規劃資料落地

資料落地功能可讓您進一步控管 Security Command Center 資料的儲存位置。本文提供重要資訊,說明 Security Command Center 如何支援資料落地。

本文件採用下列定義:

  • 「位置」是指 Google Cloud 區域或多區域,對應於資料所在位置。
  • 「您的資料」一詞的意義等同於 Google Cloud《一般服務條款》中「資料位置」項目所指的「客戶資料」。

如要瞭解如何在啟用資料落地設定時使用 Security Command Center 資源,請參閱「Security Command Center 區域端點」。

支援的資料位置

本節說明 Security Command Center 和相關服務可用的資料位置。

Security Command Center 資料位置

啟用資料落地設定後,Security Command Center API 支援下列Google Cloud 多區域做為資料位置:

歐盟 (eu)
資料會儲存在歐盟成員國境內的任何 Google Cloud 區域。
沙烏地阿拉伯王國 (KSA) (sa)
資料位於沙烏地阿拉伯王國境內的任何 Google Cloud 區域。
美國 (us)
資料位於美國境內的任何 Google Cloud 區域。

如要進一步瞭解 Security Command Center 位置,請參閱各位置適用的產品

如需為 Security Command Center 不支援的資料落地設定指定預設位置,請與您的帳戶代表或Google Cloud 銷售專員聯絡。

Model Armor 資料位置

Model Armor 一律會啟用資料落地設定。

Model Armor API 在下列位置提供區域端點:

歐盟
europe-west4:荷蘭 節能綠葉圖示 二氧化碳排放量低2
美國
us-central1:愛荷華州 節能綠葉圖示 低二氧化碳
us-east1:南卡羅來納州
us-east4:北維吉尼亞州
us-west1:奧勒岡州 <0
節能綠葉圖示

Model Armor API 在下列位置提供多區域端點:

歐盟
eu
美國
us

資料落地規定

本節說明在 Security Command Center 和相關服務中使用資料落地功能的規定。

Security Command Center 需求條件

只有在首次為機構啟用 Standard 或 Premium 服務方案時,才能為 Security Command Center 啟用資料落地設定。企業級別不支援資料落地。

啟用資料落地功能後,就無法停用。

如要使用資料落地功能,必須使用 Security Command Center v2 API。如果啟用資料落地功能,就無法使用舊版 Security Command Center API。

如果您在啟用 Security Command Center 時未啟用資料落地設定,Security Command Center 就不會將資料限制在特定位置,而是會依據《Google Cloud Platform 服務條款》儲存資料。

Model Armor 的需求條件

Model Armor 預設會啟用資料落地設定。您無法停用 Model Armor 的資料落地功能。

資料落地權的強制執行方式和時機

為 Security Command Center 啟用資料落地設定後,部分 Security Command Center 資料在處於下列狀態時,會保留在指定位置:

啟用資料落地設定並選取資料位置後,Security Command Center 會執行下列操作:

  • 為指定位置的資源建立發現項目時,該項目一律會儲存在您的資料位置。
  • 如果為其他位置的資源建立發現項目,該項目最終會儲存在您的資料位置。不過,調查結果可能會暫時位於其他區域。
  • 在資料位置中建立特定類型的設定資源時,這些資源會存放在該位置。
  • 如果 Security Command Center 儲存的資料並非客戶資料 (如一般服務條款的「資料位置」項目所定義),Security Command Center 會根據 Google Cloud Platform 服務條款儲存資料。 Google Cloud

靜態資料落地機制

資料處於閒置狀態時,必須符合下列所有條件:

使用中的資料落地機制

如果符合下列所有條件,資料即為使用中

  • 資料屬於受資料落地控制選項限制的資源類型。
  • Google Cloud 正在完成您要求啟動的作業 (例如,您的應用程式呼叫 Security Command Center API),產生稽核記錄資料存取透明化控管機制記錄的作業。
  • Google Cloud 可能會以需要瞭解資料意義的方式處理資料,例如更新設定資源中的特定欄位。包括記憶體中的資料未加密的情況。

傳輸中的資料落地

如果符合下列所有條件,資料即為傳輸中

  • 資料屬於受資料落地控制選項限制的資源類型。
  • 資料正在 Google 網路中加密傳輸,資料已加密儲存在記憶體中,準備在 Google 網路中傳輸。

Security Command Center 資源和資料落地

下表說明 Security Command Center 如何將資料落地控管機制套用至 Security Command Center 資源。如果資源未列於此處,則不受資料落地控管限制,且會依據《Google Cloud Platform 服務條款》儲存。

BigQuery 匯出

BigQuery 匯出設定須遵守資料駐留控制項。使用區域端點建立及管理這些設定資源。

Security Command Center API 會將 BigQuery 匯出設定表示為 BiqQueryExport 資源。

持續匯出

持續匯出設定須遵守資料落地控管機制。使用區域端點建立及管理這些設定資源。

Security Command Center API 會將持續匯出設定表示為 NotificationConfig 資源。

發現項目

調查結果會受到資料落地控管機制影響。

為所選資料位置中的資源建立發現項目時,該發現項目一律會位於相同位置。

如果為其他位置的資源建立發現項目,該項目最終會儲存在您選取的資料位置。不過,發現項目可能在建立時位於不同區域。

為確保調查結果一律位於資料位置,請在該位置建立所有 Google Cloud 資源。

Model Armor 資源

所有 Model Armor 資源都受資料落地控管機制約束。使用區域端點建立及管理這些設定資源。

忽略規則

忽略規則設定受資料落地控制選項限制。使用區域端點建立及管理這些設定資源。

Security Command Center API 會將忽略規則設定表示為 MuteConfig 資源。

其他 Security Command Center 資源和設定

未列於此處的 Security Command Center 資源和設定 (例如定義啟用哪些服務或使用哪個方案的資源和設定),不受資料落地控管機制限制。這項資料的儲存方式符合《Google Cloud Platform 服務條款》。

在位置中建立或查看資料

啟用資料落地設定後,建立或查看受資料落地控管限制的資料時,必須指定位置。Security Command Center 會自動為建立的發現項目選擇位置。

您一次只能在一個位置建立或查看資料。舉例來說,如果您在美國 (us) 地點列出調查結果,就不會看到歐盟 (eu) 地點的調查結果。

如要瞭解如何建立或查看受資料落地控管限制的資料,請參閱「關於管轄區 Google Cloud 控制台」和「區域端點工具」。

後續步驟