Einschränkungen im Bereich Gesundheit und Leben Naturwissenschaften
Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie die Kontrollpakete „Kontrollen für Gesundheitswesen und Biowissenschaften“ und „Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support“ verwenden.
Übersicht
Einstellungen für Gesundheitswesen und Biowissenschaften sowie Gesundheitswesen und Biowissenschaften Mit Steuerelementen mit Kontrollpaketen für den US-Support können Sie Arbeitslasten ausführen, Einhaltung der Anforderungen an die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen US-Gesetz (HIPAA) und der Health Information Trust Alliance (HITRUST).
Jedes unterstützte Produkt erfüllt die folgenden Anforderungen:
- Auf der Seite mit der HIPAA-Geschäftspartner-Vereinbarung (BAA) von Google Cloud aufgeführt
- Gelistet am Google Cloud-Seite zum HITRUST Common Security Framework (CSF)
- Wird unterstützt Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS
- Unterstützt VPC Service Controls
- Unterstützt Access Transparency-Logs
- Unterstützt Anfragen für die Zugriffsgenehmigung
- Unterstützt ruhende Daten, die auf Standorte in den USA beschränkt sind
Zusätzliche Dienste zulassen
Jedes Kontrollpaket für die Kontrollen für Gesundheitswesen und Biowissenschaften enthält eine Standardkonfiguration der unterstützten Dienste, die durch eine Einschränkung der Organisationsrichtlinie Dienstnutzung einschränken (gcp.restrictServiceUsage) erzwungen wird, die für den Ordner „Assured Workloads“ festgelegt ist. Sie können den Wert dieser Einschränkung jedoch so ändern, dass auch andere Dienste berücksichtigt werden, falls dies für Ihre Arbeitslast erforderlich ist. Weitere Informationen finden Sie unter
Ressourcennutzung für Arbeitslasten einschränken
.
Alle zusätzlichen Dienste, die Sie der Zulassungsliste hinzufügen, müssen in HIPAA-BAA von Google Cloud oder aufgeführt sein auf Google Cloud-Seite HITRUST CSF.
Wenn Sie zusätzliche Dienste durch Ändern der gcp.restrictServiceUsage hinzufügen
Einschränkung meldet das Assured Workloads-Monitoring
Verstöße. Um diese Verstöße zu entfernen und zukünftige Benachrichtigungen für
auf die Zulassungsliste gesetzt haben, müssen Sie
Gewähren Sie eine Ausnahme für jede
verstoßen.
Weitere Überlegungen zum Hinzufügen eines Dienstes zur Zulassungsliste werden in den folgenden Abschnitten beschrieben.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Bevor Sie einen Dienst zur Zulassungsliste hinzufügen, prüfen Sie, ob er CMEK unterstützt. Sehen Sie dazu in der Cloud KMS-Dokumentation auf der Seite Kompatible Dienste nach. Wenn Sie einen Dienst zulassen möchten, unterstützen, können Sie die damit verbundenen Risiken akzeptieren, wie in den Geteilte Verantwortung in Assured Workloads.
Informationen zum Erzwingen eines strengeren Sicherheitsstatus bei Verwendung eines CMEK finden Sie in den Seite Schlüsselverwendung in Cloud KMS aufrufen Dokumentation.
Datenstandort
Bevor Sie einen Dienst der Zulassungsliste hinzufügen, prüfen Sie, ob er auf der Seite Google Cloud-Dienste mit Datenstandort aufgeführt ist. Wenn Sie einen Dienst zulassen möchten, der den Datenstandort nicht unterstützt, die damit verbundenen Risiken wie in den Geteilte Verantwortung in Assured Workloads.
VPC Service Controls
Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie, ob er von VPC Service Controls überprüfen, indem Sie die Unterstützte Produkte und Einschränkungen in der Dokumentation zu VPC Service Controls. Wenn Sie einen Dienst zulassen möchten, VPC Service Controls nicht unterstützt, müssen Sie die zugehörigen Risiken, wie in den Geteilte Verantwortung in Assured Workloads.
Access Transparency und Zugriffsgenehmigung
Bevor Sie einen Dienst zur Zulassungsliste hinzufügen, prüfen Sie, ob er Access Transparency-Logs schreiben und Access Approval-Anfragen unterstützen kann. Weitere Informationen finden Sie auf den folgenden Seiten:
Wenn Sie einen Dienst zulassen möchten, der keine Access Transparency-Logs schreibt Anfragen für die Zugriffsgenehmigung nicht unterstützt, können Sie diese selbst akzeptieren. Risiken, wie in den Geteilte Verantwortung in Assured Workloads.
Unterstützte Produkte und Dienste
Die folgenden Produkte werden in den Kontrollpaketen „Kontrollen für Gesundheitswesen und Biowissenschaften“ und „Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support“ unterstützt:
| Unterstütztes Produkt | Globale API-Endpunkte | Einschränkungen |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Keine |
| Artifact Registry |
artifactregistry.googleapis.com |
Keine |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Keine |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Keine |
| Binärautorisierung |
binaryauthorization.googleapis.com |
Keine |
| Certificate Authority Service |
privateca.googleapis.com |
Keine |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Keine |
| Cloud Build |
cloudbuild.googleapis.com |
Keine |
| Cloud Composer |
composer.googleapis.com |
Keine |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Keine |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Keine |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Identitäts- und Zugriffsverwaltung |
iam.googleapis.com |
Keine |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Keine |
| Cloud Logging |
logging.googleapis.com |
Keine |
| Pub/Sub |
pubsub.googleapis.com |
Keine |
| Cloud Router |
networkconnectivity.googleapis.com |
Keine |
| Cloud Run |
run.googleapis.com |
Keine |
| Spanner |
spanner.googleapis.com |
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Cloud SQL |
sqladmin.googleapis.com |
Keine |
| Cloud Storage |
storage.googleapis.com |
Keine |
| Cloud Tasks |
cloudtasks.googleapis.com |
Keine |
| Cloud Vision API |
vision.googleapis.com |
Keine |
| Cloud VPN |
compute.googleapis.com |
Keine |
| Compute Engine |
compute.googleapis.com |
Einschränkungen für Organisationsrichtlinien |
| Statistiken zur Unterhaltung |
contactcenterinsights.googleapis.com |
Keine |
| Eventarc |
eventarc.googleapis.com |
Keine |
| Filestore |
file.googleapis.com |
Keine |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Keine |
| Memorystore for Redis |
redis.googleapis.com |
Keine |
| Persistent Disk |
compute.googleapis.com |
Keine |
| Secret Manager |
secretmanager.googleapis.com |
Keine |
| Sensitive Data Protection |
dlp.googleapis.com |
Keine |
| Speech-to-Text |
speech.googleapis.com |
Keine |
| Text-to-Speech |
texttospeech.googleapis.com |
Keine |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Keine |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Keine |
Limits und Einschränkungen
In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit Steuerelementen für die Gesundheits- und Biotechnologie festgelegt sind.
Einschränkungen für Google Cloud-Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie in der Liste allowedValues die folgenden Standorte fest:
|
gcp.restrictServiceUsage |
Alle unterstützten Dienste zulassen. Bestimmt, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken. |
gcp.restrictTLSVersion |
Die folgenden TLS-Versionen werden abgelehnt: <ph type="x-smartling-placeholder">
|
Compute Engine
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Auf True festlegen. Deaktiviert das Erstellen von Google Cloud Armor-Sicherheitsrichtlinien. |
Spanner
Betroffene Spanner-Funktionen
| Funktion | Beschreibung |
|---|---|
| Split-Grenzen | Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Teilungsgrenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile aufgeteilt werden. Auf diese Grenzwerte können Google-Mitarbeiter zu technischen Support- und Debugging-Zwecken zugreifen. Sie unterliegen nicht den Datenkontrollen für den administrativen Zugriff in den Kontrollen für das Gesundheitswesen und die Biowissenschaften. |
Einschränkungen für Spanner-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Auf True festlegen. Wendet zusätzliche Kontrollen für die Datenhoheit und Supportfähigkeit an auf Spanner-Ressourcen. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Auf True festlegen. Deaktiviert die Möglichkeit zum Erstellen multiregionaler Spanner-Instanzen um Datenstandort und Datenhoheit durchzusetzen. |
Nächste Schritte
- Informationen zu den Kontrollpaketen für Assured Workloads.
- Weitere Informationen zu unterstützten Produkten für jedes Kontrollpaket.