La résidence des données vous permet de mieux contrôler l'emplacement de vos données Security Command Center. Ce document fournit des informations essentielles sur la façon dont Security Command Center prend en charge la résidence des données.
Les définitions suivantes s'appliquent à ce document :
- Un emplacement est une Google Cloud région ou une zone multirégionale qui correspond à l'emplacement où se trouvent vos données.
- La signification du terme vos données équivaut à celle du terme "Données client" dans l'élément Emplacement des données des Conditions générales du service Google Cloud.
Pour savoir comment utiliser les ressources Security Command Center lorsque la résidence des données est activée, consultez Points de terminaison régionaux Security Command Center.
Emplacements de données acceptés
Cette section décrit les emplacements de données que vous pouvez utiliser pour Security Command Center et les services associés.
Emplacements des données Security Command Center
Lorsque vous activez la résidence des données, l'API Security Command Center est compatible avec lesGoogle Cloud multirégions suivantes en tant qu'emplacements de données :
- Union européenne (
eu) - Les données résident dans n'importe quelle Google Cloud région des États membres de l'Union européenne.
- Royaume d'Arabie saoudite (KSA) (
sa) - Les données résident dans n'importe quelle région Google Cloud du Royaume d'Arabie saoudite.
- États-Unis (
us)
Les données - résident dans n'importe quelle région Google Cloud des États-Unis.
Pour en savoir plus sur les emplacements Security Command Center, consultez Produits disponibles par emplacement.
Si vous devez spécifier un emplacement par défaut pour la résidence des données que Security Command Center ne prend pas en charge, contactez votre responsable de compte ou un Google Cloud spécialiste des ventes.
Emplacements des données Model Armor
Pour Model Armor, la résidence des données est toujours activée.
L'API Model Armor fournit des points de terminaison régionaux dans les emplacements suivants :
- Union européenne
europe-west4: Pays-Bas
Faibles émissions de CO2
- États-Unis
us-central1: Iowa Faibles émissions de CO2
us-east1: Caroline du Sudus-east4: Virginie du Nordus-west1: Oregon <0x0
L'API Model Armor fournit des points de terminaison multirégionaux dans les emplacements suivants :
- Union européenne
eu- États-Unis
us
Exigences en matière de résidence des données
Cette section explique les exigences concernant l'utilisation de la résidence des données dans Security Command Center et les services associés.
Exigences pour Security Command Center
Vous ne pouvez activer la résidence des données pour Security Command Center que lorsque vous activez le niveau de service Standard ou Premium pour une organisation pour la première fois. Le niveau Enterprise n'est pas compatible avec la résidence des données.
Une fois la résidence des données activée, vous ne pouvez plus la désactiver.
La résidence des données nécessite l'utilisation de l'API Security Command Center v2. Si la résidence des données est activée, vous ne pouvez pas utiliser les versions antérieures de l'API Security Command Center.
Si vous n'activez pas la résidence des données lorsque vous activez Security Command Center, Security Command Center ne limite pas vos données à un emplacement particulier. Elles sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
Exigences concernant Model Armor
Pour Model Armor, la résidence des données est activée par défaut. Vous ne pouvez pas désactiver la résidence des données pour Model Armor.
Comment et quand la résidence des données est-elle appliquée ?
Lorsque vous activez la résidence des données pour Security Command Center, certaines données Security Command Center sont conservées dans un emplacement spécifié lorsqu'elles se trouvent dans l'un des états suivants :
Une fois que vous avez activé la résidence des données et sélectionné un emplacement pour les données, Security Command Center effectue les opérations suivantes :
- Lorsqu'un résultat est créé pour une ressource située à l'emplacement spécifié, il réside toujours dans votre emplacement de données.
- Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il finit par résider dans votre emplacement de données. Toutefois, il est possible que le résultat se trouve temporairement dans une autre région.
- Lorsque vous créez des types spécifiques de ressources de configuration dans votre emplacement de données, elles y résident.
- Dans les cas où Security Command Center stocke des données qui ne sont pas des Données client, telles que définies dans l'élément Emplacement des données des Conditions d'utilisation générales des services, Security Command Center stocke les données conformément aux Conditions d'utilisation de Google Cloud Platform. Google Cloud
Résidence des données au repos
Les données sont au repos lorsque tous les critères suivants sont remplis :
- Les données concernent un type de ressource soumis aux contrôles de résidence des données.
- Vous n'avez pas demandé d'opération nécessitant l'accès aux données.
- Les données ne sont pas consultées de manière à générer des journaux d'audit ni des journaux Access Transparency.
Résidence des données en cours d'utilisation
Les données sont en cours d'utilisation lorsque tous les critères suivants sont remplis :
- Les données concernent un type de ressource soumis aux contrôles de résidence des données.
- Google Cloud est en train d'effectuer une opération que vous avez demandée (par exemple, parce que votre application a appelé l'API Security Command Center) ou une opération qui produit des journaux d'audit ou des journaux Access Transparency.
- Il est possible que Google Cloud fonctionne sur les données d'une manière qui nécessite de connaître leur signification, par exemple en mettant à jour des champs spécifiques dans une ressource de configuration. Cela inclut tous les cas où les données ne sont pas chiffrées en mémoire.
Résidence des données en transit
Les données sont en transit lorsque tous les critères suivants sont remplis :
- Les données concernent un type de ressource soumis aux contrôles de résidence des données.
- Les données sont transmises, avec chiffrement, dans le réseau de Google, ou les données sont en mémoire, avec chiffrement, dans le but de les transmettre dans le réseau de Google.
Ressources Security Command Center et résidence des données
La liste suivante explique comment Security Command Center applique les contrôles de résidence des données aux ressources Security Command Center. Si une ressource n'est pas listée ici, elle n'est pas soumise aux contrôles de résidence des données et est stockée conformément aux Conditions d'utilisation de Google Cloud Platform.
- Exportations BigQuery
Les configurations d'exportation BigQuery sont soumises aux contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
L'API Security Command Center représente les configurations d'exportation BigQuery sous forme de ressources
BiqQueryExport.- Exportations continues
Les configurations d'exportation continue sont soumises aux contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
L'API Security Command Center représente les configurations d'exportation continue sous forme de ressources
NotificationConfig.- Résultats
Les résultats sont soumis aux contrôles de résidence des données.
Lorsqu'un résultat est créé pour une ressource qui réside dans l'emplacement de données que vous avez sélectionné, il réside toujours au même emplacement.
Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il finit par résider dans l'emplacement de données que vous avez sélectionné. Toutefois, il est possible que le résultat se trouve dans une autre région au moment de sa création.
Pour vous assurer que les résultats se trouvent toujours dans l'emplacement de vos données, créez toutes vos ressources Google Cloud dans cet emplacement.
- Ressources Model Armor
Les ressources Model Armor sont toutes soumises à des contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
- Règles de masquage
Les configurations des règles de mise en sourdine sont soumises aux contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
L'API Security Command Center représente les configurations de règles de désactivation en tant que ressources
MuteConfig.- Autres ressources et paramètres Security Command Center
Les ressources et paramètres Security Command Center qui ne sont pas listés ici, tels que ceux qui définissent les services activés ou le niveau actif, ne sont pas soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
Créer ou afficher des données dans un lieu
Lorsque la résidence des données est activée, vous devez spécifier un emplacement lorsque vous créez ou consultez des données soumises aux contrôles de résidence des données. Security Command Center choisit automatiquement un emplacement pour les résultats qu'il crée.
Vous ne pouvez créer ou afficher des données que dans un seul emplacement à la fois. Par exemple, si vous listez des résultats dans l'emplacement États-Unis (us), vous ne verrez pas les résultats dans l'emplacement Union européenne (eu).
Pour savoir comment créer ou afficher des données soumises à des contrôles de résidence des données, consultez À propos de la console Google Cloud et Outils pour les points de terminaison régionaux.
Étapes suivantes
- Découvrez comment activer Security Command Center avec la résidence des données activée.
- Découvrez comment utiliser les points de terminaison régionaux Security Command Center.
- Activez Security Command Center pour diffuser les résultats vers BigQuery.
- Configurez des exportations continues de Security Command Center vers Pub/Sub.
- Créez une règle Ignorer pour les résultats.