Dukungan peraturan di Pub/Sub

Dokumen ini menjelaskan fitur, konfigurasi, dan API di Pub/Sub yang sesuai dengan kontrol untuk paket kontrol yang didukung. Dokumen ini mengasumsikan bahwa Anda menggunakan Assured Workloads.

Batas Data untuk FedRAMP High

Layanan yang didukung

Tabel berikut mencantumkan API dan versi Pub/Sub yang memenuhi persyaratan Batas Data untuk FedRAMP High.

Layanan Versi Status
pubsub.googleapis.com v1 DIDUKUNG

Wilayah yang mendukung kepatuhan

Pub/Sub tersedia untuk Batas Data untuk FedRAMP High di region berikut: Google Cloud

  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4

Management tools

Tabel berikut menjelaskan cara alat pengelolaan mendukung Batas Data untuk FedRAMP High dengan Pub/Sub.

Alat Deskripsi
Google Cloud SDK Anda harus menggunakan Google Cloud SDK versi 403.0.0 atau yang lebih baru untuk membantu memastikan regionalisasi data untuk data teknis FedRAMP High. Untuk memverifikasi versi Google Cloud SDK Anda saat ini, jalankan gcloud --version, lalu jalankan gcloud components update untuk mengupdate ke versi terbaru.
Kontrol administrator Secara default, API yang tidak mematuhi kebijakan dinonaktifkan. Namun, administrator dengan izin yang memadai dapat mengaktifkan API yang tidak mematuhi kebijakan. Jika API yang tidak mematuhi diaktifkan, Anda akan diberi tahu di halaman Assured Workloads Monitoring.

Fitur yang terpengaruh

Tabel berikut menjelaskan fitur yang terpengaruh oleh Batas Data untuk FedRAMP High:

Fitur Deskripsi
Transformasi Pesan Tunggal (SMT) Fitur ini tidak didukung untuk kepatuhan FedRAMP High dan tidak boleh digunakan. Fitur ini dinonaktifkan secara default di folder Assured Workloads.

Setelan yang berlaku

Tabel berikut menjelaskan batasan kebijakan organisasi dan setelan produk yang berlaku untuk Batas Data untuk FedRAMP High. Secara default, setelan ini ditetapkan oleh Assured Workloads. Jika Anda mengubah setelan ini, Anda harus mempertimbangkan terlebih dahulu bagaimana perubahan tersebut memengaruhi status kepatuhan Anda. Untuk mengetahui petunjuk tentang cara mengonfigurasi kebijakan organisasi, lihat Membuat dan mengelola kebijakan organisasi.

Setelan Nilai yang diperlukan
pubsub.managed.disableTopicMessageTransforms
  • True
pubsub.managed.disableSubscriptionMessageTransforms
  • True

Kolom API untuk data sensitif

Resource: Tidak ada resource

Tabel berikut menentukan resource dan kolom API yang dirancang untuk menangani data yang dilindungi berdasarkan Data Boundary For FedRAMP High.

Metode API Kolom yang dilindungi

Layanan: pubsub.googleapis.com

REST API: POST /v1/{project=projects/*}:testMessageTransforms

Metode RPC:

  • google.pubsub.v1.Transform.TestMessageTransforms
  • message.data
  • messageTransforms.messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.messageTransforms.javascriptUdf.code
  • messageTransforms.messageTransforms.javascriptUdf.functionName
  • messageTransforms.messageTransforms.jsonRedaction.fieldPaths

Layanan: pubsub.googleapis.com

REST API: POST /v1/{project=projects/*}:validateMessageTransform

Metode RPC:

  • google.pubsub.v1.Transform.ValidateMessageTransform
  • messageTransform.aiInference.serviceAccountEmail
  • messageTransform.javascriptUdf.code
  • messageTransform.javascriptUdf.functionName
  • messageTransform.jsonRedaction.fieldPaths

Resource: pubsub.googleapis.com/Subscription

Tabel berikut menentukan resource dan kolom API yang dirancang untuk menangani data yang dilindungi berdasarkan Data Boundary For FedRAMP High.

Metode API Kolom yang dilindungi

Layanan: pubsub.googleapis.com

REST API: PATCH /v1/{subscription.name=projects/*/subscriptions/*}

Metode RPC:

  • google.pubsub.v1.Subscriber.UpdateSubscription
  • subscription.bigqueryConfig.serviceAccountEmail
  • subscription.cloudStorageConfig.serviceAccountEmail
  • subscription.messageTransforms.aiInference.serviceAccountEmail
  • subscription.messageTransforms.javascriptUdf.code
  • subscription.messageTransforms.javascriptUdf.functionName
  • subscription.messageTransforms.jsonRedaction.fieldPaths
  • subscription.pubsubExportConfig.region
  • subscription.pubsubExportConfig.serviceAccountEmail
  • subscription.pubsubliteExportConfig.serviceAccountEmail
  • subscription.pushConfig.oidcToken.serviceAccountEmail

Layanan: pubsub.googleapis.com

REST API: POST /v1/{subscription=projects/*/subscriptions/*}:modifyPushConfig

Metode RPC:

  • google.pubsub.v1.Subscriber.ModifyPushConfig
  • pushConfig.oidcToken.serviceAccountEmail

Layanan: pubsub.googleapis.com

REST API: PUT /v1/{name=projects/*/subscriptions/*}

Metode RPC:

  • google.pubsub.v1.Subscriber.CreateSubscription
  • bigqueryConfig.serviceAccountEmail
  • cloudStorageConfig.serviceAccountEmail
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths
  • pubsubExportConfig.region
  • pubsubExportConfig.serviceAccountEmail
  • pubsubliteExportConfig.serviceAccountEmail
  • pushConfig.oidcToken.serviceAccountEmail

Resource: pubsub.googleapis.com/Topic

Tabel berikut menentukan resource dan kolom API yang dirancang untuk menangani data yang dilindungi berdasarkan Data Boundary For FedRAMP High.

Metode API Kolom yang dilindungi

Layanan: pubsub.googleapis.com

REST API: PATCH /v1/{topic.name=projects/*/topics/*}

Metode RPC:

  • google.pubsub.v1.Publisher.UpdateTopic
  • topic.messageStoragePolicy.allowedPersistenceRegions
  • topic.messageTransforms.aiInference.serviceAccountEmail
  • topic.messageTransforms.javascriptUdf.code
  • topic.messageTransforms.javascriptUdf.functionName
  • topic.messageTransforms.jsonRedaction.fieldPaths

Layanan: pubsub.googleapis.com

REST API: POST /v1/{topic=projects/*/topics/*}:publish

Metode RPC:

  • google.pubsub.v1.Publisher.Publish
  • messages.data

Layanan: pubsub.googleapis.com

REST API: PUT /v1/{name=projects/*/topics/*}

Metode RPC:

  • google.pubsub.v1.Publisher.CreateTopic
  • messageStoragePolicy.allowedPersistenceRegions
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths

Kolom yang tidak ditujukan untuk Data sensitif

Tabel berikut mencantumkan kategori kolom dan kolom tertentu yang tidak dirancang untuk informasi sensitif. Untuk menjaga kepatuhan, hindari menempatkan data yang dilindungi di kolom ini.

Kategori Kolom
Sumber penyerapan data
  • ingestionDataSourceSettings.awsKinesis.streamArn
  • ingestionDataSourceSettings.awsMsk.clusterArn
  • ingestionDataSourceSettings.awsMsk.gcpServiceAccount
  • ingestionDataSourceSettings.azureEventHubs.eventHub
  • ingestionDataSourceSettings.cloudStorage.bucket
  • ingestionDataSourceSettings.confluentCloud.bootstrapServer
Metadata pesan
  • ackIds
  • messages.attributes.key
  • messages.attributes.value
  • messages.messageId
  • messages.orderingKey
  • subscription
Transformasi pesan
  • messageTransforms.aiInference.endpoint
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.key
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.value.stringValue
  • messageTransforms.schemaEncoding.firstRevisionId
  • messageTransforms.schemaEncoding.lastRevisionId
  • messageTransforms.schemaEncoding.schema
Penomoran halaman dan pemfilteran
  • filter
  • pageToken
Konfigurasi push
  • cloudStorageConfig.filenamePrefix
  • pubsubliteExportConfig.topic
  • pushConfig.attributes.key
  • pushConfig.attributes.value
  • pushConfig.oidcToken.audience
  • pushConfig.pushEndpoint
Identifikasi resource
  • name
  • parent
  • project
  • schemaId
  • subscription
  • topic
Definisi skema
  • schema.definition
  • schema.name
  • schema.tags.key
  • schema.tags.value
  • tags.key
  • tags.value
Setelan skema:
  • schemaSettings.firstRevisionId
  • schemaSettings.lastRevisionId
  • schemaSettings.schema
Konfigurasi langganan
  • bigqueryConfig.table
  • cloudStorageConfig.bucket
  • cloudStorageConfig.filenameDatetimeFormat
  • cloudStorageConfig.filenameSuffix
  • deadLetterPolicy.deadLetterTopic
  • pubsubExportConfig.topic
Konfigurasi topik
  • kmsKeyName
  • labels.key
  • labels.value
  • revisionId
  • snapshot
  • updateMask.paths

Referensi

Langkah berikutnya