Unterstützung von Vorschriften in Pub/Sub

In diesem Dokument werden die Funktionen, Konfigurationen und APIs in Pub/Sub beschrieben, die mit den Steuerelementen für unterstützte Kontrollpakete übereinstimmen. In diesem Dokument wird davon ausgegangen, dass Sie Assured Workloads verwenden.

Datengrenze für FedRAMP High

Unterstützte Dienste

In der folgenden Tabelle sind die Pub/Sub-APIs und -Versionen aufgeführt, die die Anforderungen der Datengrenze für FedRAMP High erfüllen.

Dienst Version Status
pubsub.googleapis.com v1 UNTERSTÜTZT

Unterstützte Regionen für Compliance

Pub/Sub ist für die Datengrenze für FedRAMP High in den folgenden Google Cloud -Regionen verfügbar:

  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4

Managementtools

In der folgenden Tabelle wird beschrieben, wie Verwaltungstools die Datengrenze für FedRAMP High mit Pub/Sub unterstützen.

Tool Beschreibung
Google Cloud SDK Sie müssen die Google Cloud SDK-Version 403.0.0 oder höher verwenden, um die Datenregionalisierung für technische Daten von FedRAMP High zu gewährleisten. Führen Sie gcloud --version aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann gcloud components update, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren Standardmäßig sind nicht konforme APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen können jedoch eine nicht konforme API aktivieren. Wenn APIs, die nicht den Complianceanforderungen entsprechen, aktiviert werden, werden Sie auf der Seite „Assured Workloads-Monitoring“ benachrichtigt.

Betroffene Funktionen

In der folgenden Tabelle wird beschrieben, welche Funktionen von der Datengrenze für FedRAMP High betroffen sind:

Funktion Beschreibung
Single Message Transforms (SMTs) Diese Funktion wird für FedRAMP High-Compliance nicht unterstützt und sollte nicht verwendet werden. In Assured Workloads-Ordnern ist sie standardmäßig deaktiviert.

Anwendbare Einstellungen

In der folgenden Tabelle werden die Einschränkungen für Organisationsrichtlinien und die Produkteinstellungen beschrieben, die für die Datengrenze für FedRAMP High gelten. Standardmäßig werden diese von Assured Workloads festgelegt. Wenn Sie diese Einstellungen ändern, müssen Sie zuerst prüfen, wie sich die Änderung auf Ihren Compliance-Status auswirkt. Eine Anleitung zum Konfigurieren von Organisationsrichtlinien finden Sie unter Organisationsrichtlinien erstellen und verwalten.

Einstellung Erforderlicher Wert
pubsub.managed.disableTopicMessageTransforms
  • True
pubsub.managed.disableSubscriptionMessageTransforms
  • True

API-Felder für vertrauliche Daten

Ressource: Keine Ressource

In der folgenden Tabelle sind die API-Ressourcen und ‑Felder aufgeführt, die für die Verarbeitung von Daten konzipiert sind, die unter die Datengrenze für FedRAMP High fallen.

API-Methode Geschützte Felder

Dienst: pubsub.googleapis.com

REST API: POST /v1/{project=projects/*}:testMessageTransforms

RPC-Methoden:

  • google.pubsub.v1.Transform.TestMessageTransforms
  • message.data
  • messageTransforms.messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.messageTransforms.javascriptUdf.code
  • messageTransforms.messageTransforms.javascriptUdf.functionName
  • messageTransforms.messageTransforms.jsonRedaction.fieldPaths

Dienst: pubsub.googleapis.com

REST API: POST /v1/{project=projects/*}:validateMessageTransform

RPC-Methoden:

  • google.pubsub.v1.Transform.ValidateMessageTransform
  • messageTransform.aiInference.serviceAccountEmail
  • messageTransform.javascriptUdf.code
  • messageTransform.javascriptUdf.functionName
  • messageTransform.jsonRedaction.fieldPaths

Ressource: pubsub.googleapis.com/Subscription

In der folgenden Tabelle sind die API-Ressourcen und ‑Felder aufgeführt, die für die Verarbeitung von Daten konzipiert sind, die unter die Datengrenze für FedRAMP High fallen.

API-Methode Geschützte Felder

Dienst: pubsub.googleapis.com

REST API: PATCH /v1/{subscription.name=projects/*/subscriptions/*}

RPC-Methoden:

  • google.pubsub.v1.Subscriber.UpdateSubscription
  • subscription.bigqueryConfig.serviceAccountEmail
  • subscription.cloudStorageConfig.serviceAccountEmail
  • subscription.messageTransforms.aiInference.serviceAccountEmail
  • subscription.messageTransforms.javascriptUdf.code
  • subscription.messageTransforms.javascriptUdf.functionName
  • subscription.messageTransforms.jsonRedaction.fieldPaths
  • subscription.pubsubExportConfig.region
  • subscription.pubsubExportConfig.serviceAccountEmail
  • subscription.pubsubliteExportConfig.serviceAccountEmail
  • subscription.pushConfig.oidcToken.serviceAccountEmail

Dienst: pubsub.googleapis.com

REST API: POST /v1/{subscription=projects/*/subscriptions/*}:modifyPushConfig

RPC-Methoden:

  • google.pubsub.v1.Subscriber.ModifyPushConfig
  • pushConfig.oidcToken.serviceAccountEmail

Dienst: pubsub.googleapis.com

REST API: PUT /v1/{name=projects/*/subscriptions/*}

RPC-Methoden:

  • google.pubsub.v1.Subscriber.CreateSubscription
  • bigqueryConfig.serviceAccountEmail
  • cloudStorageConfig.serviceAccountEmail
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths
  • pubsubExportConfig.region
  • pubsubExportConfig.serviceAccountEmail
  • pubsubliteExportConfig.serviceAccountEmail
  • pushConfig.oidcToken.serviceAccountEmail

Ressource: pubsub.googleapis.com/Topic

In der folgenden Tabelle sind die API-Ressourcen und ‑Felder aufgeführt, die für die Verarbeitung von Daten konzipiert sind, die unter die Datengrenze für FedRAMP High fallen.

API-Methode Geschützte Felder

Dienst: pubsub.googleapis.com

REST API: PATCH /v1/{topic.name=projects/*/topics/*}

RPC-Methoden:

  • google.pubsub.v1.Publisher.UpdateTopic
  • topic.messageStoragePolicy.allowedPersistenceRegions
  • topic.messageTransforms.aiInference.serviceAccountEmail
  • topic.messageTransforms.javascriptUdf.code
  • topic.messageTransforms.javascriptUdf.functionName
  • topic.messageTransforms.jsonRedaction.fieldPaths

Dienst: pubsub.googleapis.com

REST API: POST /v1/{topic=projects/*/topics/*}:publish

RPC-Methoden:

  • google.pubsub.v1.Publisher.Publish
  • messages.data

Dienst: pubsub.googleapis.com

REST API: PUT /v1/{name=projects/*/topics/*}

RPC-Methoden:

  • google.pubsub.v1.Publisher.CreateTopic
  • messageStoragePolicy.allowedPersistenceRegions
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths

Felder, die nicht für vertrauliche Daten vorgesehen sind

In der folgenden Tabelle sind die Feldkategorien und spezifischen Felder aufgeführt, die nicht für vertrauliche Informationen vorgesehen sind. Um die Compliance aufrechtzuerhalten, sollten Sie keine geschützten Daten in diese Felder einfügen.

Kategorie Felder
Quelle für Datenaufnahme
  • ingestionDataSourceSettings.awsKinesis.streamArn
  • ingestionDataSourceSettings.awsMsk.clusterArn
  • ingestionDataSourceSettings.awsMsk.gcpServiceAccount
  • ingestionDataSourceSettings.azureEventHubs.eventHub
  • ingestionDataSourceSettings.cloudStorage.bucket
  • ingestionDataSourceSettings.confluentCloud.bootstrapServer
Metadaten der Nachrichten
  • ackIds
  • messages.attributes.key
  • messages.attributes.value
  • messages.messageId
  • messages.orderingKey
  • subscription
Nachrichtentransformation
  • messageTransforms.aiInference.endpoint
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.key
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.value.stringValue
  • messageTransforms.schemaEncoding.firstRevisionId
  • messageTransforms.schemaEncoding.lastRevisionId
  • messageTransforms.schemaEncoding.schema
Paginierung und Filterung
  • filter
  • pageToken
Konfiguration bereitstellen
  • cloudStorageConfig.filenamePrefix
  • pubsubliteExportConfig.topic
  • pushConfig.attributes.key
  • pushConfig.attributes.value
  • pushConfig.oidcToken.audience
  • pushConfig.pushEndpoint
Ressourcenidentifikation
  • name
  • parent
  • project
  • schemaId
  • subscription
  • topic
Schemadefinition
  • schema.definition
  • schema.name
  • schema.tags.key
  • schema.tags.value
  • tags.key
  • tags.value
Schemaeinstellungen
  • schemaSettings.firstRevisionId
  • schemaSettings.lastRevisionId
  • schemaSettings.schema
Abokonfiguration
  • bigqueryConfig.table
  • cloudStorageConfig.bucket
  • cloudStorageConfig.filenameDatetimeFormat
  • cloudStorageConfig.filenameSuffix
  • deadLetterPolicy.deadLetterTopic
  • pubsubExportConfig.topic
Themenkonfiguration
  • kmsKeyName
  • labels.key
  • labels.value
  • revisionId
  • snapshot
  • updateMask.paths

Verweise

Nächste Schritte