Restrições e limitações para os controles de saúde e ciências biológicas

Esta página descreve as restrições, limitações e outras opções de configuração ao usar os pacotes de controle "Controles de saúde e ciências biológicas" e "Controles de saúde e ciências biológicas com suporte dos EUA".

Visão geral

Os pacotes de controle "Healthcare and Life Sciences Controls" e "Healthcare and Life Sciences Controls with US Support" permitem executar cargas de trabalho que estão em conformidade com os requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) e da Health Information Trust Alliance (HITRUST).

Cada produto com suporte atende aos seguintes requisitos:

Como permitir outros serviços

Cada pacote de controle de Controles de saúde e ciências biológicas inclui uma configuração padrão de serviços com suporte, que é aplicada por uma restrição de política da organização Restrict Service Usage (gcp.restrictServiceUsage) definida na sua pasta Assured Workloads. No entanto, você pode modificar o valor dessa restrição para incluir outros serviços, se a carga de trabalho exigir. Consulte Restringir o uso de recursos para cargas de trabalho para mais informações.

Todos os serviços adicionais que você adicionar à lista de permissões precisam estar listados na página do BAA da HIPAA da Google Cloud ou na página do CSF do HITRUST da Google Cloud.

Quando você adiciona outros serviços modificando a restrição gcp.restrictServiceUsage, o monitoramento do Assured Workloads informa as violações de compliance. Para remover essas violações e evitar notificações futuras de serviços adicionados à lista de permissões, é necessário conceder uma exceção para cada violação.

Outras considerações ao adicionar um serviço à lista de permissões são descritas nas seções a seguir.

Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Antes de adicionar um serviço à lista de permissões, verifique se ele oferece suporte ao CMEK na página Serviços compatíveis na documentação do Cloud KMS. Se você quiser permitir um serviço que não oferece suporte à CMEK, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.

Se você quiser aplicar uma postura de segurança mais rígida ao usar a CMEK, consulte a página Conferir o uso da chave na documentação do Cloud KMS.

Residência dos dados

Antes de adicionar um serviço à lista de permissões, verifique se ele está listado na página Google Cloud Serviços com residência de dados. Se você quiser permitir um serviço que não ofereça suporte à residência de dados, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.

VPC Service Controls

Antes de adicionar um serviço à lista de permissões, verifique se ele é compatível com o VPC Service Controls na página Produtos e limitações compatíveis na documentação do VPC Service Controls. Se você quiser permitir um serviço que não ofereça suporte ao VPC Service Controls, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.

Transparência no acesso e Aprovação de acesso

Antes de adicionar um serviço à lista de permissões, verifique se ele pode gravar os registros de transparência no acesso e se oferece suporte a solicitações de aprovação de acesso. Para isso, consulte as seguintes páginas:

Se você quiser permitir um serviço que não grava registros de transparência no acesso e não oferece suporte a solicitações de aprovação de acesso, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada em workloads garantidos.

Produtos e serviços com suporte

Os seguintes produtos têm suporte nos pacotes de controle de Controles de saúde e ciências biológicas e Controles de saúde e ciências biológicas com suporte nos EUA:

Produto compatível Endpoints de API globais Restrições ou limitações
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
networksecurity.googleapis.com
networkservices.googleapis.com
Nenhum
Artifact Registry artifactregistry.googleapis.com
Nenhum
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
Nenhum
Serviço de transferência de dados do BigQuery bigquerydatatransfer.googleapis.com
Nenhum
Autorização binária binaryauthorization.googleapis.com
Nenhum
Certificate Authority Service privateca.googleapis.com
Nenhum
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
Nenhum
Cloud Build cloudbuild.googleapis.com
Nenhum
Cloud Composer composer.googleapis.com
Nenhum
Cloud Data Fusion datafusion.googleapis.com
Nenhum
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
Nenhum
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
Nenhum
Cloud Data Fusion datafusion.googleapis.com
Nenhum
Gerenciamento de identidade e acesso (IAM) iam.googleapis.com
Nenhum
Cloud Key Management Service (Cloud KMS) cloudkms.googleapis.com
Nenhum
Cloud Logging logging.googleapis.com
Nenhum
Pub/Sub pubsub.googleapis.com
Nenhum
Cloud Router networkconnectivity.googleapis.com
Nenhum
Cloud Run run.googleapis.com
Nenhum
Spanner spanner.googleapis.com
Recursos afetados e restrições da política da organização
Cloud SQL sqladmin.googleapis.com
Nenhum
Cloud Storage storage.googleapis.com
Nenhum
Cloud Tasks cloudtasks.googleapis.com
Nenhum
API Cloud Vision vision.googleapis.com
Nenhum
Cloud VPN compute.googleapis.com
Nenhum
Compute Engine compute.googleapis.com
Restrições da política da organização
Insights de conversas contactcenterinsights.googleapis.com
Nenhum
Eventarc eventarc.googleapis.com
Nenhum
Filestore file.googleapis.com
Nenhum
Google Kubernetes Engine container.googleapis.com
containersecurity.googleapis.com
Nenhum
Memorystore para Redis redis.googleapis.com
Nenhum
Persistent Disk compute.googleapis.com
Nenhum
Secret Manager secretmanager.googleapis.com
Nenhum
Proteção de Dados Sensíveis dlp.googleapis.com
Nenhum
Speech-to-Text speech.googleapis.com
Nenhum
Text-to-Speech texttospeech.googleapis.com
Nenhum
Nuvem privada virtual (VPC) compute.googleapis.com
Nenhum
VPC Service Controls accesscontextmanager.googleapis.com
Nenhum

Restrições e limitações

As seções a seguir descrevem restrições ou limitações de recursos específicos do produto ou do Google Cloud, incluindo qualquer restrição de política da organização definida por padrão nas pastas de controles de saúde e ciências da vida.

Restrições da política da organização em todo oGoogle Cloud

As restrições da política da organização a seguir se aplicam a qualquer serviço Google Cloud aplicável.

Restrição da política da organização Descrição
gcp.resourceLocations Defina os seguintes locais na lista allowedValues:
  • us-locations
  • us-central1
  • us-central2
  • us-west1
  • us-west2
  • us-west3
  • us-west4
  • us-east1
  • us-east4
  • us-east5
  • us-south1
Esse valor restringe a criação de novos recursos somente ao grupo de valores selecionado. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da seleção. Consulte a documentação Grupos de valores de política da organização para mais informações.
gcp.restrictServiceUsage Permita todos os serviços compatíveis.

Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.
gcp.restrictTLSVersion Configurado para negar as seguintes versões do TLS:
  • TLS_VERSION_1
  • TLS_VERSION_1_1
Consulte a página Restringir versões do TLS para mais informações.

Compute Engine

Restrições da política da organização do Compute Engine

Restrição da política da organização Descrição
compute.disableGlobalCloudArmorPolicy Definido como Verdadeiro.

Desativa a criação de políticas de segurança do Google Cloud Armor.

Spanner

Recursos do Spanner afetados

Recurso Descrição
Limites de divisão O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas para definir limites de divisão, que podem incluir dados e metadados do cliente. Um limite de divisão no Spanner denota o local em que os intervalos contíguos de linhas são divididos em partes menores.

Esses limites divididos são acessíveis pelo pessoal do Google para fins de suporte técnico e depuração e não estão sujeitos a controles administrativos de acesso a dados nos controles de saúde e ciências biológicas.

Restrições da política da organização do Spanner

Restrição da política da organização Descrição
spanner.assuredWorkloadsAdvancedServiceControls Definido como Verdadeiro.

Aplica controles adicionais de soberania de dados e suporte aos recursos do Spanner.
spanner.disableMultiRegionInstanceIfNoLocationSelected Definido como Verdadeiro.

Desativa a capacidade de criar instâncias do Spanner multirregionais para aplicar a residência e a soberania de dados.

A seguir