Restrictions et limites pour les contrôles pour le secteur de la santé et des sciences de la vie
Cette page décrit les restrictions, les limites et les autres options de configuration lorsque vous utilisez les packages de contrôle Healthcare and Life Sciences Controls et Healthcare and Life Sciences Controls with US Support.
Présentation
Les packages de contrôle Healthcare and Life Sciences Controls et Healthcare and Life Sciences Controls with US Support vous permettent d'exécuter des charges de travail conformes aux exigences de la loi HIPAA (Health Insurance Portability and Accountability Act) et de l'alliance HITRUST (Health Information Trust Alliance).
Chaque produit compatible répond aux exigences suivantes:
- Liste sur la page de l'accord de partenariat de la loi HIPAA deGoogle Cloud
- Liste sur la page Google Cloudsur le CSF HITRUST
- Prend en charge les clés de chiffrement gérées par le client (CMEK) Cloud KMS
- Compatible avec VPC Service Controls
- Compatible avec les journaux Access Transparency
- Prise en charge des demandes Access Approval
- Prise en charge de la résidence des données au repos limitée aux États-Unis
Autoriser des services supplémentaires
Chaque package de contrôle Healthcare and Life Sciences Controls inclut une configuration par défaut des services compatibles, qui est appliquée par une contrainte de stratégie d'organisation Restrict Service Usage (gcp.restrictServiceUsage) définie sur votre dossier Assured Workloads. Toutefois, vous pouvez modifier la valeur de cette contrainte pour inclure d'autres services si votre charge de travail en a besoin. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail.
Tous les services supplémentaires que vous choisissez d'ajouter à la liste d'autorisation doivent figurer sur la page de l'accord de partenariat HIPAA deGoogle Cloud ou sur la page de la certification HITRUST CSF deGoogle Cloud.
Lorsque vous ajoutez des services supplémentaires en modifiant la contrainte gcp.restrictServiceUsage, la surveillance Assured Workloads signale les cas de non-conformité. Pour supprimer ces cas de non-respect et éviter de recevoir d'autres notifications pour les services ajoutés à la liste d'autorisation, vous devez accorder une exception pour chaque cas de non-respect.
Des considérations supplémentaires sont décrites dans les sections suivantes lorsque vous ajoutez un service à la liste d'autorisation.
Clés de chiffrement gérées par le client (CMEK)
Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec CMEK en consultant la page Services compatibles dans la documentation de Cloud KMS. Si vous souhaitez autoriser un service qui n'est pas compatible avec CMEK, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans Assured Workloads.
Si vous souhaitez appliquer une stratégie de sécurité plus stricte lorsque vous utilisez CMEK, consultez la page Afficher l'utilisation des clés dans la documentation Cloud KMS.
Résidence des données
Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il figure sur la page Google Cloud Services avec résidence des données. Si vous souhaitez autoriser un service qui n'est pas compatible avec la résidence des données, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans Assured Workloads.
VPC Service Controls
Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il est compatible avec VPC Service Controls en consultant la page Produits compatibles et limites dans la documentation VPC Service Controls. Si vous souhaitez autoriser un service non compatible avec VPC Service Controls, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans Assured Workloads.
Access Transparency et Access Approval
Avant d'ajouter un service à la liste d'autorisation, vérifiez qu'il peut écrire des journaux Access Transparency et qu'il est compatible avec les demandes d'approbation d'accès en consultant les pages suivantes:
Si vous souhaitez autoriser un service qui n'écrit pas de journaux Access Transparency et qui n'est pas compatible avec les demandes d'approbation d'accès, vous pouvez choisir d'accepter les risques associés, comme décrit dans la section Responsabilité partagée dans les charges de travail assurées.
Produits et services compatibles
Les produits suivants sont compatibles avec les packages de contrôle Healthcare and Life Sciences Controls et Healthcare and Life Sciences Controls with US Support:
| Produit compatible | Points de terminaison d'API globaux | Restrictions ou limites |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Aucun |
| Artifact Registry |
artifactregistry.googleapis.com |
Aucun |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Aucun |
| Service de transfert de données BigQuery |
bigquerydatatransfer.googleapis.com |
Aucun |
| Autorisation binaire |
binaryauthorization.googleapis.com |
Aucun |
| Certificate Authority Service |
privateca.googleapis.com |
Aucun |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Aucun |
| Cloud Build |
cloudbuild.googleapis.com |
Aucun |
| Cloud Composer |
composer.googleapis.com |
Aucun |
| Cloud Data Fusion |
datafusion.googleapis.com |
Aucun |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Aucun |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Aucun |
| Cloud Data Fusion |
datafusion.googleapis.com |
Aucun |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Aucun |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Aucun |
| Cloud Logging |
logging.googleapis.com |
Aucun |
| Pub/Sub |
pubsub.googleapis.com |
Aucun |
| Cloud Router |
networkconnectivity.googleapis.com |
Aucun |
| Cloud Run |
run.googleapis.com |
Aucun |
| Spanner |
spanner.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Cloud SQL |
sqladmin.googleapis.com |
Aucun |
| Cloud Storage |
storage.googleapis.com |
Aucun |
| Cloud Tasks |
cloudtasks.googleapis.com |
Aucun |
| API Cloud Vision |
vision.googleapis.com |
Aucun |
| Cloud VPN |
compute.googleapis.com |
Aucun |
| Compute Engine |
compute.googleapis.com |
Contraintes liées aux règles d'administration |
| Conversational Insights |
contactcenterinsights.googleapis.com |
Aucun |
| Eventarc |
eventarc.googleapis.com |
Aucun |
| Filestore |
file.googleapis.com |
Aucun |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Aucun |
| Memorystore pour Redis |
redis.googleapis.com |
Aucun |
| Persistent Disk |
compute.googleapis.com |
Aucun |
| Secret Manager |
secretmanager.googleapis.com |
Aucun |
| Sensitive Data Protection |
dlp.googleapis.com |
Aucun |
| Speech-to-Text |
speech.googleapis.com |
Aucun |
| Text-to-Speech |
texttospeech.googleapis.com |
Aucun |
| Cloud privé virtuel (VPC) |
compute.googleapis.com |
Aucun |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Aucun |
Restrictions et limitations
Les sections suivantes décrivent les restrictions ou limites pour les fonctionnalités, y compris les contraintes de règles d'administration de l'organisation définies par défaut sur les dossiers de commandes de santé et de sciences de la vie. Google Cloud
Contraintes liées aux règles d'administration au niveau deGoogle Cloud
Les contraintes liées aux règles d'administration suivantes s'appliquent à tous les services Google Cloud applicables.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez les emplacements suivants dans la liste allowedValues :
|
gcp.restrictServiceUsage |
Définissez cette valeur pour autoriser tous les services compatibles. Détermine les services pouvant être activés et utilisés. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources pour les charges de travail. |
gcp.restrictTLSVersion |
Définissez la valeur sur "deny" pour les versions TLS suivantes:
|
Compute Engine
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Défini sur True. Désactive la création de stratégies de sécurité Google Cloud Armor. |
Spanner
Fonctionnalités Spanner concernées
| Fonctionnalité | Description |
|---|---|
| Limites de division | Spanner utilise un petit sous-ensemble de clés primaires et de colonnes indexées pour définir des limites de fractionnement, qui peuvent inclure des données client et des métadonnées. Une limite de fractionnement dans Spanner indique l'emplacement où les plages contiguës de lignes sont divisées en parties plus petites. Le personnel Google peut accéder à ces limites de fractionnement à des fins d'assistance technique et de débogage. Elles ne sont pas soumises aux contrôles des données d'accès administratif dans les commandes Santé et Sciences de la vie. |
Contraintes liées aux règles d'administration de Spanner
| Contrainte liée aux règles d'administration | Description |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Défini sur True. Applique des contrôles supplémentaires de souveraineté des données et de prise en charge aux ressources Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Défini sur True. Désactive la possibilité de créer des instances Spanner multirégionales pour appliquer la résidence des données et la souveraineté des données. |
Étape suivante
- Comprendre les packages de contrôle pour Assured Workloads.
- Découvrez les produits compatibles pour chaque package de contrôle.