Halaman ini diterjemahkan oleh Cloud Translation API.

Batasan dan batasan untuk Kontrol Perawatan Kesehatan dan Ilmu Hayati

Halaman ini menjelaskan batasan, keterbatasan, dan opsi konfigurasi lainnya saat menggunakan paket kontrol Healthcare and Life Sciences Controls dan Healthcare and Life Sciences Controls with US Support.

Ringkasan

Paket kontrol Healthcare and Life Sciences Controls dan Healthcare and Life Sciences Controls with US Support memungkinkan Anda menjalankan workload yang mematuhi persyaratan Health Insurance Portability and Accountability Act (HIPAA) dan Health Information Trust Alliance (HITRUST).

Setiap produk yang didukung memenuhi persyaratan berikut:

Tercantum di halaman Perjanjian Asosiasi Bisnis (BAA) HIPAA Google Cloud
Tercantum di halaman Common Security Framework (CSF) HITRUST Google Cloud
Mendukung Kunci enkripsi yang dikelola pelanggan (CMEK) Cloud KMS
Mendukung Kontrol Layanan VPC
Mendukung log Transparansi Akses
Mendukung Permintaan Persetujuan Akses
Mendukung data residensi dalam penyimpanan yang dibatasi untuk lokasi di AS

Mengizinkan layanan tambahan

Setiap paket kontrol Healthcare and Life Sciences Controls menyertakan konfigurasi default layanan yang didukung, yang diterapkan oleh batasan kebijakan organisasi Restrict Service Usage (gcp.restrictServiceUsage) yang ditetapkan di folder Assured Workloads Anda. Namun, Anda dapat mengubah nilai batasan ini untuk menyertakan layanan lain jika workload Anda memerlukannya. Lihat Membatasi penggunaan resource untuk workload untuk mengetahui informasi selengkapnya.

Setiap layanan tambahan yang Anda pilih untuk ditambahkan ke daftar yang diizinkan harus tercantum di halaman BAA HIPAA Google Cloud atau tercantum di halaman HITRUST CSF Google Cloud.

Saat Anda menambahkan layanan tambahan dengan mengubah batasan gcp.restrictServiceUsage, pemantauan Assured Workloads akan melaporkan pelanggaran kepatuhan. Untuk menghapus pelanggaran ini dan mencegah notifikasi mendatang untuk layanan yang ditambahkan ke daftar yang diizinkan, Anda harus memberikan pengecualian untuk setiap pelanggaran.

Pertimbangan tambahan saat menambahkan layanan ke daftar yang diizinkan dijelaskan di bagian berikut.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Sebelum menambahkan layanan ke daftar yang diizinkan, pastikan layanan tersebut mendukung CMEK dengan meninjau halaman Layanan yang kompatibel di dokumentasi Cloud KMS. Jika Anda ingin mengizinkan layanan yang tidak mendukung CMEK, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Jika Anda ingin menerapkan postur keamanan yang lebih ketat saat menggunakan CMEK, lihat halaman Lihat penggunaan kunci dalam dokumentasi Cloud KMS.

Residensi data

Sebelum menambahkan layanan ke daftar yang diizinkan, pastikan layanan tersebut tercantum di halaman Layanan Google Cloud dengan Residensi Data. Jika Anda ingin mengizinkan layanan yang tidak mendukung retensi data, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama dalam Beban Kerja Terjamin.

Kontrol Layanan VPC

Sebelum menambahkan layanan ke daftar yang diizinkan, pastikan layanan tersebut didukung oleh Kontrol Layanan VPC dengan meninjau halaman Produk dan batasan yang didukung dalam dokumentasi Kontrol Layanan VPC. Jika Anda ingin mengizinkan layanan yang tidak mendukung Kontrol Layanan VPC, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Transparansi Akses dan Persetujuan Akses

Sebelum menambahkan layanan ke daftar yang diizinkan, pastikan layanan tersebut dapat menulis log Transparansi Akses dan mendukung permintaan Access Approval dengan meninjau halaman berikut:

Jika Anda ingin mengizinkan layanan yang tidak menulis log Transparansi Akses dan tidak mendukung permintaan Persetujuan Akses, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama dalam Workload Terjamin.

Produk dan layanan yang didukung

Produk berikut didukung dalam paket kontrol Healthcare and Life Sciences Controls dan Healthcare and Life Sciences Controls with US Support:

Produk yang didukung	Endpoint API global	Pembatasan atau batasan
Cloud Service Mesh	mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com	Tidak ada
Artifact Registry	artifactregistry.googleapis.com	Tidak ada
BigQuery	bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com	Tidak ada
BigQuery Data Transfer Service	bigquerydatatransfer.googleapis.com	Tidak ada
Otorisasi Biner	binaryauthorization.googleapis.com	Tidak ada
Certificate Authority Service	privateca.googleapis.com	Tidak ada
Bigtable	bigtable.googleapis.com bigtableadmin.googleapis.com	Tidak ada
Cloud Build	cloudbuild.googleapis.com	Tidak ada
Cloud Composer	composer.googleapis.com	Tidak ada
Cloud Data Fusion	datafusion.googleapis.com	Tidak ada
Dataflow	dataflow.googleapis.com datapipelines.googleapis.com	Tidak ada
Dataproc	dataproc-control.googleapis.com dataproc.googleapis.com	Tidak ada
Cloud Data Fusion	datafusion.googleapis.com	Tidak ada
Identity and Access Management (IAM)	iam.googleapis.com	Tidak ada
Cloud Key Management Service (Cloud KMS)	cloudkms.googleapis.com	Tidak ada
Cloud Logging	logging.googleapis.com	Tidak ada
Pub/Sub	pubsub.googleapis.com	Tidak ada
Cloud Router	networkconnectivity.googleapis.com	Tidak ada
Cloud Run	run.googleapis.com	Tidak ada
Spanner	spanner.googleapis.com	Fitur yang terpengaruh dan batasan kebijakan organisasi
Cloud SQL	sqladmin.googleapis.com	Tidak ada
Cloud Storage	storage.googleapis.com	Tidak ada
Cloud Tasks	cloudtasks.googleapis.com	Tidak ada
Cloud Vision API	vision.googleapis.com	Tidak ada
Cloud VPN	compute.googleapis.com	Tidak ada
Compute Engine	compute.googleapis.com	Batasan kebijakan organisasi
Insight Berbasis Percakapan	contactcenterinsights.googleapis.com	Tidak ada
Eventarc	eventarc.googleapis.com	Tidak ada
Filestore	file.googleapis.com	Tidak ada
Google Kubernetes Engine	container.googleapis.com containersecurity.googleapis.com	Tidak ada
Memorystore for Redis	redis.googleapis.com	Tidak ada
Persistent Disk	compute.googleapis.com	Tidak ada
Secret Manager	secretmanager.googleapis.com	Tidak ada
Sensitive Data Protection	dlp.googleapis.com	Tidak ada
Speech-to-Text	speech.googleapis.com	Tidak ada
Text-to-Speech	texttospeech.googleapis.com	Tidak ada
Virtual Private Cloud (VPC)	compute.googleapis.com	Tidak ada
Kontrol Layanan VPC	accesscontextmanager.googleapis.com	Tidak ada

Batas dan pembatasan

Bagian berikut menjelaskan batasan atau pembatasan khusus produk atau seluruh Google Cloud untuk fitur, termasuk batasan kebijakan organisasi yang ditetapkan secara default di folder Kontrol Healthcare dan Life Sciences.

Batasan kebijakan organisasi di seluruh Google Cloud

Batasan kebijakan organisasi berikut berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan kebijakan organisasi	Deskripsi
`gcp.resourceLocations`	Tetapkan ke lokasi berikut dalam daftar `allowedValues`: us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Nilai ini membatasi pembuatan resource baru hanya ke grup nilai yang dipilih. Jika ditetapkan, tidak ada resource yang dapat dibuat di region, multi-region, atau lokasi lain di luar pilihan. Lihat dokumentasi Grup nilai kebijakan organisasi untuk mengetahui informasi selengkapnya.
`gcp.restrictServiceUsage`	Tetapkan untuk mengizinkan semua layanan yang didukung. Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.
`gcp.restrictTLSVersion`	Tetapkan untuk menolak versi TLS berikut: TLS_VERSION_1 TLS_VERSION_1_1 Lihat halaman Membatasi versi TLS untuk mengetahui informasi selengkapnya.

Compute Engine

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
`compute.disableGlobalCloudArmorPolicy`	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor.

Spanner

Fitur Spanner yang terpengaruh

Fitur	Deskripsi
Memisahkan batas	Spanner menggunakan sebagian kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data pelanggan dan metadata. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil. Batasan pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, dan tidak tunduk pada kontrol data akses administratif di Kontrol Kesehatan dan Ilmu Kehidupan.

Fitur

Deskripsi

Memisahkan batas

Spanner menggunakan sebagian kecil kunci utama dan kolom yang diindeks untuk menentukan batas pemisahan, yang dapat mencakup data pelanggan dan metadata. Batas pemisahan di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil.

Batasan pemisahan ini dapat diakses oleh personel Google untuk tujuan dukungan teknis dan proses debug, dan tidak tunduk pada kontrol data akses administratif di Kontrol Kesehatan dan Ilmu Kehidupan.

Batasan kebijakan organisasi Spanner

Batasan kebijakan organisasi	Deskripsi
`spanner.assuredWorkloadsAdvancedServiceControls`	Tetapkan ke True. Menerapkan kontrol dukungan dan kedaulatan data tambahan ke resource Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Tetapkan ke True. Menonaktifkan kemampuan untuk membuat instance Spanner multi-region guna menerapkan residensi data dan kedaulatan data.

Langkah selanjutnya

Pahami paket kontrol untuk Assured Workloads.
Pelajari produk yang didukung untuk setiap paket kontrol.