Endpoint regionali di Security Command Center

Questo documento spiega come utilizzare le risorse di Security Command Center quando è abilitata la residenza dei dati. Puoi abilitare la residenza dei dati per Security Command Center solo quando attivi il livello di servizio Standard o Premium per un'organizzazione.

Risorse con controlli per la residenza dei dati

I seguenti tipi di risorse di Security Command Center sono soggetti ai controlli di residenza dei dati:

Per lavorare con queste risorse a livello di programmazione o dalla riga di comando, devi utilizzare gli endpoint regionali per l'API Security Command Center. Per lavorare con queste risorse nella console Google Cloud , devi utilizzare la console giurisdizionale Google Cloud .

Per tutti gli altri tipi di risorse, utilizza gli endpoint API predefiniti e la Google Cloud console.

Informazioni sugli endpoint regionali

Gli endpoint regionali forniscono l'accesso alle risorse in una località specifica. Quando utilizzi un endpoint regionale, la tua richiesta viene indirizzata direttamente alla posizione dell'endpoint. Non puoi utilizzare un endpoint regionale per accedere alle risorse in altre posizioni.

L'utilizzo di un endpoint regionale ti aiuta a applicare i controlli di residenza dei dati per le tue risorse quando sono at-rest, in uso e in transito.

Security Command Center include più servizi. Per i tipi di risorse soggetti ai controlli di residenza dei dati, i seguenti servizi richiedono l'utilizzo di endpoint regionali:

API Model Armor
modelarmor.LOCATION.rep.googleapis.com
API Security Command Center
securitycenter.LOCATION.rep.googleapis.com

Sostituisci LOCATION con una località supportata per il servizio.

Per tutti gli altri tipi di risorse, devi utilizzare l'endpoint predefinito.

Informazioni sulla console Google Cloud giurisdizionale

La console Google Cloud giurisdizionale ti consente di abilitare la residenza dei dati quando attivi il livello di servizio Standard o Premium di Security Command Center. Fornisce inoltre l'accesso alle risorse in una posizione specifica.

L'utilizzo della console Google Cloud giurisdizionale ti aiuta a applicare i controlli di residenza dei dati per le tue risorse quando sono at-rest, in uso e in transito.

Puoi utilizzare la console Google Cloud giurisdizionale per accedere solo ai tipi di risorse soggetti ai controlli della residenza dei dati. Per aprire la console, utilizza l'URL appropriato per la tua posizione:

Unione Europea
Utenti con identità federata: console.eu.cloud.google
Tutti gli altri utenti: console.eu.cloud.google.com
Regno dell'Arabia Saudita (KSA)
Utenti con identità federata: console.sa.cloud.google
Tutti gli altri utenti: console.sa.cloud.google.com
Stati Uniti
Utenti con identità federata: console.us.cloud.google
Tutti gli altri utenti: console.us.cloud.google.com

Per tutti gli altri tipi di risorse, devi utilizzare la console Google Cloud standard.

Località per gli endpoint regionali

Questa sezione elenca le località in cui sono disponibili endpoint regionali per l'API Security Command Center e i servizi correlati.

Località per l'API Security Command Center

L'API Security Command Center fornisce endpoint regionali e multiregionali nelle seguenti località:

Unione Europea
eu
Regno dell'Arabia Saudita (KSA)
me-central2
Stati Uniti
us

Località per l'API Model Armor

L'API Model Armor fornisce endpoint regionali nelle seguenti località:

Unione Europea
europe-west4: Paesi Bassi icona foglia Bassi livelli di CO2
Stati Uniti
us-central1: Iowa icona foglia A basse emissioni di CO2
us-east1: Carolina del Sud
us-east4: Virginia del Nord
us-west1: Oregon <0
icona foglia

L'API Model Armor fornisce endpoint multiregionali nelle seguenti località:

Unione Europea
eu
Stati Uniti
us

Strumenti per gli endpoint regionali

Per gestire i tipi di risorse soggetti ai controlli di residenza dei dati, devi specificare un endpoint regionale quando crei un client o esegui un comando.

Per tutti gli altri tipi di risorse, devi utilizzare l'endpoint predefinito.

gcloud

I seguenti gruppi di comandi gcloud CLI richiedono l'utilizzo di un endpoint regionale:

Per tutti gli altri gruppi di comandi gcloud scc, devi utilizzare l'endpoint predefinito per l'API Security Command Center.

Modifica l'endpoint di servizio

Per passare a un endpoint regionale, esegui questo comando:

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

Per passare all'endpoint predefinito, esegui questo comando:

gcloud config unset api_endpoint_overrides/SERVICE

Sostituisci quanto segue:

  • SERVICE: il servizio da configurare; utilizza modelarmor per l'API Model Armor o securitycenter per l'API Security Command Center
  • LOCATION: una posizione supportata per il servizio

Se vuoi, puoi creare una configurazione denominata per gcloud CLI che utilizza l'endpoint regionale. Prima di eseguire un comando gcloud CLI, puoi passare alla configurazione denominata eseguendo il comando gcloud config configurations activate.

Esegui un comando dell'interfaccia a riga di comando gcloud

Quando esegui un comando gcloud CLI per l'API Security Command Center, devi sempre specificare la località. Esistono diversi modi per farlo:

  • Utilizza il flag --location.
  • Se fornisci il percorso completo del nome della risorsa, utilizza un formato che specifichi una località, ad esempio projects/123/sources/456/locations/LOCATION/findings/a1b2c3.

Il seguente esempio mostra come utilizzare il flag --location.

Il comando gcloud scc findings list elenca i risultati di un'organizzazione in una località specifica.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione
  • LOCATION: una posizione supportata per l'API Security Command Center

Esegui il comando gcloud scc findings list:

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La risposta contiene un elenco di risultati.

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per saperne di più, consulta la documentazione di riferimento del fornitore Terraform. 

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

Go

Utilizza uno dei seguenti endpoint regionali:

API Model Armor
modelarmor.LOCATION.rep.googleapis.com:443
API Security Command Center
securitycenter.LOCATION.rep.googleapis.com:443

Sostituisci LOCATION con una località supportata per il servizio.

Il seguente esempio di codice mostra come creare un client API Security Command Center che utilizza un endpoint regionale.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Utilizza uno dei seguenti endpoint regionali:

API Model Armor
modelarmor.LOCATION.rep.googleapis.com:443
API Security Command Center
securitycenter.LOCATION.rep.googleapis.com:443

Sostituisci LOCATION con una località supportata per il servizio.

Il seguente esempio di codice mostra come creare un client API Security Command Center che utilizza un endpoint regionale.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Python

Utilizza uno dei seguenti endpoint regionali:

API Model Armor
modelarmor.LOCATION.rep.googleapis.com
API Security Command Center
securitycenter.LOCATION.rep.googleapis.com

Sostituisci LOCATION con una posizione supportata per il servizio.

Il seguente esempio di codice mostra come creare un client API Security Command Center che utilizza un endpoint regionale.

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client

REST

Per accedere ai seguenti tipi di risorse dell'API REST, devi utilizzare un endpoint di servizio regionale:

API Model Armor

Endpoint: https://modelarmor.LOCATION.rep.googleapis.com

Sostituisci LOCATION con una località supportata per il servizio.

Tipi di risorse: tutti i tipi di risorse

API Security Command Center

Endpoint: https://securitycenter.LOCATION.rep.googleapis.com

Sostituisci LOCATION con una località supportata per il servizio.

Tipi di risorse:

Sostituisci LOCATION con una località supportata per il servizio.

Per tutti gli altri tipi di risorse, devi utilizzare l'endpoint predefinito.