ヘルスケアとライフサイエンスのコントロールに関する制限事項
このページでは、ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージを使用する際の制限、制限事項、その他の構成オプションについて説明します。
概要
ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージを使用すると、医療保険の相互運用性と説明責任に関する法律(HIPAA)と Health Information Trust Alliance(HITRUST)の要件に準拠したワークロードを実行できます。
サポートされているプロダクトはそれぞれ、次の要件を満たしています。
- Google Cloud の HIPAA 業務提携契約(BAA)ページに記載されている
- Google Cloud の HITRUST 共通セキュリティ フレームワーク(CSF)ページに記載されている
- Cloud KMS 顧客管理の暗号鍵(CMEK)のサポート
- VPC Service Controls をサポート
- アクセスの透明性ログのサポート
- アクセス承認リクエストのサポート
- 米国内に限定された保存データ所在地のサポート
追加サービスの許可
各ヘルスケアとライフサイエンスのコントロールのコントロール パッケージには、サポートされているサービスのデフォルト構成が含まれています。これは、Assured Workloads フォルダに設定されたサービスの使用を制限する(gcp.restrictServiceUsage
)組織のポリシー制約によって適用されます。ただし、ワークロードで必要な場合は、この制約の値を変更して他のサービスを含めることができます。詳細については、ワークロードのリソース使用量を制限するをご覧ください。
許可リストに追加する追加サービスはすべて、Google Cloud の HIPAA BAA ページまたは Google Cloud の HITRUST CSF ページで列挙されている必要があります。
gcp.restrictServiceUsage
制約を変更して追加サービスを追加すると、Assured Workloads モニタリングでコンプライアンス違反が報告されます。これらの違反を削除し、許可リストに登録されたサービスの今後の通知を防ぐには、違反ごとに例外を適用する必要があります。
サービスを許可リストに追加する際のその他の考慮事項については、次のセクションで説明します。
顧客管理の暗号鍵(CMEK)
サービスを許可リストに登録する前に、Cloud KMS ドキュメントの互換性のあるサービスページを参照して、CMEK がサポートされていることを確認します。CMEK をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
CMEK の使用時に厳格なセキュリティ対策を適用する場合は、Cloud KMS のドキュメントの鍵の使用状況を表示するをご覧ください。
データ所在地
サービスを許可リストに追加する前に、データ所在地がある Google Cloud サービスページにサービスが記載されていることを確認します。データ所在地をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
VPC Service Controls
サービスを許可リストに追加する前に、VPC Service Controls のドキュメントのサポートされているプロダクトと制限事項ページを参照して、VPC Service Controls でサポートされていることを確認してください。VPC Service Controls をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
アクセスの透明性とアクセスの承認
サービスを許可リストに追加する前に、次のページを確認して、そのサービスがアクセスの透明性ログを書き込み、アクセス承認リクエストをサポートできることを確認します。
アクセスの透明性ログを書き込まず、アクセス承認リクエストをサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れます。
サポートされているプロダクトとサービス
次のプロダクトは、ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージでサポートされています。
サポートされているサービス | グローバル API エンドポイント | 制限事項 |
---|---|---|
Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
なし |
Artifact Registry |
artifactregistry.googleapis.com |
なし |
BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
なし |
BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
なし |
Binary Authorization |
binaryauthorization.googleapis.com |
なし |
Certificate Authority Service |
privateca.googleapis.com |
なし |
Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
なし |
Cloud Build |
cloudbuild.googleapis.com |
なし |
Cloud Composer |
composer.googleapis.com |
なし |
Cloud Data Fusion |
datafusion.googleapis.com |
なし |
Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
なし |
Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
なし |
Cloud Data Fusion |
datafusion.googleapis.com |
なし |
Identity and Access Management(IAM) |
iam.googleapis.com |
なし |
Cloud Key Management Service(Cloud KMS) |
cloudkms.googleapis.com |
なし |
Cloud Logging |
logging.googleapis.com |
なし |
Pub/Sub |
pubsub.googleapis.com |
なし |
Cloud Router |
networkconnectivity.googleapis.com |
なし |
Cloud Run |
run.googleapis.com |
なし |
Spanner |
spanner.googleapis.com |
影響を受ける機能と組織のポリシーの制約 |
Cloud SQL |
sqladmin.googleapis.com |
なし |
Cloud Storage |
storage.googleapis.com |
なし |
Cloud Tasks |
cloudtasks.googleapis.com |
なし |
Cloud Vision API |
vision.googleapis.com |
なし |
Cloud VPN |
compute.googleapis.com |
なし |
Compute Engine |
compute.googleapis.com |
組織ポリシーの制約 |
会話型分析情報 |
contactcenterinsights.googleapis.com |
なし |
Eventarc |
eventarc.googleapis.com |
なし |
Filestore |
file.googleapis.com |
なし |
Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
なし |
Memorystore for Redis |
redis.googleapis.com |
なし |
Persistent Disk |
compute.googleapis.com |
なし |
Secret Manager |
secretmanager.googleapis.com |
なし |
Sensitive Data Protection |
dlp.googleapis.com |
なし |
Speech-to-Text |
speech.googleapis.com |
なし |
Text-to-Speech |
texttospeech.googleapis.com |
なし |
Virtual Private Cloud(VPC) |
compute.googleapis.com |
なし |
VPC Service Controls |
accesscontextmanager.googleapis.com |
なし |
制限事項
以下のセクションでは、Google Cloud 全体またはプロダクト固有の制限、または機能の制限について説明します。これには、ヘルスケアとライフサイエンスのコントロールのフォルダにデフォルトで設定されている組織ポリシーの制約も含まれます。
Google Cloud 全体の組織のポリシーの制約
次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。
組織のポリシーの制約 | 説明 |
---|---|
gcp.resourceLocations |
allowedValues リストで次のロケーションに設定します。
|
gcp.restrictServiceUsage |
すべてのサポートされているサービスを許可するように設定します。 有効にして使用できるサービスを決定します。詳細については、ワークロードのリソース使用量を制限するをご覧ください。 |
gcp.restrictTLSVersion |
次の TLS バージョンを拒否するように設定します。
|
Compute Engine
Compute Engine 組織のポリシーの制約
組織のポリシーの制約 | 説明 |
---|---|
compute.disableGlobalCloudArmorPolicy |
True に設定します。 Google Cloud Armor セキュリティ ポリシーの作成を無効にします。 |
Spanner
影響を受ける Spanner の機能
機能 | 説明 |
---|---|
スプリットの境界 | Spanner は、主キーとインデックス付き列の小さなサブセットを使用して、顧客データとメタデータを含むスプリットの境界を定義します。Spanner のスプリットの境界は、連続する範囲の行が小さな部分に分割される場所を示します。 これらのスプリットの境界は、Google の担当者がテクニカル サポートとデバッグ目的でアクセスできますが、ヘルスケアとライフサイエンスのコントロールにおける管理者権限データ管理の対象ではありません。 |
Spanner 組織のポリシーの制約
組織のポリシーの制約 | 説明 |
---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
True に設定します。 Spanner リソースに追加のデータ主権とサポート性の制御を適用します。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
True に設定します。 マルチリージョン Spanner インスタンスを作成してデータ所在地とデータ主権を適用する機能を無効にします。 |
次のステップ
- Assured Workloads のコントロール パッケージについて理解する。
- 各コントロール パッケージでサポートされているプロダクトを確認する。