美国医疗保健和生命科学行业的数据边界
本页面介绍了在 Assured Workloads 中应用于美国医疗保健和生命科学行业的数据边界工作负载的一组控制措施。其中详细介绍了数据留存位置、支持的 Google Cloud 产品及其 API 端点,以及这些产品适用的任何限制。
美国医疗保健和生命科学行业的数据边界可让您运行符合《健康保险流通与责任法案》(HIPAA) 和健康信息信任联盟 (HITRUST) 要求的工作负载。每款受支持的产品均列在 Google Cloud的《健康保险流通与责任法案》(HIPAA) 业务伙伴协议 (BAA) 页面和 Google Cloud的 HITRUST 通用安全框架 (CSF) 页面上。
以下附加信息适用于美国医疗保健和生命科学行业的数据边界:
- 数据驻留:美国医疗保健和生命科学行业的数据边界控制包将数据位置控制设置为仅支持美国区域。如需了解详情,请参阅Google Cloud范围的组织政策限制条件部分。
- 支持:对于美国医疗保健和生命科学行业的数据边界工作负载,您可以通过标准、增强型或高级Cloud Customer Care 订阅获得技术支持服务。美国医疗保健和生命科学行业的数据边界工作负载支持服务请求会转给全球支持人员。如果您需要更严格的支持人员控制选项,请考虑改用美国医疗保健和生命科学行业的数据边界与支持控制软件包。
- 价格:美国医疗保健和生命科学行业的数据边界控制软件包包含在 Assured Workloads 的免费层级中,无需额外付费。 如需了解详情,请参阅 Assured Workloads 价格。
前提条件
作为“美国医疗保健和生命科学行业的数据边界”控制包的用户,为了保持合规性,请确认您满足并遵守以下前提条件:
- 使用 Assured Workloads 创建“美国医疗保健和生命科学行业的数据边界”文件夹,并仅在该文件夹中部署 HIPAA 或 HITRUST 工作负载。
仅针对美国医疗保健和生命科学行业的数据边界工作负载启用和使用适用范围内的服务。如果您通过修改为 Assured Workloads 文件夹设置的限制服务使用 (
gcp.restrictServiceUsage) 组织政策限制条件来启用任何附加服务,则表示您选择接受Assured Workloads 中的责任共担中所述的相关风险。以下额外前提条件适用:- 每项服务都必须列在 Google Cloud的 HIPAA BAA 页面或 Google Cloud的 HITRUST CSF 页面上,您才能保持合规性。
- 如果您通过修改此限制来将任何其他服务列入许可名单,Assured Workloads 监控功能将报告违规情况。如需移除这些违规行为并防止日后收到有关已添加到许可名单中的服务的通知,您必须为每项违规行为授予例外权限。
- 在将服务添加到许可名单之前,请查看 Cloud KMS 文档中的兼容的服务页面,验证该服务是否支持 CMEK。如果您想在使用 CMEK 时实施更严格的安全措施,请参阅 Cloud KMS 文档中的查看密钥使用情况页面。
- 在将服务添加到许可名单之前,请验证该服务是否列在Google Cloud 具有数据留存位置的服务页面上。
- 在将服务添加到许可名单之前,请查看 VPC Service Controls 文档中的支持的产品和限制页面,验证该服务是否受 VPC Service Controls 支持。
- 在将服务添加到许可名单之前,请验证该服务是否受 Access Transparency 和 Access Approval 支持。
除非另有说明,否则请勿使用 Google Cloud MCP 服务器。 美国医疗保健和生命科学行业的数据边界不为 Google Cloud MCP 服务器上的使用中数据和传输中数据提供数据驻留控制措施。如需阻止不需要的 Google Cloud MCP 服务器访问,请参阅使用 IAM 控制 Google Cloud MCP 服务器的使用页面。
除非您了解并愿意接受可能发生的数据驻留风险,否则请勿更改默认的组织政策限制条件值。
不妨采纳Google Cloud 安全最佳实践中心提供的一般安全最佳实践。
支持的产品和 API 端点
除非另有说明,否则用户可以通过 Google Cloud 控制台访问所有受支持的产品。 下表列出了影响受支持产品的功能的限制,包括通过组织政策限制条件设置强制执行的限制。
如果某产品未列出,则表示该产品不受支持,并且未达到美国医疗保健和生命科学行业的数据边界的控制要求。在未尽到应有的尽职调查且未充分了解您在责任共担模型中的责任之前,不建议使用不受支持的产品。在使用不受支持的产品之前,请确保您了解并愿意接受任何相关风险,例如对数据留存或数据主权产生负面影响。
| 支持的产品 | API 端点 | 限制或局限 |
|---|---|---|
| Access Approval |
accessapproval.googleapis.com |
无 |
| Access Context Manager |
accesscontextmanager.googleapis.com |
无 |
| Access Transparency |
accessapproval.googleapis.com |
无 |
| Agent Assist |
dialogflow.googleapis.com |
无 |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
无 |
| Apigee |
apigee.googleapis.com |
无 |
| Application Integration |
integrations.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| AutoML Tables |
aiplatform.googleapis.com |
无 |
| Backup and DR Service |
backupdr.googleapis.com |
无 |
| Backup for GKE |
gkebackup.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
受影响的功能 |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
无 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
受影响的功能 |
| Binary Authorization |
binaryauthorization.googleapis.com |
无 |
| Certificate Authority Service |
privateca.googleapis.com |
无 |
| Certificate Manager |
certificatemanager.googleapis.com |
无 |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
无 |
| Cloud Build |
cloudbuild.googleapis.com |
无 |
| Cloud DNS |
dns.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Cloud Deploy |
clouddeploy.googleapis.com |
无 |
| Cloud HSM |
cloudkms.googleapis.com |
无 |
| Cloud Healthcare API |
healthcare.googleapis.com |
无 |
| Cloud Interconnect |
compute.googleapis.com |
受影响的功能 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
无 |
| Cloud Logging |
logging.googleapis.com |
受影响的功能 |
| Cloud Monitoring |
monitoring.googleapis.com |
受影响的功能 |
| Cloud Router |
compute.googleapis.com |
无 |
| Cloud Run |
run.googleapis.com |
受影响的功能 |
| Cloud Run functions |
run.googleapis.com |
无 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
受影响的功能 |
| Cloud Vision API |
vision.googleapis.com |
受影响的功能 |
| Compute Engine |
compute.googleapis.com |
受影响的功能 和组织政策限制条件 |
| Dialogflow CX |
dialogflow.googleapis.com |
无 |
| 客户体验分析洞见 |
contactcenterinsights.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
无 |
| Dataform |
dataform.googleapis.com |
无 |
| Document AI |
documentai.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| 外部直通式网络负载平衡器 |
compute.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Firestore |
firestore.googleapis.com |
无 |
| GKE Hub |
gkehub.googleapis.com |
无 |
| Vertex AI 上的生成式 AI |
aiplatform.googleapis.com |
无 |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
受影响的功能 |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
无 |
| 身份和访问权限管理 (IAM) |
iam.googleapis.compolicytroubleshooter.googleapis.com |
无 |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
无 |
| 内部直通式网络负载平衡器 |
compute.googleapis.com |
无 |
| Key Access Justifications |
cloudekm.googleapis.comcloudkms.googleapis.com |
无 |
| Knowledge Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
受影响的功能 |
| Looker (Google Cloud Core) |
looker.googleapis.com |
无 |
| Managed Service for Apache Airflow |
composer.googleapis.com |
无 |
| Managed Service for Apache Spark |
dataproc-control.googleapis.comdataproc.googleapis.com |
无 |
| Memorystore for Redis |
redis.googleapis.com |
无 |
| Model Armor |
modelarmor.googleapis.com |
无 |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
受影响的功能 |
| Persistent Disk |
compute.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
组织政策限制条件 |
| 区域级外部应用负载平衡器 |
compute.googleapis.com |
无 |
| 区域级外部代理网络负载平衡器 |
compute.googleapis.com |
无 |
| 区域级内部应用负载平衡器 |
compute.googleapis.com |
无 |
| 区域级内部代理网络负载平衡器 |
compute.googleapis.com |
无 |
| Secret Manager |
secretmanager.googleapis.com |
无 |
| Secure Source Manager |
securesourcemanager.googleapis.com |
无 |
| Security Command Center 高级方案 |
securitycenter.googleapis.comsecuritycentermanagement.googleapis.comsecurityposture.googleapis.comwebsecurityscanner.googleapis.com |
无 |
| Sensitive Data Protection |
dlp.googleapis.com |
无 |
| Spanner |
spanner.googleapis.com |
受影响的功能 和组织政策限制条件 |
| Speech-to-Text |
speech.googleapis.com |
无 |
| Storage Transfer Service |
storagetransfer.googleapis.com |
无 |
| Text-to-Speech |
texttospeech.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
| Vertex AI Batch prediction |
aiplatform.googleapis.com |
无 |
| Vertex AI Online Prediction |
aiplatform.googleapis.com |
无 |
| Vertex AI Search |
discoveryengine.googleapis.com |
无 |
| Vertex AI Training |
aiplatform.googleapis.com |
无 |
| Vertex AI Workbench |
notebooks.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
限制和局限
以下部分介绍了功能方面的 Google Cloud级或产品级限制,包括美国医疗保健和生命科学行业的数据边界文件夹中默认设置的任何组织政策限制。其他适用的组织政策限制条件(即使默认设置未设置)可以提供额外的深度防御,以进一步保护贵组织的 Google Cloud 资源。
Google Cloud宽
Google Cloud范围的组织政策限制条件
以下组织政策限制条件适用于 Google Cloud。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
设置为 allowedValues 列表中的以下位置:
如果更改此值,使其限制性降低,则允许数据在合规的数据边界之外创建或存储,从而可能破坏数据驻留。 |
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
每个列出的服务都需要客户管理的加密密钥 (CMEK)。CMEK 使用您管理的密钥(而不是 Google 的默认加密机制)加密静态数据。 如果通过从列表中移除一个或多个范围内的服务来更改此值,则可能会破坏数据主权,因为系统会使用 Google 自己的密钥(而不是您自己的密钥)自动加密新的静态数据。现有的静态数据仍将使用您提供的密钥进行加密。 |
gcp.restrictServiceUsage |
设置为允许所有受支持的产品和 API 端点。 通过限制对资源进行运行时访问,确定哪些服务可以使用。如需了解详情,请参阅限制资源使用。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
BigQuery
受影响的 BigQuery 功能
| 功能 | 说明 |
|---|---|
| 在新文件夹中启用 BigQuery | BigQuery 受支持,但由于内部配置流程,在您创建新的 Assured Workloads 文件夹时,系统不会自动启用 BigQuery。此过程通常会在 10 分钟内完成,但在某些情况下可能需要更长时间。如需检查该进程是否已完成并启用 BigQuery,请完成以下步骤:
启用流程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。 Assured Workloads 不支持 Gemini in BigQuery。 |
| 不受支持的功能 | 以下 BigQuery 功能不受支持,不应在 BigQuery CLI 中使用。您有责任不在 BigQuery for Assured Workloads 中使用它们。
|
| BigQuery CLI | 支持 BigQuery CLI。
|
| Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本,才能确保技术数据的数据区域化。如需验证您当前的 Google Cloud SDK 版本,请运行 gcloud --version,然后运行 gcloud components update 以更新到最新版本。 |
| 管理员控制功能 | BigQuery 会停用不受支持的 API,但有足够权限创建 Assured Workloads 文件夹的管理员可以启用不受支持的 API。如果发生这种情况,您会通过 Assured Workloads 监控信息中心收到有关可能不合规的通知。 |
| 正在加载数据 | 不支持适用于 Google 软件即服务 (SaaS) 应用、外部云存储提供商和数据仓库的 BigQuery Data Transfer Service 连接器。您有责任不将 BigQuery Data Transfer Service 连接器用于美国数据边界医疗保健和生命科学工作负载。 |
| 第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 是否支持第三方转移。使用任何第三方转移作业来执行 BigQuery Data Transfer Service 时,您有责任验证支持情况。 |
| 不合规的 BQML 模型 | 不支持外部训练的 BQML 模型。 |
| 查询作业 | 查询作业应仅在 Assured Workloads 文件夹中创建。 |
| 针对其他项目中的数据集的查询 | BigQuery 不会阻止从非 Assured Workloads 项目查询 Assured Workloads 数据集。您应确保对 Assured Workloads 数据进行读取或联接的任何查询都放在 Assured Workloads 文件夹中。您可以在 BigQuery CLI 中使用 projectname.dataset.table 为查询结果指定完全限定的表名称。
|
| Cloud Logging | BigQuery 会利用 Cloud Logging 来处理部分日志数据。您应停用 _default 日志存储分区或将 _default 存储分区限制为仅限使用适用范围内的区域,以确保合规性。为此,请使用以下命令:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
如需了解详情,请参阅区域化存储日志。 |
Bigtable
受影响的 Bigtable 功能
| 功能 | 说明 |
|---|---|
| Data Boost | 此功能处于禁用状态。 |
| 分块边界 | Bigtable 使用一小部分行键来定义分块边界,这些行键可能包含客户数据和元数据。Bigtable 中的分片边界表示表中的连续行范围被拆分为多个 tablet 的位置。 Google 人员可以出于技术支持和调试目的访问这些分块边界,并且这些边界不受 Assured Workloads 中的管理员权限数据控制的约束。 |
Cloud Interconnect
受影响的 Cloud Interconnect 功能
| 功能 | 说明 |
|---|---|
| 高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 搭配使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵守受影响的 Cloud VPN 功能部分中列出的加密和区域化要求。 |
Cloud Logging
受影响的 Cloud Logging 功能
| 功能 | 说明 |
|---|---|
| 日志接收器 | 过滤条件不应包含客户数据。 日志接收器包括以配置形式存储的过滤条件。请勿创建包含客户数据的过滤条件。 |
| Live Tailing 日志条目 | 过滤条件不应包含客户数据。 Live Tailing 会话包含一个存储为配置的过滤条件。跟踪日志不会存储任何日志条目数据,但可以跨区域查询和传输数据。请勿创建包含客户数据的过滤条件。 |
| 基于 SQL 的提醒政策 | 此功能处于禁用状态。 您无法使用基于 SQL 的提醒政策功能。 |
Cloud Monitoring
受影响的 Cloud Monitoring 功能
| 功能 | 说明 |
|---|---|
| 合成监控工具 | 此功能处于禁用状态。 |
| 拨测 | 此功能处于禁用状态。 |
Cloud Run
受影响的 Cloud Run 功能
| 功能 | 说明 |
|---|---|
| 不受支持的功能 | 不支持以下 Cloud Run 功能: |
Cloud Vision API
受影响的 Cloud Vision API 功能
| 功能 | 说明 |
|---|---|
| 符合 HCLS 要求的 Cloud Vision API 端点 | 您有责任仅使用美国区域 API 端点 (us-vision.googleapis.com) 来调用 Cloud Vision API。全球端点 (vision.googleapis.com) 不符合 HCLS 标准,使用该端点可能会影响工作负载的数据驻留。
|
Cloud VPN
受影响的 Cloud VPN 功能
| 功能 | 说明 |
|---|---|
| VPN 端点 | 您必须仅使用位于适用范围内的区域中的 Cloud VPN 端点。确保您的 VPN 网关配置为仅在适用区域中使用。 |
Compute Engine
受影响的 Compute Engine 功能
| 功能 | 说明 |
|---|---|
| 客机环境 | 客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件可帮助您通过内部安全控制和流程满足数据主权。不过,如果您需要额外控制,还可以挑选自己的映像或代理,并选择性地使用 compute.trustedImageProjects 组织政策限制条件。如需了解详情,请参阅构建自定义映像。 |
| 虚拟机管理器中的操作系统政策 |
操作系统政策文件中的内嵌脚本和二进制输出文件未使用客户管理的加密密钥 (CMEK) 进行加密。请勿在这些文件中包含任何敏感信息。不妨考虑将这些脚本和输出文件存储在 Cloud Storage 存储分区中。如需了解详情,请参阅操作系统政策示例。 如果您想限制创建或修改使用内嵌脚本或二进制输出文件的操作系统政策资源,请启用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 组织政策限制条件。如需了解详情,请参阅 OS Config 的限制。 |
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建新的 Google Cloud Armor 安全政策,以及向现有 Google Cloud Armor 全局安全政策添加或修改规则。此限制条件不会限制移除规则,也不会限制移除或更改 Google Cloud Armor 全局安全政策的说明和列表。Google Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.trustedImageProjects |
(可选)不设置值。设置此值可提供额外的深度防御。
设置此值会将映像存储和磁盘实例化限制在指定的项目列表。此值可防止使用任何未经授权的映像或代理,从而影响数据主权。 |
Knowledge Catalog
Knowledge Catalog 功能
| 功能 | 说明 |
|---|---|
| Attribute Store | 此功能已弃用并已停用。 |
| Data Catalog | 此功能已弃用并已停用。您无法在 Data Catalog 中搜索或管理元数据。 |
| 湖泊和可用区 | 此功能处于停用状态。您无法管理数据湖、区域和任务。 |
Google Cloud Armor
受影响的 Google Cloud Armor 功能
| 功能 | 说明 |
|---|---|
| 全球范围的安全政策 | 此功能已因组织政策限制而被停用。
compute.disableGlobalCloudArmorPolicy |
Network Connectivity Center
受影响的 Network Connectivity Center 功能
| 功能 | 说明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不支持 Network Connectivity Center 功能。请改用 API 或 Google Cloud CLI。 |
Pub/Sub
Pub/Sub 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
pubsub.managed.disableSubscriptionMessageTransforms |
设置为 True。 禁止为 Pub/Sub 订阅设置单条消息转换 (SMT)。 更改此值可能会影响工作负载的数据驻留或数据主权。 |
pubsub.managed.disableTopicMessageTransforms |
设置为 True。 禁止为 Pub/Sub 主题设置单条消息转换 (SMT)。 更改此值可能会影响工作负载的数据驻留或数据主权。 |
Spanner
受影响的 Spanner 功能
| 功能 | 说明 |
|---|---|
| 分块边界 | Spanner 使用一小部分主键和已编入索引的列来定义分块边界,这些边界可能包含客户数据和元数据。Spanner 中的分块边界表示连续的行范围被拆分为更小块的位置。 Google 人员可以出于技术支持和调试目的访问这些分块边界,并且这些边界不受 Assured Workloads 中的管理员权限数据控制的约束。 |
Spanner 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
设置为 True。 对 Spanner 资源应用额外的数据主权和可支持性控制。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
设置为 True。 禁止创建多区域 Spanner 实例,以强制执行数据驻留和数据主权。 |
后续步骤
- 了解如何创建 Assured Workloads 文件夹
- 了解美国医疗保健和生命科学行业的数据边界与支持控制措施套餐
- 了解 Assured Workloads 价格