Esta página foi traduzida pela API Cloud Translation.

Pontos finais regionais do Security Command Center

Este documento explica como trabalhar com recursos do Security Command Center quando a residência de dados está ativada. Só pode ativar a residência de dados para o Security Command Center quando ativa o nível de serviço Standard ou Premium do Security Command Center para uma organização ou quando ativa o nível de serviço Enterprise do Security Command Center.

Recursos com controlos de residência dos dados

Os seguintes tipos de recursos do Security Command Center estão sujeitos a controlos de residência dos dados:

Todos os recursos do Model Armor
Todos os recursos do Google Security Operations
Configurações do BigQuery Export
Configurações de exportação contínua
Conclusões
Configurações de regras de desativação do som

Para trabalhar com estes recursos programaticamente ou na linha de comandos, tem de usar os endpoints regionais para a API Security Command Center. Para trabalhar com estes recursos na Google Cloud consola, tem de usar a consola jurisdicional Google Cloud .

Para todos os outros tipos de recursos, use os pontos finais da API predefinidos e a Google Cloud consola.

Acerca dos pontos finais regionais

Os pontos finais regionais fornecem acesso a recursos numa localização específica. Quando usa um ponto final regional, o seu pedido é encaminhado diretamente para a localização do ponto final. Não pode usar um ponto final regional para aceder a recursos noutras localizações.

A utilização de um ponto final regional ajuda a aplicar controlos de residência dos dados aos seus recursos quando estão em repouso, em utilização e em trânsito.

O Security Command Center inclui vários serviços. Para os tipos de recursos sujeitos a controlos de residência de dados, os seguintes serviços requerem que use pontos finais regionais:

API Model Armor: modelarmor.LOCATION.rep.googleapis.com
API Security Command Center: securitycenter.LOCATION.rep.googleapis.com
Google SecOps: Consulte a documentação de referência do Google SecOps.

Substitua LOCATION por uma localização suportada para o serviço.

Para todos os outros tipos de recursos, tem de usar o ponto final predefinido.

Acerca da consola Google Cloud jurisdicional

A consola Google Cloud jurisdicional permite-lhe ativar a residência de dados quando ativa o Security Command Center. Também permite o acesso a recursos numa localização específica.

A consola Google Cloud jurisdicional ajuda a aplicar controlos de residência dos dados aos seus recursos quando estão em repouso, em utilização e em trânsito.

Pode usar a consola Google Cloud jurisdicional para aceder apenas aos tipos de recursos sujeitos a controlos de residência de dados. Para abrir a consola, use o URL adequado à sua localização:

União Europeia: Utilizadores de identidade federada: console.eu.cloud.google; Todos os outros utilizadores: console.eu.cloud.google.com
Reino da Arábia Saudita (KSA): Utilizadores de identidade federada: console.sa.cloud.google; Todos os outros utilizadores: console.sa.cloud.google.com
Estados Unidos: Utilizadores de identidade federada: console.us.cloud.google; Todos os outros utilizadores: console.us.cloud.google.com

Para todos os outros tipos de recursos, tem de usar a consola Google Cloud padrão.

Localizações para pontos finais regionais

Esta secção indica as localizações onde os pontos finais regionais estão disponíveis para a API Security Command Center e os serviços relacionados.

Localizações da API Security Command Center

A API Security Command Center fornece pontos finais regionais e multirregionais nas seguintes localizações:

União Europeia: eu
Reino da Arábia Saudita (KSA): me-central2
Estados Unidos: us

Localizações para a API Model Armor

A API Model Armor fornece pontos finais regionais nas seguintes localizações:

União Europeia: europe-west4: Países Baixos Baixo CO₂
Estados Unidos: us-central1: Iowa Baixo CO₂; us-east1: Carolina do Sul; us-east4: Virgínia do Norte; us-west1: Oregão <0x0A
Ásia-Pacífico: asia-southeast1: Singapura (apenas suporta residência de dados em repouso)

A API Model Armor fornece pontos finais multirregionais nas seguintes localizações:

União Europeia: eu
Estados Unidos: us

Localizações para a proteção de IA

Para usufruir plenamente das vantagens da proteção de IA (pré-visualização), as cargas de trabalho de IA têm de estar nestas regiões:

União Europeia: europe-west4: Países Baixos Baixo CO₂
Estados Unidos: us-central1: Iowa Baixo CO₂; us-east4: Northern Virginia; us-west1: Oregon Baixo CO₂

A proteção de IA oferece pontos finais multirregionais nas seguintes localizações:

União Europeia: eu
Estados Unidos: us

As funcionalidades disponíveis variam consoante a região. Para saber que funcionalidades estão ou não disponíveis na sua região, consulte a tabela seguinte.

Região	Notebook Security Scanner	Model Armor	Funcionalidades não disponíveis
`us-east7`	Sim	Não	O modelo da Vertex AI não está protegido pelo Model Armor. As conclusões não estão disponíveis. Dois widgets do Model Armor não têm dados disponíveis.
`europe-west1` `europe-west2` `asia-southeast1`	Não	Sim	As conclusões de vulnerabilidades de pacotes não estão disponíveis.
Outras regiões	Não	Não	O modelo da Vertex AI não está protegido pelo Model Armor. As conclusões não estão disponíveis. Dois widgets do Model Armor não têm dados disponíveis. As conclusões de vulnerabilidades de pacotes não estão disponíveis.

Localizações para o Google SecOps

Consulte a página de localizações do Google SecOps.

Ferramentas para pontos finais regionais

Para gerir tipos de recursos sujeitos a controlos de residência de dados, tem de especificar um ponto final regional quando cria um cliente ou executa um comando.

Para todos os outros tipos de recursos, tem de usar o ponto final predefinido.

gcloud

Os seguintes grupos de comandos da CLI gcloud requerem que use um ponto final regional:

gcloud model-armor: gere os recursos do Model Armor
gcloud scc bqexports: gere as configurações do BigQuery Export
gcloud scc findings: gere as entradas
gcloud scc muteconfigs: gere as configurações das regras de desativação do som
gcloud scc notifications: gere as configurações de exportação contínua

Para todos os outros grupos de comandos gcloud scc, tem de usar o ponto final predefinido da API Security Command Center.

Altere o ponto final do serviço

Para mudar para um ponto final regional, execute o seguinte comando:

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

Para mudar para o ponto final predefinido, execute o seguinte comando:

gcloud config unset api_endpoint_overrides/SERVICE

Substitua o seguinte:

SERVICE: o serviço a configurar; use modelarmor para a API Model Armor ou securitycenter para a API Security Command Center
LOCATION: uma localização suportada para o serviço

Opcionalmente, pode criar uma configuração com nome para a CLI gcloud que usa o ponto final regional. Antes de executar um comando da CLI gcloud, pode mudar para a configuração com nome executando o comando gcloud config configurations activate.

Execute um comando da CLI gcloud

Quando executa um comando da CLI gcloud para a API Security Command Center, tem sempre de especificar a localização. Existem algumas formas de o fazer:

Use a flag --location.
Se indicar o caminho completo do nome do recurso, use um formato que especifique uma localização, como projects/123/sources/456/locations/LOCATION/findings/a1b2c3.

O exemplo seguinte mostra como usar a flag --location.

O comando gcloud scc findings list apresenta as conclusões de uma organização numa localização específica.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ORGANIZATION_ID: o ID numérico da organização
LOCATION: a localização suportada para a API Security Command Center

Execute o comando gcloud scc findings list:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

A resposta contém uma lista de resultados.

Terraform

Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform. Para mais informações, consulte a Terraform documentação de referência do fornecedor.

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

Go

Use um dos seguintes pontos finais regionais:

API Model Armor: modelarmor.LOCATION.rep.googleapis.com:443
API Security Command Center: securitycenter.LOCATION.rep.googleapis.com:443

Substitua LOCATION por uma localização suportada para o serviço.

O exemplo de código seguinte mostra como criar um cliente da API Security Command Center que usa um ponto final regional.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Use um dos seguintes pontos finais regionais:

API Model Armor: modelarmor.LOCATION.rep.googleapis.com:443
API Security Command Center: securitycenter.LOCATION.rep.googleapis.com:443

Substitua LOCATION por uma localização suportada para o serviço.

O exemplo de código seguinte mostra como criar um cliente da API Security Command Center que usa um ponto final regional.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Python

Use um dos seguintes pontos finais regionais:

API Model Armor: modelarmor.LOCATION.rep.googleapis.com
API Security Command Center: securitycenter.LOCATION.rep.googleapis.com

Substitua LOCATION por uma localização suportada para o serviço.

O exemplo de código seguinte mostra como criar um cliente da API Security Command Center que usa um ponto final regional.

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client

REST

Para aceder aos seguintes tipos de recursos da API REST, tem de usar um ponto final do serviço regional:

API Model Armor

Ponto final: https://modelarmor.LOCATION.rep.googleapis.com

Substitua LOCATION por uma localização suportada para o serviço.

Tipos de recursos: todos os tipos de recursos

API Security Command Center

Ponto final: https://securitycenter.LOCATION.rep.googleapis.com

Substitua LOCATION por uma localização suportada para o serviço.

Tipos de recursos:

Substitua LOCATION por uma localização suportada para o serviço.

Para todos os outros tipos de recursos, tem de usar o ponto final predefinido.