Suporte regulatório no Pub/Sub

Este documento descreve os recursos, as configurações e as APIs do Pub/Sub que se alinham aos controles dos pacotes de controle compatíveis. Neste documento, presumimos que você esteja usando o Assured Workloads.

Limite de dados para FedRAMP de nível alto

Serviços compatíveis

A tabela a seguir lista as APIs e versões do Pub/Sub que atendem aos requisitos do limite de dados para FedRAMP de nível alto.

Serviço Versão Status
pubsub.googleapis.com v1 COMPATÍVEL

Regiões com suporte para compliance

O Pub/Sub está disponível para o limite de dados para FedRAMP de nível alto nas seguintes regiões Google Cloud :

  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4

Ferramentas de gestão

A tabela a seguir descreve como as ferramentas de gerenciamento oferecem suporte ao limite de dados para FedRAMP de nível alto com o Pub/Sub.

Ferramenta Descrição
SDK do Google Cloud Use o SDK Google Cloud versão 403.0.0 ou posterior para garantir a regionalização dos dados técnicos do FedRAMP High. Para verificar sua versão atual do SDK Google Cloud, execute gcloud --version e, em seguida, gcloud components update para atualizar para a versão mais recente.
Controles do administrador Por padrão, as APIs não compatíveis são desativadas. No entanto, administradores com permissões suficientes podem ativar uma API não compatível. Quando as APIs não compatíveis são ativadas, você recebe uma notificação na página do Assured Workloads Monitoring.

Recursos afetados

A tabela a seguir descreve quais recursos são afetados pelo limite de dados para FedRAMP de nível alto:

Recurso Descrição
Transformações de mensagem única (SMTs) Esse recurso não é compatível com a conformidade com o FedRAMP High e não deve ser usado. Ela fica desativada por padrão nas pastas do Assured Workloads.

Configurações aplicáveis

A tabela a seguir descreve as restrições da política da organização e as configurações de produto que se aplicam ao limite de dados para FedRAMP de nível alto. Por padrão, elas são definidas pelo Assured Workloads. Se você mudar essas configurações, primeiro considere como essa mudança afeta seu status de compliance. Para instruções sobre como configurar políticas da organização, consulte Como criar e gerenciar políticas da organização.

Configuração Valor obrigatório
pubsub.managed.disableTopicMessageTransforms
  • True
pubsub.managed.disableSubscriptionMessageTransforms
  • True

Campos da API para dados sensíveis

Recurso: nenhum recurso

A tabela a seguir especifica os recursos e campos da API projetados para processar dados protegidos pelo limite de dados para FedRAMP de nível alto.

Método de API Campos protegidos

Serviço: pubsub.googleapis.com

API REST: POST /v1/{project=projects/*}:testMessageTransforms

Métodos RPC:

  • google.pubsub.v1.Transform.TestMessageTransforms
  • message.data
  • messageTransforms.messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.messageTransforms.javascriptUdf.code
  • messageTransforms.messageTransforms.javascriptUdf.functionName
  • messageTransforms.messageTransforms.jsonRedaction.fieldPaths

Serviço: pubsub.googleapis.com

API REST: POST /v1/{project=projects/*}:validateMessageTransform

Métodos RPC:

  • google.pubsub.v1.Transform.ValidateMessageTransform
  • messageTransform.aiInference.serviceAccountEmail
  • messageTransform.javascriptUdf.code
  • messageTransform.javascriptUdf.functionName
  • messageTransform.jsonRedaction.fieldPaths

Recurso: pubsub.googleapis.com/Subscription

A tabela a seguir especifica os recursos e campos da API projetados para processar dados protegidos pelo limite de dados para FedRAMP de nível alto.

Método de API Campos protegidos

Serviço: pubsub.googleapis.com

API REST: PATCH /v1/{subscription.name=projects/*/subscriptions/*}

Métodos RPC:

  • google.pubsub.v1.Subscriber.UpdateSubscription
  • subscription.bigqueryConfig.serviceAccountEmail
  • subscription.cloudStorageConfig.serviceAccountEmail
  • subscription.messageTransforms.aiInference.serviceAccountEmail
  • subscription.messageTransforms.javascriptUdf.code
  • subscription.messageTransforms.javascriptUdf.functionName
  • subscription.messageTransforms.jsonRedaction.fieldPaths
  • subscription.pubsubExportConfig.region
  • subscription.pubsubExportConfig.serviceAccountEmail
  • subscription.pubsubliteExportConfig.serviceAccountEmail
  • subscription.pushConfig.oidcToken.serviceAccountEmail

Serviço: pubsub.googleapis.com

API REST: POST /v1/{subscription=projects/*/subscriptions/*}:modifyPushConfig

Métodos RPC:

  • google.pubsub.v1.Subscriber.ModifyPushConfig
  • pushConfig.oidcToken.serviceAccountEmail

Serviço: pubsub.googleapis.com

API REST: PUT /v1/{name=projects/*/subscriptions/*}

Métodos RPC:

  • google.pubsub.v1.Subscriber.CreateSubscription
  • bigqueryConfig.serviceAccountEmail
  • cloudStorageConfig.serviceAccountEmail
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths
  • pubsubExportConfig.region
  • pubsubExportConfig.serviceAccountEmail
  • pubsubliteExportConfig.serviceAccountEmail
  • pushConfig.oidcToken.serviceAccountEmail

Recurso: pubsub.googleapis.com/Topic

A tabela a seguir especifica os recursos e campos da API projetados para processar dados protegidos pelo limite de dados para FedRAMP de nível alto.

Método de API Campos protegidos

Serviço: pubsub.googleapis.com

API REST: PATCH /v1/{topic.name=projects/*/topics/*}

Métodos RPC:

  • google.pubsub.v1.Publisher.UpdateTopic
  • topic.messageStoragePolicy.allowedPersistenceRegions
  • topic.messageTransforms.aiInference.serviceAccountEmail
  • topic.messageTransforms.javascriptUdf.code
  • topic.messageTransforms.javascriptUdf.functionName
  • topic.messageTransforms.jsonRedaction.fieldPaths

Serviço: pubsub.googleapis.com

API REST: POST /v1/{topic=projects/*/topics/*}:publish

Métodos RPC:

  • google.pubsub.v1.Publisher.Publish
  • messages.data

Serviço: pubsub.googleapis.com

API REST: PUT /v1/{name=projects/*/topics/*}

Métodos RPC:

  • google.pubsub.v1.Publisher.CreateTopic
  • messageStoragePolicy.allowedPersistenceRegions
  • messageTransforms.aiInference.serviceAccountEmail
  • messageTransforms.javascriptUdf.code
  • messageTransforms.javascriptUdf.functionName
  • messageTransforms.jsonRedaction.fieldPaths

Campos não destinados a dados sensíveis

A tabela a seguir lista as categorias e os campos específicos que não foram criados para informações sensíveis. Para manter a compliance, evite colocar dados protegidos nesses campos.

Categoria Campos
Origem da ingestão de dados
  • ingestionDataSourceSettings.awsKinesis.streamArn
  • ingestionDataSourceSettings.awsMsk.clusterArn
  • ingestionDataSourceSettings.awsMsk.gcpServiceAccount
  • ingestionDataSourceSettings.azureEventHubs.eventHub
  • ingestionDataSourceSettings.cloudStorage.bucket
  • ingestionDataSourceSettings.confluentCloud.bootstrapServer
Metadados das mensagens
  • ackIds
  • messages.attributes.key
  • messages.attributes.value
  • messages.messageId
  • messages.orderingKey
  • subscription
Transformação de mensagens
  • messageTransforms.aiInference.endpoint
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.key
  • messageTransforms.aiInference.unstructuredInference.parameters.fields.value.stringValue
  • messageTransforms.schemaEncoding.firstRevisionId
  • messageTransforms.schemaEncoding.lastRevisionId
  • messageTransforms.schemaEncoding.schema
Paginação e filtragem
  • filter
  • pageToken
Aplicar configuração
  • cloudStorageConfig.filenamePrefix
  • pubsubliteExportConfig.topic
  • pushConfig.attributes.key
  • pushConfig.attributes.value
  • pushConfig.oidcToken.audience
  • pushConfig.pushEndpoint
Identificação de recursos
  • name
  • parent
  • project
  • schemaId
  • subscription
  • topic
Definição do esquema
  • schema.definition
  • schema.name
  • schema.tags.key
  • schema.tags.value
  • tags.key
  • tags.value
Configurações do esquema
  • schemaSettings.firstRevisionId
  • schemaSettings.lastRevisionId
  • schemaSettings.schema
Configuração de assinatura
  • bigqueryConfig.table
  • cloudStorageConfig.bucket
  • cloudStorageConfig.filenameDatetimeFormat
  • cloudStorageConfig.filenameSuffix
  • deadLetterPolicy.deadLetterTopic
  • pubsubExportConfig.topic
Configuração de tópicos
  • kmsKeyName
  • labels.key
  • labels.value
  • revisionId
  • snapshot
  • updateMask.paths

Referências

A seguir