与医疗保健和生命相关的限制和限制 科学控制功能
本页将介绍相关限制、局限性 选项。 Life Sciences Controls 包含美国支持控制套餐。
概览
借助“医疗保健与生命科学控件”和“医疗保健与生命科学控件以及美国支持”控制包,您可以运行符合《健康保险流通与责任法案》(HIPAA) 和健康信息信任联盟 (HITRUST) 要求的工作负载。
每款受支持的产品都符合以下要求:
- 已列在 Google Cloud 的 HIPAA 业务伙伴协议 (BAA) 页面上
- 上架日期 Google Cloud 的 HITRUST 通用安全框架 (CSF) 页面
- 支持 Cloud KMS 客户管理的加密密钥 (CMEK)
- 支持 VPC Service Controls
- 支持 Access Transparency 日志
- 支持 Access Approval 请求
- 支持静态数据驻留(仅限美国位置)
允许使用其他服务
每个医疗保健和生命科学控件控制包都有一个默认的
支持的服务配置,该配置由
限制服务使用
(gcp.restrictServiceUsage) 为您的
Assured Workloads 文件夹。不过,您可以修改此限制条件的
以包含其他服务(如果您的工作负载需要这些服务)。如需了解详情,请参阅限制工作负载的资源使用量。
您选择添加到许可名单中的任何其他服务都必须在 Google Cloud 的 HIPAA BAA 页面或 Google Cloud 的 HITRUST CSF 页面上列出。
当您通过修改 gcp.restrictServiceUsage 来添加其他服务时
限制条件,则 Assured Workloads 监控将报告合规性
违规行为。解除这些违规问题,避免日后再次收到有关以下内容的通知:
添加到许可名单的服务,则必须
授予例外情况
。
以下部分介绍了将服务添加到许可名单时的其他注意事项。
客户管理的加密密钥 (CMEK)
在将服务添加到许可名单之前,请通过以下方法验证该服务是否支持 CMEK 如需查看兼容的服务页面,请参阅 Cloud KMS 文档。如果您想允许某项服务 支持 CMEK,则您是否可以接受如下文所述的相关风险 Assured Workloads 中的共担责任。
如果您想在使用 CMEK 时强制执行更严格的安全状态,请参阅 Cloud KMS 文档中的查看密钥使用情况页面。
数据驻留
在将服务添加到许可名单之前,请确认该服务已列在 具有数据驻留的 Google Cloud 服务页面。 如果您想允许使用不支持数据驻留的服务, 选择接受下文所述的相关风险, Assured Workloads 中的共担责任。
VPC Service Controls
在将服务添加到许可名单之前,请参阅 VPC Service Controls 文档中的支持的产品和限制页面,验证该服务是否受 VPC Service Controls 支持。如果您想允许不支持 VPC Service Controls 的服务,可以选择接受相关风险,如Assured Workloads 中的共同责任中所述。
Access Transparency 和 Access Approval
在将服务添加到许可名单之前,验证该服务是否可以写入 Access Transparency 通过查看以下内容来记录并支持 Access Approval 请求 页面:
如果您想允许不写入 Access Transparency 日志且不支持访问权限审批请求的服务,则可以选择接受“可确保的工作负载”中的共同责任中所述的相关风险。
支持的产品和服务
医疗保健与生命科学控件和医疗保健与生命科学控件以及美国支持控件软件包支持以下产品:
| 支持的产品 | 全球 API 端点 | 限制 |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
无 |
| Artifact Registry |
artifactregistry.googleapis.com |
无 |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
无 |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
无 |
| Binary Authorization |
binaryauthorization.googleapis.com |
无 |
| 证书授权机构服务 |
privateca.googleapis.com |
无 |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
无 |
| Cloud Build |
cloudbuild.googleapis.com |
无 |
| Cloud Composer |
composer.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
无 |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
无 |
| Cloud Data Fusion |
datafusion.googleapis.com |
无 |
| Identity and Access Management (IAM) |
iam.googleapis.com |
无 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
无 |
| Cloud Logging |
logging.googleapis.com |
无 |
| Pub/Sub |
pubsub.googleapis.com |
无 |
| Cloud Router 路由器 |
networkconnectivity.googleapis.com |
无 |
| Cloud Run |
run.googleapis.com |
无 |
| Spanner |
spanner.googleapis.com |
受影响的功能 和组织政策限制条件 |
| Cloud SQL |
sqladmin.googleapis.com |
无 |
| Cloud Storage |
storage.googleapis.com |
无 |
| Cloud Tasks |
cloudtasks.googleapis.com |
无 |
| Cloud Vision API |
vision.googleapis.com |
无 |
| Cloud VPN |
compute.googleapis.com |
无 |
| Compute Engine |
compute.googleapis.com |
组织政策限制条件 |
| Contact Center AI Insights |
contactcenterinsights.googleapis.com |
无 |
| Eventarc |
eventarc.googleapis.com |
无 |
| Filestore |
file.googleapis.com |
无 |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
无 |
| Memorystore for Redis |
redis.googleapis.com |
无 |
| 永久性磁盘 |
compute.googleapis.com |
无 |
| Secret Manager |
secretmanager.googleapis.com |
无 |
| 敏感数据保护 |
dlp.googleapis.com |
无 |
| Speech-to-Text |
speech.googleapis.com |
无 |
| Text-to-Speech |
texttospeech.googleapis.com |
无 |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
无 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
无 |
限制和局限
以下部分介绍了适用于所有 Google Cloud 产品或特定于产品的 Google Cloud 产品 功能限制,包括任何组织政策 医疗保健和生命科学控制中默认设置的限制 文件夹中。
整个 Google Cloud 的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
| 组织政策限制条件 | 说明 |
|---|---|
gcp.resourceLocations |
请设置为 allowedValues 列表中的以下位置:
|
gcp.restrictServiceUsage |
设置为允许使用所有支持的服务。 决定可以启用和使用哪些服务。如需了解详情,请参阅限制工作负载的资源使用量。 |
gcp.restrictTLSVersion |
设置为拒绝以下 TLS 版本:
|
Compute Engine
Compute Engine 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
设置为 True。 禁止创建 Google Cloud Armor 安全政策。 |
Spanner
受影响的 Spanner 功能
| 特征 | 说明 |
|---|---|
| 分屏边界 | Spanner 使用主键和编入索引的列的一小部分来定义分块边界,其中可能包含客户数据和元数据。Spanner 中的分块边界表示连续行范围被拆分为较小部分的位置。 Google 技术人员可以查看这些分块边界 用于支持和调试目的,并且不受管理 访问 Healthcare and Life Sciences Controls 中的数据控件。 |
Spanner 组织政策限制条件
| 组织政策限制条件 | 说明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
设置为 True。 对 Spanner 资源应用额外的数据主权和可支持性控制。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
设置为 True。 停用了创建多区域 Spanner 实例以强制执行数据驻留和数据主权的功能。 |