Halaman ini diterjemahkan oleh Cloud Translation API.

Batasan dan batasan untuk Layanan Kesehatan dan Kehidupan Kontrol Sains

Halaman ini menjelaskan pembatasan, batasan, dan konfigurasi lainnya pilihan {i>tool<i} yang tersedia saat menggunakan Kontrol dan Layanan Kesehatan Kontrol Ilmu Hayati dengan paket kontrol Dukungan AS.

Ringkasan

Kontrol Layanan Kesehatan dan Ilmu Hayati serta Layanan Kesehatan dan Ilmu Hayati Kontrol dengan paket kontrol Dukungan AS memungkinkan Anda menjalankan workload yang mematuhi persyaratan untuk Portabilitas dan Akuntabilitas Asuransi Kesehatan Act (HIPAA) dan Health Information Trust Alliance (HITRUST).

Setiap produk yang didukung memenuhi persyaratan berikut:

Dicantumkan pada Halaman Perjanjian Rekanan Bisnis (BAA) HIPAA Google Cloud
Dicantumkan pada Halaman HITRUST Common Security Framework (CSF) Google Cloud
Mendukung Kunci enkripsi yang dikelola pelanggan (CMEK) Cloud KMS
Mendukung Kontrol Layanan VPC
Mendukung Log Transparansi Akses
Mendukung permintaan Persetujuan Akses
Mendukung residensi data dalam penyimpanan yang dibatasi untuk lokasi AS

Mengizinkan layanan tambahan

Setiap paket kontrol Layanan Kesehatan dan Ilmu Hayati menyertakan paket kontrol default konfigurasi layanan yang didukung, yang diberlakukan oleh Batasi Penggunaan Layanan (gcp.restrictServiceUsage) batasan kebijakan organisasi ditetapkan di Folder Assured Workloads. Namun, Anda dapat mengubah batasan ini nilai tambah untuk menyertakan layanan lain jika beban kerja Anda memerlukannya. Lihat Membatasi penggunaan resource untuk workload untuk informasi selengkapnya.

Layanan tambahan apa pun yang Anda pilih untuk ditambahkan ke daftar yang diizinkan harus tercantum di Halaman BAA HIPAA Google Cloud atau dicantumkan di Halaman HITRUST CSF Google Cloud.

Saat Anda menambahkan layanan tambahan dengan mengubah gcp.restrictServiceUsage terbatas, pemantauan Assured Workloads akan melaporkan kepatuhan pelanggaran data. Untuk menghapus pelanggaran ini dan mencegah pemberitahuan di masa mendatang untuk layanan ditambahkan ke daftar yang diizinkan, Anda harus memberikan pengecualian untuk setiap pelanggaran data.

Pertimbangan tambahan saat menambahkan layanan ke daftar yang diizinkan dijelaskan di bagian berikut ini.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Sebelum menambahkan layanan ke daftar yang diizinkan, pastikan layanan tersebut mendukung CMEK dengan meninjau halaman Layanan yang kompatibel di dokumentasi Cloud KMS. Jika Anda ingin mengizinkan layanan yang tidak mendukung CMEK, Anda dapat memilih untuk menerima risiko terkait sebagaimana dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Jika Anda ingin menerapkan postur keamanan yang lebih ketat saat menggunakan CMEK, lihat Halaman Lihat penggunaan kunci di Cloud KMS dokumentasi layanan.

Residensi Data

Sebelum menambahkan layanan ke daftar yang diizinkan, pastikan layanan tersebut tercantum di Halaman Layanan Google Cloud dengan Data Residency. Jika Anda ingin mengizinkan layanan yang tidak mendukung residensi data, pilihan untuk menerima risiko terkait sebagaimana dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Kontrol Layanan VPC

Sebelum menambahkan layanan ke daftar yang diizinkan, pastikan layanan didukung oleh Kontrol Layanan VPC dengan meninjau Produk yang didukung dan batasan yang berbeda di dokumentasi Kontrol Layanan VPC. Jika Anda ingin mengizinkan layanan yang tidak mendukung Kontrol Layanan VPC, Anda bisa memilih untuk menerima risiko seperti yang dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Transparansi Akses dan Persetujuan Akses

Sebelum menambahkan layanan ke daftar yang diizinkan, pastikan layanan tersebut dapat menulis Transparansi Akses log dan mendukung permintaan Persetujuan Akses dengan meninjau halaman:

Jika Anda ingin mengizinkan layanan yang tidak menulis log Transparansi Akses dan tidak mendukung permintaan Persetujuan Akses, Anda dapat memilih untuk menerima risiko terkait seperti yang dijelaskan dalam Tanggung jawab bersama di Assured Workloads.

Produk dan layanan yang didukung

Produk berikut didukung dalam Layanan Kesehatan dan Ilmu Hayati Kontrol dan Kontrol Layanan Kesehatan dan Ilmu Hayati dengan kontrol Dukungan Amerika Serikat paket:

Produk yang didukung	endpoint API	Fitur atau kebijakan organisasi yang terpengaruh
Artifact Registry	artifactregistry.googleapis.com	Tidak ada
BigQuery ^[2]	bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com	Tidak ada
BigQuery Data Transfer Service ^[2]	bigquerydatatransfer.googleapis.com	Tidak ada
Bigtable	bigtable.googleapis.com bigtableadmin.googleapis.com	Tidak ada
Otorisasi Biner	binaryauthorization.googleapis.com	Tidak ada
Certificate Authority Service	privateca.googleapis.com	Tidak ada
Cloud Build	cloudbuild.googleapis.com	Tidak ada
Cloud Composer	composer.googleapis.com	Tidak ada
Cloud Data Fusion	datafusion.googleapis.com	Tidak ada
Cloud Key Management Service (Cloud KMS)	cloudkms.googleapis.com	Tidak ada
Cloud Logging	logging.googleapis.com	Tidak ada
Cloud Router	networkconnectivity.googleapis.com	Tidak ada
Cloud Run	run.googleapis.com	Tidak ada
Cloud Service Mesh	mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com	Tidak ada
Cloud SQL	sqladmin.googleapis.com	Tidak ada
Cloud Storage	storage.googleapis.com	Tidak ada
Cloud Tasks	cloudtasks.googleapis.com	Tidak ada
Cloud Vision API	vision.googleapis.com	Tidak ada
Cloud VPN	compute.googleapis.com	Tidak ada
Compute Engine	compute.googleapis.com	Batasan kebijakan organisasi
Insight AI Pusat Kontak	contactcenterinsights.googleapis.com	Tidak ada
Dataflow	dataflow.googleapis.com datapipelines.googleapis.com	Tidak ada
Dataproc	dataproc-control.googleapis.com dataproc.googleapis.com	Tidak ada
Eventarc	eventarc.googleapis.com	Tidak ada
Filestore	file.googleapis.com	Tidak ada
Google Kubernetes Engine	container.googleapis.com containersecurity.googleapis.com	Tidak ada
Identity and Access Management (IAM)	iam.googleapis.com	Tidak ada
Memorystore for Redis	redis.googleapis.com	Tidak ada
Persistent Disk	compute.googleapis.com	Tidak ada
Pub/Sub	pubsub.googleapis.com	Tidak ada
Secret Manager	secretmanager.googleapis.com	Tidak ada
Sensitive Data Protection	dlp.googleapis.com	Tidak ada
Spanner	spanner.googleapis.com	Fitur yang terpengaruh dan batasan kebijakan organisasi
Speech-to-Text	speech.googleapis.com	Tidak ada
Text-to-Speech	texttospeech.googleapis.com	Tidak ada
Virtual Private Cloud (VPC)	compute.googleapis.com	Tidak ada
Kontrol Layanan VPC	accesscontextmanager.googleapis.com	Tidak ada

Batas dan pembatasan

Bagian berikut menjelaskan Google Cloud secara keseluruhan atau spesifik per produk batasan-batasan untuk fitur, termasuk kebijakan organisasi batasan yang ditetapkan secara default pada Kontrol Layanan Kesehatan dan Ilmu Hayati folder.

Batasan kebijakan organisasi di seluruh Google Cloud

Hal berikut batasan kebijakan organisasi berlaku di seluruh layanan Google Cloud yang berlaku.

Batasan kebijakan organisasi	Deskripsi
`gcp.resourceLocations`	Tetapkan ke lokasi berikut di daftar `allowedValues`: us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Nilai ini membatasi pembuatan resource baru ke nilai yang dipilih grup saja. Jika ditetapkan, tidak ada resource yang dapat dibuat di region lain, multi-region, atau lokasi di luar pilihan. Lihat Grup nilai kebijakan organisasi dokumentasi untuk informasi selengkapnya.
`gcp.restrictServiceUsage`	Tetapkan untuk mengizinkan semua layanan yang didukung. Menentukan layanan mana yang dapat diaktifkan dan digunakan. Untuk informasi selengkapnya, lihat Membatasi penggunaan resource untuk workload.
`gcp.restrictTLSVersion`	Tetapkan untuk menolak versi TLS berikut: TLS_VERSION_1 TLS_VERSION_1_1 Lihat Membatasi versi TLS untuk informasi selengkapnya.

Compute Engine

Batasan kebijakan organisasi Compute Engine

Batasan kebijakan organisasi	Deskripsi
`compute.disableGlobalCloudArmorPolicy`	Tetapkan ke True. Menonaktifkan pembuatan kebijakan keamanan Google Cloud Armor.

Spanner

Fitur Spanner yang terpengaruh

Fitur	Deskripsi
Batas pemisahan	Spanner menggunakan subset kecil kunci utama dan diindeks kolom untuk menentukan batas terpisah, yang dapat mencakup metadata dan data pelanggan. Sebuah batas terpisah di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil. Batasan terpisah ini dapat diakses oleh staf Google untuk dukungan dan proses debug, serta tidak tunduk kepada mengakses kontrol data di Kontrol Layanan Kesehatan dan Ilmu Hayati.

Fitur

Deskripsi

Batas pemisahan

Spanner menggunakan subset kecil kunci utama dan diindeks kolom untuk menentukan batas terpisah, yang dapat mencakup metadata dan data pelanggan. Sebuah batas terpisah di Spanner menunjukkan lokasi tempat rentang baris yang berdekatan dibagi menjadi bagian-bagian yang lebih kecil.

Batasan terpisah ini dapat diakses oleh staf Google untuk dukungan dan proses debug, serta tidak tunduk kepada mengakses kontrol data di Kontrol Layanan Kesehatan dan Ilmu Hayati.

Batasan kebijakan organisasi Spanner

Batasan kebijakan organisasi	Deskripsi
`spanner.assuredWorkloadsAdvancedServiceControls`	Tetapkan ke True. Menerapkan kontrol kedaulatan data dan kemampuan dukungan tambahan pada Referensi Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Tetapkan ke True. Menonaktifkan kemampuan untuk membuat instance Spanner multi-region untuk menerapkan residensi data dan kedaulatan data.

Langkah selanjutnya

Memahami paket kontrol untuk Assured Workloads.
Pelajari produk yang didukung untuk setiap paket kontrol.