Regionale Security Command Center-Endpunkte

In diesem Dokument wird erläutert, wie Sie mit Security Command Center-Ressourcen arbeiten, wenn der Datenstandort aktiviert ist. Sie können den Datenstandort für Security Command Center nur aktivieren, wenn Sie Security Command Center für eine Organisation aktivieren.

Ressourcen mit Datenstandortkontrollen

Die folgenden Security Command Center-Ressourcentypen unterliegen Datenstandortkontrollen:

• Alle Google Security Operations-Ressourcen
• BigQuery Export-Konfigurationen
• Konfigurationen für kontinuierliche Exporte
• Ergebnisse
• Konfigurationen für Ausblendungsregeln

Wenn Sie diese Ressourcen programmatisch oder über die Befehlszeile verwenden möchten, müssen Sie die regionalen Endpunkte für die Security Command Center API verwenden. Wenn Sie diese Ressourcen in der Google Cloud Console verwenden möchten, müssen Sie die Console für die Gerichtsbarkeit Google Cloud verwenden.

Verwenden Sie für alle anderen Ressourcentypen die Standard-API-Endpunkte und die Google Cloud Console.

Regionale Endpunkte

Regionale Endpunkte bieten Zugriff auf Ressourcen an einem bestimmten Standort. Wenn Sie einen regionalen Endpunkt verwenden, wird Ihre Anfrage direkt an den Standort des Endpunkts weitergeleitet. Sie können einen regionalen Endpunkt nicht verwenden, um auf Ressourcen an anderen Standorten zuzugreifen.

Wenn Sie einen regionalen Endpunkt verwenden, können Sie Datenstandortkontrollen erzwingen für Ihre Ressourcen, wenn sie sich im Ruhezustand, in der Verwendung und in der Übertragung befinden.

Security Command Center umfasst mehrere Dienste. Für Ressourcentypen, die Datenstandortkontrollen unterliegen, müssen Sie für die folgenden Dienste regionale Endpunkte verwenden:

Security Command Center API

securitycenter.LOCATION.rep.googleapis.com

Google SecOps

Weitere Informationen finden Sie in der Referenzdokumentation zu Google SecOps.

Ersetzen Sie LOCATION durch einen unterstützten Standort für den Dienst.

Für alle anderen Ressourcentypen müssen Sie den Standardendpunkt verwenden.

Konsole für die Gerichtsbarkeit Google Cloud

Mit der Console für die Gerichtsbarkeit können Sie den Datenstandort aktivieren, wenn Sie Security Command Center aktivieren. Google Cloud Außerdem bietet sie Zugriff auf Ressourcen an einem bestimmten Standort.

Wenn Sie die Console für die Gerichtsbarkeit Google Cloud verwenden, können Sie Datenstandortkontrollen für Ihre Ressourcen erzwingen, wenn sie sich im Ruhezustand, in der Verwendung und in der Übertragung befinden.

Sie können mit der jurisdictional Google Cloud Console nur auf Ressourcentypen zugreifen, die Datenstandortkontrollen unterliegen. Verwenden Sie die entsprechende URL für Ihren Standort, um die Console zu öffnen:

Europäische Union

Nutzer mit föderierter Identität: console.eu.cloud.google

Alle anderen Nutzer: console.eu.cloud.google.com

Königreich Saudi-Arabien

Nutzer mit föderierter Identität: console.sa.cloud.google

Alle anderen Nutzer: console.sa.cloud.google.com

USA

Nutzer mit föderierter Identität: console.us.cloud.google

Alle anderen Nutzer: console.us.cloud.google.com

Für alle anderen Ressourcentypen müssen Sie die Standard Google Cloud console verwenden.

Standorte für regionale Endpunkte

In diesem Abschnitt werden die Standorte aufgeführt, an denen regionale Endpunkte für die Security Command Center API und zugehörige Dienste verfügbar sind.

Standorte für die Security Command Center API

Die Security Command Center API bietet regionale und multiregionale Endpunkte an den folgenden Standorten:

Europäische Union

eu

Königreich Saudi-Arabien

me-central2

USA

us

Standorte für KI-Schutz

Damit Sie alle Vorteile von KI-Schutz nutzen können, müssen sich die KI Arbeitslasten in diesen Regionen befinden:

Europäische Union

europe-west4: Niederlande niedriger CO₂

USA

us-central1: Iowa niedriger CO_2-Ausstoß

us-east4: Nord-Virginia

us-west1: Oregon niedriger CO_2-Ausstoß

KI-Schutz bietet multiregionale Endpunkte an den folgenden Standorten:

Europäische Union

eu

USA

us

Die verfügbaren Funktionen variieren je nach Region. In der folgenden Tabelle sehen Sie, welche Funktionen in Ihrer Region verfügbar sind.

Standorte für Google SecOps

Weitere Informationen finden Sie auf der Seite Google SecOps-Standorte.

Tools für regionale Endpunkte

Wenn Sie Ressourcentypen verwalten möchten, die Datenstandortkontrollen unterliegen, müssen Sie beim Erstellen eines Clients oder Ausführen eines Befehls einen regionalen Endpunkt angeben.

Für alle anderen Ressourcentypen müssen Sie den Standardendpunkt verwenden.

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/SERVICE

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client