Regionale Security Command Center-Endpunkte

In diesem Dokument wird beschrieben, wie Sie mit Security Command Center-Ressourcen arbeiten, wenn Datenstandort aktiviert ist. Sie können den Datenstandort für Security Command Center nur aktivieren, wenn Sie die Standard- oder Premium-Dienststufe für eine Organisation aktivieren.

Ressourcen mit Steuerelementen für den Datenstandort

Die folgenden Security Command Center-Ressourcentypen unterliegen den Datenstandortkontrollen:

Wenn Sie programmatisch oder über die Befehlszeile mit diesen Ressourcen arbeiten möchten, müssen Sie die regionalen Endpunkte für die Security Command Center API verwenden. Wenn Sie in der Google Cloud Console mit diesen Ressourcen arbeiten möchten, müssen Sie die Google Cloud Console verwenden.

Verwenden Sie für alle anderen Ressourcentypen die Standard-API-Endpunkte und die Google Cloud -Konsole.

Regionale Endpunkte

Regionale Endpunkte bieten Zugriff auf Ressourcen an einem bestimmten Standort. Wenn Sie einen regionalen Endpunkt verwenden, wird Ihre Anfrage direkt an den Standort des Endpunkts weitergeleitet. Sie können keinen regionalen Endpunkt verwenden, um auf Ressourcen an anderen Standorten zuzugreifen.

Mit einem regionalen Endpunkt können Sie Kontrollen für den Datenstandort für Ihre Ressourcen erzwingen, wenn sie inaktiv, in Verwendung und bei der Übertragung sind.

Security Command Center umfasst mehrere Dienste. Für Ressourcentypen, die den Datenstandortkontrollen unterliegen, müssen Sie für die folgenden Dienste regionale Endpunkte verwenden:

Model Armor API
modelarmor.LOCATION.rep.googleapis.com
Security Command Center API
securitycenter.LOCATION.rep.googleapis.com

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Für alle anderen Ressourcentypen müssen Sie den Standardendpunkt verwenden.

Informationen zur Google Cloud Konsole für die Gerichtsbarkeit

In der Gerichtsbarkeitskonsole Google Cloud können Sie den Datenstandort aktivieren, wenn Sie die Standard- oder Premium-Stufe von Security Command Center aktivieren. Außerdem wird der Zugriff auf Ressourcen an einem bestimmten Standort ermöglicht.

Mit der Gerichtsbarkeitskonsole Google Cloud können Sie Kontrollen für den Datenstandort für Ihre Ressourcen erzwingen, wenn sie sich im Ruhezustand, in Verwendung oder bei der Übertragung befinden.

Über die Google Cloud -Konsole können Sie nur auf Ressourcentypen zugreifen, die der Datenresidenz unterliegen. Verwenden Sie die entsprechende URL für Ihren Standort, um die Console zu öffnen:

Europäische Union
Nutzer mit föderierter Identität: console.eu.cloud.google
Alle anderen Nutzer: console.eu.cloud.google.com
Saudi-Arabien
Nutzer mit föderierter Identität: console.sa.cloud.google
Alle anderen Nutzer: console.sa.cloud.google.com
USA
Nutzer mit föderierter Identität: console.us.cloud.google
Alle anderen Nutzer: console.us.cloud.google.com

Für alle anderen Ressourcentypen müssen Sie die Standardkonsole Google Cloud verwenden.

Standorte für regionale Endpunkte

In diesem Abschnitt sind die Standorte aufgeführt, an denen regionale Endpunkte für die Security Command Center API und zugehörige Dienste verfügbar sind.

Standorte für die Security Command Center API

Die Security Command Center API bietet regionale und Multi-Region-Endpunkte an den folgenden Standorten:

Europäische Union
eu
Saudi-Arabien
me-central2
USA
us

Standorte für die Model Armor API

Die Model Armor API bietet regionale Endpunkte an den folgenden Standorten:

Europäische Union
europe-west4: Niederlande Blattsymbol Niedriger CO2-Wert
USA
us-central1: Iowa Blattsymbol Niedrige CO2-Bilanz
us-east1: South Carolina
us-east4: Northern Virginia
us-west1: Oregon <0x
Blattsymbol

Die Model Armor API bietet Multiregionen-Endpunkte an den folgenden Standorten:

Europäische Union
eu
USA
us

Tools für regionale Endpunkte

Wenn Sie Ressourcentypen verwalten möchten, die der Datenstandortkontrolle unterliegen, müssen Sie beim Erstellen eines Clients oder Ausführen eines Befehls einen regionalen Endpunkt angeben.

Für alle anderen Ressourcentypen müssen Sie den Standardendpunkt verwenden.

gcloud

Für die folgenden gcloud CLI-Befehlsgruppen müssen Sie einen regionalen Endpunkt verwenden:

Für alle anderen gcloud scc-Befehlsgruppen müssen Sie den Standardendpunkt für die Security Command Center API verwenden.

Dienstendpunkt ändern

Führen Sie den folgenden Befehl aus, um zu einem regionalen Endpunkt zu wechseln:

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

Führen Sie den folgenden Befehl aus, um zum Standardendpunkt zu wechseln:

gcloud config unset api_endpoint_overrides/SERVICE

Ersetzen Sie Folgendes:

  • SERVICE: Der zu konfigurierende Dienst. Verwenden Sie modelarmor für die Model Armor API oder securitycenter für die Security Command Center API.
  • LOCATION: ein unterstützter Standort für den Dienst

Optional können Sie eine benannte Konfiguration für die gcloud CLI erstellen, die den regionalen Endpunkt verwendet. Bevor Sie einen gcloud CLI-Befehl ausführen, können Sie mit dem Befehl gcloud config configurations activate zur benannten Konfiguration wechseln.

gcloud CLI-Befehl ausführen

Wenn Sie einen gcloud CLI-Befehl für die Security Command Center API ausführen, müssen Sie immer den Standort angeben. Dafür gibt es mehrere Möglichkeiten:

  • Verwenden Sie das Flag --location.
  • Wenn Sie den vollständigen Pfad des Ressourcennamens angeben, verwenden Sie ein Format, das einen Speicherort angibt, z. B. projects/123/sources/456/locations/LOCATION/findings/a1b2c3.

Das folgende Beispiel zeigt, wie das Flag --location verwendet wird.

Mit dem Befehl gcloud scc findings list werden die Ergebnisse einer Organisation an einem bestimmten Ort aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation
  • LOCATION: ein unterstützter Standort für die Security Command Center API

Führen Sie den Befehl gcloud scc findings list aus:

Linux, macOS oder Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Die Antwort enthält eine Liste mit Ergebnissen.

Terraform

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle. Weitere Informationen finden Sie in der Anbieterreferenzdokumentation zu Terraform. 

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

Go

Verwenden Sie einen der folgenden regionalen Endpunkte:

Model Armor API
modelarmor.LOCATION.rep.googleapis.com:443
Security Command Center API
securitycenter.LOCATION.rep.googleapis.com:443

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Das folgende Codebeispiel zeigt, wie Sie einen Security Command Center API-Client erstellen, der einen regionalen Endpunkt verwendet.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Verwenden Sie einen der folgenden regionalen Endpunkte:

Model Armor API
modelarmor.LOCATION.rep.googleapis.com:443
Security Command Center API
securitycenter.LOCATION.rep.googleapis.com:443

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Das folgende Codebeispiel zeigt, wie Sie einen Security Command Center API-Client erstellen, der einen regionalen Endpunkt verwendet.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Python

Verwenden Sie einen der folgenden regionalen Endpunkte:

Model Armor API
modelarmor.LOCATION.rep.googleapis.com
Security Command Center API
securitycenter.LOCATION.rep.googleapis.com

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Das folgende Codebeispiel zeigt, wie Sie einen Security Command Center API-Client erstellen, der einen regionalen Endpunkt verwendet.

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client

REST

Für den Zugriff auf die folgenden REST API-Ressourcentypen müssen Sie einen regionalen Dienstendpunkt verwenden:

Model Armor API

Endpunkt: https://modelarmor.LOCATION.rep.googleapis.com

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Ressourcentypen: Alle Ressourcentypen

Security Command Center API

Endpunkt: https://securitycenter.LOCATION.rep.googleapis.com

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Ressourcentypen:

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Für alle anderen Ressourcentypen müssen Sie den Standardendpunkt verwenden.