本文档介绍了在为组织激活 Security Command Center 后,如何修改标准层级和高级层级中的数据驻留和数据加密配置。本文档介绍了如何执行以下操作:
- 启用或停用数据驻留并更改数据位置。
- 更改数据加密配置,以使用 Google 管理的加密密钥或 Cloud Key Management Service 密钥。
- 更改 Cloud KMS 密钥。
限制
此功能存在以下限制:
您每周只能执行一次数据迁移。如果您计划多次更改数据位置或数据加密,请确保每次更改之间至少间隔一周。
如果 Security Command Center 仅在项目级层激活,则不支持此功能。
在数据迁移期间,具有 v1 结构的
notificationConfigs资源会更新为 v2 结构。v2 API 不支持
source_properties字段。如果需要,请更新 Pub/Sub 和 BigQuery 的导出配置。如需了解详情,请参阅迁移到 Security Command Center API v2。
准备工作
在更改配置之前,请完成以下操作:
- 为变更做好准备。
- 确保您拥有所需的角色。
- 如果您要更改数据位置或密钥,请创建或找到 Cloud Key Management Service 密钥。
- 如果您要更改数据位置,请准备好忽略规则和导出配置。
制定变更计划
如果您要从默认的 global 数据位置迁移,请阅读规划数据驻留,了解 Security Command Center 如何支持数据驻留。
如果您计划将数据加密从 Google 管理的加密密钥更改为 Cloud KMS 密钥,请参阅为 Security Command Center 启用 CMEK,了解如何将客户管理的加密密钥 (CMEK) 与 Security Command Center 搭配使用。
请在不执行批量导出时规划配置更改。如果您已开始批量导出,请等到该流程完成后再进行操作。
更改配置后,数据迁移过程可能需要 4 到 24 小时,具体取决于检测结果的数量。在此期间,Security Command Center 和已启用的内置检测服务会暂时暂停:
- Security Command Center 不会生成或更新发现结果。Security Command Center 不会收到从集成服务或第三方服务发送的发现结果。
- 从 Security Command Center 到其他资源的数据导出已暂停。
- 无法访问控制台中的 Security Command Center 页面。
以下 Security Command Center API 不可用:
securitycenter.googleapis.comsecuritycentermanagement.googleapis.com
如果在迁移期间调用某个 API 方法,该方法会返回一条
FAILED_PRECONDITION错误,并显示消息API access is temporarily unavailable due to an ongoing data migration。
迁移完成后,Security Command Center 和内置服务会自动重启。
如果 Security Command Center 与其他产品集成,则在迁移期间,这些连接可能会中断。
更改数据驻留配置时,系统会使用新的位置标识符(例如从 global 更改为 us)更新特定字段。这会影响以下资源:
- 调查结果:
name和canonicalNames值。 - 忽略规则:
MuteConfig中的name值。
请计划更新依赖于这些字段值的发现结果搜索查询、外部系统和脚本。
所需的角色
如需获得迁移 Security Command Center 数据位置或数据加密所需的权限,请让您的管理员为您授予组织的 Security Center Admin (roles/securitycenter.admin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建或找到 Cloud Key Management Service 密钥
如果符合以下任一条件,请创建密钥项目和 Cloud Key Management Service 密钥:
您计划更改 Cloud Key Management Service 密钥。
您计划在使用 Cloud Key Management Service 密钥的同时更改数据留存配置。在这种情况下,您必须重新选择 Cloud Key Management Service 密钥。
如需了解详情,请参阅为 Security Command Center 启用 CMEK。
准备忽略规则并导出配置
如果您打算更改数据位置,请更新以下依赖于包含位置标识符的字段值的配置:
- 发现结果忽略规则
- Pub/Sub 持续导出
更改字段值以使用新的位置标识符(例如,从 global 更改为 us)。
更改配置并开始迁移
您可以使用全局和管辖区级 Google Cloud 控制台来更改数据驻留或数据加密配置。选择游戏机时,请注意以下几点:
- 选择 CMEK 密钥:Cloud KMS 密钥菜单仅显示与控制台位于同一管辖区的密钥。如果您使用
global控制台,该菜单会显示所有密钥。 - 接收通知: Google Cloud 控制台通知通知仅会向启动数据留存位置迁移的用户显示,并且仅在用于配置设置(全局或管辖区级)的同一控制台中显示。
您可以更改数据驻留配置、数据加密配置,或同时更改这两项配置。
在 Google Cloud 控制台中,依次前往设置 > 设置详情。
选择已激活 Security Command Center 的组织。
点击管理数据驻留和加密。
在管理数据驻留下,启用或停用数据驻留。 如果您启用数据驻留,请选择数据位置。如果您不更改现有选择,数据迁移过程不会更改发现和资源字段值中的位置标识符。
点击继续。
在管理数据加密下,选择加密配置。
- 选择 Google 管理的加密密钥或 Cloud KMS 密钥。
如果您选择 Cloud KMS 密钥,请执行以下操作:
- 点击浏览以选择存储密钥的项目。
- 选择客户管理的密钥。
如果组织使用 Cloud KMS 密钥,并且您更改了数据留存配置,则必须重新选择密钥项目和 Cloud Key Management Service 密钥。
查看更改,然后点击开始迁移。点击取消以返回并更改所选内容。
在开始数据迁移对话框中,输入组织 ID 进行确认,然后点击确认数据迁移。
系统会显示数据迁移状态页面,表明迁移正在进行中。
在数据迁移进行期间,无法访问 Security Command Center 页面。 如果您在迁移期间尝试访问 Security Command Center,系统会显示迁移状态页面。
迁移完成后,状态页面会显示一个链接,用于在新配置的位置打开控制台。
验证数据迁移后的功能
迁移完成后,请确保 Security Command Center、相关服务和集成按预期运行。
验证 Security Command Center 是否可用,以及之前启用的服务是否已启用。
检查并验证数据导出配置是否指定了正确的资源:
BigQuery 导出配置指定了正确的数据集。请参阅流式 BigQuery 导出。
Pub/Sub 导出配置定义了正确的主题。请参阅 Pub/Sub 的发现结果通知。
如果您更改了数据驻留配置,请更新以下内容:
忽略规则:更新了依赖于发现结果
name或canonicalName的规则。更新依赖于发现结果
name或canonicalName的过滤条件和发现结果查询,以指定新位置。验证查找查询是否按预期运行。
验证与其他 Google Cloud 服务(例如 Cloud Hub、Application Design Center、GKE 安全态势信息中心或 Google SecOps 数据注入)的集成是否按预期运行。