Supporto normativo in Pub/Sub

Questo documento descrive le funzionalità, le configurazioni e le API in Pub/Sub che sono in linea con i controlli per i pacchetti di controlli supportati. Questo documento presuppone che tu stia utilizzando Assured Workloads.

Confine per i dati per FedRAMP High

Servizi supportati

La seguente tabella elenca le API e le versioni di Pub/Sub che soddisfano i requisiti del confine per i dati per FedRAMP High.

Servizio Versione Stato
pubsub.googleapis.com v1 SUPPORTATO

Regioni supportate per la conformità

Pub/Sub è disponibile per il confine per i dati per FedRAMP High nelle seguenti Google Cloud regioni:

  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4

Strumenti di gestione

La tabella seguente descrive in che modo gli strumenti di gestione supportano il confine per i dati per FedRAMP High con Pub/Sub.

Strumento Descrizione
Google Cloud SDK Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per garantire la regionalizzazione dei dati tecnici FedRAMP High. Per verificare la versione attuale di Google Cloud SDK, esegui gcloud --version, quindi esegui gcloud components update per eseguire l'aggiornamento all'ultima versione.
Controlli per gli amministratori Per impostazione predefinita, le API non conformi sono disabilitate. Tuttavia, gli amministratori con autorizzazioni sufficienti possono abilitare un'API non conforme. Quando le API di non conformità sono attive, ricevi una notifica nella pagina Monitoraggio di Assured Workloads.

Funzionalità interessate

La tabella seguente descrive le funzionalità interessate dal confine per i dati per FedRAMP High:

Funzionalità Descrizione
Single Message Transforms (SMT) Questa funzionalità non è supportata per la conformità FedRAMP High e non deve essere utilizzata. È disattivato per impostazione predefinita nelle cartelle Assured Workloads.

Impostazioni applicabili

La tabella seguente descrive i vincoli dei criteri dell'organizzazione e le impostazioni del prodotto che si applicano al confine per i dati per FedRAMP High. Per impostazione predefinita, questi valori vengono impostati da Assured Workloads. Se modifichi queste impostazioni, devi prima valutare l'impatto della modifica sul tuo stato di conformità. Per istruzioni sulla configurazione delle policy dell'organizzazione, consulta Creazione e gestione delle policy dell'organizzazione.

Impostazione Valore obbligatorio
pubsub.managed.disableTopicMessageTransforms
  • True
pubsub.managed.disableSubscriptionMessageTransforms
  • True

Campi API per i dati sensibili

Risorsa: nessuna risorsa

La seguente tabella specifica i campi e le risorse API progettati per gestire i dati protetti ai sensi del confine per i dati per FedRAMP High.

Metodo API Campi protetti

Servizio: pubsub.googleapis.com

API REST: POST /v1/{project=projects/*}:testMessageTransforms

Metodi RPC:

  • google.pubsub.v1.Transform.TestMessageTransforms
  • message.data
  • messageTransforms.messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.messageTransforms.javascriptUdf.code
  • messageTransforms.messageTransforms.javascriptUdf.functionName
  • messageTransforms.messageTransforms.jsonRedaction.fieldPaths

Servizio: pubsub.googleapis.com

API REST: POST /v1/{project=projects/*}:validateMessageTransform

Metodi RPC:

  • google.pubsub.v1.Transform.ValidateMessageTransform
  • messageTransform.aiInference.serviceAccountEmail
  • messageTransform.javascriptUdf.code
  • messageTransform.javascriptUdf.functionName
  • messageTransform.jsonRedaction.fieldPaths

Risorsa: pubsub.googleapis.com/Subscription

La seguente tabella specifica i campi e le risorse API progettati per gestire i dati protetti ai sensi del confine per i dati per FedRAMP High.

Metodo API Campi protetti

Servizio: pubsub.googleapis.com

API REST: PATCH /v1/{subscription.name=projects/*/subscriptions/*}

Metodi RPC:

  • google.pubsub.v1.Subscriber.UpdateSubscription
  • subscription.bigqueryConfig.serviceAccountEmail
  • subscription.cloudStorageConfig.serviceAccountEmail
  • subscription.messageTransforms.aiInference.serviceAccountEmail
  • subscription.messageTransforms.javascriptUdf.code
  • subscription.messageTransforms.javascriptUdf.functionName
  • subscription.messageTransforms.jsonRedaction.fieldPaths
  • subscription.pubsubExportConfig.region
  • subscription.pubsubExportConfig.serviceAccountEmail
  • subscription.pubsubliteExportConfig.serviceAccountEmail
  • subscription.pushConfig.oidcToken.serviceAccountEmail

Servizio: pubsub.googleapis.com

API REST: POST /v1/{subscription=projects/*/subscriptions/*}:modifyPushConfig

Metodi RPC:

  • google.pubsub.v1.Subscriber.ModifyPushConfig
  • pushConfig.oidcToken.serviceAccountEmail

Servizio: pubsub.googleapis.com

API REST: PUT /v1/{name=projects/*/subscriptions/*}

Metodi RPC:

  • google.pubsub.v1.Subscriber.CreateSubscription
  • bigqueryConfig.serviceAccountEmail
  • cloudStorageConfig.serviceAccountEmail
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths
  • pubsubExportConfig.region
  • pubsubExportConfig.serviceAccountEmail
  • pubsubliteExportConfig.serviceAccountEmail
  • pushConfig.oidcToken.serviceAccountEmail

Risorsa: pubsub.googleapis.com/Topic

La seguente tabella specifica i campi e le risorse API progettati per gestire i dati protetti ai sensi del confine per i dati per FedRAMP High.

Metodo API Campi protetti

Servizio: pubsub.googleapis.com

API REST: PATCH /v1/{topic.name=projects/*/topics/*}

Metodi RPC:

  • google.pubsub.v1.Publisher.UpdateTopic
  • topic.messageStoragePolicy.allowedPersistenceRegions
  • topic.messageTransforms.aiInference.serviceAccountEmail
  • topic.messageTransforms.javascriptUdf.code
  • topic.messageTransforms.javascriptUdf.functionName
  • topic.messageTransforms.jsonRedaction.fieldPaths

Servizio: pubsub.googleapis.com

API REST: POST /v1/{topic=projects/*/topics/*}:publish

Metodi RPC:

  • google.pubsub.v1.Publisher.Publish
  • messages.data

Servizio: pubsub.googleapis.com

API REST: PUT /v1/{name=projects/*/topics/*}

Metodi RPC:

  • google.pubsub.v1.Publisher.CreateTopic
  • messageStoragePolicy.allowedPersistenceRegions
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths

Campi non destinati ai dati sensibili

La seguente tabella elenca le categorie di campi e i campi specifici che non sono progettati per informazioni sensibili. Per mantenere la conformità, evita di inserire dati protetti in questi campi.

Categoria Campi
Origine di importazione dati
  • ingestionDataSourceSettings.awsKinesis.streamArn
  • ingestionDataSourceSettings.awsMsk.clusterArn
  • ingestionDataSourceSettings.awsMsk.gcpServiceAccount
  • ingestionDataSourceSettings.azureEventHubs.eventHub
  • ingestionDataSourceSettings.cloudStorage.bucket
  • ingestionDataSourceSettings.confluentCloud.bootstrapServer
Metadati dei messaggi
  • ackIds
  • messages.attributes.key
  • messages.attributes.value
  • messages.messageId
  • messages.orderingKey
  • subscription
Trasformazione dei messaggi
  • messageTransforms.aiInference.endpoint
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.key
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.value.stringValue
  • messageTransforms.schemaEncoding.firstRevisionId
  • messageTransforms.schemaEncoding.lastRevisionId
  • messageTransforms.schemaEncoding.schema
Impaginazione e filtri
  • filter
  • pageToken
Configurazione push
  • cloudStorageConfig.filenamePrefix
  • pubsubliteExportConfig.topic
  • pushConfig.attributes.key
  • pushConfig.attributes.value
  • pushConfig.oidcToken.audience
  • pushConfig.pushEndpoint
Identificazione delle risorse
  • name
  • parent
  • project
  • schemaId
  • subscription
  • topic
Definizione schema
  • schema.definition
  • schema.name
  • schema.tags.key
  • schema.tags.value
  • tags.key
  • tags.value
Impostazioni schema
  • schemaSettings.firstRevisionId
  • schemaSettings.lastRevisionId
  • schemaSettings.schema
Configurazione dell'abbonamento
  • bigqueryConfig.table
  • cloudStorageConfig.bucket
  • cloudStorageConfig.filenameDatetimeFormat
  • cloudStorageConfig.filenameSuffix
  • deadLetterPolicy.deadLetterTopic
  • pubsubExportConfig.topic
Configurazione degli argomenti
  • kmsKeyName
  • labels.key
  • labels.value
  • revisionId
  • snapshot
  • updateMask.paths

Riferimenti

Passaggi successivi