Restrictions et limites pour les contrôles pour le secteur de la santé et des sciences de la vie
Cette page décrit les restrictions, les limites et d'autres configurations pour les contrôles pour le secteur de la santé et les sciences de la vie Contrôles Life Sciences avec packages de contrôle de l'assistance aux États-Unis.
Présentation
Les packages de contrôle Healthcare and Life Sciences Controls et Healthcare and Life Sciences Controls with US Support vous permettent d'exécuter des charges de travail conformes aux exigences de la loi HIPAA (Health Insurance Portability and Accountability Act) et de l'alliance HITRUST (Health Information Trust Alliance).
Chaque produit compatible répond aux exigences suivantes :
- Figure sur la page de l'accord de partenariat HIPAA de Google Cloud
- Date de publication Page "Common Security Framework (CSF)" HITRUST de Google Cloud
- Prend en charge les clés de chiffrement gérées par le client (CMEK) Cloud KMS
- Compatible avec VPC Service Controls
- Compatible avec les journaux Access Transparency
- Prise en charge des demandes d'autorisation d'accès
- Compatible avec la résidence des données au repos limitée aux États-Unis
Autoriser des services supplémentaires
Chaque package de contrôle du contrôle des soins de santé et des sciences de la vie inclut un
la configuration des services pris en charge,
Restreindre l'utilisation du service
une contrainte de règle d'administration (gcp.restrictServiceUsage) définie sur votre
Dossier Assured Workloads. Toutefois, vous pouvez modifier la valeur de cette contrainte pour inclure d'autres services si votre charge de travail en a besoin. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail.
Tous les services supplémentaires que vous choisissez d'ajouter à la liste d'autorisation doivent figurer sur la page de l'accord de partenariat HIPAA de Google Cloud ou sur la page de la certification HITRUST CSF de Google Cloud.
Lorsque vous ajoutez des services en modifiant le gcp.restrictServiceUsage
la surveillance Assured Workloads indique la conformité
les cas de non-respect. Pour supprimer ces cas de non-respect des règles et ne plus recevoir de notifications pour
à la liste d'autorisation, vous devez
accorder une exception pour chaque
cas de non-respect.
Des considérations supplémentaires sont décrites dans les sections suivantes lorsque vous ajoutez un service à la liste d'autorisation.
Clés de chiffrement gérées par le client (CMEK)
Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec les clés CMEK en procédant comme suit : consultez la page Services compatibles du documentation Cloud KMS. Si vous souhaitez autoriser un service qui n'est pas compatible avec CMEK, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans Assured Workloads.
Si vous souhaitez appliquer une stratégie de sécurité plus stricte lorsque vous utilisez CMEK, consultez la page Afficher l'utilisation des clés dans la documentation Cloud KMS.
Résidence des données
Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il figure sur la page Services Google Cloud avec résidence des données. Si vous souhaitez autoriser un service non compatible avec la résidence des données, d'accepter les risques associés tels que décrits dans Responsabilité partagée dans Assured Workloads
VPC Service Controls
Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec VPC Service Controls en consultant les Produits compatibles et limites dans la documentation VPC Service Controls. Si vous souhaitez autoriser un service non compatible avec VPC Service Controls, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans Assured Workloads.
Access Transparency et Access Approval
Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il peut écrire des journaux Access Transparency et qu'il est compatible avec les demandes d'approbation d'accès en consultant les pages suivantes :
Si vous souhaitez autoriser un service qui n'écrit pas de journaux Access Transparency et qui n'est pas compatible avec les demandes d'approbation d'accès, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans les charges de travail Assured.
Produits et services compatibles
Les produits suivants sont pris en charge dans le secteur de la santé et des sciences de la vie Contrôles pour la santé et les sciences de la vie avec contrôle de l'assistance aux États-Unis packages:
| Produit compatible | Points de terminaison mondiaux de l'API | Restrictions ou limitations |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Aucun |
| Artifact Registry |
artifactregistry.googleapis.com |
Aucun |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Aucun |
| Service de transfert de données BigQuery |
bigquerydatatransfer.googleapis.com |
Aucun |
| Autorisation binaire |
binaryauthorization.googleapis.com |
Aucun |
| Certificate Authority Service |
privateca.googleapis.com |
Aucun |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Aucun |
| Cloud Build |
cloudbuild.googleapis.com |
Aucun |
| Cloud Composer |
composer.googleapis.com |
Aucun |
| Cloud Data Fusion |
datafusion.googleapis.com |
Aucun |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Aucun |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Aucun |
| Cloud Data Fusion |
datafusion.googleapis.com |
Aucun |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Aucun |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Aucun |
| Cloud Logging |
logging.googleapis.com |
Aucun |
| Pub/Sub |
pubsub.googleapis.com |
Aucun |
| Cloud Router |
networkconnectivity.googleapis.com |
Aucun |
| Cloud Run |
run.googleapis.com |
Aucun |
| Spanner |
spanner.googleapis.com |
Fonctionnalités concernées et les contraintes liées aux règles d'administration |
| Cloud SQL |
sqladmin.googleapis.com |
Aucun |
| Cloud Storage |
storage.googleapis.com |
Aucun |
| Cloud Tasks |
cloudtasks.googleapis.com |
Aucun |
| API Cloud Vision |
vision.googleapis.com |
Aucun |
| Cloud VPN |
compute.googleapis.com |
Aucun |
| Compute Engine |
compute.googleapis.com |
Contraintes liées aux règles d'administration |
| Informations sur les conversations |
contactcenterinsights.googleapis.com |
Aucun |
| Eventarc |
eventarc.googleapis.com |
Aucun |
| Filestore |
file.googleapis.com |
Aucun |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Aucun |
| Memorystore pour Redis |
redis.googleapis.com |
Aucun |
| Persistent Disk |
compute.googleapis.com |
Aucun |
| Secret Manager |
secretmanager.googleapis.com |
Aucun |
| Sensitive Data Protection |
dlp.googleapis.com |
Aucun |
| Speech-to-Text |
speech.googleapis.com |
Aucun |
| Text-to-Speech |
texttospeech.googleapis.com |
Aucun |
| Cloud privé virtuel (VPC) |
compute.googleapis.com |
Aucun |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Aucun |
Restrictions et limitations
Les sections suivantes décrivent à l'échelle de Google Cloud ou pour des produits spécifiques restrictions ou limitations des fonctionnalités, y compris les règles d'administration Contraintes définies par défaut sur les contrôles relatifs à la santé et aux sciences de la vie dossiers.
Contraintes liées aux règles d'administration au niveau de l'organisation Google Cloud
Les contraintes des règles d'administration suivantes s'appliquent à tous les services Google Cloud applicables.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez les emplacements suivants dans la liste allowedValues:
|
gcp.restrictServiceUsage |
Définissez cette valeur pour autoriser tous les services compatibles. Détermine quels services peuvent être activés et utilisés. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail. |
gcp.restrictTLSVersion |
Définissez la valeur sur "deny" pour les versions TLS suivantes :
|
Compute Engine
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Défini sur True. Désactive la création de stratégies de sécurité Google Cloud Armor. |
Spanner
Fonctionnalités Spanner concernées
| Caractéristique | Description |
|---|---|
| Limites de division | Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir des limites de fractionnement, qui peuvent inclure des données client et des métadonnées. Une limite de division dans
Spanner indique l'emplacement où des plages de lignes contiguës
sont divisés en parties plus petites. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles des données d'accès administratif dans les commandes Santé et Sciences de la vie. |
Contraintes liées aux règles d'administration Spanner
| Contrainte liée aux règles d'administration | Description |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Défini sur True. Applique des contrôles supplémentaires de souveraineté des données et de prise en charge aux ressources Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Défini sur True. Désactive la création d'instances Spanner multirégionales pour appliquer la résidence et la souveraineté des données. |
Étape suivante
- Comprendre les packages de contrôle pour Assured Workloads.
- Découvrez les produits compatibles pour chaque package de contrôle.