Restricciones y limitaciones de los controles de salud y ciencias biológicas
En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando se usan los Controles de salud y ciencias biológicas, Controles de Life Sciences con paquetes de control de asistencia de EE.UU.
Descripción general
Los controles de salud y ciencias biológicas y salud y ciencias biológicas Los controles con paquetes de asistencia de EE.UU. te permiten ejecutar cargas de trabajo que tienen las siguientes características: Cumple con los requisitos de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y Health Information Trust Alliance (HITRUST).
Cada producto compatible cumple con los siguientes requisitos:
- Aparece en la página del Acuerdo entre Socios Comerciales (BAA) de HIPAA de Google Cloud
- Aparece en la página del Marco de trabajo de seguridad común (CSF) de HITRUST de Google Cloud
- Admite claves de encriptación administradas por el cliente (CMEK) de Cloud KMS
- Admite los Controles del servicio de VPC.
- Admite los registros de Transparencia de acceso.
- Admite solicitudes de aprobación de acceso
- Admite la residencia de datos en reposo restringida a ubicaciones de EE.UU.
Cómo permitir servicios adicionales
Cada paquete de controles de Salud y ciencias biológicas incluye una configuración predeterminada de los servicios admitidos, que se aplica mediante una restricción de la política de la organización Restrict Service Usage (gcp.restrictServiceUsage) establecida en tu carpeta Assured Workloads. Sin embargo, puedes modificar la configuración
para incluir otros servicios si tu carga de trabajo los requiere. Consulta Restringe el uso de recursos para cargas de trabajo para obtener más información.
Cualquier servicio adicional que elijas agregar a la lista de entidades permitidas debe aparecer en la página del BAA de HIPAA de Google Cloud o en la página de HITRUST CSF de Google Cloud.
Cuando agregas servicios adicionales mediante la modificación del gcp.restrictServiceUsage
restricción, la supervisión de Assured Workloads informará el cumplimiento
incumplimientos. Para quitar estos incumplimientos y evitar notificaciones futuras para los servicios agregados a la lista de entidades permitidas, debes otorgar una excepción para cada incumplimiento.
Se describen las consideraciones adicionales para agregar un servicio a la lista de entidades permitidas en las siguientes secciones.
Claves de encriptación administradas por el cliente (CMEK)
Antes de agregar un servicio a la lista de entidades permitidas, verifica que admita CMEK. Para ello, consulta la página Servicios compatibles en la documentación de Cloud KMS. Si quieres permitir un servicio que no admiten CMEK, es tu decisión aceptar los riesgos asociados como se describe en Responsabilidad compartida en Assured Workloads.
Si deseas aplicar una postura de seguridad más estricta cuando uses CMEK, consulta la página Ver el uso de claves en la documentación de Cloud KMS.
Residencia de los datos
Antes de agregar un servicio a la lista, verifica que aparezca en la Página de Servicios de Google Cloud con residencia de datos. Si quieres permitir un servicio que no admite la residencia de datos, es tu opción para aceptar los riesgos asociados tal y como se describe en Responsabilidad compartida en Assured Workloads.
Controles del servicio de VPC
Antes de agregar un servicio a la lista de entidades permitidas, verifica que sea compatible con en los Controles del servicio de VPC Productos admitidos y limitaciones de la documentación de los Controles del servicio de VPC. Si quieres permitir un servicio que no es compatible con los Controles del servicio de VPC, debes aceptar los riesgos, como se describe en Responsabilidad compartida en Assured Workloads.
Transparencia de acceso y Aprobación de acceso
Antes de agregar un servicio a la lista de entidades permitidas, verifica que pueda escribir la Transparencia de acceso y admite solicitudes de Aprobación de acceso revisando lo siguiente páginas:
- Servicios compatibles con la Transparencia de acceso
- Servicios compatibles con la aprobación de acceso
Si quieres permitir que un servicio que no escriba registros de Transparencia de acceso y no admite las solicitudes de Aprobación de acceso, puedes aceptarlas los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.
Productos y servicios compatibles
Los siguientes productos se admiten en el Centro de salud y ciencias biológicas Controles y controles de salud y ciencias biológicas con el control de asistencia de EE.UU. paquetes:
| Producto admitido | Extremos de API globales | Restricciones o limitaciones |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Ninguno |
| Artifact Registry |
artifactregistry.googleapis.com |
Ninguno |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Ninguno |
| Servicio de transferencia de datos de BigQuery |
bigquerydatatransfer.googleapis.com |
Ninguno |
| Autorización binaria |
binaryauthorization.googleapis.com |
Ninguno |
| Certificate Authority Service |
privateca.googleapis.com |
Ninguno |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Ninguno |
| Cloud Build |
cloudbuild.googleapis.com |
Ninguno |
| Cloud Composer |
composer.googleapis.com |
Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Ninguno |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Administración de identidades y accesos (IAM) |
iam.googleapis.com |
Ninguno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Ninguno |
| Cloud Logging |
logging.googleapis.com |
Ninguno |
| Pub/Sub |
pubsub.googleapis.com |
Ninguno |
| Cloud Router |
networkconnectivity.googleapis.com |
Ninguno |
| Cloud Run |
run.googleapis.com |
Ninguno |
| Spanner |
spanner.googleapis.com |
Funciones afectadas y restricciones de las políticas de la organización |
| Cloud SQL |
sqladmin.googleapis.com |
Ninguno |
| Cloud Storage |
storage.googleapis.com |
Ninguno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Ninguno |
| API de Cloud Vision |
vision.googleapis.com |
Ninguno |
| Cloud VPN |
compute.googleapis.com |
Ninguno |
| Compute Engine |
compute.googleapis.com |
Restricciones de las políticas de la organización |
| Estadísticas de conversaciones |
contactcenterinsights.googleapis.com |
Ninguno |
| Eventarc |
eventarc.googleapis.com |
Ninguno |
| Filestore |
file.googleapis.com |
Ninguno |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Ninguno |
| Memorystore para Redis |
redis.googleapis.com |
Ninguno |
| Persistent Disk |
compute.googleapis.com |
Ninguno |
| Secret Manager |
secretmanager.googleapis.com |
Ninguno |
| Sensitive Data Protection |
dlp.googleapis.com |
Ninguno |
| Speech-to-Text |
speech.googleapis.com |
Ninguno |
| Text-to-Speech |
texttospeech.googleapis.com |
Ninguno |
| Nube privada virtual (VPC) |
compute.googleapis.com |
Ninguno |
| Controles del servicio de VPC |
accesscontextmanager.googleapis.com |
Ninguno |
Restricciones y limitaciones
En las siguientes secciones, se describen las restricciones o limitaciones de las funciones de Google Cloud o específicas del producto, incluidas las restricciones de las políticas de la organización que se establecen de forma predeterminada en las carpetas de controles de atención médica y ciencias de la vida.
Restricciones de las políticas de la organización en toda la organización de Google Cloud
Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.
| Restricción de las políticas de la organización | Descripción |
|---|---|
gcp.resourceLocations |
Establece las siguientes ubicaciones en la lista allowedValues:
|
gcp.restrictServiceUsage |
Configúralo para permitir todos los servicios compatibles. Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Cómo restringir el uso de recursos para las cargas de trabajo. |
gcp.restrictTLSVersion |
Se establece para denegar las siguientes versiones de TLS:
|
Compute Engine
Restricciones de las políticas de la organización de Compute Engine
| Restricción de las políticas de la organización | Descripción |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Configurado como True. Inhabilita la creación de políticas de seguridad de Google Cloud Armor. |
Spanner
Funciones de Spanner afectadas
| Atributo | Descripción |
|---|---|
| Límites de división | Spanner usa un pequeño subconjunto de claves primarias y columnas indexadas para definir límites de división, que pueden incluir datos y metadatos de los clientes. Un límite de división en
Spanner denota la ubicación donde los rangos contiguos de filas
se dividen en partes más pequeñas. El personal de Google puede acceder a estos límites de división con fines de asistencia técnica y debugging, y no están sujetos a los controles de datos de acceso administrativo en los controles de atención médica y ciencias biológicas. |
Restricciones de la política de la organización de Spanner
| Restricción de las políticas de la organización | Descripción |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Configurado como True. Aplica controles adicionales de soberanía de los datos y compatibilidad a los recursos de Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Configurado como True. Inhabilita la capacidad de crear instancias de Spanner multirregionales para garantizar la residencia y la soberanía de los datos. |
¿Qué sigue?
- Comprende los paquetes de control para Assured Workloads.
- Consulta qué productos son compatibles para cada paquete de control.