Einschränkungen und Beschränkungen für Kontrollen für Gesundheitswesen und Biowissenschaften
Auf dieser Seite werden die Einschränkungen, Limitierungen und anderen Konfigurationsoptionen beschrieben, wenn Sie die Kontrollpakete „Kontrollen für Gesundheitswesen und Biowissenschaften“ und „Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support“ verwenden.
Übersicht
Mit den Kontrollpaketen „Kontrollen für Gesundheitswesen und Biowissenschaften“ und „Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support“ können Sie Arbeitslasten ausführen, die den Anforderungen des Health Insurance Portability and Accountability Act (HIPAA) und der Health Information Trust Alliance (HITRUST) entsprechen.
Jedes unterstützte Produkt erfüllt die folgenden Anforderungen:
- Auf der Seite der HIPAA-Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) von Google Cloudaufgeführt
- Auf der Seite „HITRUST Common Security Framework (CSF)“ von Google Cloudaufgeführt
- Unterstützt vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) in Cloud KMS
- Unterstützt VPC Service Controls
- Unterstützt Access Transparency-Logs
- Unterstützt Anfragen für die Zugriffsgenehmigung
- Unterstützt die Speicherung inaktiver Daten nur an Standorten in den USA
Zusätzliche Dienste zulassen
Jedes Kontrollpaket für die Kontrollen für Gesundheitswesen und Biowissenschaften enthält eine Standardkonfiguration der unterstützten Dienste, die durch eine Einschränkung der Organisationsrichtlinie Dienstnutzung einschränken (gcp.restrictServiceUsage) erzwungen wird, die für Ihren Ordner „Assured Workloads“ festgelegt ist. Sie können den Wert dieser Einschränkung jedoch so ändern, dass auch andere Dienste berücksichtigt werden, falls dies für Ihre Arbeitslast erforderlich ist. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken.
Alle zusätzlichen Dienste, die Sie der Zulassungsliste hinzufügen, müssen auf der Seite Google Cloud„HIPAA BAA“ oder auf der Seite Google Cloud„HITRUST CSF“ aufgeführt sein.
Wenn Sie zusätzliche Dienste hinzufügen, indem Sie die Einschränkung gcp.restrictServiceUsage ändern, werden im Assured Workloads-Monitoring Complianceverstöße gemeldet. Wenn Sie diese Verstöße entfernen und zukünftige Benachrichtigungen für Dienste verhindern möchten, die der Zulassungsliste hinzugefügt wurden, müssen Sie für jeden Verstoß eine Ausnahme gewähren.
Weitere Überlegungen zum Hinzufügen eines Dienstes zur Zulassungsliste werden in den folgenden Abschnitten beschrieben.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Bevor Sie einen Dienst zur Zulassungsliste hinzufügen, prüfen Sie, ob er CMEK unterstützt. Sehen Sie dazu in der Cloud KMS-Dokumentation auf der Seite Kompatible Dienste nach. Wenn Sie einen Dienst zulassen möchten, der CMEK nicht unterstützt, müssen Sie die damit verbundenen Risiken akzeptieren, wie unter Gemeinsam getragene Verantwortung bei Assured Workloads beschrieben.
Wenn Sie bei der Verwendung von CMEK eine strengere Sicherheitseinstellung erzwingen möchten, lesen Sie den Hilfeartikel Schlüsselnutzung ansehen in der Cloud KMS-Dokumentation.
Datenstandort
Bevor Sie einen Dienst zur Zulassungsliste hinzufügen, prüfen Sie, ob er auf der Seite Google Cloud Dienste mit Datenspeicherort aufgeführt ist. Wenn Sie einen Dienst zulassen möchten, der die Datenspeicherung nicht unterstützt, müssen Sie die damit verbundenen Risiken akzeptieren, wie unter Gemeinsam getragene Verantwortung bei Assured Workloads beschrieben.
VPC Service Controls
Bevor Sie einen Dienst zur Zulassungsliste hinzufügen, prüfen Sie, ob er von VPC Service Controls unterstützt wird. Sehen Sie dazu in der VPC Service Controls-Dokumentation auf der Seite Unterstützte Produkte und Einschränkungen nach. Wenn Sie einen Dienst zulassen möchten, der VPC Service Controls nicht unterstützt, können Sie die damit verbundenen Risiken wie unter Gemeinsam getragene Verantwortung bei Assured Workloads beschrieben akzeptieren.
Access Transparency und Zugriffsgenehmigung
Bevor Sie einen Dienst zur Zulassungsliste hinzufügen, prüfen Sie, ob er Access Transparency-Logs schreiben und Access Approval-Anfragen unterstützen kann. Weitere Informationen finden Sie auf den folgenden Seiten:
Wenn Sie einen Dienst zulassen möchten, der keine Access Transparency-Logs schreibt und keine Anfragen zur Zugriffsberechtigung unterstützt, müssen Sie die damit verbundenen Risiken akzeptieren, wie unter Gemeinsam getragene Verantwortung bei Assured Workloads beschrieben.
Unterstützte Produkte und Dienste
Die folgenden Produkte werden in den Kontrollpaketen „Kontrollen für Gesundheitswesen und Biowissenschaften“ und „Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support“ unterstützt:
| Unterstütztes Produkt | Globale API-Endpunkte | Einschränkungen |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Keine |
| Artifact Registry |
artifactregistry.googleapis.com |
Keine |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Keine |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Keine |
| Binärautorisierung |
binaryauthorization.googleapis.com |
Keine |
| Certificate Authority Service |
privateca.googleapis.com |
Keine |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Keine |
| Cloud Build |
cloudbuild.googleapis.com |
Keine |
| Cloud Composer |
composer.googleapis.com |
Keine |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Keine |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Keine |
| Cloud Data Fusion |
datafusion.googleapis.com |
Keine |
| Identitäts- und Zugriffsverwaltung |
iam.googleapis.com |
Keine |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Keine |
| Cloud Logging |
logging.googleapis.com |
Keine |
| Pub/Sub |
pubsub.googleapis.com |
Keine |
| Cloud Router |
networkconnectivity.googleapis.com |
Keine |
| Cloud Run |
run.googleapis.com |
Keine |
| Spanner |
spanner.googleapis.com |
Betroffene Funktionen und Einschränkungen für Organisationsrichtlinien |
| Cloud SQL |
sqladmin.googleapis.com |
Keine |
| Cloud Storage |
storage.googleapis.com |
Keine |
| Cloud Tasks |
cloudtasks.googleapis.com |
Keine |
| Cloud Vision API |
vision.googleapis.com |
Keine |
| Cloud VPN |
compute.googleapis.com |
Keine |
| Compute Engine |
compute.googleapis.com |
Einschränkungen für Organisationsrichtlinien |
| Dialogorientierte Insights |
contactcenterinsights.googleapis.com |
Keine |
| Eventarc |
eventarc.googleapis.com |
Keine |
| Filestore |
file.googleapis.com |
Keine |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Keine |
| Memorystore for Redis |
redis.googleapis.com |
Keine |
| Persistent Disk |
compute.googleapis.com |
Keine |
| Secret Manager |
secretmanager.googleapis.com |
Keine |
| Sensitive Data Protection |
dlp.googleapis.com |
Keine |
| Speech-to-Text |
speech.googleapis.com |
Keine |
| Text-to-Speech |
texttospeech.googleapis.com |
Keine |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Keine |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Keine |
Limits und Einschränkungen
In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für Ordner mit Steuerelementen für die Gesundheits- und Biowissenschaften festgelegt sind.
Google Cloud-weite organisatorische Richtlinieneinschränkungen
Die folgenden Einschränkungen für Organisationsrichtlinien gelten für alle entsprechenden Google Cloud- Dienste.
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
gcp.resourceLocations |
Legen Sie in der Liste allowedValues die folgenden Standorte fest:
|
gcp.restrictServiceUsage |
Legen Sie fest, dass alle unterstützten Dienste zulässig sind. Bestimmt, welche Dienste aktiviert und verwendet werden können. Weitere Informationen finden Sie unter Ressourcennutzung für Arbeitslasten einschränken. |
gcp.restrictTLSVersion |
Legen Sie fest, dass die folgenden TLS-Versionen abgelehnt werden:
|
Compute Engine
Einschränkungen für Compute Engine-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Auf True festlegen. Deaktiviert das Erstellen von Google Cloud Armor-Sicherheitsrichtlinien. |
Spanner
Betroffene Spanner-Funktionen
| Funktion | Beschreibung |
|---|---|
| Split-Grenzen | Spanner verwendet eine kleine Teilmenge von Primärschlüsseln und indexierten Spalten, um Teilungsgrenzen zu definieren, die Kundendaten und Metadaten enthalten können. Eine Split-Grenze in Spanner gibt an, wo zusammenhängende Zeilenbereiche in kleinere Teile aufgeteilt werden. Auf diese Grenzwerte können Google-Mitarbeiter zu technischen Support- und Debugging-Zwecken zugreifen. Sie unterliegen nicht den Datenkontrollen für den administrativen Zugriff in den Kontrollen für das Gesundheitswesen und die Biowissenschaften. |
Einschränkungen für Spanner-Organisationsrichtlinien
| Einschränkung der Organisationsrichtlinie | Beschreibung |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Auf True festlegen. Erweiterte Kontrollen für die Datenhoheit und die Supportbarkeit auf Spanner-Ressourcen anwenden. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Auf True festlegen. Deaktiviert die Möglichkeit, multiregionale Spanner-Instanzen zu erstellen, um den Datenstandort und die Datenhoheit zu erzwingen. |
Nächste Schritte
- Informationen zu den Kontrollpaketen für Assured Workloads.
- Weitere Informationen zu den unterstützten Produkten