의료 및 생명과학 제어의 제한 및 한도
이 페이지에서는 의료 및 생명과학 제어와 미국 지원 제어가 포함된 의료 및 생명과학 제어 패키지를 사용할 때의 제한사항, 한계, 기타 구성 옵션을 설명합니다.
개요
의료 및 생명과학 제어와 미국 지원 제어가 포함된 의료 및 생명과학 제어 패키지를 사용하면 건강 보험 이동성 및 책임법(HIPAA)과 건강 전보 신뢰 연합(HITRUST)의 요구사항을 준수하는 워크로드를 실행할 수 있습니다.
각 지원 제품은 다음 요구사항을 충족합니다.
- Google Cloud의 HIPAA 비즈니스 제휴 계약(BAA) 페이지 등록 요구사항
- Google Cloud HITRUST 일반 보안 프레임워크(CSF) 페이지 등록 요구사항
- Cloud KMS 고객 관리 암호화 키(CMEK) 지원
- VPC 서비스 제어 지원
- 액세스 투명성 로그 지원
- 액세스 승인 요청 지원
- 미국 위치로 제한된 저장 데이터 상주 요건 지원
추가 서비스 허용
의료 및 생명과학 제어를 위한 각 제어 패키지에는 Assured Workloads 폴더에 설정된 서비스 사용 제한(gcp.restrictServiceUsage) 조직 정책 제약조건으로 적용되는 기본 지원 서비스 구성이 포함되어 있습니다. 그러나 워크로드에 필요하면 다른 서비스를 포함하도록 제약조건 값을 수정할 수 있습니다. 자세한 내용은 워크로드의 리소스 사용 제한을 참조하세요.
허용 목록에 추가하도록 선택하는 추가 서비스는 Google Cloud HIPAA BAA 페이지 또는 Google Cloud HITRUST CSF 페이지에 등록되어 있어야 합니다.
gcp.restrictServiceUsage 제약조건을 수정하여 추가 서비스를 추가할 때 Assured Workloads 모니터링은 규정 준수 위반을 보고합니다. 이러한 위반을 제거하고 허용 목록에 추가되는 서비스에 대한 이후 알림을 방지하려면 각 위반에 대해 예외를 부여해야 합니다.
허용 목록에 서비스를 추가할 때 추가로 고려할 사항은 다음 섹션에서 설명합니다.
고객 관리 암호화 키(CMEK)
허용 목록에 서비스를 추가하려면 먼저 Cloud KMS 문서에서 호환 서비스 페이지를 검토하여 CMEK를 지원하는지 확인합니다. CMEK를 지원하지 않는 서비스를 허용하려면 Assured Workloads의 공유 책임에 설명된 대로 관련 위험을 부담해야 합니다.
CMEK를 사용할 때 더 엄격한 보안 상황을 적용하려면 Cloud KMS 문서에서 키 사용 보기 페이지를 참조하세요.
데이터 상주
허용 목록에 서비스를 추가하기 전에 데이터 상주가 제공되는 Google Cloud 서비스 페이지에 등록되어 있는지 확인합니다. 데이터 상주를 지원하지 않는 서비스를 허용하려면 Assured Workloads의 공유 책임에 설명된 대로 관련 위험을 부담해야 합니다.
VPC 서비스 제어
허용 목록에 서비스를 추가하기 전에 VPC 서비스 제어 문서에서 지원 제품 및 제한사항 페이지를 검토하여 VPC 서비스 제어에서 지원되는지 확인합니다. VPC 서비스 제어를 지원하지 않는 서비스를 허용하려면 Assured Workloads의 공유 책임에 설명된 대로 관련 위험을 부담해야 합니다.
액세스 투명성 및 액세스 승인
허용 목록에 서비스를 추가하기 전에 다음 페이지를 검토하여 액세스 투명성 로그를 기록할 수 있고 액세스 승인 요청을 지원하는지 확인합니다.
액세스 투명성 로그를 기록하지 않고 액세스 승인 요청을 지원하지 않는 서비스를 허용하려면 Assured Workloads의 공유 책임에 설명된 대로 관련 위험을 부담해야 합니다.
지원 제품 및 서비스
의료 및 생명과학 제어와 미국 지원 제어가 포함된 의료 및 생명과학 제어 패키지에서 지원되는 제품은 다음과 같습니다.
| 지원되는 제품 | 전역 API 엔드포인트 | 제한 또는 한도 |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
없음 |
| Artifact Registry |
artifactregistry.googleapis.com |
없음 |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
없음 |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
없음 |
| Binary Authorization |
binaryauthorization.googleapis.com |
없음 |
| Certificate Authority Service |
privateca.googleapis.com |
없음 |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
없음 |
| Cloud Build |
cloudbuild.googleapis.com |
없음 |
| Cloud Composer |
composer.googleapis.com |
없음 |
| Cloud Data Fusion |
datafusion.googleapis.com |
없음 |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
없음 |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
없음 |
| Cloud Data Fusion |
datafusion.googleapis.com |
없음 |
| Identity and Access Management(IAM) |
iam.googleapis.com |
없음 |
| Cloud Key Management Service(Cloud KMS) |
cloudkms.googleapis.com |
없음 |
| Cloud Logging |
logging.googleapis.com |
없음 |
| Pub/Sub |
pubsub.googleapis.com |
없음 |
| Cloud Router |
networkconnectivity.googleapis.com |
없음 |
| Cloud Run |
run.googleapis.com |
없음 |
| Spanner |
spanner.googleapis.com |
영향을 받는 기능 및 조직 정책 제약조건 |
| Cloud SQL |
sqladmin.googleapis.com |
없음 |
| Cloud Storage |
storage.googleapis.com |
없음 |
| Cloud Tasks |
cloudtasks.googleapis.com |
없음 |
| Cloud Vision API |
vision.googleapis.com |
없음 |
| Cloud VPN |
compute.googleapis.com |
없음 |
| Compute Engine |
compute.googleapis.com |
조직 정책 제약조건 |
| Contact Center AI Insights |
contactcenterinsights.googleapis.com |
없음 |
| Eventarc |
eventarc.googleapis.com |
없음 |
| Filestore |
file.googleapis.com |
없음 |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
없음 |
| Redis용 Memorystore |
redis.googleapis.com |
없음 |
| Persistent Disk |
compute.googleapis.com |
없음 |
| Secret Manager |
secretmanager.googleapis.com |
없음 |
| Sensitive Data Protection |
dlp.googleapis.com |
없음 |
| Speech-to-Text |
speech.googleapis.com |
없음 |
| Text-to-Speech |
texttospeech.googleapis.com |
없음 |
| Virtual Private Cloud(VPC) |
compute.googleapis.com |
없음 |
| VPC 서비스 제어 |
accesscontextmanager.googleapis.com |
없음 |
제한 및 한도
다음 섹션에서는 의료 및 생명과학 제어 폴더에 기본적으로 설정된 모든 조직 정책 제약조건을 포함하여 Google Cloud 전체 또는 제품 특정의 기능 제한 또는 한도에 대해 설명합니다.
Google Cloud 전체 조직 정책 제약조건
다음 조직 정책 제약조건은 적용 가능한 모든 Google Cloud 서비스에 적용됩니다.
| 조직 정책 제약조건 | 설명 |
|---|---|
gcp.resourceLocations |
allowedValues 목록의 다음 위치로 설정합니다.
|
gcp.restrictServiceUsage |
모든 지원되는 서비스를 허용하도록 설정합니다. 사용 설정할 수 있고 사용할 수 있는 서비스를 결정합니다. 자세한 내용은 워크로드의 리소스 사용 제한을 참조하세요. |
gcp.restrictTLSVersion |
다음 TLS 버전을 거부하도록 설정합니다.
|
Compute Engine
Compute Engine 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
True로 설정합니다. Google Cloud Armor 보안 정책 만들기를 사용 중지합니다. |
Spanner
영향을 받는 Spanner 기능
| 기능 | 설명 |
|---|---|
| 분할 경계 | Spanner는 기본 키와 색인이 생성된 열의 소규모 하위 집합을 사용하여 고객 데이터와 메타데이터를 포함할 수 있는 분할 경계를 정의합니다. Spanner의 분할 경계는 연속적인 행 범위가 더 작은 조각으로 분할되는 위치를 나타냅니다. 이러한 분할 경계는 기술 지원 및 디버깅 목적으로 Google 직원이 액세스할 수 있으며, 의료 및 생명과학 제어에 있는 관리 액세스 데이터 제어가 적용되지 않습니다. |
Spanner 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
True로 설정합니다. 추가 데이터 주권 및 지원 제어를 Spanner 리소스에 적용합니다. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
True로 설정합니다. 데이터 상주 및 데이터 주권을 적용하기 위해 멀티 리전 Spanner 인스턴스를 만드는 기능을 사용 중지합니다. |