Apoio técnico regulamentar no Pub/Sub

Este documento descreve as funcionalidades, as configurações e as APIs no Pub/Sub que se alinham com os controlos dos pacotes de controlo suportados. Este documento pressupõe que está a usar o Assured Workloads.

Limite de dados para FedRAMP High

Serviços suportados

A tabela seguinte lista as APIs e as versões do Pub/Sub que cumprem os requisitos do limite de dados para FedRAMP High.

Serviço Versão Estado
pubsub.googleapis.com v1 SUPORTADO

Regiões compatíveis com a conformidade

O Pub/Sub está disponível para o limite de dados para o FedRAMP High nas seguintes Google Cloud regiões:

  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4

Ferramentas de gestão

A tabela seguinte descreve como as ferramentas de gestão suportam o limite de dados para FedRAMP High com o Pub/Sub.

Ferramenta Descrição
SDK Google Cloud Tem de usar a versão 403.0.0 ou posterior do Google Cloud SDK para ajudar a garantir a regionalização de dados para dados técnicos do FedRAMP High. Para verificar a versão atual do Google Cloud SDK, execute gcloud --version e, em seguida, execute gcloud components update para atualizar para a versão mais recente.
Controlos para administradores Por predefinição, as APIs não conformes estão desativadas. No entanto, os administradores com autorizações suficientes podem ativar uma API não compatível. Quando as APIs de não conformidade estão ativadas, recebe uma notificação na página de monitorização do Assured Workloads.

Funcionalidades afetadas

A tabela seguinte descreve as funcionalidades afetadas pelo limite de dados para o FedRAMP High:

Funcionalidade Descrição
Transformações de mensagens únicas (SMTs) Esta funcionalidade não é compatível com a conformidade FedRAMP High e não deve ser usada. Por predefinição, está desativada nas pastas do Assured Workloads.

Definições aplicáveis

A tabela seguinte descreve as restrições da política da organização e as definições do produto que se aplicam ao limite de dados para FedRAMP High. Por predefinição, estas são definidas pelo Assured Workloads. Se alterar estas definições, tem de considerar primeiro como essa alteração afeta o seu estado de conformidade. Para ver instruções sobre a configuração de políticas de organização, consulte o artigo Criar e gerir políticas de organização.

Definição Valor obrigatório
pubsub.managed.disableTopicMessageTransforms
  • True
pubsub.managed.disableSubscriptionMessageTransforms
  • True

Campos da API para dados confidenciais

Recurso: nenhum recurso

A tabela seguinte especifica os recursos e os campos da API concebidos para processar dados protegidos ao abrigo do limite de dados para o FedRAMP High.

Método da API Campos protegidos

Serviço: pubsub.googleapis.com

API REST: POST /v1/{project=projects/*}:testMessageTransforms

Métodos RPC:

  • google.pubsub.v1.Transform.TestMessageTransforms
  • message.data
  • messageTransforms.messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.messageTransforms.javascriptUdf.code
  • messageTransforms.messageTransforms.javascriptUdf.functionName
  • messageTransforms.messageTransforms.jsonRedaction.fieldPaths

Serviço: pubsub.googleapis.com

API REST: POST /v1/{project=projects/*}:validateMessageTransform

Métodos RPC:

  • google.pubsub.v1.Transform.ValidateMessageTransform
  • messageTransform.aiInference.serviceAccountEmail
  • messageTransform.javascriptUdf.code
  • messageTransform.javascriptUdf.functionName
  • messageTransform.jsonRedaction.fieldPaths

Recurso: pubsub.googleapis.com/Subscription

A tabela seguinte especifica os recursos e os campos da API concebidos para processar dados protegidos ao abrigo do limite de dados para o FedRAMP High.

Método da API Campos protegidos

Serviço: pubsub.googleapis.com

API REST: PATCH /v1/{subscription.name=projects/*/subscriptions/*}

Métodos RPC:

  • google.pubsub.v1.Subscriber.UpdateSubscription
  • subscription.bigqueryConfig.serviceAccountEmail
  • subscription.cloudStorageConfig.serviceAccountEmail
  • subscription.messageTransforms.aiInference.serviceAccountEmail
  • subscription.messageTransforms.javascriptUdf.code
  • subscription.messageTransforms.javascriptUdf.functionName
  • subscription.messageTransforms.jsonRedaction.fieldPaths
  • subscription.pubsubExportConfig.region
  • subscription.pubsubExportConfig.serviceAccountEmail
  • subscription.pubsubliteExportConfig.serviceAccountEmail
  • subscription.pushConfig.oidcToken.serviceAccountEmail

Serviço: pubsub.googleapis.com

API REST: POST /v1/{subscription=projects/*/subscriptions/*}:modifyPushConfig

Métodos RPC:

  • google.pubsub.v1.Subscriber.ModifyPushConfig
  • pushConfig.oidcToken.serviceAccountEmail

Serviço: pubsub.googleapis.com

API REST: PUT /v1/{name=projects/*/subscriptions/*}

Métodos RPC:

  • google.pubsub.v1.Subscriber.CreateSubscription
  • bigqueryConfig.serviceAccountEmail
  • cloudStorageConfig.serviceAccountEmail
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths
  • pubsubExportConfig.region
  • pubsubExportConfig.serviceAccountEmail
  • pubsubliteExportConfig.serviceAccountEmail
  • pushConfig.oidcToken.serviceAccountEmail

Recurso: pubsub.googleapis.com/Topic

A tabela seguinte especifica os recursos e os campos da API concebidos para processar dados protegidos ao abrigo do limite de dados para o FedRAMP High.

Método da API Campos protegidos

Serviço: pubsub.googleapis.com

API REST: PATCH /v1/{topic.name=projects/*/topics/*}

Métodos RPC:

  • google.pubsub.v1.Publisher.UpdateTopic
  • topic.messageStoragePolicy.allowedPersistenceRegions
  • topic.messageTransforms.aiInference.serviceAccountEmail
  • topic.messageTransforms.javascriptUdf.code
  • topic.messageTransforms.javascriptUdf.functionName
  • topic.messageTransforms.jsonRedaction.fieldPaths

Serviço: pubsub.googleapis.com

API REST: POST /v1/{topic=projects/*/topics/*}:publish

Métodos RPC:

  • google.pubsub.v1.Publisher.Publish
  • messages.data

Serviço: pubsub.googleapis.com

API REST: PUT /v1/{name=projects/*/topics/*}

Métodos RPC:

  • google.pubsub.v1.Publisher.CreateTopic
  • messageStoragePolicy.allowedPersistenceRegions
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths

Campos não destinados a dados confidenciais

A tabela seguinte apresenta as categorias de campos e os campos específicos que não foram concebidos para informações confidenciais. Para manter a conformidade, evite colocar dados protegidos nestes campos.

Categoria Campos
Origem do carregamento de dados
  • ingestionDataSourceSettings.awsKinesis.streamArn
  • ingestionDataSourceSettings.awsMsk.clusterArn
  • ingestionDataSourceSettings.awsMsk.gcpServiceAccount
  • ingestionDataSourceSettings.azureEventHubs.eventHub
  • ingestionDataSourceSettings.cloudStorage.bucket
  • ingestionDataSourceSettings.confluentCloud.bootstrapServer
Metadados de mensagens
  • ackIds
  • messages.attributes.key
  • messages.attributes.value
  • messages.messageId
  • messages.orderingKey
  • subscription
Transformação de mensagens
  • messageTransforms.aiInference.endpoint
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.key
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.value.stringValue
  • messageTransforms.schemaEncoding.firstRevisionId
  • messageTransforms.schemaEncoding.lastRevisionId
  • messageTransforms.schemaEncoding.schema
Paginação e filtragem
  • filter
  • pageToken
Forçar configuração
  • cloudStorageConfig.filenamePrefix
  • pubsubliteExportConfig.topic
  • pushConfig.attributes.key
  • pushConfig.attributes.value
  • pushConfig.oidcToken.audience
  • pushConfig.pushEndpoint
Identificação de recursos
  • name
  • parent
  • project
  • schemaId
  • subscription
  • topic
Definição do esquema
  • schema.definition
  • schema.name
  • schema.tags.key
  • schema.tags.value
  • tags.key
  • tags.value
Definições do esquema
  • schemaSettings.firstRevisionId
  • schemaSettings.lastRevisionId
  • schemaSettings.schema
Configuração da subscrição
  • bigqueryConfig.table
  • cloudStorageConfig.bucket
  • cloudStorageConfig.filenameDatetimeFormat
  • cloudStorageConfig.filenameSuffix
  • deadLetterPolicy.deadLetterTopic
  • pubsubExportConfig.topic
Configuração de tópicos
  • kmsKeyName
  • labels.key
  • labels.value
  • revisionId
  • snapshot
  • updateMask.paths

Referências

O que se segue?