Pontos finais regionais do Security Command Center

Este documento explica como trabalhar com recursos do Security Command Center quando a residência de dados está ativada. Só pode ativar a residência de dados para o Security Command Center quando ativa o Security Command Center para uma organização.

Recursos com controlos de residência dos dados

Os seguintes tipos de recursos do Security Command Center estão sujeitos a controlos de residência dos dados:

• Todos os recursos do Google Security Operations
• Configurações do BigQuery Export
• Configurações de exportação contínua
• Descobertas
• Configurações de regras de desativação do som

Para trabalhar com estes recursos programaticamente ou na linha de comandos, tem de usar os endpoints regionais para a API Security Command Center. Para trabalhar com estes recursos na Google Cloud consola, tem de usar aconsola Google Cloud jurisdicional.

Para todos os outros tipos de recursos, use os pontos finais da API predefinidos e a Google Cloud consola.

Acerca dos pontos finais regionais

Os pontos finais regionais fornecem acesso a recursos numa localização específica. Quando usa um ponto final regional, o seu pedido é encaminhado diretamente para a localização do ponto final. Não pode usar um ponto final regional para aceder a recursos noutras localizações.

A utilização de um ponto final regional ajuda a aplicar controlos de residência dos dados aos seus recursos quando estão em repouso, em utilização e em trânsito.

O Security Command Center inclui vários serviços. Para os tipos de recursos sujeitos a controlos de residência de dados, os seguintes serviços requerem que use pontos finais regionais:

API Security Command Center

securitycenter.LOCATION.rep.googleapis.com

Google SecOps

Consulte a documentação de referência do Google SecOps.

Substitua LOCATION por uma localização suportada para o serviço.

Para todos os outros tipos de recursos, tem de usar o ponto final predefinido.

Acerca da consola Google Cloud jurisdicional

A consola Google Cloud jurisdicional permite-lhe ativar a residência de dados quando ativa o Security Command Center. Também permite o acesso a recursos numa localização específica.

A consola Google Cloud jurisdicional ajuda a aplicar controlos de residência dos dados aos seus recursos quando estão em repouso, em utilização e em trânsito.

Pode usar a consola Google Cloud jurisdicional para aceder apenas aos tipos de recursos sujeitos a controlos de residência de dados. Para abrir a consola, use o URL adequado à sua localização:

União Europeia

Utilizadores de identidade federada: console.eu.cloud.google

Todos os outros utilizadores: console.eu.cloud.google.com

Reino da Arábia Saudita (KSA)

Utilizadores de identidade federada: console.sa.cloud.google

Todos os outros utilizadores: console.sa.cloud.google.com

Estados Unidos

Utilizadores de identidade federada: console.us.cloud.google

Todos os outros utilizadores: console.us.cloud.google.com

Para todos os outros tipos de recursos, tem de usar a consola Google Cloud padrão.

Localizações para pontos finais regionais

Esta secção indica as localizações onde os pontos finais regionais estão disponíveis para a API Security Command Center e os serviços relacionados.

Localizações da API Security Command Center

A API Security Command Center fornece pontos finais regionais e multirregionais nas seguintes localizações:

União Europeia

eu

Reino da Arábia Saudita (KSA)

me-central2

Estados Unidos

us

Localizações da proteção de IA

Para usufruir plenamente das vantagens da proteção de IA (pré-visualização), as cargas de trabalho de IA têm de estar nestas regiões:

União Europeia

europe-west4: Países Baixos Baixo CO₂

Estados Unidos

us-central1: Iowa Baixo CO₂

us-east4: Northern Virginia

us-west1: Oregon Baixo CO₂

A proteção de IA oferece pontos finais multirregionais nas seguintes localizações:

União Europeia

eu

Estados Unidos

us

As funcionalidades disponíveis variam consoante a região. Para saber que funcionalidades estão ou não disponíveis na sua região, consulte a tabela seguinte.

Localizações para o Google SecOps

Consulte a página de localizações do Google SecOps.

Ferramentas para pontos finais regionais

Para gerir tipos de recursos sujeitos a controlos de residência de dados, tem de especificar um ponto final regional quando cria um cliente ou executa um comando.

Para todos os outros tipos de recursos, tem de usar o ponto final predefinido.

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/SERVICE

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client