Regionale Security Command Center-Endpunkte

In diesem Dokument wird beschrieben, wie Sie mit Security Command Center-Ressourcen arbeiten, wenn Datenstandort aktiviert ist. Sie können den Datenstandort für Security Command Center nur aktivieren, wenn Sie die Security Command Center Standard- oder Premium-Stufe für eine Organisation aktivieren oder wenn Sie die Security Command Center Enterprise-Stufe aktivieren.

Ressourcen mit Steuerelementen für den Datenstandort

Die folgenden Security Command Center-Ressourcentypen unterliegen Datenstandortkontrollen:

• Alle Model Armor-Ressourcen
• Alle Google Security Operations-Ressourcen
• BigQuery-Exportkonfigurationen
• Konfigurationen für kontinuierliche Exporte
• Ergebnisse
• Konfigurationen von Ausblendungsregeln

Wenn Sie programmatisch oder über die Befehlszeile mit diesen Ressourcen arbeiten möchten, müssen Sie die regionalen Endpunkte für die Security Command Center API verwenden. Wenn Sie in der Google Cloud Console mit diesen Ressourcen arbeiten möchten, müssen Sie die Google Cloud Console verwenden.

Verwenden Sie für alle anderen Ressourcentypen die Standard-API-Endpunkte und die Google Cloud -Konsole.

Regionale Endpunkte

Regionale Endpunkte bieten Zugriff auf Ressourcen an einem bestimmten Standort. Wenn Sie einen regionalen Endpunkt verwenden, wird Ihre Anfrage direkt an den Standort des Endpunkts weitergeleitet. Sie können keinen regionalen Endpunkt verwenden, um auf Ressourcen an anderen Standorten zuzugreifen.

Mit einem regionalen Endpunkt können Sie Kontrollen für den Datenstandort für Ihre Ressourcen erzwingen, wenn sie inaktiv, in Verwendung und bei der Übertragung sind.

Security Command Center umfasst mehrere Dienste. Für Ressourcentypen, die den Datenstandortkontrollen unterliegen, müssen Sie für die folgenden Dienste regionale Endpunkte verwenden:

Model Armor API

modelarmor.LOCATION.rep.googleapis.com

Security Command Center API

securitycenter.LOCATION.rep.googleapis.com

Google SecOps

Weitere Informationen finden Sie in der Google SecOps-Referenzdokumentation.

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Für alle anderen Ressourcentypen müssen Sie den Standardendpunkt verwenden.

Informationen zur Google Cloud Konsole für die Gerichtsbarkeit

In der Google Cloud -Konsole können Sie den Datenstandort aktivieren, wenn Sie Security Command Center aktivieren. Außerdem bietet sie Zugriff auf Ressourcen an einem bestimmten Standort.

Mit der Google Cloud -Konsole können Sie Kontrollen für den Datenstandort für Ihre Ressourcen erzwingen, wenn sie ruhend, in Verwendung und in Übertragung sind.

Über die Google Cloud -Konsole können Sie nur auf Ressourcentypen zugreifen, die der Datenresidenz unterliegen. Verwenden Sie die entsprechende URL für Ihren Standort, um die Console zu öffnen:

Europäische Union

Nutzer mit föderierter Identität: console.eu.cloud.google

Alle anderen Nutzer: console.eu.cloud.google.com

Saudi-Arabien

Nutzer mit föderierter Identität: console.sa.cloud.google

Alle anderen Nutzer: console.sa.cloud.google.com

USA

Nutzer mit föderierter Identität: console.us.cloud.google

Alle anderen Nutzer: console.us.cloud.google.com

Für alle anderen Ressourcentypen müssen Sie die Standardkonsole Google Cloud verwenden.

Standorte für regionale Endpunkte

In diesem Abschnitt sind die Standorte aufgeführt, an denen regionale Endpunkte für die Security Command Center API und zugehörige Dienste verfügbar sind.

Standorte für die Security Command Center API

Die Security Command Center API bietet regionale und Multi-Region-Endpunkte an den folgenden Standorten:

Europäische Union

eu

Saudi-Arabien

me-central2

USA

us

Standorte für die AI Protection API

Die AI Protection API (Vorabversion) bietet regionale Endpunkte an den folgenden Standorten:

Europäische Union

europe-west4: Niederlande Niedriger CO₂-Wert

USA

us-central1: Iowa Niedrige CO₂-Bilanz

us-east4: Northern Virginia

us-west1: Oregon Niedrige CO₂-Bilanz�

Die AI Protection API bietet Endpunkte für mehrere Regionen an den folgenden Standorten:

Europäische Union

eu

USA

us

Standorte für die Model Armor API

Die Model Armor API bietet regionale Endpunkte an den folgenden Standorten:

Europäische Union

europe-west4: Niederlande Niedriger CO₂-Wert

USA

us-central1: Iowa Niedrige CO₂-Bilanz

us-east1: South Carolina

us-east4: Northern Virginia

us-west1: Oregon <0

Asiatisch-pazifischer Raum

asia-southeast1: Singapur (unterstützt nur Datenstandort im Ruhezustand)

Die Model Armor API bietet Multiregionen-Endpunkte an den folgenden Standorten:

Europäische Union

eu

USA

us

Standorte für Google SecOps

Weitere Informationen finden Sie auf der Seite mit den Standorten für Google SecOps.

Tools für regionale Endpunkte

Wenn Sie Ressourcentypen verwalten möchten, die der Datenstandortkontrolle unterliegen, müssen Sie beim Erstellen eines Clients oder Ausführen eines Befehls einen regionalen Endpunkt angeben.

Für alle anderen Ressourcentypen müssen Sie den Standardendpunkt verwenden.

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/SERVICE

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client