Einschränkungen im Bereich Gesundheit und Leben Naturwissenschaften
Auf dieser Seite werden die Einschränkungen und Einschränkungen sowie weitere Optionen für Gesundheitswesen und Biowissenschaften, Gesundheitswesen und Life Sciences Controls mit Support-Kontrollpaketen für die USA.
Übersicht
Einstellungen für Gesundheitswesen und Biowissenschaften sowie Gesundheitswesen und Biowissenschaften Dank Steuerelementen mit Kontrollpaketen für den US-Support können Sie Arbeitslasten ausführen, Einhaltung der Anforderungen an die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen US-Gesetz (HIPAA) und der Health Information Trust Alliance (HITRUST).
Jedes unterstützte Produkt erfüllt die folgenden Anforderungen:
- Gelistet am Seite zur HIPAA-Geschäftspartnervereinbarung (Business Associate Agreement, BAA) von Google Cloud
- Gelistet am Google Cloud-Seite zum HITRUST Common Security Framework (CSF)
- Wird unterstützt Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS
- Unterstützt VPC Service Controls
- Unterstützt Access Transparency-Logs
- Unterstützt Anfragen für die Zugriffsgenehmigung.
- Unterstützt ruhende Daten, die auf Standorte in den USA beschränkt sind
Zusätzliche Dienste zulassen
Jedes Kontrollpaket für die Kontrollen für Gesundheitswesen und Biowissenschaften enthält eine Standardkonfiguration der unterstützten Dienste, die durch eine Organisationsrichtlinienbeschränkung Dienstnutzung einschränken (gcp.restrictServiceUsage) erzwungen wird, die für Ihren Ordner „Assured Workloads“ festgelegt ist. Sie können die
andere Dienste einzubeziehen, wenn die Arbeitslast dies erfordert. Weitere Informationen finden Sie unter
Ressourcennutzung für Arbeitslasten einschränken
.
Alle zusätzlichen Dienste, die Sie der Zulassungsliste hinzufügen, müssen in HIPAA-BAA von Google Cloud oder aufgeführt sein auf Google Cloud-Seite HITRUST CSF.
Wenn Sie zusätzliche Dienste durch Ändern der gcp.restrictServiceUsage hinzufügen
Einschränkung meldet das Assured Workloads-Monitoring
Verstöße. Um diese Verstöße zu entfernen und zukünftige Benachrichtigungen für
auf die Zulassungsliste gesetzt haben, müssen Sie
Gewähren Sie eine Ausnahme für jede
verstoßen.
Es werden weitere Überlegungen beim Hinzufügen eines Dienstes zur Zulassungsliste beschrieben. erhalten Sie in den folgenden Abschnitten.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Bevor Sie einen Dienst der Zulassungsliste hinzufügen, prüfen Sie, ob er CMEK unterstützt, indem Sie finden Sie auf der Seite Kompatible Dienste im Cloud KMS-Dokumentation Wenn Sie einen Dienst zulassen möchten, unterstützen, können Sie die damit verbundenen Risiken akzeptieren, wie in den Geteilte Verantwortung in Assured Workloads.
Informationen zum Erzwingen eines strengeren Sicherheitsstatus bei Verwendung eines CMEK finden Sie in den Seite Schlüsselverwendung in Cloud KMS aufrufen Dokumentation.
Datenstandort
Bevor Sie einen Dienst der Zulassungsliste hinzufügen, prüfen Sie, ob er auf der Seite Google Cloud-Dienste mit Datenstandort aufgeführt ist. Wenn Sie einen Dienst zulassen möchten, der die Datenspeicherung nicht unterstützt, müssen Sie die damit verbundenen Risiken akzeptieren, wie unter Gemeinsam getragene Verantwortung bei Assured Workloads beschrieben.
VPC Service Controls
Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie, ob er von VPC Service Controls überprüfen, indem Sie die Unterstützte Produkte und Einschränkungen in der Dokumentation zu VPC Service Controls. Wenn Sie einen Dienst zulassen möchten, der VPC Service Controls nicht unterstützt, können Sie die damit verbundenen Risiken wie unter Gemeinsam getragene Verantwortung bei Assured Workloads beschrieben akzeptieren.
Access Transparency und Zugriffsgenehmigung
Bevor Sie einen Dienst auf die Zulassungsliste setzen, prüfen Sie, ob er Access Transparency schreiben darf protokolliert und unterstützt Access Approval-Anfragen, indem Sie Folgendes überprüfen: Seiten:
Wenn Sie einen Dienst zulassen möchten, der keine Access Transparency-Logs schreibt Anfragen für die Zugriffsgenehmigung nicht unterstützt, können Sie diese selbst akzeptieren. Risiken, wie in den Geteilte Verantwortung in Assured Workloads.
Unterstützte Produkte und Dienste
Die folgenden Produkte werden in den Branchen Gesundheitswesen und Biowissenschaften unterstützt Kontrollen und Einstellungen für das Gesundheitswesen und die Biowissenschaften mit Unterstützung durch den US-Support Pakete:
| Unterstütztes Produkt | Globale API-Endpunkte | Einschränkungen |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Keine |
| Artifact Registry |
artifactregistry.googleapis.com |
Keine |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Keine |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Keine |
| Binärautorisierung |
binaryauthorization.googleapis.com |
Keine |
| Certificate Authority Service |
privateca.googleapis.com |
Keine |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Keine |
| Cloud Build |
cloudbuild.googleapis.com |
Keine |
| Cloud Composer |
composer.googleapis.com |
Keine |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Keine |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Keine |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Identitäts- und Zugriffsverwaltung |
iam.googleapis.com |
Keine |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Keine |
| Cloud Logging |
logging.googleapis.com |
Keine |
| Pub/Sub |
pubsub.googleapis.com |
Keine |
| Cloud Router |
networkconnectivity.googleapis.com |
Keine |
| Cloud Run |
run.googleapis.com |
Keine |
| Spanner |
spanner.googleapis.com |
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Cloud SQL |
sqladmin.googleapis.com |
Keine |
| Cloud Storage |
storage.googleapis.com |
Keine |
| Cloud Tasks |
cloudtasks.googleapis.com |
Keine |
| Cloud Vision API |
vision.googleapis.com |
Keine |
| Cloud VPN |
compute.googleapis.com |
Keine |
| Compute Engine |
compute.googleapis.com |
Einschränkungen für Organisationsrichtlinien |
| Contact Center AI Insights |
contactcenterinsights.googleapis.com |
Keine |
| Eventarc |
eventarc.googleapis.com |
Keine |
| Filestore |
file.googleapis.com |
Keine |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Keine |
| Memorystore for Redis |
redis.googleapis.com |
Keine |
| Persistent Disk |
compute.googleapis.com |
Keine |
| Secret Manager |
secretmanager.googleapis.com |
Keine |
| Sensitive Data Protection |
dlp.googleapis.com |
Keine |
| Speech-to-Text |
speech.googleapis.com |
Keine |
| Text-to-Speech |
texttospeech.googleapis.com |
Keine |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Keine |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Keine |
Limits und Einschränkungen
In den folgenden Abschnitten wird Google Cloud-weit oder produktspezifisch beschrieben. Einschränkungen oder Einschränkungen für Funktionen, einschließlich Organisationsrichtlinien Standardmäßig in Steuerelementen für Gesundheitswesen und Biowissenschaften festgelegte Einschränkungen Ordner.
Einschränkungen für Google Cloud-weite Organisationsrichtlinien
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud-Dienste.
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie in der Liste allowedValues die folgenden Standorte fest:
|
gcp.restrictServiceUsage |
Legen Sie fest, dass alle unterstützten Dienste zulässig sind. Bestimmt, welche Dienste aktiviert und verwendet werden können. Weitere Informationen Siehe Ressourcennutzung für Arbeitslasten einschränken |
gcp.restrictTLSVersion |
Die folgenden TLS-Versionen werden abgelehnt:
|
Compute Engine
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Auf True festlegen. Deaktiviert das Erstellen von Google Cloud Armor-Sicherheitsrichtlinien. |
Spanner
Betroffene Spanner-Features
| Feature | Beschreibung |
|---|---|
| Split-Grenzen | Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierte
Spalten zum Definieren
Split-Grenzen,
das Kundendaten und Metadaten umfassen kann. Eine Split-Grenze in
Spanner gibt den Ort an, an dem zusammenhängende Zeilenbereiche
die in kleinere Teile zerlegt werden. Diese Split-Grenzen sind für Google-Mitarbeiter aus technischen Gründen Support- und Debugging-Zwecke und unterliegen nicht administrativen Auf Datenkontrollen in Steuerelementen für Gesundheitswesen und Biowissenschaften zugreifen. |
Einschränkungen für Spanner-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Auf True festlegen. Wendet zusätzliche Kontrollen für die Datenhoheit und Supportfähigkeit an auf Spanner-Ressourcen. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Auf True festlegen. Deaktiviert die Möglichkeit, multiregionale Spanner-Instanzen zu erstellen, um den Datenstandort und die Datenhoheit zu erzwingen. |
Nächste Schritte
- Informationen zu den Kontrollpaketen für Assured Workloads.
- Weitere Informationen zu unterstützten Produkten für jedes Kontrollpaket.