美國醫療照護與生命科學資料邊界
本頁說明使用「美國醫療照護與生命科學資料邊界」和「美國醫療照護與生命科學資料邊界 (含支援服務)」控制項套件時的限制和其他設定選項。
總覽
您可以使用「美國醫療照護與生命科學資料邊界」和「美國醫療照護與生命科學資料邊界 (支援)」控管套件,執行符合《健康保險流通與責任法案》(HIPAA) 和 Health Information Trust Alliance (HITRUST) 規定的工作負載。
每項支援的產品都符合下列規定:
- 列於 Google Cloud的 HIPAA 業務合作協議 (BAA) 頁面
- 列於 Google Cloud的 HITRUST 通用安全架構 (CSF) 頁面
- 支援 Cloud KMS 客戶管理的加密金鑰 (CMEK)
- 支援 VPC Service Controls
- 支援資料存取透明化控管機制記錄
- 支援存取權核准要求
- 支援靜態資料落地機制,但僅限於美國地區
允許使用其他服務
每個醫療照護與生命科學專用的美國資料邊界控制套件都包含支援服務的預設設定,這些設定會透過在 Assured Workloads 資料夾中設定的「Restrict Service Usage」(gcp.restrictServiceUsage) 組織政策限制強制執行。不過,如果工作負載需要其他服務,您可以修改這項限制的值來納入其他服務。詳情請參閱「限制工作負載的資源用量」。
您選擇加入許可清單的任何其他服務,都必須列在 Google Cloud的《健康保險流通與責任法案》業務合作協議頁面或 Google Cloud的 HITRUST CSF 頁面中。
當您透過修改 gcp.restrictServiceUsage 限制來新增其他服務時,Assured Workloads 監控功能會回報違規事項。如要移除這些違規事項,並避免日後針對加入許可清單的服務收到通知,您必須為每項違規事項授予例外狀況。
請參閱以下各節,瞭解將服務新增至許可清單時的其他注意事項。
由客戶管理的加密金鑰 (CMEK)
將服務新增至許可清單前,請先查看 Cloud KMS 說明文件中的「相容服務」頁面,確認該服務支援 CMEK。如果您要允許不支援 CMEK 的服務,可以選擇接受相關風險,詳情請參閱「Assured Workloads 中的共同責任」一文。
如果您想在使用 CMEK 時強制執行更嚴格的安全性態勢,請參閱 Cloud KMS 說明文件中的「查看金鑰用途」頁面。
資料落地
將服務新增至許可清單之前,請先確認該服務是否列於「Google Cloud 提供資料儲存地點的服務」頁面。如果您要允許不支援資料儲存地點的服務,可以選擇接受相關風險,詳情請參閱「Assured Workloads 中的共同責任」一文。
VPC Service Controls
在將服務新增至許可清單之前,請先查看 VPC Service Controls 說明文件中的「支援的產品和限制」頁面,確認該服務是否受 VPC Service Controls 支援。如果您想要允許不支援 VPC Service Controls 的服務,可以選擇接受相關風險,詳情請參閱「Assured Workloads 中的責任分擔」一文。
資料存取透明化控管機制與 Access Approval
將服務新增至許可清單之前,請先查看下列頁面,確認服務可以寫入資料存取透明化控管機制記錄,並支援資料存取核准要求:
如果您想允許服務不寫入資料存取透明化記錄,且不支援存取權核准要求,則可以選擇接受相關風險,詳情請參閱「Assured Workloads 中的共同責任」。
支援的產品和服務
以下產品支援「美國醫療照護與生命科學資料邊界」和「美國醫療照護與生命科學資料邊界 (支援)」控管套件:
| 支援的產品 | 全域 API 端點 | 限制 |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comnetworksecurity.googleapis.comnetworkservices.googleapis.com |
無 |
| Artifact Registry |
artifactregistry.googleapis.com |
無 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
無 |
| BigQuery 資料移轉服務 |
bigquerydatatransfer.googleapis.com |
無 |
| 二進位授權 |
binaryauthorization.googleapis.com |
無 |
| 憑證授權單位服務 |
privateca.googleapis.com |
無 |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
無 |
| Cloud Build |
cloudbuild.googleapis.com |
無 |
| Cloud Composer |
composer.googleapis.com |
無 |
| Cloud Data Fusion |
datafusion.googleapis.com |
無 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
無 |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
無 |
| Cloud Data Fusion |
datafusion.googleapis.com |
無 |
| 身分與存取權管理 (IAM) |
iam.googleapis.com |
無 |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
無 |
| Cloud Logging |
logging.googleapis.com |
無 |
| Pub/Sub |
pubsub.googleapis.com |
無 |
| Cloud Router |
networkconnectivity.googleapis.com |
無 |
| Cloud Run |
run.googleapis.com |
受影響的功能 |
| Spanner |
spanner.googleapis.com |
受影響的功能 以及機構政策限制 |
| Cloud SQL |
sqladmin.googleapis.com |
無 |
| Cloud Storage |
storage.googleapis.com |
無 |
| Cloud Tasks |
cloudtasks.googleapis.com |
無 |
| Cloud Vision API |
vision.googleapis.com |
無 |
| Cloud VPN |
compute.googleapis.com |
無 |
| Compute Engine |
compute.googleapis.com |
機構政策限制 |
| 對話式洞察 |
contactcenterinsights.googleapis.com |
無 |
| Eventarc |
eventarc.googleapis.com |
無 |
| Filestore |
file.googleapis.com |
無 |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
無 |
| Memorystore for Redis |
redis.googleapis.com |
無 |
| Persistent Disk |
compute.googleapis.com |
無 |
| Secret Manager |
secretmanager.googleapis.com |
無 |
| Sensitive Data Protection |
dlp.googleapis.com |
無 |
| Speech-to-Text |
speech.googleapis.com |
無 |
| Text-to-Speech |
texttospeech.googleapis.com |
無 |
| 虛擬私有雲 (VPC) |
compute.googleapis.com |
無 |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
無 |
規定與限制
以下各節說明 Google Cloud或特定產品的功能限制,包括預設在美國醫療照護與生命科學資料邊界資料夾中設定的任何機構政策限制。
Google Cloud全域機構政策限制
下列機構政策限制適用於所有適用的 Google Cloud 服務。
| 機構政策限制 | 說明 |
|---|---|
gcp.resourceLocations |
在 allowedValues 清單中設定下列位置:
|
gcp.restrictServiceUsage |
設定為允許所有支援的服務。 透過限制執行階段對資源的存取權,判斷可使用的服務。詳情請參閱「限制工作負載的資源用量」。 |
gcp.restrictTLSVersion |
設定為拒絕下列 TLS 版本:
|
Compute Engine
Compute Engine 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
設為 True。 停用 Google Cloud Armor 安全性政策的建立功能。 |
Cloud Run
受影響的 Cloud Run 功能
| 功能 | 說明 |
|---|---|
| 不支援的功能 | 系統不支援下列 Cloud Run 功能: |
Spanner
受影響的 Spanner 功能
| 功能 | 說明 |
|---|---|
| 分割邊界 | Spanner 會使用一小部分的主鍵和已編入索引的資料欄,定義分割邊界,其中可能包含客戶資料和中繼資料。Spanner 中的分割邊界表示將相鄰的資料列範圍分割成較小片段的位置。 Google 人員可基於技術支援和偵錯目的存取這些分割邊界,且不受醫療照護與生命科學美國資料邊界中的管理存取資料控管機制限制。 |
Spanner 機構政策限制
| 機構政策限制 | 說明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
設為 True。 將其他資料主權和支援性控制項套用至 Spanner 資源。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
設為 True。 停用建立多區域 Spanner 執行個體的功能,以便強制執行資料落地權和資料主權。 |