Límite de datos de la publicación 1075 del IRS
En esta página se describe el conjunto de controles que se aplican en el límite de datos para las cargas de trabajo de la sección 1075 del IRS en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos Google Cloud compatibles y sus endpoints de API, así como las restricciones o limitaciones aplicables a esos productos. La siguiente información adicional se aplica a la frontera de datos de la publicación 1075 del IRS:
- Residencia de datos: el paquete de controles de la norma IRS 1075 establece controles de ubicación de datos para admitir solo regiones de EE. UU. Consulta la sección Restricciones de las políticas de toda la organización deGoogle Cloud para obtener más información.
Asistencia: los servicios de asistencia técnica para cargas de trabajo de Data Boundary para IRS 1075 están disponibles con las suscripciones Enhanced o Premium de Cloud Customer Care. Los casos de asistencia de cargas de trabajo de Data Boundary para la publicación 1075 del IRS se derivan a personas de EE. UU. que se encuentran en el país y que han completado las comprobaciones de antecedentes del CJIS basadas en huellas dactilares, las comprobaciones de las autoridades competentes a nivel estatal y la verificación de la ciudadanía. Para obtener más información, consulta el artículo Obtener asistencia.
Precios: el paquete de control de la frontera de datos de la sección 1075 del IRS se incluye en el nivel Premium de Assured Workloads, que conlleva un cargo adicional del 20 %. Consulta los precios de Assured Workloads para obtener más información.
Requisitos previos
Para seguir cumpliendo los requisitos como usuario del paquete de control de la frontera de datos de la Circular 1075 del IRS, comprueba que cumples los siguientes requisitos previos:
- Crea una carpeta de Data Boundary para IRS 1075 con Assured Workloads y despliega tus cargas de trabajo de Data Boundary para IRS 1075 solo en esa carpeta.
- Habilita y usa solo el límite de datos incluido en el ámbito de los servicios de la publicación 1075 del IRS para las cargas de trabajo del límite de datos de la publicación 1075 del IRS.
- No cambies los valores predeterminados de las restricciones de la política de la organización, a menos que entiendas y aceptes los riesgos de residencia de datos que puedan producirse.
- Te recomendamos que adoptes las prácticas recomendadas de seguridad generales que se indican en el Google Cloud centro de prácticas recomendadas de seguridad.
- Cuando accedas a la Google Cloud consola, podrás usar la
consola de jurisdicción Google Cloud .
No es obligatorio usar la consola Jurisdictional Google Cloud para la frontera de datos de la norma IRS 1075. Se puede acceder a ella a través de una de las siguientes URLs:
- console.us.cloud.google.com
- console.us.cloud.google para usuarios con identidad federada
Productos y endpoints de API admitidos
A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos admitidos a través de la consola de Google Cloud . En la siguiente tabla se indican las restricciones o limitaciones que afectan a las funciones de un producto admitido, incluidas las que se aplican mediante los ajustes de restricciones de la política de la organización.
Si un producto no aparece en la lista, significa que no se admite y que no cumple los requisitos de control de la frontera de datos de la Circular 1075 del IRS. No se recomienda usar productos no admitidos sin haber tomado las precauciones necesarias y sin conocer a fondo las responsabilidades que te corresponden en el modelo de responsabilidad compartida. Antes de usar un producto no admitido, asegúrate de que conoces y aceptas los riesgos asociados, como los efectos negativos en la residencia o la soberanía de los datos.
| Producto admitido | Endpoints de API | Restricciones o limitaciones |
|---|---|---|
| Administrador de contextos de acceso |
accesscontextmanager.googleapis.com |
Ninguno |
| Transparencia de acceso |
accessapproval.googleapis.com |
Ninguno |
| Agent Assist |
dialogflow.googleapis.com |
Ninguno |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
Ninguno |
| Apigee |
apigee.googleapis.com |
Ninguno |
| App Hub |
apphub.googleapis.com |
Ninguno |
| Application Integration |
integrations.googleapis.com |
Ninguno |
| Artifact Registry |
artifactregistry.googleapis.com |
Ninguno |
| Copia de seguridad de GKE |
gkebackup.googleapis.com |
Ninguno |
| BigQuery |
bigquery.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funciones afectadas |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Funciones afectadas |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Ninguno |
| Autorización binaria |
binaryauthorization.googleapis.com |
Ninguno |
| Servicio de Autoridades de Certificación |
privateca.googleapis.com |
Ninguno |
| Inventario de Recursos de Cloud |
cloudasset.googleapis.com |
Ninguno |
| Cloud Build |
cloudbuild.googleapis.com |
Ninguno |
| Cloud Composer |
composer.googleapis.com |
Ninguno |
| Google Cloud console |
N/A |
Ninguno |
| Cloud DNS |
dns.googleapis.com |
Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Cloud Deploy |
clouddeploy.googleapis.com |
Ninguno |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Ninguno |
| Cloud Run Functions |
cloudfunctions.googleapis.com |
Restricciones de las políticas de organización |
| Cloud HSM |
cloudkms.googleapis.com |
Ninguno |
| API de Cloud Healthcare |
healthcare.googleapis.com |
Ninguno |
| Cloud Interconnect |
networkconnectivity.googleapis.com |
Funciones afectadas |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Ninguno |
| Cloud Logging |
logging.googleapis.com |
Funciones afectadas |
| Cloud Monitoring |
monitoring.googleapis.com |
Funciones afectadas |
| Cloud NAT |
networkconnectivity.googleapis.com |
Ninguno |
| API de Cloud OS Login |
oslogin.googleapis.com |
Ninguno |
| Cloud Router |
networkconnectivity.googleapis.com |
Ninguno |
| Cloud Run |
run.googleapis.com |
Funciones afectadas |
| Cloud SQL |
sqladmin.googleapis.com |
Ninguno |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
Ninguno |
| Cloud Storage |
storage.googleapis.com |
Ninguno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Ninguno |
| Cloud VPN |
compute.googleapis.com |
Funciones afectadas |
| API de Cloud Vision |
vision.googleapis.com |
Ninguno |
| Cloud Workstations |
workstations.googleapis.com |
Ninguno |
| Compute Engine |
compute.googleapis.com |
Funciones afectadas y restricciones de política de organización |
| Connect |
gkeconnect.googleapis.com |
Ninguno |
| Dialogflow CX |
dialogflow.googleapis.com |
Ninguno |
| Conversational Insights |
contactcenterinsights.googleapis.com |
Ninguno |
| Protección de Datos Sensibles |
dlp.googleapis.com |
Ninguno |
| Database Center |
databasecenter.googleapis.com |
Ninguno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Ninguno |
| Dataform |
dataform.googleapis.com |
Ninguno |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Ninguno |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Ninguno |
| Document AI |
documentai.googleapis.com |
Ninguno |
| Contactos esenciales |
essentialcontacts.googleapis.com |
Ninguno |
| Eventarc |
eventarc.googleapis.com |
Ninguno |
| Balanceador de carga de red de paso a través externo |
compute.googleapis.com |
Ninguno |
| Filestore |
file.googleapis.com |
Ninguno |
| Firebase Authentication |
N/A |
Ninguno |
| Firestore |
firestore.googleapis.com |
Ninguno |
| Hub de GKE |
gkehub.googleapis.com |
Ninguno |
| Servicio de identidad de GKE |
anthosidentityservice.googleapis.com |
Ninguno |
| IA generativa en Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Google Agentspace |
discoveryengine.googleapis.com |
Ninguno |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Funciones afectadas |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
Funciones afectadas |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Ninguno |
| Google Security Operations SIEM |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
Ninguno |
| Google Security Operations SOAR |
Not applicable |
Ninguno |
| Gestión de identidades y accesos (IAM) |
iam.googleapis.com |
Ninguno |
| Identity‑Aware Proxy |
iap.googleapis.com |
Ninguno |
| Infrastructure Manager |
config.googleapis.com |
Ninguno |
| Integration Connectors |
connectors.googleapis.com |
Ninguno |
| Balanceador de carga de red de paso a través interno |
compute.googleapis.com |
Ninguno |
| Consola Google Cloud jurisdiccional |
N/A |
Ninguno |
| Justificaciones de Acceso a Claves |
cloudekm.googleapis.com |
Ninguno |
| Looker (servicio principal de Google Cloud) |
looker.googleapis.com |
Ninguno |
| Memorystore para Redis |
redis.googleapis.com |
Ninguno |
| Model Armor |
modelarmor.googleapis.com |
Ninguno |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Ninguno |
| Servicio de política de organización |
orgpolicy.googleapis.com |
Ninguno |
| Persistent Disk |
compute.googleapis.com |
Ninguno |
| Pub/Sub |
pubsub.googleapis.com |
Ninguno |
| Balanceador de carga de aplicación externo regional |
compute.googleapis.com |
Ninguno |
| Balanceador de carga de red de proxy externo regional |
compute.googleapis.com |
Ninguno |
| Balanceador de carga de aplicación interno regional |
compute.googleapis.com |
Ninguno |
| Balanceador de carga de red de proxy interno regional |
compute.googleapis.com |
Ninguno |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Ninguno |
| Secret Manager |
secretmanager.googleapis.com |
Ninguno |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Ninguno |
| Spanner |
spanner.googleapis.com |
Ninguno |
| Speech-to-Text |
speech.googleapis.com |
Funciones afectadas |
| Servicio de transferencia de Storage |
storagetransfer.googleapis.com |
Ninguno |
| Text-to-Speech |
texttospeech.googleapis.com |
Ninguno |
| Controles de Servicio de VPC |
accesscontextmanager.googleapis.com |
Ninguno |
| Predicción en lote de Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
Ninguno |
| Registro de modelos de Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Predicción online de Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Search |
discoveryengine.googleapis.com |
Ninguno |
| Vertex AI Training |
aiplatform.googleapis.com |
Ninguno |
| Vertex AI Workbench |
aiplatform.googleapis.com |
Ninguno |
| Nube privada virtual (VPC) |
compute.googleapis.com |
Ninguno |
| Web Risk |
webrisk.googleapis.com |
Ninguno |
| Federación de identidades para los trabajadores |
iam.googleapis.comsts.googleapis.com |
Ninguno |
Restricciones y limitaciones
En las siguientes secciones se describen las restricciones o limitaciones generales o específicas de los productos para las funciones, incluidas las restricciones de políticas de la organización que se definen de forma predeterminada en el límite de datos de las carpetas de la norma 1075 del IRS. Google CloudOtras restricciones de políticas de la organización aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización. Google Cloud
Google Cloudde ancho
Funciones de todo el sitio afectadas Google Cloud
| Función | Descripción |
|---|---|
| Google Cloud consola | Para acceder a la Google Cloud consola cuando se usa el paquete de control de límite de datos de la sección 1075 del IRS,
puedes usar la consola Jurisdictional Google Cloud . No es necesario usar la consola Jurisdictional
Google Cloud para la función Frontera de datos de la publicación 1075 del IRS. Se puede acceder a ella mediante una de las siguientes URLs:
|
Restricciones de las políticas de organización deGoogle Cloud
Las siguientes restricciones de la política de la organización se aplican en Google Cloud.
| Restricción de política de organización | Descripción |
|---|---|
gcp.resourceLocations |
Selecciona las siguientes ubicaciones en la lista allowedValues:
Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o almacenen datos fuera de un límite de datos conforme. |
gcp.restrictNonCmekServices |
Se define como una lista de todos los nombres de servicios de API incluidos en el ámbito, entre los que se incluyen los siguientes:
Cada servicio de la lista requiere claves de cifrado gestionadas por el cliente (CMEK). Las CMEK permiten que los datos en reposo se cifren con una clave gestionada por ti, no con los mecanismos de cifrado predeterminados de Google. Si cambias este valor quitando uno o varios servicios incluidos en el ámbito de la lista, puede que se vea afectada la soberanía de los datos, ya que los nuevos datos en reposo se cifrarán automáticamente con las claves de Google en lugar de con las tuyas. Los datos en reposo se seguirán cifrando con la clave que proporcionaste. |
gcp.restrictServiceUsage |
Se define para permitir todos los productos y endpoints de API admitidos. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos. |
gcp.restrictTLSVersion |
Definir para denegar las siguientes versiones de TLS:
|
BigQuery
Funciones de BigQuery afectadas
| Función | Descripción |
|---|---|
| Habilitar BigQuery en una carpeta nueva | BigQuery es compatible, pero no se habilita automáticamente al crear una carpeta de Assured Workloads debido a un proceso de configuración interno. Este proceso suele completarse en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para comprobar si el proceso ha finalizado y habilitar BigQuery, sigue estos pasos:
Una vez que se haya completado el proceso de habilitación, podrá usar BigQuery en su carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery. |
| Funciones no compatibles | Las siguientes funciones de BigQuery no se admiten y no deben usarse en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads.
|
| CLI de BigQuery | Se admite la CLI de BigQuery.
|
| SDK de Google Cloud | Debes usar la versión 403.0.0 o una posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar la versión actual del SDK de Google Cloud, ejecuta gcloud --version y, a continuación, gcloud components update para actualizar a la versión más reciente.
|
| Controles del administrador | BigQuery inhabilitará las APIs no admitidas, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no admitida. Si esto ocurre, se te informará de las posibles infracciones a través del panel de control de monitorización de Assured Workloads. |
| Cargando datos | No se admiten los conectores de BigQuery Data Transfer Service para aplicaciones de software como servicio (SaaS) de Google, proveedores de almacenamiento en la nube externos y almacenes de datos. Es tu responsabilidad no usar los conectores de BigQuery Data Transfer Service para los flujos de trabajo de la frontera de datos de la sección 1075 del IRS. |
| Transferencias de terceros | BigQuery no verifica la compatibilidad con las transferencias de terceros de BigQuery Data Transfer Service. Es tu responsabilidad verificar la compatibilidad cuando utilices una transferencia de terceros con BigQuery Data Transfer Service. |
| Modelos de BQML no conformes | No se admiten los modelos de BQML entrenados externamente. |
| Tareas de consulta | Los trabajos de consulta solo se deben crear en carpetas de Assured Workloads. |
| Consultas en conjuntos de datos de otros proyectos | BigQuery no impide que se consulten conjuntos de datos de Assured Workloads
desde proyectos que no sean de Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una lectura o una combinación de datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completo para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
|
| Cloud Logging | BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar los segmentos de registros _default o restringir los segmentos _default a las regiones incluidas en el ámbito para mantener el cumplimiento mediante el siguiente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Consulta Regionalizar los registros para obtener más información. |
Compute Engine
Funciones de Compute Engine afectadas
| Función | Descripción |
|---|---|
| Suspender y reanudar una instancia de máquina virtual | Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente. Actualmente, el almacenamiento en disco persistente que se usa para almacenar el estado de la VM suspendida no se puede cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
|
| SSDs locales | Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque actualmente no se pueden cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para conocer las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
|
| Entorno de invitado | Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu máquina virtual, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta el entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete. Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización compute.trustedImageProjects.
Consulta la página Crear una imagen personalizada para obtener más información. |
| Políticas de SO en VM Manager |
Las secuencias de comandos insertadas y los archivos de salida binarios de los archivos de políticas del SO no se cifran con claves de cifrado gestionadas por el cliente (CMEK).
Por lo tanto, no incluyas información sensible en estos archivos.
También puedes almacenar estos archivos de secuencias de comandos y de salida en segmentos de Cloud Storage. Para obtener más información, consulta los ejemplos de políticas de SO. Si quieres restringir la creación o modificación de recursos de políticas de SO que usen secuencias de comandos insertadas o archivos de salida binarios, habilita la restricción de la política de organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Para obtener más información, consulta Restricciones de configuración del SO. |
Restricciones de las políticas de organización de Compute Engine
| Restricción de política de organización | Descripción |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Su valor debe ser True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales, así como la adición o modificación de reglas en las políticas de seguridad de Google Cloud Armor globales. Esta restricción no limita la eliminación de reglas ni la capacidad de eliminar o cambiar la descripción y la lista de políticas de seguridad globales de Google Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Google Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de que se aplique esta restricción seguirán vigentes. |
compute.disableGlobalLoadBalancing |
Su valor debe ser True. Inhabilita la creación de productos de balanceo de carga global. Si cambia este valor, puede afectar a la residencia o la soberanía de los datos de su carga de trabajo. |
compute.restrictNonConfidentialComputing |
(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la
documentación sobre máquinas virtuales confidenciales. |
compute.trustedImageProjects |
(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional.
Si se define este valor, el almacenamiento de imágenes y la creación de instancias de disco se limitarán a la lista de proyectos especificada. Este valor afecta a la soberanía de los datos, ya que impide el uso de imágenes o agentes no autorizados. |
Cloud Run Functions
Restricciones de políticas de organización de Cloud Run Functions
| Restricción de política de organización | Descripción |
|---|---|
cloudfunctions.restrictAllowedGenerations |
Se debe denegar la siguiente generación de funciones de Cloud Run que se puede usar para crear recursos de funciones de Cloud Run:
|
Cloud Interconnect
Funciones de Cloud Interconnect afectadas
| Función | Descripción |
|---|---|
| VPN de alta disponibilidad | Debes habilitar la función de VPN de alta disponibilidad cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir los requisitos de cifrado y regionalización que se indican en la sección Funciones de VPN de Cloud afectadas. |
Cloud KMS
Restricciones de las políticas de organización de Cloud KMS
| Restricción de política de organización | Descripción |
|---|
Cloud Logging
Funciones de Cloud Logging afectadas
| Función | Descripción |
|---|---|
| Sumideros de registros | Los filtros no deben contener datos de clientes. Los receptores de registro incluyen filtros que se almacenan como configuración. No cree filtros que contengan Datos de Clientes. |
| Seguimiento en tiempo real de entradas de registro | Los filtros no deben contener datos de clientes. Una sesión de seguimiento en directo incluye un filtro que se almacena como configuración. La función de seguimiento de registros no almacena ningún dato de entrada de registro, pero puede consultar y transmitir datos entre regiones. No cree filtros que contengan Datos de Clientes. |
Cloud Monitoring
Funciones de Cloud Monitoring afectadas
| Función | Descripción |
|---|---|
| Monitor sintético | Esta función está inhabilitada. |
| Comprobaciones de disponibilidad del servicio | Esta función está inhabilitada. |
Cloud Run
Funciones de Cloud Run afectadas
| Función | Descripción |
|---|---|
| Funciones no compatibles | Las siguientes funciones de Cloud Run no se admiten: |
Speech‑to‑Text
Funciones de Speech-to-Text afectadas
| Función | Descripción |
|---|---|
| Modelos de transcripción de voz personalizados | Es tu responsabilidad no usar modelos de Speech-to-Text personalizados, ya que no cumplen los requisitos de la frontera de datos de la norma 1075 del IRS. |
Cloud VPN
Funciones de Cloud VPN afectadas
| Función | Descripción |
|---|---|
| Puntos finales de VPN | Solo debes usar los endpoints de Cloud VPN que se encuentren en una región incluida en el ámbito. Asegúrate de que tu pasarela VPN esté configurada para usarse solo en una región incluida en el ámbito. |
Siguientes pasos
- Consulta cómo crear una carpeta de Assured Workloads.
- Consulta los precios de Assured Workloads