verdadeiro. Desativa a definição de assinaturas do Pub/Sub com transformações de mensagens únicas (SMTs). Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho. |
pubsub.managed.disableTopicMessageTransforms |
Definido como Verdadeiro. Impede que os tópicos do Pub/Sub sejam definidos com transformações de mensagem única (SMTs). Alterar esse valor pode afetar a residência ou a soberania de dados da sua carga de trabalho. |
Spanner
Recursos afetados do Spanner
| Recurso | Descrição |
|---|---|
| Limites de divisão | O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Spanner indica o local em que intervalos contíguos de linhas são divididos em partes menores. Esses limites de divisão podem ser acessados por funcionários do Google para suporte técnico e depuração, e não estão sujeitos a controles de dados de acesso administrativo no Assured Workloads. |
Restrições da política da organização do Spanner
| Restrição da política da organização | Descrição |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Definido como Verdadeiro. Aplica controles adicionais de soberania de dados e capacidade de suporte aos recursos do Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Definido como Verdadeiro. Desativa a capacidade de criar instâncias multirregionais do Spanner para aplicar a residência e a soberania de dados. |
A seguir
- Saiba como criar uma pasta do Assured Workloads
- Saiba mais sobre o pacote de controle Limite de dados dos EUA para saúde e ciências biológicas com suporte.
- Entenda os preços do Assured Workloads