Endpoints regionales de Security Command Center

En este documento, se explica cómo trabajar con los recursos de Security Command Center cuando la residencia de datos está habilitada. Solo puedes habilitar la residencia de datos para Security Command Center cuando activas Security Command Center para una organización.

Recursos con controles de residencia de datos

Los siguientes tipos de recursos de Security Command Center están sujetos a controles de residencia de datos:

• Todos los recursos de Google Security Operations
• Configuraciones de BigQuery Export
• Configuraciones de exportación continua
• Resultados
• Configuraciones de reglas de silenciamiento

Para trabajar con estos recursos de forma programática o en la línea de comandos, debes usar los extremos regionales de la API de Security Command Center. Para trabajar con estos recursos en la Google Cloud consola, debes usar la consola Google Cloud jurisdiccional.

Para todos los demás tipos de recursos, usa los extremos predeterminados de la API y la Google Cloud consola.

Acerca de los extremos regionales

Los extremos regionales proporcionan acceso a los recursos en una ubicación específica. Cuando usas un extremo regional, tu solicitud se enruta directamente a la ubicación del extremo. No puedes usar un extremo regional para acceder a recursos en otras ubicaciones.

El uso de un extremo regional te ayuda a aplicar los controles de residencia de datos para tus recursos cuando están en reposo, en uso y en tránsito.

Security Command Center incluye varios servicios. Para los tipos de recursos que están sujetos a controles de residencia de datos, los siguientes servicios requieren que uses extremos regionales:

API de Security Command Center

securitycenter.LOCATION.rep.googleapis.com

Google SecOps

Consulta la documentación de referencia de Google SecOps.

Reemplaza LOCATION por una ubicación compatible con el servicio.

Para todos los demás tipos de recursos, debes usar el extremo predeterminado.

Acerca de la consola jurisdiccional Google Cloud

La consola jurisdiccional te permite habilitar la residencia de datos cuando activas Security Command Center. Google Cloud También proporciona acceso a los recursos en una ubicación específica.

El uso de la consola jurisdiccional Google Cloud te ayuda a aplicar los controles de residencia de datos para tus recursos cuando están en reposo, en uso y en tránsito.

Puedes usar la consola jurisdiccional Google Cloud para acceder solo a los tipos de recursos que están sujetos a controles de residencia de datos. Para abrir la consola, usa la URL adecuada para tu ubicación:

Unión Europea

Usuarios de identidad federada: console.eu.cloud.google

Todos los demás usuarios: console.eu.cloud.google.com

Reino de Arabia Saudita (KSA)

Usuarios de identidad federada: console.sa.cloud.google

Todos los demás usuarios: console.sa.cloud.google.com

Estados Unidos

Usuarios de identidad federada: console.us.cloud.google

Todos los demás usuarios: console.us.cloud.google.com

Para todos los demás tipos de recursos, debes usar la consola estándar Google Cloud .

Ubicaciones de los extremos regionales

En esta sección, se enumeran las ubicaciones en las que los extremos regionales están disponibles para la API de Security Command Center y los servicios relacionados.

Ubicaciones de la API de Security Command Center

La API de Security Command Center proporciona extremos regionales y multirregionales en las siguientes ubicaciones:

Unión Europea

eu

Reino de Arabia Saudita (KSA)

me-central2

Estados Unidos

us

Ubicaciones de AI Protection

Para obtener el beneficio completo de AI Protection, las cargas de trabajo de IA deben estar en estas regiones:

Unión Europea

europe-west4: Países Bajos Bajo nivel de CO₂

Estados Unidos

us-central1: Iowa Bajo nivel de CO₂

us-east4: Virginia del Norte

us-west1: Oregón Bajo nivel de CO₂

AI Protection proporciona extremos multirregionales en las siguientes ubicaciones:

Unión Europea

eu

Estados Unidos

us

Las funciones disponibles varían según la región. Para saber qué funciones están disponibles o no en tu región, consulta la siguiente tabla.

Ubicaciones de Google SecOps

Consulta la página de ubicaciones de Google SecOps.

Herramientas para extremos regionales

Para administrar los tipos de recursos que están sujetos a controles de residencia de datos, debes especificar un extremo regional cuando creas un cliente o ejecutas un comando.

Para todos los demás tipos de recursos, debes usar el extremo predeterminado.

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/SERVICE

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client