의료 및 생명과학 제어의 제한 및 한도

이 페이지에서는 의료 및 생명과학 제어와 미국 지원 제어가 포함된 의료 및 생명과학 제어 패키지를 사용할 때의 제한사항, 한계, 기타 구성 옵션을 설명합니다.

개요

의료 및 생명과학 제어와 미국 지원 제어가 포함된 의료 및 생명과학 제어 패키지를 사용하면 건강 보험 이동성 및 책임법(HIPAA)과 건강 전보 신뢰 연합(HITRUST)의 요구사항을 준수하는 워크로드를 실행할 수 있습니다.

지원 제품은 다음 요구사항을 충족합니다.

추가 서비스 허용

의료 및 생명과학 제어를 위한 각 제어 패키지에는 Assured Workloads 폴더에 설정된 서비스 사용 제한(gcp.restrictServiceUsage) 조직 정책 제약조건으로 적용되는 기본 지원 서비스 구성이 포함되어 있습니다. 그러나 워크로드에 필요하면 다른 서비스를 포함하도록 제약조건 값을 수정할 수 있습니다. 자세한 내용은 워크로드의 리소스 사용 제한을 참조하세요.

허용 목록에 추가하도록 선택하는 추가 서비스는 Google Cloud HIPAA BAA 페이지 또는 Google Cloud HITRUST CSF 페이지에 등록되어 있어야 합니다.

gcp.restrictServiceUsage 제약조건을 수정하여 추가 서비스를 추가할 때 Assured Workloads 모니터링은 규정 준수 위반을 보고합니다. 이러한 위반을 제거하고 허용 목록에 추가되는 서비스에 대한 이후 알림을 방지하려면 각 위반에 대해 예외를 부여해야 합니다.

허용 목록에 서비스를 추가할 때 추가로 고려할 사항은 다음 섹션에서 설명합니다.

고객 관리 암호화 키(CMEK)

허용 목록에 서비스를 추가하려면 먼저 Cloud KMS 문서에서 호환 서비스 페이지를 검토하여 CMEK를 지원하는지 확인합니다. CMEK를 지원하지 않는 서비스를 허용하려면 Assured Workloads의 공유 책임에 설명된 대로 관련 위험을 부담해야 합니다.

CMEK를 사용할 때 더 엄격한 보안 상황을 적용하려면 Cloud KMS 문서에서 키 사용 보기 페이지를 참조하세요.

데이터 상주

허용 목록에 서비스를 추가하기 전에 데이터 상주가 제공되는 Google Cloud 서비스 페이지에 등록되어 있는지 확인합니다. 데이터 상주를 지원하지 않는 서비스를 허용하려면 Assured Workloads의 공유 책임에 설명된 대로 관련 위험을 부담해야 합니다.

VPC 서비스 제어

허용 목록에 서비스를 추가하기 전에 VPC 서비스 제어 문서에서 지원 제품 및 제한사항 페이지를 검토하여 VPC 서비스 제어에서 지원되는지 확인합니다. VPC 서비스 제어를 지원하지 않는 서비스를 허용하려면 Assured Workloads의 공유 책임에 설명된 대로 관련 위험을 부담해야 합니다.

액세스 투명성 및 액세스 승인

허용 목록에 서비스를 추가하기 전에 다음 페이지를 검토하여 액세스 투명성 로그를 기록할 수 있고 액세스 승인 요청을 지원하는지 확인합니다.

액세스 투명성 로그를 기록하지 않고 액세스 승인 요청을 지원하지 않는 서비스를 허용하려면 Assured Workloads의 공유 책임에 설명된 대로 관련 위험을 부담해야 합니다.

지원 제품 및 서비스

의료 및 생명과학 제어와 미국 지원 제어가 포함된 의료 및 생명과학 제어 패키지에서 지원되는 제품은 다음과 같습니다.

지원되는 제품 전역 API 엔드포인트 제한 또는 한도
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
networksecurity.googleapis.com
networkservices.googleapis.com
없음
Artifact Registry artifactregistry.googleapis.com
없음
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
없음
BigQuery Data Transfer Service bigquerydatatransfer.googleapis.com
없음
Binary Authorization binaryauthorization.googleapis.com
없음
Certificate Authority Service privateca.googleapis.com
없음
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
없음
Cloud Build cloudbuild.googleapis.com
없음
Cloud Composer composer.googleapis.com
없음
Cloud Data Fusion datafusion.googleapis.com
없음
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
없음
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
없음
Cloud Data Fusion datafusion.googleapis.com
없음
Identity and Access Management(IAM) iam.googleapis.com
없음
Cloud Key Management Service(Cloud KMS) cloudkms.googleapis.com
없음
Cloud Logging logging.googleapis.com
없음
Pub/Sub pubsub.googleapis.com
없음
Cloud Router networkconnectivity.googleapis.com
없음
Cloud Run run.googleapis.com
없음
Spanner spanner.googleapis.com
영향을 받는 기능조직 정책 제약조건
Cloud SQL sqladmin.googleapis.com
없음
Cloud Storage storage.googleapis.com
없음
Cloud Tasks cloudtasks.googleapis.com
없음
Cloud Vision API vision.googleapis.com
없음
Cloud VPN compute.googleapis.com
없음
Compute Engine compute.googleapis.com
조직 정책 제약조건
대화형 인사이트 contactcenterinsights.googleapis.com
없음
Eventarc eventarc.googleapis.com
없음
Filestore file.googleapis.com
없음
Google Kubernetes Engine container.googleapis.com
containersecurity.googleapis.com
없음
Redis용 Memorystore redis.googleapis.com
없음
Persistent Disk compute.googleapis.com
없음
Secret Manager secretmanager.googleapis.com
없음
Sensitive Data Protection dlp.googleapis.com
없음
Speech-to-Text speech.googleapis.com
없음
Text-to-Speech texttospeech.googleapis.com
없음
Virtual Private Cloud(VPC) compute.googleapis.com
없음
VPC 서비스 제어 accesscontextmanager.googleapis.com
없음

제한 및 한도

다음 섹션에서는 의료 및 생명과학 제어 폴더에 기본적으로 설정된 모든 조직 정책 제약조건을 포함하여 Google Cloud 전체 또는 제품 특정의 기능 제한 또는 한도에 대해 설명합니다.

Google Cloud 전체 조직 정책 제약조건

다음 조직 정책 제약조건은 적용 가능한 모든 Google Cloud 서비스에 적용됩니다.

조직 정책 제약조건 설명
gcp.resourceLocations allowedValues 목록의 다음 위치로 설정합니다.
  • us-locations
  • us-central1
  • us-central2
  • us-west1
  • us-west2
  • us-west3
  • us-west4
  • us-east1
  • us-east4
  • us-east5
  • us-south1
이 값은 새 리소스 생성을 선택한 값 그룹으로만 제한합니다. 설정하면 선택 위치 외부의 다른 리전, 멀티 리전 또는 위치에 리소스를 만들 수 없습니다. 자세한 내용은 조직 정책 값 그룹 문서를 참조하세요.
gcp.restrictServiceUsage 모든 지원되는 서비스를 허용하도록 설정합니다.

사용 설정할 수 있고 사용할 수 있는 서비스를 결정합니다. 자세한 내용은 워크로드의 리소스 사용 제한을 참조하세요.
gcp.restrictTLSVersion 다음 TLS 버전을 거부하도록 설정합니다.
  • TLS_VERSION_1
  • TLS_VERSION_1_1
자세한 내용은 TLS 버전 제한을 참조하세요.

Compute Engine

Compute Engine 조직 정책 제약조건

조직 정책 제약조건 설명
compute.disableGlobalCloudArmorPolicy True로 설정합니다.

Google Cloud Armor 보안 정책 만들기를 사용 중지합니다.

Spanner

영향을 받는 Spanner 기능

기능 설명
분할 경계 Spanner는 기본 키와 색인이 생성된 열의 소규모 하위 집합을 사용하여 고객 데이터와 메타데이터를 포함할 수 있는 분할 경계를 정의합니다. Spanner의 분할 경계는 연속적인 행 범위가 더 작은 조각으로 분할되는 위치를 나타냅니다.

이러한 분할 경계는 기술 지원 및 디버깅 목적으로 Google 직원이 액세스할 수 있으며, 의료 및 생명과학 제어에 있는 관리 액세스 데이터 제어가 적용되지 않습니다.

Spanner 조직 정책 제약조건

조직 정책 제약조건 설명
spanner.assuredWorkloadsAdvancedServiceControls True로 설정합니다.

추가 데이터 주권 및 지원 제어를 Spanner 리소스에 적용합니다.
spanner.disableMultiRegionInstanceIfNoLocationSelected True로 설정합니다.

데이터 상주 및 데이터 주권을 적용하기 위해 멀티 리전 Spanner 인스턴스를 만드는 기능을 사용 중지합니다.

다음 단계