Información general sobre Assured Workloads
Assured Workloads permite a las organizaciones de los sectores público y privado configurar un límite de acceso y datos soberanos con controles de residencia, acceso y personal para cargas de trabajo sensibles en la nube. Puedes usar Assured Workloads para simplificar la gestión y la configuración de cargas de trabajo reguladas aplicando paquetes de control predefinidos a las carpetas. Assured Workloads te permite ejecutar cargas de trabajo que cumplen los requisitos y, al mismo tiempo, disfrutar de las ventajas de la infraestructura de nube comercial en cuanto a escala, costes y disponibilidad de los servicios.
Casos prácticos de Assured Workloads
Usa Assured Workloads si tu organización debe cumplir requisitos normativos, regionales o de soberanía específicos. Por ejemplo, Assured Workloads permite a las siguientes organizaciones cumplir sus obligaciones de cumplimiento:
- Organizaciones con normativas estrictas sobre almacenamiento de datos, gestión de claves y acceso (como servicios financieros, centros sanitarios y organismos públicos).
- Organizaciones que deben almacenar sus datos en determinadas regiones o países.
- Organizaciones que deben controlar el Google Cloud acceso del personal a sus datos.
Funciones de Assured Workloads
Assured Workloads ofrece varias funciones para ayudarte a cumplir tus requisitos de cumplimiento y normativos, entre las que se incluyen las siguientes:
- Límites de datos regionales y límites de datos normativos para el cumplimiento de las normas
- Controles de acceso a datos de personal
- Controles de gestión de claves de cifrado
- Novedades sobre el cumplimiento
- Monitorización de infracciones
En las siguientes secciones se describen estas funciones.
Paquetes de control
Los paquetes de control son la base para aplicar el cumplimiento en Assured Workloads. Los paquetes de controles de Assured Workloads están disponibles para los siguientes tipos de controles: límites de datos regionales, límites de datos normativos y controles soberanos de partners. Cuando creas una carpeta de Assured Workloads para un paquete de control específico, los controles de ese paquete definen las medidas de protección de todos los proyectos y recursos de la carpeta. Estos controles se aplican mediante restricciones de políticas de la organización y otras funciones.
La asistencia para los productos y servicios de Google Cloud varía según el paquete de control. Para obtener más información, consulta la sección Productos compatibles por paquete de control.
Límites de datos regionales
Los paquetes de control de límites de datos regionales admiten los requisitos de residencia de datos restringiendo la ubicación geográfica en la que se pueden almacenar los recursos. Algunas fronteras de datos también te permiten ejercer un control independiente sobre el acceso de Google a tus datos, por ejemplo, aprobando el acceso solo para comportamientos de proveedores específicos que consideres adecuados y necesarios.
Estos límites de datos te permiten especificar una Google Cloud región en la que deben residir tus datos e impiden que se almacenen fuera de esa región. Por ejemplo, si se aplica el paquete de control de la frontera de datos de la UE, se implementan controles de residencia de datos para restringir el uso de recursos a las regiones solo de la UE. Assured Workloads ofrece varios límites de datos regionales para aplicar restricciones de residencia de datos y controlar el acceso del personal de Asistencia de Google.
Para obtener más información sobre Assured Workloads y la residencia de datos, consulta el artículo Residencia de datos.
Límites de datos normativos
Los paquetes de control de límites de datos normativos te permiten implementar un conjunto de controles para cumplir un requisito normativo o de cumplimiento específico. Google Cloud Incluyen límites de datos normativos para lo siguiente:
- Sistemas de información de justicia penal (CJIS)
- Nivel moderado y alto de FedRAMP
- Controles de sanidad y ciencias biológicas (con o sin asistencia de EE. UU.) para la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA) y la alianza de confianza de información sanitaria (Health Information Trust Alliance, HITRUST)
- Nivel de impacto 2 (IL2), nivel de impacto 4 (IL4) y nivel de impacto 5 (IL5)
- Reglamento sobre el tráfico internacional de armas de EE. UU. (ITAR)
- Publicación 1075 del IRS
Para ver una lista completa, consulta Límites de datos normativos.
Controles de Soberanía de Partners
Assured Workloads también ofrece paquetes de control que los partners gestionan y operan a través de Controles de soberanía de partners. Los controles de soberanía de partners te permiten usar un partner local de confianza para gestionar las claves de cifrado, la justificación del acceso y las auditorías. Estos paquetes de control ayudan a aplicar la residencia de datos y proporcionan configuraciones de seguridad que abarcan aspectos críticos de la infraestructura de la nube, como el cifrado y la gestión de claves.
Control del acceso del personal de Google a tus datos
Puedes controlar qué personal de Google puede acceder a tus datos cuando realice tareas de asistencia. La Asistencia de Assured para Assured Workloads es una función adicional de Cloud Customer Care de Google que está disponible con la Asistencia Mejorada o la Asistencia Premium. Cuando se utilicen, el personal de Asistencia de Google debe cumplir determinados requisitos de atributos geográficos y de personal. En función del paquete de controles, los controles de personal se implementan en función de criterios como la región o el cumplimiento de determinados requisitos de comprobación de antecedentes. Por ejemplo, los controles de acceso que admiten el nivel alto de FedRAMP requieren que todo el personal de asistencia de Google de primer y segundo nivel, así como los subencargados del tratamiento, se encuentren en EE. UU. y cumplan los requisitos de comprobación de antecedentes mejorados.
Para obtener más información sobre la asistencia de Assured Workloads, consulta el artículo Obtener asistencia.
Gestión de claves
En función del paquete de controles, hay disponibles varios controles de gestión de claves para cumplir las normativas. Por ejemplo, el límite de datos del paquete de control de ITAR requiere el uso de claves de cifrado gestionadas por el cliente (CMEKs). Para habilitar la separación de tareas, el paquete de control de ITAR de Data Boundary usa un proyecto de gestión de claves independiente de otros recursos implementados y crea un conjunto de claves único para el almacenamiento en una ubicación de cumplimiento. Assured Workloads también ofrece compatibilidad conGoogle-owned and Google-managed encryption keys (cumple el estándar FIPS 140-2), CMEKs, Cloud External Key Manager (Cloud EKM) e importación de claves para otros paquetes de control.
Para obtener más información sobre la gestión de claves, consulta el artículo Cumplimiento con la gestión de claves.
Novedades sobre cargas de trabajo
Actualizaciones de cargas de trabajo te permite evaluar y mantener las configuraciones de paquetes de control. A medida que se vayan mejorando los paquetes de control disponibles, podrá evaluar si las configuraciones de las carpetas de Assured Workloads que ha implementado son las mismas que las de la versión más reciente. Si hay una versión de configuración más reciente, puedes aplicar actualizaciones a la carpeta de Assured Workloads para actualizarla a la versión más reciente.
Monitorización de infracciones
Assured Workloads monitoriza las infracciones de las restricciones de las políticas de la organización y de los recursos para proporcionar información valiosa sobre el cumplimiento de un paquete de control implementado. Puedes habilitar las notificaciones por correo electrónico para las infracciones de las políticas de la organización o cuando se haya añadido una excepción por infracción. Estas notificaciones incluyen información sobre la carpeta de Assured Workloads, los registros de auditoría y las políticas de la organización afectadas para que puedas revisar y corregir las causas del incumplimiento de forma fundamentada.
Para obtener más información sobre la monitorización, consulta Monitorizar una carpeta de Assured Workloads para detectar infracciones.
Servicios de control de acceso y visibilidad
Los siguientes Google Cloud servicios ofrecen opciones para controlar y proporcionar visibilidad del acceso a los datos y las claves de cifrado. Puedes usar estos servicios junto con Assured Workloads para satisfacer tus necesidades de cumplimiento.
| ServicioGoogle Cloud | Descripción |
|---|---|
Aprobación de acceso te permite controlar el acceso del personal de Google a tus datos. Un administrador de cliente autorizado de tu organización debe aprobar una solicitud para que un administrador de Google pueda acceder. Las solicitudes de acceso aprobadas se registran en los registros de Transparencia de acceso, que están vinculados a la solicitud de aprobación. Una vez que se aprueba una solicitud, el acceso debe tener los privilegios adecuados en Google antes de que se permita. Cuando se usa con Assured Workloads, las condiciones de la solicitud de aprobación de acceso son secundarias con respecto a las garantías de acceso del personal de Assured Workloads aplicadas. Para obtener más información, consulta Cómo funciona Aprobación de acceso con Assured Workloads. |
|
Transparencia de acceso te permite ver los registros de actividad del personal autorizado de Google. Estos registros proporcionan detalles sobre las acciones relacionadas con el cumplimiento de una solicitud de asistencia y las acciones relacionadas con la disponibilidad del servicio. |
|
Key Access Justifications permite controlar la visualización y la aprobación de solicitudes de acceso a claves en Cloud KMS o en determinados partners de gestión de claves externas. Puedes aprobar o rechazar solicitudes en función de la justificación. En función del paquete de controles de Assured Workloads, puedes usar Justificaciones de acceso a claves con claves de Cloud EKM, de Cloud HSM o de software de Cloud KMS. |
Controlar el aviso de cambio de nombre del paquete
Assured Workloads usa paquetes de controles para referirse a conjuntos de controles que admiten la base de un marco de cumplimiento, una ley o un reglamento.
Los nombres de los paquetes de control en la consola y las APIs han cambiado desde junio del 2025.
Estos nuevos nombres también se reflejan en las enumeraciones ComplianceRegime
que se usan al crear una carga de trabajo con la API Assured Workloads. Solo han cambiado los nombres; la funcionalidad subyacente no ha cambiado.
En la siguiente tabla se describen los paquetes de control nuevos y anteriores.
| Nombre próximo | Nombre actual |
|---|---|
Límite de datos de Australia |
Regiones de Australia |
Límite de datos y asistencia de Australia |
Regiones de Australia con Asistencia de Assured |
Límite de datos de Brasil |
Regiones de Brasil |
Límite de datos de Canadá |
Regiones de Canadá |
Límite de datos y asistencia de Canadá |
Regiones y asistencia de Canadá |
Límite de datos de Chile |
Regiones de Chile |
Frontera de datos para productos controlados de Canadá |
Productos controlados de Canadá |
Límite de datos para Protected B de Canadá |
Canadá Protegida B |
Límite de datos para CJIS |
Sistemas de información de justicia penal (CJIS) |
Límite de datos de FedRAMP High |
FedRAMP High |
Límite de datos de FedRAMP Moderate |
FedRAMP Moderate |
Límite de datos para el nivel de impacto 2 (IL2) |
Nivel de impacto 2 (IL2) |
Límite de datos para el nivel de impacto 4 (IL4) |
Nivel de impacto 4 (IL4) |
Límite de datos para el nivel de impacto 5 (IL5) |
Nivel de impacto 5 (IL5) |
Límite de datos de la publicación 1075 del IRS |
Publicación 1075 del IRS |
Límite de datos para ITAR |
Reglamento sobre el tráfico internacional de armas de EE. UU. (ITAR) |
Límite de datos de la UE |
Regiones de la UE |
Límite de datos y asistencia de la UE |
Regiones y asistencia de la UE |
Límite de datos de la UE con justificaciones de acceso |
Controles de soberanía para la UE |
Límite de datos de Hong Kong |
Regiones de Hong Kong |
Límite de datos de la India |
Regiones de la India |
Límite de datos de Indonesia |
Regiones de Indonesia |
Límite de datos de Israel |
Regiones de Israel |
Frontera de datos y asistencia de Israel |
Regiones y asistencia de Israel |
Límite de datos de Japón |
Regiones de Japón |
Límite de datos del Reino de Arabia Saudí con justificaciones de acceso |
Controles de soberanía para el Reino de Arabia Saudí (KSA) |
Límite de datos de Catar |
Regiones de Qatar |
Límite de datos de Singapur |
Regiones de Singapur |
Límite de datos de Sudáfrica |
Regiones de Sudáfrica |
Límite de datos de Corea del Sur |
Regiones de Corea del Sur |
Límite de datos de Suiza |
Regiones de Suiza |
Límite de datos de Taiwán |
Regiones de Taiwán |
Límite de datos del Reino Unido |
Regiones del Reino Unido |
Límite de datos de EE. UU. |
Regiones de EE. UU. |
Límite de datos y asistencia de EE. UU. |
Asistencia y regiones de EE. UU. |
Frontera de datos de EE. UU. para el sector biosanitario |
Controles para el sector sanitario y las ciencias biológicas |
Frontera de datos de EE. UU. para el sector biosanitario con asistencia |
Controles de Sanidad y Ciencias de la Salud con asistencia de EE. UU. |
Siguientes pasos
- Para obtener información sobre los precios, consulta los precios de Assured Workloads.
- Consulta los paquetes de control disponibles y los productos compatibles.
- Para probar Assured Workloads, regístrate en el programa de prueba gratuita.
- Audita tu Google Cloud entorno con Gestor de auditorías.