Paquete de control de los sistemas de información de la justicia criminal (CJIS)
En esta página, se describe el conjunto de controles que se aplican a las cargas de trabajo de CJIS en Assured Workloads. Proporciona información detallada sobre la residencia de datos, los productos Google Cloud compatibles y sus extremos de API, y cualquier restricción o limitación aplicable a esos productos. La siguiente información adicional se aplica a la CJI:
- Residencia de datos: El paquete de control de CJIS establece controles de ubicación de datos para admitir regiones solo de EE.UU.. Consulta la sección restricciones de las políticas de la organización deGoogle Cloud para obtener más información.
- Asistencia: Los servicios de asistencia técnica para cargas de trabajo de CJIS están disponibles con las suscripciones a Atención al cliente de Cloud mejoradas o premium. Los casos de asistencia de cargas de trabajo de CJIS se dirigen a personas físicas o jurídicas de EE.UU. que se encuentran en ese país y que hayan completado las verificaciones de antecedentes de CJIS. Para obtener más información, consulta Obtén asistencia.
- Precios: El paquete de control de CJIS se incluye en el nivel Premium de Assured Workloads, que genera un cargo adicional del 20%. Consulta los precios de Assured Workloads para obtener más información.
Requisitos previos
Para mantener el cumplimiento como usuario del paquete de control de CJIS, asegúrate de cumplir con los siguientes requisitos previos y respetarlos:
- Crea una carpeta de CJIS con Assured Workloads y implementa tus cargas de trabajo de CJIS solo en esa carpeta.
- Habilita y usa solo servicios de CJIS dentro del alcance para las cargas de trabajo de CJIS.
- No cambies los valores predeterminados de las restricciones de la política de la organización, a menos que comprendas y estés dispuesto a aceptar los riesgos de residencia de datos que puedan ocurrir.
- Considera adoptar las prácticas recomendadas de seguridad generales que se proporcionan en el Google Cloud Centro de prácticas recomendadas de seguridad.
- Cuando accedes a la consola de Google Cloud, tienes la opción de usar la consola jurisdiccional de Google Cloud.
No es necesario que uses la consola jurisdiccional de Google Cloud para la CJI. Se puede acceder a él en una de las siguientes URLs:
- console.us.cloud.google.com
- console.us.cloud.google para usuarios de identidad federada
Productos y extremos de API compatibles
A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos compatibles a través de la consola de Google Cloud. En la siguiente tabla, se enumeran las restricciones o limitaciones que afectan las funciones de un producto compatible, incluidas las que se aplican a través de la configuración de restricciones de la política de la organización.
Si un producto no aparece en la lista, significa que no es compatible y no cumple con los requisitos de control de la CJIS. No se recomienda el uso de productos no compatibles sin la diligencia debida y una comprensión clara de tus responsabilidades en el modelo de responsabilidad compartida. Antes de usar un producto no compatible, asegúrate de conocer y aceptar los riesgos asociados, como los impactos negativos en la residencia o soberanía de los datos.
| Producto compatible | extremos de API | Restricciones o limitaciones |
|---|---|---|
| Access Context Manager |
accesscontextmanager.googleapis.com |
Ninguno |
| Transparencia de acceso |
accessapproval.googleapis.com |
Ninguno |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
Ninguno |
| Apigee |
apigee.googleapis.com |
Ninguno |
| Artifact Registry |
artifactregistry.googleapis.com |
Ninguno |
| BigQuery |
bigquery.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funciones afectadas |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Ninguno |
| Certificate Authority Service |
privateca.googleapis.com |
Ninguno |
| Cloud Build |
cloudbuild.googleapis.com |
Ninguno |
| Cloud Composer |
composer.googleapis.com |
Ninguno |
| Cloud DNS |
dns.googleapis.com |
Funciones afectadas |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Ninguno |
| Cloud HSM |
cloudkms.googleapis.com |
Ninguno |
| Cloud Identity |
cloudidentity.googleapis.com |
Ninguno |
| Cloud Interconnect |
compute.googleapis.com |
Funciones afectadas |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Restricciones de las políticas de la organización |
| Cloud Load Balancing |
compute.googleapis.com |
Funciones afectadas |
| Cloud Logging |
logging.googleapis.com |
Funciones afectadas |
| Cloud Monitoring |
monitoring.googleapis.com |
Funciones afectadas |
| Cloud NAT |
compute.googleapis.com |
Funciones afectadas |
| API de Cloud OS Login |
oslogin.googleapis.com |
Ninguno |
| Cloud Router |
compute.googleapis.com |
Funciones afectadas |
| Cloud Run |
run.googleapis.com |
Funciones afectadas |
| Cloud SQL |
sqladmin.googleapis.com |
Ninguno |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
Ninguno |
| Cloud Storage |
storage.googleapis.com |
Ninguno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Ninguno |
| Cloud VPN |
compute.googleapis.com |
Funciones afectadas |
| API de Cloud Vision |
vision.googleapis.com |
Ninguno |
| Cloud Workstations |
workstations.googleapis.com |
Ninguno |
| Compute Engine |
compute.googleapis.com |
Funciones afectadas y restricciones de las políticas de la organización |
| Connect |
gkeconnect.googleapis.com |
Ninguno |
| Sensitive Data Protection |
dlp.googleapis.com |
Ninguno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Ninguno |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Ninguno |
| Eventarc |
eventarc.googleapis.com |
Ninguno |
| Filestore |
file.googleapis.com |
Ninguno |
| Reglas de seguridad de Firebase |
firebaserules.googleapis.com |
Ninguno |
| Firestore |
firestore.googleapis.com |
Ninguno |
| GKE Hub |
gkehub.googleapis.com |
Ninguno |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
Ninguno |
| IA generativa en Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Funciones afectadas |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Ninguno |
| Consola del administrador de Google |
N/A |
Ninguno |
| Administración de identidades y accesos (IAM) |
iam.googleapis.com |
Ninguno |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Ninguno |
| Memorystore para Redis |
redis.googleapis.com |
Ninguno |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Funciones afectadas |
| Persistent Disk |
compute.googleapis.com |
Ninguno |
| Pub/Sub |
pubsub.googleapis.com |
Ninguno |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Ninguno |
| Secret Manager |
secretmanager.googleapis.com |
Ninguno |
| Spanner |
spanner.googleapis.com |
Restricciones de las políticas de la organización |
| Speech-to-Text |
speech.googleapis.com |
Funciones afectadas |
| Servicio de transferencia de almacenamiento |
storagetransfer.googleapis.com |
Ninguno |
| Text-to-Speech |
texttospeech.googleapis.com |
Ninguno |
| Controles del servicio de VPC |
accesscontextmanager.googleapis.com |
Ninguno |
| Vertex AI Search |
discoveryengine.googleapis.com |
Funciones afectadas |
| Vertex AI Workbench |
notebooks.googleapis.com |
Ninguno |
| Nube privada virtual (VPC) |
compute.googleapis.com |
Ninguno |
Restricciones y limitaciones
En las siguientes secciones, se describen las restricciones o limitaciones de las funciones de Google Cloudo específicas del producto, incluidas las restricciones de las políticas de la organización que se establecen de forma predeterminada en las carpetas de CJIS. Otras restricciones aplicables de la política de la organización, incluso si no se establecen de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos Google Cloud de tu organización.
Ancho deGoogle Cloud
Funciones de Google Cloudafectadas
| Función | Descripción |
|---|---|
| Consola de Google Cloud | Para acceder a la consola de Google Cloud cuando usas el paquete de control de CJIS,
tienes la opción de usar la consola de Google Cloud jurisdiccional. No se requiere la consola de Google Cloud jurisdiccional para los CJIS, y se puede acceder a ella con una de las siguientes URLs:
|
Restricciones de las políticas de la organización enGoogle Cloud
Las siguientes restricciones de la política de la organización se aplican a Google Cloud.
| Restricción de las políticas de la organización | Descripción |
|---|---|
gcp.resourceLocations |
Establece las siguientes ubicaciones en la lista allowedValues:
Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con las políticas. |
gcp.restrictCmekCryptoKeyProjects |
Establece el valor en under:organizations/your-organization-name, que es tu
organización de Assured Workloads. Puedes restringir aún más este valor si especificas un proyecto o una carpeta.Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de Cloud KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance. |
gcp.restrictNonCmekServices |
Se establece en una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes:
Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). CMEK permite que los datos en reposo se encripten con una clave administrada por ti, no los mecanismos de encriptación predeterminados de Google. Si cambias este valor mediante la eliminación de uno o más servicios dentro del alcance de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente mediante las claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste. |
gcp.restrictServiceUsage |
Se establece para permitir todos los productos y extremos de API compatibles. Determina qué servicios se pueden usar mediante la restricción del acceso del entorno de ejecución a sus recursos. Para obtener más información, consulta Restringe el uso de recursos. |
gcp.restrictTLSVersion |
Se establece para denegar las siguientes versiones de TLS:
|
BigQuery
Funciones de BigQuery afectadas
| Función | Descripción |
|---|---|
| Habilita BigQuery en una carpeta nueva | BigQuery es compatible, pero no se habilita automáticamente cuando creas una nueva
carpeta de cargas de trabajo aseguradas debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta Assured Workloads. Gemini en BigQuery no es compatible con Assured Workloads. |
| Características no compatibles | Las siguientes funciones de BigQuery no son compatibles y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para cargas de trabajo seguras.
|
| CLI de BigQuery | Se admite la CLI de BigQuery.
|
| SDK de Google Cloud | Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos para los datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
|
| Controles del administrador | BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de cargas de trabajo garantizadas pueden habilitar una API no compatible. Si esto ocurre, se te notificará sobre un posible incumplimiento a través del panel de supervisión de Assured Workloads. |
| Carga datos | No se admiten los conectores del Servicio de transferencia de datos de BigQuery para apps de software de Google como servicio (SaaS), proveedores externos de almacenamiento en la nube y almacenes de datos. Es su responsabilidad no usar los conectores del Servicio de transferencia de datos de BigQuery para cargas de trabajo de CJIS. |
| Transferencias de terceros | BigQuery no verifica la compatibilidad con transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad verificar la compatibilidad cuando uses cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery. |
| Modelos de BQML no conformes | No se admiten los modelos de BQML entrenados de forma externa. |
| Trabajos de consulta | Las tareas de consulta solo deben crearse dentro de las carpetas de Assured Workloads. |
| Consultas en conjuntos de datos de otros proyectos | BigQuery no impide que se consulten conjuntos de datos de cargas de trabajo garantizadas desde proyectos que no son de cargas de trabajo garantizadas. Debes asegurarte de que cualquier consulta que tenga una
operación de lectura o unión en los datos de Assured Workloads se coloque en una
carpeta de Assured Workloads. Puedes especificar un nombre de tabla completamente calificado para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
|
| Cloud Logging | BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Para mantener el cumplimiento, debes inhabilitar tus buckets de registro _default o restringir los buckets _default a regiones dentro del alcance con el siguiente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Consulta Regionaliza los registros para obtener más información. |
Compute Engine
Funciones de Compute Engine afectadas
| Función | Descripción |
|---|---|
| Suspende y reanuda una instancia de VM | Se inhabilitó esta función. La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar mediante el uso de CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
|
| SSD locales | Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque, por el momento, no se pueden encriptar mediante CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
|
| Entorno huésped | Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a cumplir con la soberanía de los datos mediante procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización compute.trustedImageProjects.
Consulta la página Cómo compilar una imagen personalizada para obtener más información. |
instances.getSerialPortOutput()
|
Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Cómo habilitar el acceso a un proyecto.
|
instances.getScreenshot() |
Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Habilita el acceso a un proyecto.
|
Restricciones de las políticas de la organización de Compute Engine
| Restricción de las políticas de la organización | Descripción |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Configurado como True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad globales de Google Cloud Armor existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes. |
compute.disableInstanceDataAccessApis
| Configurado como True. Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot().Si habilitas esta restricción, no podrás generar credenciales en VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
|
compute.restrictNonConfidentialComputing |
(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información. |
compute.trustedImageProjects |
(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional.
Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados. |
Cloud Interconnect
Funciones de Cloud Interconnect afectadas
| Función | Descripción |
|---|---|
| VPN con alta disponibilidad (HA) | Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en la sección Funciones de Cloud VPN afectadas. |
Cloud KMS
Restricciones de las políticas de la organización de Cloud KMS
| Restricción de las políticas de la organización | Descripción |
|---|---|
cloudkms.allowedProtectionLevels |
Se configuró para permitir la creación de CryptoKeys de Cloud Key Management Service con los siguientes niveles de protección:
|
Cloud Logging
Funciones de Cloud Logging afectadas
| Función | Descripción |
|---|---|
| Receptores de registros | Los filtros no deben contener datos del cliente. Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos de clientes. |
| Entradas de registro de transmisión de registros en tiempo real | Los filtros no deben contener datos del cliente. Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos del cliente. |
Cloud Monitoring
Funciones de Cloud Monitoring afectadas
| Función | Descripción |
|---|---|
| Monitor sintético | Se inhabilitó esta función. |
| Verificaciones de tiempo de actividad | Se inhabilitó esta función. |
| Widgets del panel de registros en Paneles de control | Se inhabilitó esta función. No puedes agregar un panel de registro a un panel. |
| Widgets del panel de informes de errores en Paneles | Se inhabilitó esta función. No puedes agregar un panel de informes de errores a un panel. |
Filtra en
EventAnnotation
por Paneles.
|
Se inhabilitó esta función. No se puede configurar el filtro de EventAnnotation
en un panel.
|
SqlCondition
en alertPolicies
|
Se inhabilitó esta función. No puedes agregar un SqlCondition
a un
alertPolicy.
|
Cloud Run
Funciones de Cloud Run afectadas
| Función | Descripción |
|---|---|
| Características no compatibles | No se admiten las siguientes funciones de Cloud Run: |
Cloud VPN
Funciones de Cloud VPN afectadas
| Función | Descripción |
|---|---|
| Extremos de VPN | Solo debes usar los extremos de Cloud VPN que se encuentran en EE.UU. Asegúrate de que la puerta de enlace de VPN esté configurada solo para usarse en una región de EE.UU. |
Google Cloud Armor
Funciones de Google Cloud Armor afectadas
| Función | Descripción |
|---|---|
| Políticas de seguridad con alcance global | La restricción de la política de la organización compute.disableGlobalCloudArmorPolicy
inhabilita esta función.
|
Spanner
Restricciones de la política de la organización de Spanner
| Restricción de las políticas de la organización | Descripción |
|---|---|
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Configurado como True. Inhabilita la capacidad de crear instancias de Spanner multirregionales para aplicar la residencia de datos y la soberanía de los datos. |
Speech-to-Text
Funciones de Speech-to-Text afectadas
| Función | Descripción |
|---|---|
| Modelos personalizados de voz a texto | Es tu responsabilidad no usar modelos personalizados de Speech-to-Text porque no cumplen con la CJIS. |
Vertex AI Search
Funciones de Vertex AI Search afectadas
| Función | Descripción |
|---|---|
| Ajuste de la búsqueda | Es su responsabilidad no usar la función de ajuste de búsqueda de Vertex AI Search porque no cumple con la CJIS. |
| Recomendaciones genéricas | Es su responsabilidad no usar la función de recomendaciones genéricas de Vertex AI Search porque no cumple con la CJIS. |
| Recomendaciones de contenido multimedia | Es su responsabilidad no usar la función de recomendaciones de contenido multimedia de Vertex AI Search porque no cumple con la CJIS. |
¿Qué sigue?
- Obtén información para crear una carpeta de Assured Workloads.
- Comprende los precios de Assured Workloads