医疗保健与生命科学控件的限制
本页介绍了使用“医疗保健与生命科学控件”和“医疗保健与生命科学控件以及美国支持”控件软件包时的限制、局限和其他配置选项。
概览
借助“医疗保健与生命科学控件”和“医疗保健与生命科学控件以及美国支持”控制包,您可以运行符合《健康保险流通与责任法案》(HIPAA) 和健康信息信任联盟 (HITRUST) 要求的工作负载。
每款受支持的产品都符合以下要求:
- 已列在 Google Cloud的 HIPAA 业务伙伴协议 (BAA) 页面上
- 已列在 Google Cloud的 HITRUST 通用安全框架 (CSF) 页面上
- 支持 Cloud KMS 客户管理的加密密钥 (CMEK)
- 支持 VPC Service Controls
- 支持 Access Transparency 日志
- 支持访问权限审批请求
- 支持仅限美国境内的静态数据驻留
允许使用其他服务
每个医疗保健与生命科学控件控制包都包含受支持服务的默认配置,该配置由在 Assured Workloads 文件夹中设置的限制服务使用 (gcp.restrictServiceUsage) 组织政策约束条件强制执行。不过,如果您的工作负载需要其他服务,您可以修改此限制条件的值以包含这些服务。如需了解详情,请参阅限制工作负载的资源使用量。
您选择添加到许可名单中的任何其他服务都必须在 Google Cloud的 HIPAA BAA 页面或 Google Cloud的 HITRUST CSF 页面上列出。
当您通过修改 gcp.restrictServiceUsage 约束条件添加其他服务时,Assured Workloads Monitoring 会报告违规问题。如需移除这些违规问题,并防止日后针对添加到许可名单的服务收到通知,您必须为每项违规问题授予例外情况。
以下部分介绍了将服务添加到许可名单时的其他注意事项。
客户管理的加密密钥 (CMEK)
在将服务添加到许可名单之前,请参阅 Cloud KMS 文档中的兼容服务页面,验证该服务是否支持 CMEK。如果您想允许不支持 CMEK 的服务,则可以选择接受相关风险,如Assured Workloads 中的共同责任中所述。
如果您想在使用 CMEK 时强制执行更严格的安全状态,请参阅 Cloud KMS 文档中的查看密钥使用情况页面。
数据驻留
在将服务添加到许可名单之前,请先验证该服务是否已列在Google Cloud 具有数据驻留地的服务页面上。如果您想允许不支持数据驻留的服务,则可以选择接受相关风险,如Assured Workloads 中的共同责任中所述。
VPC Service Controls
在将服务添加到许可名单之前,请参阅 VPC Service Controls 文档中的支持的产品和限制页面,验证该服务是否受 VPC Service Controls 支持。如果您想允许不支持 VPC Service Controls 的服务,可以选择接受Assured Workloads 中的共同责任中所述的关联风险。
Access Transparency 和 Access Approval
在将服务添加到许可名单之前,请查看以下页面,验证该服务是否可以写入 Access Transparency 日志并支持 Access Approval 请求:
如果您想允许不写入 Access Transparency 日志且不支持访问权限审批请求的服务,则可以选择接受“可确保的工作负载”中的共同责任中所述的相关风险。
支持的产品和服务
医疗保健与生命科学控件和医疗保健与生命科学控件以及美国支持控件软件包支持以下产品:
| 支持的产品 | 全球 API 端点 | 限制 |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
无 |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
无 |
| Binary Authorization |
binaryauthorization.googleapis.com |
无 |
| Certificate Authority Service |
privateca.googleapis.com |
无 |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
无 |
| Cloud Build |
cloudbuild.googleapis.com |
无 |
| Cloud Composer |
composer.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
无 |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Identity and Access Management (IAM) |
iam.googleapis.com |
无 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
无 |
| Cloud Logging |
logging.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
无 |
| Cloud Router |
networkconnectivity.googleapis.com |
无 |
| Cloud Run |
run.googleapis.com |
无 |
| Spanner |
spanner.googleapis.com |
受影响的功能以及组织政策限制 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud Vision API |
vision.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
无 |
| Compute Engine |
compute.googleapis.com |
组织政策限制条件 |
| 对话分析洞见 |
contactcenterinsights.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
无 |
| Memorystore for Redis |
redis.googleapis.com |
无 |
| Persistent Disk |
compute.googleapis.com |
无 |
| Secret Manager |
secretmanager.googleapis.com |
无 |
| 敏感数据保护 |
dlp.googleapis.com |
无 |
| Speech-to-Text |
speech.googleapis.com |
无 |
| Text-to-Speech |
texttospeech.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
限制和局限
以下部分介绍了 Google Cloud各项功能的平台级或产品级限制,包括默认在“医疗保健和生命科学控制”文件夹中设置的所有组织政策限制。
Google Cloud级组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
将其设置为 allowedValues 列表中的以下位置:
|
gcp.restrictServiceUsage |
设置为允许所有受支持的服务。 确定可以启用和使用哪些服务。如需了解详情,请参阅限制工作负载的资源使用量。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
Compute Engine
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建 Google Cloud Armor 安全政策。 |
Spanner
受影响的 Spanner 功能
| 功能 | 说明 |
|---|---|
| 分块边界 | Spanner 使用一小部分主键和编入索引的列来定义分块边界,其中可能包含客户数据和元数据。Spanner 中的分块边界表示连续行范围被拆分为较小部分的位置。 Google 人员可以出于技术支持和调试目的访问这些分屏边界,并且不受“医疗保健和生命科学”控制措施中的管理员访问权限数据控制的约束。 |
Spanner 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
设置为 True。 对 Spanner 资源应用额外的数据主权和可支持性控制。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
设置为 True。 停用了创建多区域 Spanner 实例以强制执行数据驻留和数据主权的功能。 |