Package de contrôle CJIS (Criminal Justice Information Systems)
Cette page décrit l'ensemble de commandes appliquées aux charges de travail CJIS dans Assured Workloads. Il fournit des informations détaillées sur la résidence des données, les produits Google Cloud compatibles et leurs points de terminaison d'API, ainsi que les restrictions ou limites applicables à ces produits. Les informations supplémentaires suivantes s'appliquent au CJIS:
- Résidence des données: le package de contrôle CJIS définit des contrôles sur l'emplacement des données pour n'accepter que les régions situées aux États-Unis uniquement. Pour en savoir plus, consultez la section Contraintes de règles d'administration au niveau deGoogle Cloud.
- Assistance: les services d'assistance technique pour les charges de travail CJIS sont disponibles avec les abonnements Cloud Customer Care Enhanced ou Premium. Les demandes d'assistance pour les charges de travail CJIS sont transmises aux personnes physiques américaines situées aux États-Unis et ayant fait l'objet de vérifications d'antécédents CJIS. Pour en savoir plus, consultez la section Obtenir de l'aide.
- Tarification: le package de contrôle CJIS est inclus dans le niveau Premium d'Assured Workloads, qui entraîne des frais supplémentaires de 20 %. Pour en savoir plus, consultez la page Tarifs d'Assured Workloads.
Prérequis
Pour rester conforme en tant qu'utilisateur du package de contrôle CJIS, assurez-vous de remplir les conditions préalables suivantes et de les respecter:
- Créez un dossier CJIS à l'aide d'Assured Workloads et déployez vos charges de travail CJIS uniquement dans ce dossier.
- N'activez et n'utilisez que les services CJIS concernés pour les charges de travail CJIS.
- Ne modifiez pas les valeurs par défaut des contraintes de règles d'administration, sauf si vous comprenez et acceptez les risques de résidence des données qui peuvent survenir.
- Envisagez d'adopter les bonnes pratiques de sécurité générales fournies dans le Google Cloud centre des bonnes pratiques de sécurité.
- Lorsque vous accédez à la console Google Cloud, vous pouvez utiliser la console Google Cloud juridictionnelle.
Vous n'êtes pas obligé d'utiliser la console Google Cloud juridictionnelle pour le CJIS. Vous pouvez y accéder via l'une des URL suivantes :
- console.us.cloud.google.com
- console.us.cloud.google pour les utilisateurs d'identités fédérées
Produits et points de terminaison d'API compatibles
Sauf indication contraire, les utilisateurs peuvent accéder à tous les produits compatibles via la console Google Cloud. Les restrictions ou limitations qui affectent les fonctionnalités d'un produit compatible, y compris celles qui sont appliquées via les paramètres de contrainte des règles d'administration, sont indiquées dans le tableau suivant.
Si un produit n'est pas listé, il n'est pas pris en charge et n'a pas respecté les exigences de contrôle pour le CJIS. Nous vous déconseillons d'utiliser des produits non compatibles sans faire preuve de la diligence requise et sans bien comprendre vos responsabilités dans le modèle de responsabilité partagée. Avant d'utiliser un produit non pris en charge, assurez-vous d'être conscient des risques associés et d'être prêt à les accepter, par exemple les impacts négatifs sur la résidence ou la souveraineté des données.
| Produit compatible | points de terminaison de l'API | Restrictions ou limites |
|---|---|---|
| Access Context Manager |
accesscontextmanager.googleapis.com |
Aucun |
| AlloyDB pour PostgreSQL |
alloydb.googleapis.com |
Aucun |
| Apigee |
apigee.googleapis.com |
Aucun |
| Artifact Registry |
artifactregistry.googleapis.com |
Aucun |
| BigQuery |
bigquery.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Fonctionnalités concernées |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Aucun |
| Certificate Authority Service |
privateca.googleapis.com |
Aucun |
| Cloud Build |
cloudbuild.googleapis.com |
Aucun |
| Cloud Composer |
composer.googleapis.com |
Aucun |
| Cloud DNS |
dns.googleapis.com |
Fonctionnalités concernées |
| Cloud Data Fusion |
datafusion.googleapis.com |
Aucun |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Aucun |
| Cloud HSM |
cloudkms.googleapis.com |
Aucun |
| Cloud Identity |
cloudidentity.googleapis.com |
Aucun |
| Cloud Interconnect |
compute.googleapis.com |
Fonctionnalités concernées |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Contraintes liées aux règles d'administration |
| Cloud Load Balancing |
compute.googleapis.com |
Fonctionnalités concernées |
| Cloud Logging |
logging.googleapis.com |
Fonctionnalités concernées |
| Cloud Monitoring |
monitoring.googleapis.com |
Fonctionnalités concernées |
| Cloud NAT |
compute.googleapis.com |
Fonctionnalités concernées |
| Cloud Router |
compute.googleapis.com |
Fonctionnalités concernées |
| Cloud Run |
run.googleapis.com |
Fonctionnalités concernées |
| Cloud SQL |
sqladmin.googleapis.com |
Aucun |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
Aucun |
| Cloud Storage |
storage.googleapis.com |
Aucun |
| Cloud VPN |
compute.googleapis.com |
Fonctionnalités concernées |
| API Cloud Vision |
vision.googleapis.com |
Aucun |
| Cloud Workstations |
workstations.googleapis.com |
Aucun |
| Compute Engine |
compute.googleapis.com |
Fonctionnalités concernées et contraintes liées aux règles d'administration |
| Connect |
gkeconnect.googleapis.com |
Aucun |
| Sensitive Data Protection |
dlp.googleapis.com |
Aucun |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Aucun |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Aucun |
| Filestore |
file.googleapis.com |
Aucun |
| Firestore |
firestore.googleapis.com |
Aucun |
| GKE Hub |
gkehub.googleapis.com |
Aucun |
| Service d'identité GKE |
anthosidentityservice.googleapis.com |
Aucun |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Fonctionnalités concernées |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Aucun |
| Console d'administration Google |
N/A |
Aucun |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Aucun |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Aucun |
| Memorystore pour Redis |
redis.googleapis.com |
Aucun |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Fonctionnalités concernées |
| Persistent Disk |
compute.googleapis.com |
Aucun |
| Pub/Sub |
pubsub.googleapis.com |
Aucun |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Aucun |
| Secret Manager |
secretmanager.googleapis.com |
Aucun |
| Spanner |
spanner.googleapis.com |
Contraintes liées aux règles d'administration |
| Speech-to-Text |
speech.googleapis.com |
Fonctionnalités concernées |
| Service de transfert de stockage |
storagetransfer.googleapis.com |
Aucun |
| Text-to-Speech |
texttospeech.googleapis.com |
Aucun |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Aucun |
| Vertex AI Search |
discoveryengine.googleapis.com |
Fonctionnalités concernées |
| Vertex AI Workbench |
notebooks.googleapis.com |
Aucun |
| Cloud privé virtuel (VPC) |
compute.googleapis.com |
Aucun |
Restrictions et limitations
Les sections suivantes décrivent les restrictions ou limites pour les fonctionnalités, y compris les contraintes de règles d'administration définies par défaut sur les dossiers CJIS. Google CloudD'autres contraintes de règles d'administration applicables, même si elles ne sont pas définies par défaut, peuvent fournir une défense en profondeur supplémentaire pour mieux protéger les ressources de votre organisation. Google Cloud
Google Cloudde large
Fonctionnalités Google Cloudconcernées
| Fonctionnalité | Description |
|---|---|
| Console Google Cloud | Pour accéder à la console Google Cloud lorsque vous utilisez le package de contrôle CJIS, vous pouvez utiliser la console Google Cloud juridictionnelle. La console Google Cloud juridictionnelle n'est pas requise pour le CJIS. Vous pouvez y accéder à l'aide de l'une des URL suivantes:
|
Contraintes liées aux règles d'administration au niveau deGoogle Cloud
Les contraintes de règles d'administration suivantes s'appliquent à l'ensemble de Google Cloud.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez les emplacements suivants dans la liste allowedValues :
|
gcp.restrictCmekCryptoKeyProjects |
Défini sur under:organizations/your-organization-name, qui correspond à votre organisation Assured Workloads. Vous pouvez également restreindre davantage cette valeur en spécifiant un projet ou un dossier.Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés Cloud KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou projets non approuvés de fournir des clés de chiffrement, ce qui permet de garantir la souveraineté des données pour les données au repos des services concernés. |
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). CMEK permet de chiffrer les données au repos avec une clé gérée par vous, et non avec les mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées par la clé que vous avez fournie. |
gcp.restrictServiceUsage |
Définissez cette valeur pour autoriser tous les produits et points de terminaison d'API compatibles. Détermine les services pouvant être activés et utilisés. Pour en savoir plus, consultez la section Limiter l'utilisation des ressources. |
gcp.restrictTLSVersion |
Définissez la valeur sur "deny" pour les versions TLS suivantes:
|
BigQuery
Fonctionnalités BigQuery concernées
| Fonctionnalité | Description |
|---|---|
| Activer BigQuery sur un nouveau dossier | BigQuery est compatible, mais il n'est pas automatiquement activé lorsque vous créez un dossier de charges de travail assurées en raison d'un processus de configuration interne. Cette procédure se termine normalement en 10 minutes, mais peut prendre beaucoup plus de temps dans certains cas. Pour vérifier si le processus est terminé et pour activer BigQuery, procédez comme suit:
Une fois le processus d'activation terminé, vous pouvez utiliser BigQuery dans votre dossier Assured Workloads. Gemini dans BigQuery n'est pas compatible avec Assured Workloads. |
| Fonctionnalités non compatibles | Les fonctionnalités BigQuery suivantes ne sont pas compatibles et ne doivent pas être utilisées dans la CLI BigQuery. Il vous incombe de ne pas les utiliser dans BigQuery pour Assured Workloads.
|
| ICL BigQuery | La CLI BigQuery est prise en charge.
|
| SDK Google Cloud | Vous devez utiliser le SDK Google Cloud version 403.0.0 ou ultérieure pour conserver les garanties de régionalisation des données pour les données techniques. Pour vérifier votre version actuelle du SDK Google Cloud, exécutez gcloud --version, puis gcloud components update pour passer à la dernière version.
|
| Commandes d'administration | BigQuery désactive les API non compatibles, mais les administrateurs disposant d'autorisations suffisantes pour créer un dossier de charges de travail assurées peuvent activer une API non compatible. Dans ce cas, vous serez averti d'un éventuel non-respect via le tableau de bord de surveillance Assured Workloads. |
| Charger des données | Les connecteurs du service de transfert de données BigQuery pour les applications SaaS (Software as a Service) de Google, les fournisseurs de stockage cloud externes et les entrepôts de données ne sont pas compatibles. Il est de votre responsabilité de ne pas utiliser les connecteurs du service de transfert de données BigQuery pour les charges de travail CJIS. |
| Transferts tiers | BigQuery ne vérifie pas la compatibilité des transferts tiers avec le service de transfert de données BigQuery. Il est de votre responsabilité de vérifier la prise en charge lorsque vous utilisez un transfert tiers pour le service de transfert de données BigQuery. |
| Modèles BQML non conformes | Les modèles BQML entraînés en externe ne sont pas acceptés. |
| Tâches de requête | Les tâches de requête ne doivent être créées que dans des dossiers Assured Workloads. |
| Requêtes sur des ensembles de données dans d'autres projets | BigQuery n'empêche pas les ensembles de données Assured Workloads d'être interrogés à partir de projets non Assured Workloads. Vous devez vous assurer que toute requête comportant une lecture ou une jointure sur des données Assured Workloads est placée dans un dossier Assured Workloads. Vous pouvez spécifier un nom de table complet pour le résultat de la requête à l'aide de projectname.dataset.table dans la CLI BigQuery.
|
| Cloud Logging | BigQuery utilise Cloud Logging pour certaines de vos données de journaux. Pour respecter la conformité, vous devez désactiver vos buckets de journalisation _default ou les limiter aux régions concernées à l'aide de la commande suivante:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Pour en savoir plus, consultez la section Régionaliser vos journaux. _default
|
Compute Engine
Fonctionnalités Compute Engine concernées
| Fonctionnalité | Description |
|---|---|
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité sur la souveraineté et la résidence des données.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK pour le moment. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité sur la souveraineté et la résidence des données.
|
| Environnement invité | Les scripts, les daemons et les binaires inclus avec l'environnement invité peuvent accéder aux données au repos et en cours d'utilisation non chiffrées. Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et plus encore de chaque package, consultez la section Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et des processus de sécurité internes. Toutefois, si vous souhaitez un contrôle supplémentaire, vous pouvez également sélectionner vos propres images ou agents, et éventuellement utiliser la contrainte de règle d'administration compute.trustedImageProjects.
Pour en savoir plus, consultez la page Créer une image personnalisée. |
instances.getSerialPortOutput()
|
Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès à un projet.
|
instances.getScreenshot() |
Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de la section Activer l'accès à un projet.
|
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Défini sur True. Désactive la création de nouvelles stratégies de sécurité Google Cloud Armor globales, ainsi que l'ajout ou la modification de règles à ces stratégies globales existantes. Cette contrainte n'empêche pas la suppression de règles, ni la possibilité de supprimer ou de modifier la description et la liste des stratégies de sécurité Google Cloud Armor globales. Cette contrainte n'a aucune incidence sur les stratégies de sécurité Google Cloud Armor régionales. Toutes les stratégies de sécurité globales et régionales qui existaient avant l'application de cette contrainte restent en vigueur. |
compute.disableInstanceDataAccessApis
| Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot().L'activation de cette contrainte vous empêche de générer des identifiants sur des VM Windows Server. Si vous devez gérer un nom d'utilisateur et un mot de passe sur une VM Windows, procédez comme suit :
|
compute.restrictNonConfidentialComputing |
(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour renforcer la défense en profondeur. Pour en savoir plus, consultez la documentation sur Confidential VM. |
compute.trustedImageProjects |
(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour renforcer la défense en profondeur.
Définir cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés. |
Cloud Interconnect
Fonctionnalités Cloud Interconnect concernées
| Fonctionnalité | Description |
|---|---|
| VPN haute disponibilité | Vous devez activer la fonctionnalité VPN haute disponibilité (HA) lorsque vous utilisez Cloud Interconnect avec Cloud VPN. En outre, vous devez respecter les exigences de chiffrement et de régionalisation indiquées dans la section Fonctionnalités Cloud VPN concernées. |
Cloud KMS
Contraintes liées aux règles d'administration Cloud KMS
| Contrainte liée aux règles d'administration | Description |
|---|---|
cloudkms.allowedProtectionLevels |
Définissez cette valeur pour autoriser la création de clés CryptoKeys Cloud Key Management Service avec les niveaux de protection suivants:
|
Cloud Logging
Fonctionnalités Cloud Logging concernées
| Fonctionnalité | Description |
|---|---|
| Récepteurs de journaux | Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres qui sont stockés en tant que configuration. Ne créez pas de filtres contenant des données client. |
| Affichage en direct des dernières lignes des entrées de journal | Les filtres ne doivent pas contenir de données client. Une session de suivi en direct inclut un filtre stocké en tant que configuration. Les journaux de suivi ne stockent aucune donnée d'entrée de journal, mais peuvent interroger et transmettre des données entre les régions. Ne créez pas de filtres contenant des données client. |
Cloud Monitoring
Fonctionnalités Cloud Monitoring concernées
| Fonctionnalité | Description |
|---|---|
| Surveillance synthétique | Cette fonctionnalité est désactivée. |
| Tests de disponibilité | Cette fonctionnalité est désactivée. |
| Widgets du panneau des journaux dans les tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de journal à un tableau de bord. |
| Widgets du panneau Error Reporting dans Tableaux de bord | Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter de panneau de signalement d'erreurs à un tableau de bord. |
Filtrer dans EventAnnotation pour Tableaux de bord
|
Cette fonctionnalité est désactivée. Filtre de EventAnnotation
ne peut pas être défini dans un tableau de bord.
|
SqlCondition
dans alertPolicies
|
Cette fonctionnalité est désactivée. Vous ne pouvez pas ajouter un SqlCondition à un alertPolicy.
|
Cloud Run
Fonctionnalités Cloud Run concernées
| Fonctionnalité | Description |
|---|---|
| Fonctionnalités non compatibles | Les fonctionnalités Cloud Run suivantes ne sont pas acceptées: |
Cloud VPN
Fonctionnalités Cloud VPN concernées
| Fonctionnalité | Description |
|---|---|
| Points de terminaison VPN | Vous ne devez utiliser que des points de terminaison Cloud VPN situés aux États-Unis. Assurez-vous que votre passerelle VPN est configurée pour être utilisée dans une région des États-Unis uniquement. |
Google Cloud Armor
Fonctionnalités Google Cloud Armor concernées
| Fonctionnalité | Description |
|---|---|
| Règles de sécurité à portée globale | Cette fonctionnalité est désactivée par la contrainte de règle d'administration compute.disableGlobalCloudArmorPolicy.
|
Spanner
Contraintes liées aux règles d'administration de Spanner
| Contrainte liée aux règles d'administration | Description |
|---|---|
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Défini sur True. Désactive la possibilité de créer des instances Spanner multirégionales pour appliquer la résidence des données et la souveraineté des données. |
Speech-to-Text
Fonctionnalités Speech-to-Text concernées
| Fonctionnalité | Description |
|---|---|
| Modèles Speech-to-Text personnalisés | Il vous incombe de ne pas utiliser de modèles Speech-to-Text personnalisés, car ils ne sont pas conformes au CJIS. |
Vertex AI Search
Fonctionnalités Vertex AI Search concernées
| Fonctionnalité | Description |
|---|---|
| Optimisation de la recherche | Il est de votre responsabilité de ne pas utiliser la fonctionnalité de réglage de la recherche Vertex AI Search, car elle n'est pas conforme au CJIS. |
| Recommandations génériques | Il est de votre responsabilité de ne pas utiliser la fonctionnalité de recommandations génériques de Vertex AI Search, car elle n'est pas conforme au CJIS. |
| Recommandations de médias | Il est de votre responsabilité de ne pas utiliser la fonctionnalité de recommandations de contenus multimédias de Vertex AI Search, car elle n'est pas conforme au CJIS. |
Étape suivante
- Découvrez comment créer un dossier Assured Workloads.
- Comprendre la tarification d'Assured Workloads