美國醫療照護與生命科學資料邊界
本頁面說明在 Assured Workloads 中,套用至美國醫療照護與生命科學資料邊界工作負載的一組控管措施。其中詳細說明瞭資料落地、支援的產品 Google Cloud 及其 API 端點,以及這些產品適用的限制。
美國醫療照護與生命科學資料邊界可讓您執行符合《健康保險流通與責任法案》(HIPAA) 和健康資訊信賴聯盟 (HITRUST) 規定的工作負載。支援的產品會列在《健康保險流通與責任法案》業務夥伴協議 (BAA) 頁面 Google Cloud和 HITRUST Common Security Framework (CSF) 頁面 Google Cloud。
以下額外資訊適用於美國醫療照護與生命科學資料邊界:
- 資料落地:美國醫療照護與生命科學資料邊界控制套件會設定資料位置控制項,以便僅支援美國的區域。詳情請參閱「Google Cloud-wide 組織政策限制」一節。
- 支援:如要取得美國醫療照護與生命科學資料邊界工作負載的技術支援服務,請訂閱 Standard、Enhanced 或 Premium Cloud Customer Care 方案。美國醫療照護與生命科學資料邊界工作負載的支援案件會轉送給全球支援人員。如果您需要更嚴格的支援人員控管選項,建議改用美國醫療照護與生命科學資料邊界與支援控管套件。
- 價格:美國醫療照護與生命科學資料邊界控制套件包含在 Assured Workloads 的免費層級中,因此不會產生額外費用。詳情請參閱 Assured Workloads 定價。
必要條件
如要繼續遵守美國醫療照護與生命科學資料邊界控管套件的規定,請確認您符合並遵守下列先決條件:
- 使用 Assured Workloads 建立美國醫療照護與生命科學資料邊界資料夾,並只在該資料夾中部署《健康保險流通與責任法案》或 HITRUST 工作負載。
僅針對美國醫療照護與生命科學資料邊界工作負載,啟用及使用適用範圍內的服務。如果您修改在 Assured Workloads 資料夾中設定的「限制服務使用情形」(
gcp.restrictServiceUsage) 組織政策限制,啟用任何額外服務,即表示您選擇接受「Assured Workloads 中的共同責任」一文所述的相關風險。此外,還須符合下列先決條件:- 如要維持法規遵循狀態,每項服務都必須列在 Google Cloud的 HIPAA 業務合作協議頁面或 Google Cloud的 HITRUST CSF 頁面。
- 如果您修改這項限制,將任何額外服務加入許可清單,Assured Workloads 監控功能就會回報違規事項。如要移除這些違規事項,並避免日後收到已加入許可清單服務的通知,請務必為每項違規事項授予例外狀況。
- 將服務加入許可清單前,請先查看 Cloud KMS 說明文件中的「相容服務」頁面,確認服務支援 CMEK。如要在使用 CMEK 時強制執行更嚴格的安全防護措施,請參閱 Cloud KMS 說明文件的「查看金鑰用量」頁面。
- 將服務加入允許清單前,請先確認該服務是否列於「Google Cloud 資料落地服務」頁面。
- 將服務新增至許可清單前,請先參閱 VPC Service Controls 說明文件的「支援的產品和限制」頁面,確認該服務是否支援 VPC Service Controls。
- 將服務加入許可清單前,請先確認該服務支援資料存取透明化控管機制和存取權核准。
除非另有註明,否則請勿使用 Google Cloud MCP 伺服器。美國醫療照護與生命科學資料邊界不會針對 Google Cloud MCP 伺服器上的使用中資料和傳輸中資料,提供資料落地控管選項。如要封鎖不必要的 Google Cloud MCP 伺服器存取權,請參閱「使用 IAM 頁面控管 Google Cloud MCP 伺服器」頁面。
除非您瞭解並願意接受可能發生的資料落地風險,否則請勿變更機構政策限制的預設值。
建議採用Google Cloud 安全性最佳做法中心提供的一般安全性最佳做法。
支援的產品和 API 端點
除非另有說明,否則使用者可以透過 Google Cloud 控制台存取所有支援的產品。 下表列出會影響支援產品功能的限制,包括透過機構政策限制設定強制執行的限制。
如果產品未列出,表示該產品不支援,且未符合美國醫療照護與生命科學資料邊界的控管規定。如未盡到應有的盡職調查,並充分瞭解共同責任模式中的責任,建議不要使用不受支援的產品。使用不支援的產品前,請務必瞭解並願意接受任何相關風險,例如對資料駐留或資料主權的負面影響。
| 支援的產品 | API 端點 | 限制 |
|---|---|---|
| 存取權核准 |
accessapproval.googleapis.com |
無 |
| Access Context Manager |
accesscontextmanager.googleapis.com |
無 |
| 資料存取透明化控管機制 |
accessapproval.googleapis.com |
無 |
| Agent Assist |
dialogflow.googleapis.com |
無 |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
無 |
| Apigee |
apigee.googleapis.com |
無 |
| Application Integration |
integrations.googleapis.com |
無 |
| Artifact Registry |
artifactregistry.googleapis.com |
無 |
| AutoML Tables |
aiplatform.googleapis.com |
無 |
| 備份和災難復原服務 |
backupdr.googleapis.com |
無 |
| GKE 備份 |
gkebackup.googleapis.com |
無 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
受影響的功能 |
| BigQuery 資料移轉服務 |
bigquerydatatransfer.googleapis.com |
無 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
受影響的功能 |
| 二進位授權 |
binaryauthorization.googleapis.com |
無 |
| 憑證授權單位服務 |
privateca.googleapis.com |
無 |
| Certificate Manager |
certificatemanager.googleapis.com |
無 |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
無 |
| Cloud Build |
cloudbuild.googleapis.com |
無 |
| Cloud DNS |
dns.googleapis.com |
無 |
| Cloud Data Fusion |
datafusion.googleapis.com |
無 |
| Cloud Deploy |
clouddeploy.googleapis.com |
無 |
| Cloud HSM |
cloudkms.googleapis.com |
無 |
| Cloud Healthcare API |
healthcare.googleapis.com |
無 |
| Cloud Interconnect |
compute.googleapis.com |
受影響的功能 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
無 |
| Cloud Logging |
logging.googleapis.com |
受影響的功能 |
| Cloud Monitoring |
monitoring.googleapis.com |
受影響的功能 |
| Cloud Router |
compute.googleapis.com |
無 |
| Cloud Run |
run.googleapis.com |
受影響的功能 |
| Cloud Run functions |
run.googleapis.com |
無 |
| Cloud SQL |
sqladmin.googleapis.com |
無 |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comtrafficdirector.googleapis.comnetworkservices.googleapis.com |
無 |
| Cloud Storage |
storage.googleapis.com |
無 |
| Cloud Tasks |
cloudtasks.googleapis.com |
無 |
| Cloud VPN |
compute.googleapis.com |
受影響的功能 |
| Cloud Vision API |
vision.googleapis.com |
受影響的功能 |
| Compute Engine |
compute.googleapis.com |
受影響的功能 和機構政策限制 |
| Dialogflow CX |
dialogflow.googleapis.com |
無 |
| Customer Experience Insights |
contactcenterinsights.googleapis.com |
無 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
無 |
| Dataform |
dataform.googleapis.com |
無 |
| Document AI |
documentai.googleapis.com |
無 |
| Eventarc |
eventarc.googleapis.com |
無 |
| 外部直通式網路負載平衡器 |
compute.googleapis.com |
無 |
| Filestore |
file.googleapis.com |
無 |
| Firestore |
firestore.googleapis.com |
無 |
| GKE Hub |
gkehub.googleapis.com |
無 |
| Vertex AI 生成式 AI |
aiplatform.googleapis.com |
無 |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
受影響的功能 |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
無 |
| 身分與存取權管理 (IAM) |
iam.googleapis.compolicytroubleshooter.googleapis.com |
無 |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
無 |
| 內部直通式網路負載平衡器 |
compute.googleapis.com |
無 |
| 金鑰存取依據 |
cloudekm.googleapis.comcloudkms.googleapis.com |
無 |
| Knowledge Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
受影響的功能 |
| Looker (Google Cloud Core) |
looker.googleapis.com |
無 |
| Managed Service for Apache Airflow |
composer.googleapis.com |
無 |
| Managed Service for Apache Spark |
dataproc-control.googleapis.comdataproc.googleapis.com |
無 |
| Memorystore for Redis |
redis.googleapis.com |
無 |
| Model Armor |
modelarmor.googleapis.com |
無 |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
受影響的功能 |
| Persistent Disk |
compute.googleapis.com |
無 |
| Pub/Sub |
pubsub.googleapis.com |
組織政策限制 |
| 區域性外部應用程式負載平衡器 |
compute.googleapis.com |
無 |
| 區域性外部 Proxy 網路負載平衡器 |
compute.googleapis.com |
無 |
| 區域性內部應用程式負載平衡器 |
compute.googleapis.com |
無 |
| 區域性內部 Proxy 網路負載平衡器 |
compute.googleapis.com |
無 |
| Secret Manager |
secretmanager.googleapis.com |
無 |
| Secure Source Manager |
securesourcemanager.googleapis.com |
無 |
| Security Command Center Premium |
securitycenter.googleapis.comsecuritycentermanagement.googleapis.comsecurityposture.googleapis.comwebsecurityscanner.googleapis.com |
無 |
| Sensitive Data Protection |
dlp.googleapis.com |
無 |
| Spanner |
spanner.googleapis.com |
受影響的功能 和機構政策限制 |
| Speech-to-Text |
speech.googleapis.com |
無 |
| Storage 移轉服務 |
storagetransfer.googleapis.com |
無 |
| Text-to-Speech |
texttospeech.googleapis.com |
無 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
無 |
| Vertex AI 批次預測 |
aiplatform.googleapis.com |
無 |
| Vertex AI 線上預測 |
aiplatform.googleapis.com |
無 |
| Vertex AI Search |
discoveryengine.googleapis.com |
無 |
| Vertex AI Training |
aiplatform.googleapis.com |
無 |
| Vertex AI Workbench |
notebooks.googleapis.com |
無 |
| 虛擬私有雲 (VPC) |
compute.googleapis.com |
無 |
規定與限制
以下各節說明功能層面或產品專屬的限制,包括美國醫療照護與生命科學資料邊界資料夾預設的任何機構政策限制。 Google Cloud其他適用的機構政策限制 (即使不是預設設定) 也能提供額外的縱深防禦措施,進一步保護機構的 Google Cloud 資源。
Google Cloud-wide
Google Cloud全機構政策限制
下列機構政策限制適用於 Google Cloud。
| 機構政策限制 | 說明 |
|---|---|
gcp.resourceLocations |
在 allowedValues 清單中設為下列位置:
如果變更這個值,放寬限制,可能會允許在符合規定的資料邊界外建立或儲存資料,進而破壞資料落地設定。 |
gcp.restrictNonCmekServices |
設定為所有適用範圍內API 服務名稱的清單,包括:
清單中的每項服務都必須使用客戶自行管理的加密金鑰 (CMEK)。CMEK 會使用您管理的金鑰加密靜態資料,而非 Google 的預設加密機制。 從清單中移除一或多個適用服務來變更這個值,可能會損害資料主權,因為系統會使用 Google 專屬金鑰,而非您的金鑰,自動加密新的靜態資料。現有的靜態資料仍會以您提供的金鑰加密。 |
gcp.restrictServiceUsage |
設為允許所有支援的產品和 API 端點。 限制對資源的執行階段存取權,決定可使用的服務。詳情請參閱「限制資源用量」。 |
gcp.restrictTLSVersion |
設為拒絕下列 TLS 版本:
|
BigQuery
受影響的 BigQuery 功能
| 功能 | 說明 |
|---|---|
| 在新資料夾中啟用 BigQuery | 系統支援 BigQuery,但由於內部設定程序,建立新的 Assured Workloads 資料夾時不會自動啟用。這項程序通常會在十分鐘內完成,但在某些情況下可能需要更多時間。如要檢查程序是否完成並啟用 BigQuery,請完成下列步驟:
啟用程序完成後,您就可以在 Assured Workloads 資料夾中使用 BigQuery。 Assured Workloads 不支援 Gemini in BigQuery。 |
| 不支援的功能 | BigQuery CLI 不支援下列 BigQuery 功能,請勿使用。您有責任確保不會在 BigQuery 中使用這些模型處理 Assured Workloads。
|
| BigQuery CLI | 支援 BigQuery CLI。
|
| Google Cloud SDK | 您必須使用 Google Cloud SDK 403.0.0 以上版本,才能確保技術資料的資料區域化。如要確認目前的 Google Cloud SDK 版本,請執行 gcloud --version,然後執行 gcloud components update,更新至最新版本。 |
| 管理員控制項 | BigQuery 會停用不支援的 API,但管理員只要具備建立 Assured Workloads 資料夾的足夠權限,就能啟用不支援的 API。如果發生這種情況,您會透過 Assured Workloads 監控資訊主頁收到潛在不符規定的通知。 |
| 正在載入資料 | 不支援 Google 軟體即服務 (SaaS) 應用程式、外部雲端儲存空間供應商和資料倉儲的 BigQuery 資料移轉服務連接器。您有責任確保不使用 BigQuery 資料移轉服務連接器,處理美國資料邊界內的醫療保健和生命科學工作負載。 |
| 第三方轉移 | BigQuery 不會驗證 BigQuery 資料移轉服務是否支援第三方轉移。使用任何第三方移轉服務搭配 BigQuery 資料移轉服務時,您有責任確認支援情況。 |
| 不符規定的 BQML 模型 | 不支援外部訓練的 BQML 模型。 |
| 查詢工作 | 查詢作業只能在 Assured Workloads 資料夾中建立。 |
| 查詢其他專案中的資料集 | BigQuery 不會禁止從非 Assured Workloads 專案查詢 Assured Workloads 資料集。請務必將對 Assured Workloads 資料進行讀取或聯結的任何查詢,放在 Assured Workloads 資料夾中。您可以在 BigQuery CLI 中使用 projectname.dataset.table,為查詢結果指定完整格式的資料表名稱。 |
| Cloud Logging | BigQuery 會使用 Cloud Logging 處理部分記錄檔資料。您應停用 _default 記錄 bucket,或將 _default bucket 限制在適用範圍內的區域,以使用下列指令維持法規遵循狀態:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
詳情請參閱「將記錄檔區域化」。 |
Bigtable
受影響的 Bigtable 功能
| 功能 | 說明 |
|---|---|
| Data Boost | 這項功能已停用。 |
| 分割邊界 | Bigtable 會使用一小部分資料列索引鍵定義分割邊界,其中可能包含客戶資料和中繼資料。Bigtable 中的分割邊界表示資料表內連續資料列範圍分割成子表的位置。 Google 人員可基於技術支援和偵錯目的存取這些分割邊界,且不受 Assured Workloads 的管理存取資料控管機制限制。 |
Cloud Interconnect
受影響的 Cloud Interconnect 功能
| 功能 | 說明 |
|---|---|
| 高可用性 (HA) VPN | 使用 Cloud Interconnect 和 Cloud VPN 時,必須啟用高可用性 (HA) VPN 功能。此外,您必須遵守「受影響的 Cloud VPN 功能」一節列出的加密和區域化規定。 |
Cloud Logging
受影響的 Cloud Logging 功能
| 功能 | 說明 |
|---|---|
| 記錄接收器 | 篩選器不得包含客戶資料。 記錄接收器包含篩選器,篩選器會儲存為設定。請勿建立含有顧客資料的篩選器。 |
| 即時追蹤記錄項目 | 篩選器不得包含客戶資料。 即時追蹤工作階段包含篩選器,會儲存為設定。追蹤記錄本身不會儲存任何記錄項目資料,但可以查詢及傳輸跨區域的資料。請勿建立含有顧客資料的篩選器。 |
| 以 SQL 為基礎的快訊政策 | 這項功能已停用。 您無法使用以 SQL 為基礎的快訊政策功能。 |
Cloud Monitoring
受影響的 Cloud Monitoring 功能
| 功能 | 說明 |
|---|---|
| 綜合監控項目 | 這項功能已停用。 |
| 運作時間檢查 | 這項功能已停用。 |
Cloud Run
受影響的 Cloud Run 功能
| 功能 | 說明 |
|---|---|
| 不支援的功能 | 系統不支援下列 Cloud Run 功能: |
Cloud Vision API
受影響的 Cloud Vision API 功能
| 功能 | 說明 |
|---|---|
| 符合 HCLS 規範的 Cloud Vision API 端點 | 您有責任僅使用美國區域 API 端點 (us-vision.googleapis.com) 存取 Cloud Vision API。全域端點 (vision.googleapis.com) 不符合 HCLS 規範,使用該端點可能會影響工作負載的資料落地。 |
Cloud VPN
受影響的 Cloud VPN 功能
| 功能 | 說明 |
|---|---|
| VPN 端點 | 您只能使用位於適用區域的 Cloud VPN 端點。請確保 VPN 閘道僅在適用範圍內的區域設定使用。 |
Compute Engine
受影響的 Compute Engine 功能
| 功能 | 說明 |
|---|---|
| 訪客環境 | 訪客環境隨附的指令碼、常駐程式和二進位檔可能會存取未加密的靜態和使用中資料。視 VM 設定而定,系統可能會預設安裝這類軟體的更新。如要瞭解各套件的內容、原始碼等具體資訊,請參閱「訪客環境」。 這些元件可透過內部安全控管和程序,協助您符合資料主權規定。不過,如要進一步控管,您也可以自行管理圖片或代理程式,並視需要使用 compute.trustedImageProjects 組織政策限制。詳情請參閱「建構自訂映像檔」。 |
| VM 管理員中的 OS 政策 |
作業系統政策檔案中的內嵌指令碼和二進位輸出檔案,不會使用客戶自行管理的加密金鑰 (CMEK) 加密。請勿在這些檔案中加入任何私密資訊。建議將這些指令碼和輸出檔案儲存在 Cloud Storage bucket 中。詳情請參閱「作業系統政策範例」。 如要限制建立或修改使用內嵌指令碼或二進位輸出檔案的 OS 政策資源,請啟用 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 組織政策限制條件。詳情請參閱「OS Config 的限制」。 |
Compute Engine 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
設為 True。 禁止建立新的全域 Google Cloud Armor 安全性政策,以及禁止在現有的全域 Google Cloud Armor 安全性政策中新增或修改規則。這項限制條件不會禁止移除規則,也不會禁止移除或變更全域 Google Cloud Armor 安全性政策的說明和產品資訊。區域性 Google Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。 |
compute.restrictNonConfidentialComputing |
(選用) 未設定值。請設定這個值,提供額外的縱深防禦機制。詳情請參閱機密 VM 說明文件。 |
compute.trustedImageProjects |
(選用) 未設定值。設定這個值,提供額外的縱深防禦。
設定這個值後,映像檔儲存空間和磁碟執行個體化作業就會限制在指定的專案清單中。這個值會禁止使用任何未經授權的映像檔或代理程式,進而影響資料主權。 |
Knowledge Catalog
Knowledge Catalog 功能
| 功能 | 說明 |
|---|---|
| 屬性儲存庫 | 這項功能已淘汰並停用。 |
| Data Catalog | 這項功能已淘汰並停用。您無法在 Data Catalog 中搜尋或管理中繼資料。 |
| 資料湖泊與可用區 | 這項功能已停用。無法管理湖泊、區域和工作。 |
Google Cloud Armor
受影響的 Google Cloud Armor 功能
| 功能 | 說明 |
|---|---|
| 全域範圍的安全性政策 | 這項功能已遭compute.disableGlobalCloudArmorPolicy機構政策限制停用。 |
Network Connectivity Center
受影響的 Network Connectivity Center 功能
| 功能 | 說明 |
|---|---|
| Google Cloud 控制台 | Google Cloud 控制台不支援 Network Connectivity Center 功能。請改用 API 或 Google Cloud CLI。 |
Pub/Sub
Pub/Sub 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
pubsub.managed.disableSubscriptionMessageTransforms |
設為 True。 禁止 Pub/Sub 訂閱項目設定單一訊息轉換 (SMT)。 變更這個值可能會影響工作負載的資料落地或資料主權。 |
pubsub.managed.disableTopicMessageTransforms |
設為 True。 禁止 Pub/Sub 主題設定單一訊息轉換 (SMT)。 變更這個值可能會影響工作負載的資料落地或資料主權。 |
Spanner
受影響的 Spanner 功能
| 功能 | 說明 |
|---|---|
| 分割邊界 | Spanner 會使用一小部分主鍵和索引資料欄定義分割邊界,其中可能包含客戶資料和中繼資料。Spanner 中的分割界線表示連續資料列範圍分割成較小片段的位置。 Google 人員可基於技術支援和偵錯目的存取這些分割邊界,且不受 Assured Workloads 的管理存取資料控管機制限制。 |
Spanner 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
設為 True。 對 Spanner 資源套用額外的資料主權和支援性控制項。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
設為 True。 禁止建立多區域 Spanner 執行個體,以強制執行資料落地權和資料主權。 |