Restrictions et limites pour les contrôles pour le secteur de la santé et des sciences de la vie

Cette page décrit les restrictions, les limites et les autres options de configuration lorsque vous utilisez les packages de contrôle Healthcare and Life Sciences Controls et Healthcare and Life Sciences Controls with US Support.

Présentation

Les packages de contrôle Healthcare and Life Sciences Controls et Healthcare and Life Sciences Controls with US Support vous permettent d'exécuter des charges de travail conformes aux exigences de la loi HIPAA (Health Insurance Portability and Accountability Act) et de l'alliance HITRUST (Health Information Trust Alliance).

Chaque produit compatible répond aux exigences suivantes:

Autoriser des services supplémentaires

Chaque package de contrôle Healthcare and Life Sciences Controls inclut une configuration par défaut des services compatibles, qui est appliquée par une contrainte de stratégie d'organisation Restrict Service Usage (gcp.restrictServiceUsage) définie sur votre dossier Assured Workloads. Toutefois, vous pouvez modifier la valeur de cette contrainte pour inclure d'autres services si votre charge de travail en a besoin. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail.

Tous les services supplémentaires que vous choisissez d'ajouter à la liste d'autorisation doivent figurer sur la page de l'accord de partenariat HIPAA deGoogle Cloud ou sur la page de la certification HITRUST CSF deGoogle Cloud.

Lorsque vous ajoutez des services supplémentaires en modifiant la contrainte gcp.restrictServiceUsage, la surveillance Assured Workloads signale les cas de non-conformité. Pour supprimer ces cas de non-respect et éviter de recevoir d'autres notifications pour les services ajoutés à la liste d'autorisation, vous devez accorder une exception pour chaque cas de non-respect.

Des considérations supplémentaires sont décrites dans les sections suivantes lorsque vous ajoutez un service à la liste d'autorisation.

Clés de chiffrement gérées par le client (CMEK)

Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec CMEK en consultant la page Services compatibles dans la documentation de Cloud KMS. Si vous souhaitez autoriser un service qui n'est pas compatible avec CMEK, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans Assured Workloads.

Si vous souhaitez appliquer une stratégie de sécurité plus stricte lorsque vous utilisez CMEK, consultez la page Afficher l'utilisation des clés dans la documentation Cloud KMS.

Résidence des données

Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il figure sur la page Google Cloud Services avec résidence des données. Si vous souhaitez autoriser un service qui n'est pas compatible avec la résidence des données, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans Assured Workloads.

VPC Service Controls

Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec VPC Service Controls en consultant la page Produits compatibles et limites dans la documentation VPC Service Controls. Si vous souhaitez autoriser un service non compatible avec VPC Service Controls, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans Assured Workloads.

Access Transparency et Access Approval

Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il peut écrire des journaux Access Transparency et qu'il est compatible avec les demandes d'approbation d'accès en consultant les pages suivantes:

Si vous souhaitez autoriser un service qui n'écrit pas de journaux Access Transparency et qui n'est pas compatible avec les demandes d'approbation d'accès, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans les charges de travail assurées.

Produits et services compatibles

Les produits suivants sont compatibles avec les packages de contrôle Healthcare and Life Sciences Controls et Healthcare and Life Sciences Controls with US Support:

Produit compatible Points de terminaison d'API globaux Restrictions ou limites
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
networksecurity.googleapis.com
networkservices.googleapis.com
Aucun
Artifact Registry artifactregistry.googleapis.com
Aucun
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
Aucun
Service de transfert de données BigQuery bigquerydatatransfer.googleapis.com
Aucun
Autorisation binaire binaryauthorization.googleapis.com
Aucun
Certificate Authority Service privateca.googleapis.com
Aucun
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
Aucun
Cloud Build cloudbuild.googleapis.com
Aucun
Cloud Composer composer.googleapis.com
Aucun
Cloud Data Fusion datafusion.googleapis.com
Aucun
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
Aucun
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
Aucun
Cloud Data Fusion datafusion.googleapis.com
Aucun
Identity and Access Management (IAM) iam.googleapis.com
Aucun
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
Aucun
Cloud Logging logging.googleapis.com
Aucun
Pub/Sub pubsub.googleapis.com
Aucun
Cloud Router networkconnectivity.googleapis.com
Aucun
Cloud Run run.googleapis.com
Aucun
Spanner spanner.googleapis.com
Fonctionnalités concernées et contraintes liées aux règles d'administration
Cloud SQL sqladmin.googleapis.com
Aucun
Cloud Storage storage.googleapis.com
Aucun
Cloud Tasks cloudtasks.googleapis.com
Aucun
API Cloud Vision vision.googleapis.com
Aucun
Cloud VPN compute.googleapis.com
Aucun
Compute Engine compute.googleapis.com
Contraintes liées aux règles d'administration
Conversational Insights contactcenterinsights.googleapis.com
Aucun
Eventarc eventarc.googleapis.com
Aucun
Filestore file.googleapis.com
Aucun
Google Kubernetes Engine container.googleapis.com
containersecurity.googleapis.com
Aucun
Memorystore pour Redis redis.googleapis.com
Aucun
Persistent Disk compute.googleapis.com
Aucun
Secret Manager secretmanager.googleapis.com
Aucun
Sensitive Data Protection dlp.googleapis.com
Aucun
Speech-to-Text speech.googleapis.com
Aucun
Text-to-Speech texttospeech.googleapis.com
Aucun
Cloud privé virtuel (VPC) compute.googleapis.com
Aucun
VPC Service Controls accesscontextmanager.googleapis.com
Aucun

Restrictions et limitations

Les sections suivantes décrivent les restrictions ou limites pour les fonctionnalités, y compris les contraintes de règles d'administration de l'organisation définies par défaut sur les dossiers de commandes de santé et de sciences de la vie. Google Cloud

Contraintes liées aux règles d'administration au niveau deGoogle Cloud

Les contraintes liées aux règles d'administration suivantes s'appliquent à tous les services Google Cloud applicables.

Contrainte liée aux règles d'administration Description
gcp.resourceLocations Définissez les emplacements suivants dans la liste allowedValues :
  • us-locations
  • us-central1
  • us-central2
  • us-west1
  • us-west2
  • us-west3
  • us-west4
  • us-east1
  • us-east4
  • us-east5
  • us-south1
Cette valeur limite la création de ressources au groupe de valeurs sélectionné uniquement. Lorsqu'il est défini, aucune ressource ne peut être créée dans d'autres régions, zones multirégionales ou emplacements en dehors de la sélection. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration.
gcp.restrictServiceUsage Définissez cette valeur pour autoriser tous les services compatibles.

Détermine les services pouvant être activés et utilisés. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail.
gcp.restrictTLSVersion Définissez la valeur sur "deny" pour les versions TLS suivantes:
  • TLS_VERSION_1
  • TLS_VERSION_1_1
Pour en savoir plus, consultez la page Limiter les versions TLS.

Compute Engine

Contraintes liées aux règles d'administration Compute Engine

Contrainte liée aux règles d'administration Description
compute.disableGlobalCloudArmorPolicy Défini sur True.

Désactive la création de stratégies de sécurité Google Cloud Armor.

Spanner

Fonctionnalités Spanner concernées

Fonctionnalité Description
Limites de division Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir des limites de fractionnement, qui peuvent inclure des données client et des métadonnées. Une limite de fractionnement dans Spanner indique l'emplacement où les plages contiguës de lignes sont divisées en parties plus petites.

Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles des données d'accès administratif dans les commandes Santé et Sciences de la vie.

Contraintes liées aux règles d'administration de Spanner

Contrainte liée aux règles d'administration Description
spanner.assuredWorkloadsAdvancedServiceControls Défini sur True.

Applique des contrôles supplémentaires de souveraineté des données et de prise en charge aux ressources Spanner.
spanner.disableMultiRegionInstanceIfNoLocationSelected Défini sur True.

Désactive la possibilité de créer des instances Spanner multirégionales pour appliquer la résidence des données et la souveraineté des données.

Étape suivante