Esta página se ha traducido con Cloud Translation API.

Endpoints regionales de Security Command Center

En este documento se explica cómo trabajar con los recursos de Security Command Center cuando la residencia de datos está habilitada. Solo puedes habilitar la residencia de datos en Security Command Center cuando activas el nivel de servicio Standard o Premium de Security Command Center en una organización o cuando activas el nivel de servicio Enterprise de Security Command Center.

Recursos con controles de residencia de datos

Los siguientes tipos de recursos de Security Command Center están sujetos a controles de residencia de datos:

Todos los recursos de Model Armor
Todos los recursos de Google Security Operations
Configuraciones de BigQuery Export
Configuraciones de exportación continua
Resultados
Configuraciones de reglas de silencio

Para trabajar con estos recursos de forma programática o en la línea de comandos, debes usar los endpoints regionales de la API de Security Command Center. Para trabajar con estos recursos en la consola de Google Cloud , debes usar la consola jurisdiccional Google Cloud .

Para todos los demás tipos de recursos, usa los endpoints de API predeterminados y la consola.Google Cloud

Acerca de los endpoints regionales

Los endpoints regionales proporcionan acceso a los recursos de una ubicación específica. Cuando usas un endpoint regional, tu solicitud se dirige directamente a la ubicación del endpoint. No puedes usar un endpoint regional para acceder a recursos de otras ubicaciones.

Usar un endpoint regional te ayuda a aplicar controles de residencia de datos a tus recursos cuando están en reposo, en uso y en tránsito.

Security Command Center incluye varios servicios. En el caso de los tipos de recursos que están sujetos a controles de residencia de datos, los siguientes servicios requieren que uses endpoints regionales:

API Model Armor: modelarmor.LOCATION.rep.googleapis.com
API Security Command Center: securitycenter.LOCATION.rep.googleapis.com
Google SecOps: Consulta la documentación de referencia de Google SecOps.

Sustituye LOCATION por una ubicación admitida del servicio.

En el caso de los demás tipos de recursos, debe usar el endpoint predeterminado.

Acerca de la consola jurisdiccional Google Cloud

La consola de jurisdicción Google Cloud te permite habilitar la residencia de datos cuando activas Security Command Center. También proporciona acceso a recursos en una ubicación específica.

La consola de jurisdicción te ayuda a Google Cloud aplicar controles de residencia de datos Google Cloud a tus recursos cuando están en reposo, en uso y en tránsito.

Puedes usar la consola jurisdiccional Google Cloud para acceder solo a los tipos de recursos que están sujetos a controles de residencia de datos. Para abrir la consola, usa la URL adecuada para tu ubicación:

Unión Europea: Usuarios de identidad federada: console.eu.cloud.google; Todos los demás usuarios: console.eu.cloud.google.com
Reino de Arabia Saudí: Usuarios de identidad federada: console.sa.cloud.google; Todos los demás usuarios: console.sa.cloud.google.com
Estados Unidos: Usuarios de identidad federada: console.us.cloud.google; Todos los demás usuarios: console.us.cloud.google.com

En el caso de los demás tipos de recursos, debes usar la consola estándar. Google Cloud

Ubicaciones de los endpoints regionales

En esta sección se indican las ubicaciones en las que están disponibles los endpoints regionales de la API de Security Command Center y los servicios relacionados.

Ubicaciones de la API de Security Command Center

La API de Security Command Center proporciona endpoints regionales y multirregionales en las siguientes ubicaciones:

Unión Europea: eu
Reino de Arabia Saudí: me-central2
Estados Unidos: us

Ubicaciones de la API Model Armor

La API Model Armor proporciona endpoints regionales en las siguientes ubicaciones:

Unión Europea: europe-west4: Países Bajos CO₂ bajo
Estados Unidos: us-central1: Iowa Bajas emisiones de CO₂; us-east1: Carolina del Sur; us-east4: Norte de Virginia; us-west1: Oregón <0x0A
Asia-Pacífico: asia-southeast1: Singapur (solo admite residencia de datos en reposo)

La API Model Armor proporciona endpoints multirregión en las siguientes ubicaciones:

Unión Europea: eu
Estados Unidos: us

Ubicaciones de AI Protection

Para disfrutar de todas las ventajas de AI Protection (vista previa), las cargas de trabajo de IA deben estar en estas regiones:

Unión Europea: europe-west4: Países Bajos CO₂ bajo
Estados Unidos: us-central1: Iowa Bajas emisiones de CO₂; us-east4: Norte de Virginia; us-west1: Oregón Bajas emisiones de CO₂�

Protección con IA proporciona puntos de conexión multirregionales en las siguientes ubicaciones:

Unión Europea: eu
Estados Unidos: us

Las funciones disponibles varían según la región. Para saber qué funciones están disponibles en tu región, consulta la siguiente tabla.

Región	Notebook Security Scanner	Model Armor	Funciones no disponibles
`us-east7`	Sí	No	El modelo de Vertex AI no está protegido por Model Armor. Los resultados no están disponibles. Dos widgets de Model Armor no tienen datos disponibles.
`europe-west1` `europe-west2` `asia-southeast1`	No	Sí	Los resultados de vulnerabilidades de paquetes no están disponibles.
Otras regiones	No	No	El modelo de Vertex AI no está protegido por Model Armor. Los resultados no están disponibles. Dos widgets de Model Armor no tienen datos disponibles. Los resultados de vulnerabilidades de paquetes no están disponibles.

Ubicaciones de Google SecOps

Consulta la página de ubicaciones de Google SecOps.

Herramientas para puntos finales regionales

Para gestionar tipos de recursos sujetos a controles de residencia de datos, debes especificar un endpoint regional al crear un cliente o ejecutar un comando.

En el caso de los demás tipos de recursos, debe usar el endpoint predeterminado.

gcloud

Los siguientes grupos de comandos de gcloud CLI requieren que uses un endpoint regional:

gcloud model-armor: gestiona los recursos de Model Armor.
gcloud scc bqexports: gestiona las configuraciones de BigQuery Export
gcloud scc findings: gestiona las conclusiones.
gcloud scc muteconfigs: gestiona las configuraciones de reglas de silencio.
gcloud scc notifications: gestiona las configuraciones de exportación continua.

Para todos los demás grupos de comandos gcloud scc, debes usar el endpoint predeterminado de la API de Security Command Center.

Cambiar el endpoint de servicio

Para cambiar a un endpoint regional, ejecuta el siguiente comando:

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

Para cambiar al endpoint predeterminado, ejecuta el siguiente comando:

gcloud config unset api_endpoint_overrides/SERVICE

Haz los cambios siguientes:

SERVICE: el servicio que se va a configurar. Usa modelarmor para la API Model Armor o securitycenter para la API de Security Command Center.
LOCATION: una ubicación admitida para el servicio

También puedes crear una configuración con nombre para la CLI de gcloud que use el endpoint regional. Antes de ejecutar un comando de la CLI de gcloud, puedes cambiar a la configuración con nombre ejecutando el comando gcloud config configurations activate.

Ejecutar un comando de la interfaz de línea de comandos de gcloud

Cuando ejecutas un comando de la CLI de gcloud para la API de Security Command Center, siempre debes especificar la ubicación. Hay varias formas de hacerlo:

Usa la marca --location.
Si proporciona la ruta completa del nombre del recurso, utilice un formato que especifique una ubicación, como projects/123/sources/456/locations/LOCATION/findings/a1b2c3.

En el siguiente ejemplo se muestra cómo usar la marca --location.

El comando gcloud scc findings list muestra las vulnerabilidades de una organización en una ubicación concreta.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

ORGANIZATION_ID: el ID numérico de la organización
LOCATION: una ubicación admitida para la API Security Command Center

Ejecuta el comando gcloud scc findings list:

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La respuesta contiene una lista de resultados.

Terraform

Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

Go

Usa uno de los siguientes endpoints regionales:

API Model Armor: modelarmor.LOCATION.rep.googleapis.com:443
API Security Command Center: securitycenter.LOCATION.rep.googleapis.com:443

Sustituye LOCATION por una ubicación admitida del servicio.

En el siguiente ejemplo de código se muestra cómo crear un cliente de la API de Security Command Center que usa un endpoint regional.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Usa uno de los siguientes endpoints regionales:

API Model Armor: modelarmor.LOCATION.rep.googleapis.com:443
API Security Command Center: securitycenter.LOCATION.rep.googleapis.com:443

Sustituye LOCATION por una ubicación admitida del servicio.

En el siguiente ejemplo de código se muestra cómo crear un cliente de la API de Security Command Center que usa un endpoint regional.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Python

Usa uno de los siguientes endpoints regionales:

API Model Armor: modelarmor.LOCATION.rep.googleapis.com
API Security Command Center: securitycenter.LOCATION.rep.googleapis.com

Sustituye LOCATION por una ubicación admitida del servicio.

En el siguiente ejemplo de código se muestra cómo crear un cliente de la API de Security Command Center que usa un endpoint regional.

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client

REST

Para acceder a los siguientes tipos de recursos de la API REST, debe usar un endpoint de servicio regional:

API Model Armor

Endpoint: https://modelarmor.LOCATION.rep.googleapis.com

Sustituye LOCATION por una ubicación admitida del servicio.

Tipos de recursos: todos los tipos de recursos

API Security Command Center

Endpoint: https://securitycenter.LOCATION.rep.googleapis.com

Sustituye LOCATION por una ubicación admitida del servicio.

Tipos de recursos:

Sustituye LOCATION por una ubicación admitida del servicio.

En el caso de los demás tipos de recursos, debe usar el endpoint predeterminado.

Endpoints regionales de Security Command Center Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Recursos con controles de residencia de datos

Acerca de los endpoints regionales

Acerca de la consola jurisdiccional Google Cloud

Ubicaciones de los endpoints regionales

Ubicaciones de la API de Security Command Center

Ubicaciones de la API Model Armor

Ubicaciones de AI Protection

Ubicaciones de Google SecOps

Herramientas para puntos finales regionales

gcloud

Cambiar el endpoint de servicio

Ejecutar un comando de la interfaz de línea de comandos de gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Terraform

Go

Java

Python

REST

Endpoints regionales de Security Command Center