Points de terminaison régionaux de Security Command Center

Ce document explique comment utiliser les ressources Security Command Center lorsque la résidence des données est activée. Vous ne pouvez activer la résidence des données pour Security Command Center que lorsque vous activez le niveau de service Standard ou Premium pour une organisation.

Ressources avec contrôles de résidence des données

Les types de ressources Security Command Center suivants sont soumis aux contrôles de résidence des données :

Pour utiliser ces ressources par programmation ou en ligne de commande, vous devez utiliser les points de terminaison régionaux pour l'API Security Command Center. Pour travailler avec ces ressources dans la console Google Cloud , vous devez utiliser la console Google Cloud juridictionnelle.

Pour tous les autres types de ressources, utilisez les points de terminaison d'API par défaut et la consoleGoogle Cloud .

À propos des points de terminaison régionaux

Les points de terminaison régionaux permettent d'accéder aux ressources d'un emplacement spécifique. Lorsque vous utilisez un point de terminaison régional, votre requête est directement acheminée vers l'emplacement du point de terminaison. Vous ne pouvez pas utiliser un point de terminaison régional pour accéder à des ressources situées dans d'autres emplacements.

L'utilisation d'un point de terminaison régional vous aide à appliquer des contrôles de résidence des données pour vos ressources lorsqu'elles sont au repos, en cours d'utilisation et en transit.

Security Command Center inclut plusieurs services. Pour les types de ressources soumis aux contrôles de résidence des données, les services suivants nécessitent l'utilisation de points de terminaison régionaux :

API Model Armor
modelarmor.LOCATION.rep.googleapis.com
API Security Command Center
securitycenter.LOCATION.rep.googleapis.com

Remplacez LOCATION par un emplacement compatible pour le service.

Pour tous les autres types de ressources, vous devez utiliser le point de terminaison par défaut.

À propos de la console juridictionnelle Google Cloud

La console Google Cloud juridictionnelle vous permet d'activer la résidence des données lorsque vous activez le niveau de service Standard ou Premium de Security Command Center. Il permet également d'accéder aux ressources d'un emplacement spécifique.

La console Google Cloud juridictionnelle vous aide à appliquer des contrôles de résidence des données pour vos ressources lorsqu'elles sont au repos, en cours d'utilisation et en transit.

Vous pouvez utiliser la console Google Cloud juridictionnelle pour accéder uniquement aux types de ressources soumis aux contrôles de résidence des données. Pour ouvrir la console, utilisez l'URL appropriée pour votre emplacement :

Union européenne
Utilisateurs avec identité fédérée : console.eu.cloud.google
Tous les autres utilisateurs : console.eu.cloud.google.com
Royaume d'Arabie saoudite (KSA)
Utilisateurs avec identité fédérée : console.sa.cloud.google
Tous les autres utilisateurs : console.sa.cloud.google.com
États-Unis
Utilisateurs avec identité fédérée : console.us.cloud.google
Tous les autres utilisateurs : console.us.cloud.google.com

Pour tous les autres types de ressources, vous devez utiliser la console Google Cloud standard.

Emplacements des points de terminaison régionaux

Cette section liste les emplacements où les points de terminaison régionaux sont disponibles pour l'API Security Command Center et les services associés.

Emplacements de l'API Security Command Center

L'API Security Command Center fournit des points de terminaison régionaux et multirégionaux dans les emplacements suivants :

Union européenne
eu
Royaume d'Arabie saoudite (KSA)
me-central2
États-Unis
us

Emplacements de l'API Model Armor

L'API Model Armor fournit des points de terminaison régionaux dans les emplacements suivants :

Union européenne
europe-west4 : Pays-Bas Icône Feuille Faibles émissions de CO2
États-Unis
us-central1 : Iowa Icône Feuille Faibles émissions de CO2
us-east1 : Caroline du Sud
us-east4 : Virginie du Nord
us-west1 : Oregon <0x0
Icône Feuille

L'API Model Armor fournit des points de terminaison multirégionaux dans les emplacements suivants :

Union européenne
eu
États-Unis
us

Outils pour les points de terminaison régionaux

Pour gérer les types de ressources soumis aux contrôles de résidence des données, vous devez spécifier un point de terminaison régional lorsque vous créez un client ou exécutez une commande.

Pour tous les autres types de ressources, vous devez utiliser le point de terminaison par défaut.

gcloud

Les groupes de commandes gcloud CLI suivants nécessitent l'utilisation d'un point de terminaison régional :

Pour tous les autres groupes de commandes gcloud scc, vous devez utiliser le point de terminaison par défaut de l'API Security Command Center.

Modifier le point de terminaison du service

Pour passer à un point de terminaison régional, exécutez la commande suivante :

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

Pour passer au point de terminaison par défaut, exécutez la commande suivante :

gcloud config unset api_endpoint_overrides/SERVICE

Remplacez les éléments suivants :

  • SERVICE : service à configurer. Utilisez modelarmor pour l'API Model Armor ou securitycenter pour l'API Security Command Center.
  • LOCATION : emplacement compatible pour le service

Vous pouvez également créer une configuration nommée pour gcloud CLI qui utilise le point de terminaison régional. Avant d'exécuter une commande gcloud CLI, vous pouvez passer à la configuration nommée en exécutant la commande gcloud config configurations activate.

Exécuter une commande gcloud CLI

Lorsque vous exécutez une commande gcloud CLI pour l'API Security Command Center, vous devez toujours spécifier l'emplacement. Pour ce faire, vous disposez de différentes méthodes :

  • Utilisez l'option --location.
  • Si vous fournissez le chemin d'accès complet du nom de ressource, utilisez un format qui spécifie un emplacement, comme projects/123/sources/456/locations/LOCATION/findings/a1b2c3.

L'exemple suivant montre comment utiliser l'indicateur --location.

La commande gcloud scc findings list liste les résultats d'une organisation dans un emplacement spécifique.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID : ID numérique de l'organisation
  • LOCATION : emplacement compatible pour l'API Security Command Center

Exécutez la commande gcloud scc findings list  :

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La réponse contient une liste de résultats.

Terraform

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base. Pour en savoir plus, lisez la documentation de référence du fournisseur Terraform. 

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

Go

Utilisez l'un des points de terminaison régionaux suivants :

API Model Armor
modelarmor.LOCATION.rep.googleapis.com:443
API Security Command Center
securitycenter.LOCATION.rep.googleapis.com:443

Remplacez LOCATION par un emplacement compatible pour le service.

L'exemple de code suivant montre comment créer un client de l'API Security Command Center qui utilise un point de terminaison régional.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Utilisez l'un des points de terminaison régionaux suivants :

API Model Armor
modelarmor.LOCATION.rep.googleapis.com:443
API Security Command Center
securitycenter.LOCATION.rep.googleapis.com:443

Remplacez LOCATION par un emplacement compatible pour le service.

L'exemple de code suivant montre comment créer un client de l'API Security Command Center qui utilise un point de terminaison régional.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Python

Utilisez l'un des points de terminaison régionaux suivants :

API Model Armor
modelarmor.LOCATION.rep.googleapis.com
API Security Command Center
securitycenter.LOCATION.rep.googleapis.com

Remplacez LOCATION par un emplacement compatible pour le service.

L'exemple de code suivant montre comment créer un client de l'API Security Command Center qui utilise un point de terminaison régional.

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client

REST

Pour accéder aux types de ressources de l'API REST suivants, vous devez utiliser un point de terminaison de service régional :

API Model Armor

Point de terminaison : https://modelarmor.LOCATION.rep.googleapis.com

Remplacez LOCATION par un emplacement compatible pour le service.

Types de ressources : tous les types de ressources

API Security Command Center

Point de terminaison : https://securitycenter.LOCATION.rep.googleapis.com

Remplacez LOCATION par un emplacement compatible pour le service.

Types de ressources :

Remplacez LOCATION par un emplacement compatible pour le service.

Pour tous les autres types de ressources, vous devez utiliser le point de terminaison par défaut.