Asistencia normativa en Pub/Sub

En este documento se describen las funciones, las configuraciones y las APIs de Pub/Sub que se ajustan a los controles de los paquetes de control admitidos. En este documento se da por supuesto que usas Assured Workloads.

Data Boundary para FedRAMP High

Servicios admitidos

En la siguiente tabla se indican las APIs y las versiones de Pub/Sub que cumplen los requisitos de la frontera de datos de FedRAMP High.

Servicio Versión Estado
pubsub.googleapis.com v1 ADMITIDO

Regiones admitidas para el cumplimiento

Pub/Sub está disponible para el límite de datos de FedRAMP High en las siguientes Google Cloud regiones:

  • us-central1
  • us-central2
  • us‑east1
  • us‑east4
  • us-east5
  • us-south1
  • us‑west1
  • us‑west2
  • us-west3
  • us-west4

Herramientas de gestión

En la siguiente tabla se describe cómo admiten las herramientas de gestión la función de límite de datos para FedRAMP High con Pub/Sub.

Herramienta Descripción
SDK de Google Cloud Debes usar la versión 403.0.0 o una posterior del SDK de Google Cloud para asegurarte de que los datos técnicos de FedRAMP High se regionalizan. Para verificar la versión actual del SDK de Google Cloud, ejecuta gcloud --version y, a continuación, gcloud components update para actualizar a la versión más reciente.
Controles del administrador De forma predeterminada, las APIs que no cumplen los requisitos están inhabilitadas. Sin embargo, los administradores con los permisos suficientes pueden habilitar una API que no cumpla los requisitos. Cuando se habilitan las APIs que no cumplen los requisitos, se le notifica en la página de monitorización de Assured Workloads.

Funciones afectadas

En la siguiente tabla se describen las funciones afectadas por la frontera de datos para FedRAMP High:

Función Descripción
Transformaciones de un solo mensaje (SMTs) Esta función no es compatible con el cumplimiento de FedRAMP High y no debe usarse. Está inhabilitada de forma predeterminada en las carpetas de Assured Workloads.

Ajustes aplicables

En la siguiente tabla se describen las restricciones de las políticas de la organización y los ajustes de los productos que se aplican a la función de límite de datos para FedRAMP High. De forma predeterminada, Assured Workloads los define. Si cambias estos ajustes, primero debes tener en cuenta cómo afectará ese cambio a tu estado de cumplimiento. Para obtener instrucciones sobre cómo configurar políticas de la organización, consulta el artículo Crear y gestionar políticas de la organización.

Ajuste Valor obligatorio
pubsub.managed.disableTopicMessageTransforms
  • True
pubsub.managed.disableSubscriptionMessageTransforms
  • True

Campos de API para datos sensibles

Recurso: ningún recurso

En la siguiente tabla se especifican los recursos y campos de la API diseñados para gestionar los datos protegidos por Data Boundary para FedRAMP High.

Método de API Campos protegidos

Servicio: pubsub.googleapis.com

API REST: POST /v1/{project=projects/*}:testMessageTransforms

Métodos de RPC:

  • google.pubsub.v1.Transform.TestMessageTransforms
  • message.data
  • messageTransforms.messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.messageTransforms.javascriptUdf.code
  • messageTransforms.messageTransforms.javascriptUdf.functionName
  • messageTransforms.messageTransforms.jsonRedaction.fieldPaths

Servicio: pubsub.googleapis.com

API REST: POST /v1/{project=projects/*}:validateMessageTransform

Métodos de RPC:

  • google.pubsub.v1.Transform.ValidateMessageTransform
  • messageTransform.aiInference.serviceAccountEmail
  • messageTransform.javascriptUdf.code
  • messageTransform.javascriptUdf.functionName
  • messageTransform.jsonRedaction.fieldPaths

Recurso: pubsub.googleapis.com/Subscription

En la siguiente tabla se especifican los recursos y campos de la API diseñados para gestionar los datos protegidos por Data Boundary para FedRAMP High.

Método de API Campos protegidos

Servicio: pubsub.googleapis.com

API REST: PATCH /v1/{subscription.name=projects/*/subscriptions/*}

Métodos de RPC:

  • google.pubsub.v1.Subscriber.UpdateSubscription
  • subscription.bigqueryConfig.serviceAccountEmail
  • subscription.cloudStorageConfig.serviceAccountEmail
  • subscription.messageTransforms.aiInference.serviceAccountEmail
  • subscription.messageTransforms.javascriptUdf.code
  • subscription.messageTransforms.javascriptUdf.functionName
  • subscription.messageTransforms.jsonRedaction.fieldPaths
  • subscription.pubsubExportConfig.region
  • subscription.pubsubExportConfig.serviceAccountEmail
  • subscription.pubsubliteExportConfig.serviceAccountEmail
  • subscription.pushConfig.oidcToken.serviceAccountEmail

Servicio: pubsub.googleapis.com

API REST: POST /v1/{subscription=projects/*/subscriptions/*}:modifyPushConfig

Métodos de RPC:

  • google.pubsub.v1.Subscriber.ModifyPushConfig
  • pushConfig.oidcToken.serviceAccountEmail

Servicio: pubsub.googleapis.com

API REST: PUT /v1/{name=projects/*/subscriptions/*}

Métodos de RPC:

  • google.pubsub.v1.Subscriber.CreateSubscription
  • bigqueryConfig.serviceAccountEmail
  • cloudStorageConfig.serviceAccountEmail
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths
  • pubsubExportConfig.region
  • pubsubExportConfig.serviceAccountEmail
  • pubsubliteExportConfig.serviceAccountEmail
  • pushConfig.oidcToken.serviceAccountEmail

Recurso: pubsub.googleapis.com/Topic

En la siguiente tabla se especifican los recursos y campos de la API diseñados para gestionar los datos protegidos por Data Boundary para FedRAMP High.

Método de API Campos protegidos

Servicio: pubsub.googleapis.com

API REST: PATCH /v1/{topic.name=projects/*/topics/*}

Métodos de RPC:

  • google.pubsub.v1.Publisher.UpdateTopic
  • topic.messageStoragePolicy.allowedPersistenceRegions
  • topic.messageTransforms.aiInference.serviceAccountEmail
  • topic.messageTransforms.javascriptUdf.code
  • topic.messageTransforms.javascriptUdf.functionName
  • topic.messageTransforms.jsonRedaction.fieldPaths

Servicio: pubsub.googleapis.com

API REST: POST /v1/{topic=projects/*/topics/*}:publish

Métodos de RPC:

  • google.pubsub.v1.Publisher.Publish
  • messages.data

Servicio: pubsub.googleapis.com

API REST: PUT /v1/{name=projects/*/topics/*}

Métodos de RPC:

  • google.pubsub.v1.Publisher.CreateTopic
  • messageStoragePolicy.allowedPersistenceRegions
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths

Campos no diseñados para datos sensibles

En la siguiente tabla se indican las categorías de campos y los campos específicos que no están diseñados para contener información sensible. Para cumplir la normativa, no incluya datos protegidos en estos campos.

Categoría Campos
Fuente de ingestión de datos
  • ingestionDataSourceSettings.awsKinesis.streamArn
  • ingestionDataSourceSettings.awsMsk.clusterArn
  • ingestionDataSourceSettings.awsMsk.gcpServiceAccount
  • ingestionDataSourceSettings.azureEventHubs.eventHub
  • ingestionDataSourceSettings.cloudStorage.bucket
  • ingestionDataSourceSettings.confluentCloud.bootstrapServer
Metadatos de mensajes
  • ackIds
  • messages.attributes.key
  • messages.attributes.value
  • messages.messageId
  • messages.orderingKey
  • subscription
Transformación de mensajes
  • messageTransforms.aiInference.endpoint
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.key
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.value.stringValue
  • messageTransforms.schemaEncoding.firstRevisionId
  • messageTransforms.schemaEncoding.lastRevisionId
  • messageTransforms.schemaEncoding.schema
Paginación y filtrado
  • filter
  • pageToken
Aplicar configuración
  • cloudStorageConfig.filenamePrefix
  • pubsubliteExportConfig.topic
  • pushConfig.attributes.key
  • pushConfig.attributes.value
  • pushConfig.oidcToken.audience
  • pushConfig.pushEndpoint
Identificación de recursos
  • name
  • parent
  • project
  • schemaId
  • subscription
  • topic
Definición del esquema
  • schema.definition
  • schema.name
  • schema.tags.key
  • schema.tags.value
  • tags.key
  • tags.value
Configuración de esquemas
  • schemaSettings.firstRevisionId
  • schemaSettings.lastRevisionId
  • schemaSettings.schema
Configuración de suscripciones
  • bigqueryConfig.table
  • cloudStorageConfig.bucket
  • cloudStorageConfig.filenameDatetimeFormat
  • cloudStorageConfig.filenameSuffix
  • deadLetterPolicy.deadLetterTopic
  • pubsubExportConfig.topic
Configuración de temas
  • kmsKeyName
  • labels.key
  • labels.value
  • revisionId
  • snapshot
  • updateMask.paths

Referencias

Siguientes pasos