Asistencia regulatoria en Pub/Sub

En este documento, se describen las funciones, las configuraciones y las APIs de Pub/Sub que se alinean con los controles de los paquetes de control admitidos. En este documento, se supone que usas Assured Workloads.

Límite de datos para FedRAMP High

Servicios compatibles

En la siguiente tabla, se enumeran las APIs y versiones de Pub/Sub que cumplen con los requisitos del límite de datos para FedRAMP High.

Servicio Versión Estado
pubsub.googleapis.com v1 ADMITIDO

Regiones admitidas para el cumplimiento

Pub/Sub está disponible para el límite de datos para FedRAMP High en las siguientes Google Cloud regiones:

  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4

Herramientas de administración

En la siguiente tabla, se describe cómo las herramientas de administración admiten el límite de datos para FedRAMP High con Pub/Sub.

Herramienta Descripción
SDK de Google Cloud Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para garantizar la regionalización de los datos técnicos de FedRAMP High. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
Controles del administrador De forma predeterminada, las APIs que no cumplen con los requisitos están inhabilitadas. Sin embargo, los administradores con permisos suficientes pueden habilitar una API que no cumpla con los requisitos. Cuando se habilitan las APIs que no cumplen con los requisitos, se te notifica en la página de Assured Workloads Monitoring.

Funciones afectadas

En la siguiente tabla, se describen las funciones afectadas por el límite de datos para FedRAMP High:

Función Descripción
Transformaciones de mensaje único (SMT) Esta función no es compatible con el cumplimiento de FedRAMP High y no se debe usar. Está inhabilitada de forma predeterminada en las carpetas de Assured Workloads.

Parámetros de configuración aplicables

En la siguiente tabla, se describen las restricciones de las políticas de la organización y la configuración del producto que se aplican al límite de datos para FedRAMP High. De forma predeterminada, Assured Workloads establece estos parámetros. Si cambias estos parámetros de configuración, primero debes tener en cuenta cómo afectará ese cambio a tu estado de cumplimiento. Si quieres obtener instrucciones para configurar las políticas de la organización, consulta Crea y administra políticas de la organización.

Configuración Valor obligatorio
pubsub.managed.disableTopicMessageTransforms
  • True
pubsub.managed.disableSubscriptionMessageTransforms
  • True

Campos de la API para datos sensibles

Recurso: Sin recurso

En la siguiente tabla, se especifican los recursos y los campos de la API diseñados para controlar los datos protegidos en virtud del límite de datos para FedRAMP High.

Método de API Campos protegidos

Servicio: pubsub.googleapis.com

API de REST: POST /v1/{project=projects/*}:testMessageTransforms

Métodos RPC:

  • google.pubsub.v1.Transform.TestMessageTransforms
  • message.data
  • messageTransforms.messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.messageTransforms.javascriptUdf.code
  • messageTransforms.messageTransforms.javascriptUdf.functionName
  • messageTransforms.messageTransforms.jsonRedaction.fieldPaths

Servicio: pubsub.googleapis.com

API de REST: POST /v1/{project=projects/*}:validateMessageTransform

Métodos RPC:

  • google.pubsub.v1.Transform.ValidateMessageTransform
  • messageTransform.aiInference.serviceAccountEmail
  • messageTransform.javascriptUdf.code
  • messageTransform.javascriptUdf.functionName
  • messageTransform.jsonRedaction.fieldPaths

Recurso: pubsub.googleapis.com/Subscription

En la siguiente tabla, se especifican los recursos y los campos de la API diseñados para controlar los datos protegidos en virtud del límite de datos para FedRAMP High.

Método de API Campos protegidos

Servicio: pubsub.googleapis.com

API de REST: PATCH /v1/{subscription.name=projects/*/subscriptions/*}

Métodos RPC:

  • google.pubsub.v1.Subscriber.UpdateSubscription
  • subscription.bigqueryConfig.serviceAccountEmail
  • subscription.cloudStorageConfig.serviceAccountEmail
  • subscription.messageTransforms.aiInference.serviceAccountEmail
  • subscription.messageTransforms.javascriptUdf.code
  • subscription.messageTransforms.javascriptUdf.functionName
  • subscription.messageTransforms.jsonRedaction.fieldPaths
  • subscription.pubsubExportConfig.region
  • subscription.pubsubExportConfig.serviceAccountEmail
  • subscription.pubsubliteExportConfig.serviceAccountEmail
  • subscription.pushConfig.oidcToken.serviceAccountEmail

Servicio: pubsub.googleapis.com

API de REST: POST /v1/{subscription=projects/*/subscriptions/*}:modifyPushConfig

Métodos RPC:

  • google.pubsub.v1.Subscriber.ModifyPushConfig
  • pushConfig.oidcToken.serviceAccountEmail

Servicio: pubsub.googleapis.com

API de REST: PUT /v1/{name=projects/*/subscriptions/*}

Métodos RPC:

  • google.pubsub.v1.Subscriber.CreateSubscription
  • bigqueryConfig.serviceAccountEmail
  • cloudStorageConfig.serviceAccountEmail
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths
  • pubsubExportConfig.region
  • pubsubExportConfig.serviceAccountEmail
  • pubsubliteExportConfig.serviceAccountEmail
  • pushConfig.oidcToken.serviceAccountEmail

Recurso: pubsub.googleapis.com/Topic

En la siguiente tabla, se especifican los recursos y los campos de la API diseñados para controlar los datos protegidos en virtud del límite de datos para FedRAMP High.

Método de API Campos protegidos

Servicio: pubsub.googleapis.com

API de REST: PATCH /v1/{topic.name=projects/*/topics/*}

Métodos RPC:

  • google.pubsub.v1.Publisher.UpdateTopic
  • topic.messageStoragePolicy.allowedPersistenceRegions
  • topic.messageTransforms.aiInference.serviceAccountEmail
  • topic.messageTransforms.javascriptUdf.code
  • topic.messageTransforms.javascriptUdf.functionName
  • topic.messageTransforms.jsonRedaction.fieldPaths

Servicio: pubsub.googleapis.com

API de REST: POST /v1/{topic=projects/*/topics/*}:publish

Métodos RPC:

  • google.pubsub.v1.Publisher.Publish
  • messages.data

Servicio: pubsub.googleapis.com

API de REST: PUT /v1/{name=projects/*/topics/*}

Métodos RPC:

  • google.pubsub.v1.Publisher.CreateTopic
  • messageStoragePolicy.allowedPersistenceRegions
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths

Campos no diseñados para datos sensibles

En la siguiente tabla, se enumeran las categorías de campos y los campos específicos que no están diseñados para la información sensible. Para mantener el cumplimiento, evita colocar datos protegidos en estos campos.

Categoría Campos
Fuente de transferencia de datos
  • ingestionDataSourceSettings.awsKinesis.streamArn
  • ingestionDataSourceSettings.awsMsk.clusterArn
  • ingestionDataSourceSettings.awsMsk.gcpServiceAccount
  • ingestionDataSourceSettings.azureEventHubs.eventHub
  • ingestionDataSourceSettings.cloudStorage.bucket
  • ingestionDataSourceSettings.confluentCloud.bootstrapServer
Metadatos del mensaje
  • ackIds
  • messages.attributes.key
  • messages.attributes.value
  • messages.messageId
  • messages.orderingKey
  • subscription
Transformación de mensajes
  • messageTransforms.aiInference.endpoint
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.key
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.value.stringValue
  • messageTransforms.schemaEncoding.firstRevisionId
  • messageTransforms.schemaEncoding.lastRevisionId
  • messageTransforms.schemaEncoding.schema
Paginación y filtrado
  • filter
  • pageToken
Transferir la configuración
  • cloudStorageConfig.filenamePrefix
  • pubsubliteExportConfig.topic
  • pushConfig.attributes.key
  • pushConfig.attributes.value
  • pushConfig.oidcToken.audience
  • pushConfig.pushEndpoint
Identificación de recursos
  • name
  • parent
  • project
  • schemaId
  • subscription
  • topic
Definición de esquema
  • schema.definition
  • schema.name
  • schema.tags.key
  • schema.tags.value
  • tags.key
  • tags.value
Configuración de esquema
  • schemaSettings.firstRevisionId
  • schemaSettings.lastRevisionId
  • schemaSettings.schema
Configuración de suscripciones
  • bigqueryConfig.table
  • cloudStorageConfig.bucket
  • cloudStorageConfig.filenameDatetimeFormat
  • cloudStorageConfig.filenameSuffix
  • deadLetterPolicy.deadLetterTopic
  • pubsubExportConfig.topic
Configuración de temas
  • kmsKeyName
  • labels.key
  • labels.value
  • revisionId
  • snapshot
  • updateMask.paths

Referencias

¿Qué sigue?