Security Command Center のリージョンエンドポイント

このドキュメントでは、データ所在地が有効になっている場合に Security Command Center リソースを操作する方法について説明します。Security Command Center のデータ所在地を有効にできるのは、組織で Security Command Center を有効にしている場合のみです。

データ所在地コントロールがあるリソース

次の Security Command Center リソースタイプは、データ所在地コントロールの対象となります。

これらのリソースをプログラムまたはコマンドラインで操作するには、Security Command Center API のリージョンエンドポイントを使用する必要があります。 Google Cloud コンソールでこれらのリソースを操作するには、管轄区域の Google Cloud コンソールを使用する必要があります。

他のすべてのリソースタイプでは、デフォルトの API エンドポイントと Google Cloud コンソールを使用します。

リージョンエンドポイントについて

リージョンエンドポイントは、特定のロケーションにあるリソースへのアクセスを提供します。リージョンエンドポイントを使用すると、リクエストはエンドポイントのロケーションに直接転送されます。リージョンエンドポイントを使用して、他のロケーションのリソースにアクセスすることはできません。

リージョンエンドポイントを使用すると、リソースが保存中、使用中、転送中の場合に、リソースのデータ所在地コントロールを適用できます。

Security Command Center には複数のサービスが含まれています。データ所在地コントロールの対象となるリソースタイプの場合、次のサービスではリージョンエンドポイントを使用する必要があります。

Model Armor API: modelarmor.LOCATION.rep.googleapis.com
Security Command Center API: securitycenter.LOCATION.rep.googleapis.com
Google SecOps: Google SecOps のリファレンスドキュメントをご覧ください。

LOCATION は、サービスでサポートされているロケーションに置き換えます。

他のすべてのリソースタイプでは、デフォルトのエンドポイントを使用する必要があります。

管轄区域の Google Cloud コンソールについて

管轄区域の Google Cloud コンソールを使用すると、Security Command Center を有効にする際にデータ所在地を有効にできます。また、特定ロケーションのリソースへのアクセスを許可することもできます。

管轄区域の Google Cloud コンソールを使用すると、リソースが保存中、使用中、転送中のときに、リソースのデータ所在地コントロールを適用できます。

管轄区域の Google Cloud コンソールでは、データ所在地コントロールの対象となるリソースタイプにのみアクセスできます。コンソールを開くには、お住まいの地域に応じた適切な URL を使用します。

欧州連合: フェデレーション ID ユーザー: console.eu.cloud.google; その他のすべてのユーザー: console.eu.cloud.google.com
サウジアラビア王国（KSA）: フェデレーション ID ユーザー: console.sa.cloud.google; その他のすべてのユーザー: console.sa.cloud.google.com
米国: フェデレーション ID ユーザー: console.us.cloud.google; その他のすべてのユーザー: console.us.cloud.google.com

他のすべてのリソースタイプでは、標準の Google Cloud コンソールを使用する必要があります。

リージョンエンドポイントのロケーション

このセクションでは、Security Command Center API と関連サービスでリージョンエンドポイントを使用できるロケーションの一覧を示します。

Security Command Center API のロケーション

Security Command Center API は、次のロケーションでリージョンエンドポイントとマルチリージョンエンドポイントを提供します。

欧州連合: eu
サウジアラビア王国（KSA）: me-central2
米国: us

Model Armor API のロケーション

Model Armor API は、次のロケーションにリージョンエンドポイントを指定します。

ヨーロッパ: europe-west1: ベルギー低 CO₂; europe-west2: ロンドン低 CO₂ （保存時のデータ所在地のみをサポート）; europe-west3: フランクフルト; europe-west4: オランダ低 CO₂
米国: us-central1: アイオワ低 CO₂; us-east1: サウスカロライナ; us-east4: 北バージニア; us-west1: オレゴン低 CO₂
アジア太平洋: asia-southeast1: シンガポール（保存時のデータ所在地のみをサポート）; asia-south1: ムンバイ（保存時のデータ所在地のみをサポート）

Model Armor API は、次のロケーションにマルチリージョンエンドポイントを指定します。

欧州連合: eu
米国: us

AI 保護のロケーション

AI 保護（プレビュー版）のメリットを最大限に活用するには、AI ワークロードが次のリージョンにある必要があります。

欧州連合: europe-west4: オランダ低 CO₂
米国: us-central1: アイオワ低 CO₂; us-east4: 北バージニア; us-west1: オレゴン低 CO₂

AI Protection は、次のロケーションにマルチリージョンエンドポイントを提供します。

欧州連合: eu
米国: us

利用できる機能はリージョンによって異なります。リージョンで利用できる機能と利用できない機能については、次の表をご覧ください。

リージョン	Notebook Security Scanner	Model Armor	使用できない機能
`us-east7`	○	×	Vertex AI モデルは Model Armor で保護されません。検出結果は利用できません。 2 つの Model Armor ウィジェットにデータがありません。
`europe-west1` `europe-west2` `asia-southeast1`	×	○	パッケージの脆弱性の検出結果は使用できません。
その他のリージョン	×	×	Vertex AI モデルは Model Armor で保護されません。検出結果は利用できません。 2 つの Model Armor ウィジェットにデータがありません。パッケージの脆弱性の検出結果は使用できません。

Google SecOps のロケーション

Google SecOps のロケーションのページをご覧ください。

リージョンエンドポイントのツール

データ所在地コントロールの対象となるリソースタイプを管理するには、クライアントを作成するか、コマンドを実行するときに、リージョンエンドポイントを指定する必要があります。

他のすべてのリソースタイプでは、デフォルトのエンドポイントを使用する必要があります。

gcloud

次の gcloud CLI コマンドグループでは、リージョンエンドポイントを使用する必要があります。

gcloud model-armor: Model Armor リソースを管理する
gcloud scc bqexports: BigQuery Export の構成を管理する
gcloud scc findings: 検出結果を管理する
gcloud scc muteconfigs: ミュートルールの構成を管理する
gcloud scc notifications: 継続的エクスポート構成を管理する

他のすべての gcloud scc コマンドグループでは、Security Command Center API のデフォルトのエンドポイントを使用する必要があります。

サービスエンドポイントを変更する

リージョンエンドポイントに切り替えるには、次のコマンドを実行します。

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

デフォルトのエンドポイントに切り替えるには、次のコマンドを実行します。

gcloud config unset api_endpoint_overrides/SERVICE

次のように置き換えます。

SERVICE: 構成するサービス。Model Armor API には modelarmor、Security Command Center API には securitycenter を使用します。
LOCATION: サービスにサポートされているロケーション

必要に応じて、リージョンエンドポイントを使用する gcloud CLI の名前付き構成を作成できます。gcloud CLI コマンドを実行する前に、gcloud config configurations activate コマンドを実行して、名前付き構成に切り替えることができます。

gcloud CLI コマンドを実行する

Security Command Center API の gcloud CLI コマンドを実行する場合は、常にロケーションを指定する必要があります。これには、いくつかの方法があります

--location フラグを使用します。
リソース名のフルパスを指定する場合は、projects/123/sources/456/locations/LOCATION/findings/a1b2c3 などのロケーションを含む形式にします。

次の例は、--location フラグの使用方法を示しています。

gcloud scc findings list コマンドを使用すると、特定のロケーションにある組織の検出結果が一覧表示されます。

後述のコマンドデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID
LOCATION: Security Command Center API にサポートされているロケーション

gcloud scc findings list コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows（PowerShell）

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows（cmd.exe）

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

レスポンスには、検出結果のリストが含まれます。

Terraform

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。詳細については、Terraform プロバイダのリファレンスドキュメントをご覧ください。

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

Go

次のいずれかのリージョンエンドポイントを使用します。

Model Armor API: modelarmor.LOCATION.rep.googleapis.com:443
Security Command Center API: securitycenter.LOCATION.rep.googleapis.com:443

LOCATION は、サービスでサポートされているロケーションに置き換えます。

次のコードサンプルは、リージョンエンドポイントを使用する Security Command Center API クライアントの作成方法を示しています。

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

次のいずれかのリージョンエンドポイントを使用します。

Model Armor API: modelarmor.LOCATION.rep.googleapis.com:443
Security Command Center API: securitycenter.LOCATION.rep.googleapis.com:443

LOCATION は、サービスでサポートされているロケーションに置き換えます。

次のコードサンプルは、リージョンエンドポイントを使用する Security Command Center API クライアントの作成方法を示しています。


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Python

次のいずれかのリージョンエンドポイントを使用します。

Model Armor API: modelarmor.LOCATION.rep.googleapis.com
Security Command Center API: securitycenter.LOCATION.rep.googleapis.com

LOCATION は、サービスでサポートされているロケーションに置き換えます。

次のコードサンプルは、リージョンエンドポイントを使用する Security Command Center API クライアントの作成方法を示しています。

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client

REST

次の REST API リソースタイプにアクセスするには、リージョンサービスエンドポイントを使用する必要があります。

Model Armor API

エンドポイント: https://modelarmor.LOCATION.rep.googleapis.com

LOCATION は、サービスでサポートされているロケーションに置き換えます。

リソースタイプ: すべてのリソースタイプ

Security Command Center API

エンドポイント: https://securitycenter.LOCATION.rep.googleapis.com

LOCATION は、サービスでサポートされているロケーションに置き換えます。

リソースタイプ:

LOCATION は、サービスでサポートされているロケーションに置き換えます。

他のすべてのリソースタイプでは、デフォルトのエンドポイントを使用する必要があります。

Security Command Center のリージョン エンドポイント コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

データ所在地コントロールがあるリソース

リージョン エンドポイントについて

管轄区域の Google Cloud コンソールについて

リージョン エンドポイントのロケーション

Security Command Center API のロケーション

Model Armor API のロケーション

AI 保護のロケーション

Google SecOps のロケーション

リージョン エンドポイントのツール

gcloud

サービス エンドポイントを変更する

gcloud CLI コマンドを実行する

Linux、macOS、Cloud Shell

Windows（PowerShell）

Windows（cmd.exe）

Terraform

Go

Java

Python

REST

Security Command Center のリージョンエンドポイント

リージョンエンドポイントについて

リージョンエンドポイントのロケーション

リージョンエンドポイントのツール

サービスエンドポイントを変更する