נקודות קצה אזוריות של Security Command Center

במאמר הזה מוסבר איך לעבוד עם משאבי Security Command Center כשמופעלת שמירת נתונים במדינה מסוימת. אפשר להפעיל את התכונה 'מיקום הנתונים' ב-Security Command Center רק כשמפעילים את Security Command Center בארגון.

משאבים עם אמצעי בקרה למיקום האחסון של הנתונים

סוגי המשאבים הבאים ב-Security Command Center כפופים לאמצעי בקרה על מיקום הנתונים:

כדי לעבוד עם המשאבים האלה באופן פרוגרמטי או בשורת הפקודה, צריך להשתמש בנקודות הקצה האזוריות של Security Command Center API. כדי לעבוד עם המשאבים האלה במסוף Google Cloud , צריך להשתמש במסוף Google Cloud השיפוט.

לכל שאר סוגי המשאבים, משתמשים בנקודות הקצה של ה-API שמוגדרות כברירת מחדל ובGoogle Cloud מסוף.

מידע על נקודות קצה אזוריות

נקודות קצה אזוריות מספקות גישה למשאבים במיקום ספציפי. כשמשתמשים בנקודת קצה אזורית, הבקשה מנותבת ישירות למיקום של נקודת הקצה. אי אפשר להשתמש בנקודת קצה אזורית כדי לגשת למשאבים במיקומים אחרים.

שימוש בנקודת קצה אזורית עוזר לכם לאכוף אמצעי בקרה לגבי מיקום הנתונים של המשאבים שלכם כשהם באחסון, בשימוש ובהעברה.

‫Security Command Center כולל כמה שירותים. בשביל סוגי משאבים שכפופים לאמצעי בקרה על מיקום הנתונים, צריך להשתמש בנקודות קצה אזוריות בשירותים הבאים:

Security Command Center API
securitycenter.LOCATION.rep.googleapis.com
Google SecOps
מידע נוסף זמין במאמרי העזרה של Google SecOps.

מחליפים את LOCATION במיקום נתמך של השירות.

בכל שאר סוגי המשאבים, צריך להשתמש בנקודת הקצה שמוגדרת כברירת מחדל.

מידע על מסוף Google Cloud ספציפי לסמכות שיפוט

Google Cloud במסוף של תחום השיפוט אפשר להפעיל את התכונה 'שמירת נתונים במיקום מסוים' כשמפעילים את Security Command Center. היא גם מספקת גישה למשאבים במיקום ספציפי.

שימוש במסוף Google Cloud האזורי עוזר לכם לאכוף אמצעי בקרה על מיקום הנתונים של המשאבים שלכם כשהם באחסון, בשימוש ובהעברה.

אפשר להשתמש במסוף Google Cloud השיפוט כדי לגשת רק אל סוגי משאבים שחלים עליהם אמצעי בקרה בנושא מיקום הנתונים. כדי לפתוח את המסוף, משתמשים בכתובת ה-URL המתאימה למיקום שלכם:

האיחוד האירופי
משתמשים עם זהות מאוחדת: console.eu.cloud.google
כל שאר המשתמשים: console.eu.cloud.google.com
ערב הסעודית
משתמשים עם זהויות מאוחדות: console.sa.cloud.google
כל שאר המשתמשים: console.sa.cloud.google.com
ארצות הברית
משתמשים עם זהויות מאוחדות: console.us.cloud.google
כל שאר המשתמשים: console.us.cloud.google.com

בכל שאר סוגי המשאבים, צריך להשתמש במסוף Google Cloud הסטנדרטי.

מיקומים של נקודות קצה אזוריות

בקטע הזה מפורטים המיקומים שבהם נקודות קצה אזוריות זמינות ל-Security Command Center API ולשירותים קשורים.

מיקומים של Security Command Center API

‫Security Command Center API מספק נקודות קצה אזוריות ונקודות קצה במספר אזורים במיקומים הבאים:

האיחוד האירופי
eu
ערב הסעודית
me-central2
ארצות הברית
us

מיקומים לניהול סיכונים במערכות AI

כדי ליהנות מכל היתרונות של AI Protection, עומסי העבודה של ה-AI צריכים להיות באזורים הבאים:

האיחוד האירופי
europe-west4: Netherlands סמל של עלה Low CO2
ארצות הברית
us-central1: איווה סמל של עלה רמה נמוכה של CO2
us-east4: צפון וירג'יניה
us-west1: אורגון סמל של עלה רמה נמוכה של CO�

‫ניהול סיכונים במערכות AI מספק נקודות קצה במספר אזורים במיקומים הבאים:

האיחוד האירופי
eu
ארצות הברית
us

התכונות הזמינות משתנות בהתאם לאזור. כדי לברר אילו תכונות זמינות באזור שלכם, אפשר לעיין בטבלה הבאה.

אזור Notebook Security Scanner הגנה מוגברת על המודל תכונות שלא זמינות
us-east7 כן לא
  • המודל של Vertex AI לא מוגן על ידי הגנה מוגברת על המודל.
  • הממצאים לא זמינים.
  • אין נתונים זמינים בשני ווידג'טים של הגנה מוגברת על המודל.
europe-west1
europe-west2
asia-southeast1		 לא כן ממצאי פגיעות בחבילה לא זמינים.
אזורים אחרים לא לא
  • המודל של Vertex AI לא מוגן על ידי הגנה מוגברת על המודל.
  • הממצאים לא זמינים.
  • אין נתונים זמינים בשני ווידג'טים של הגנה מוגברת על המודל.
  • ממצאי פגיעות בחבילה לא זמינים.

מיקומים ב-Google SecOps

דף המיקומים של Google SecOps

כלים לנקודות קצה אזוריות

כדי לנהל סוגי משאבים שחלים עליהם אמצעי בקרה בנושא מיקום הנתונים, צריך לציין נקודת קצה אזורית כשיוצרים לקוח או מריצים פקודה.

בכל שאר סוגי המשאבים, צריך להשתמש בנקודת הקצה שמוגדרת כברירת מחדל.

gcloud

כדי להשתמש בקבוצות הפקודות הבאות של ה-CLI של gcloud, צריך להשתמש בנקודת קצה אזורית:

בכל שאר קבוצות הפקודות של gcloud scc, צריך להשתמש בנקודת הקצה שמוגדרת כברירת מחדל עבור Security Command Center API.

שינוי נקודת הקצה של השירות

כדי לעבור לנקודת קצה אזורית, מריצים את הפקודה הבאה:

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

כדי לעבור לנקודת הקצה שמוגדרת כברירת מחדל, מריצים את הפקודה הבאה:

gcloud config unset api_endpoint_overrides/SERVICE

מחליפים את מה שכתוב בשדות הבאים:

  • SERVICE: השירות שרוצים להגדיר. משתמשים ב-securitycenter בשביל Security Command Center API
  • LOCATION: מיקום נתמך בשביל השירות

אפשר גם ליצור תצורה בעלת שם ל-ה-CLI של gcloud שמשתמשת בנקודת הקצה האזורית. לפני שמריצים פקודה ב-CLI של gcloud, אפשר לעבור למערך ההגדרות האישיות שנקרא על ידי הרצת הפקודה gcloud config configurations activate.

הרצת פקודה ב-CLI של gcloud

כשמריצים פקודה ב-CLI של gcloud עבור Security Command Center API, צריך תמיד לציין את המיקום. יש כמה דרכים לעשות את זה:

  • משתמשים בדגל --location.
  • אם מציינים את הנתיב המלא של שם המשאב, צריך להשתמש בפורמט שמציין מיקום, כמו projects/123/sources/456/locations/LOCATION/findings/a1b2c3.

בדוגמה הבאה אפשר לראות איך משתמשים בדגל --location.

הפקודה gcloud scc findings list מציגה את הממצאים של הארגון במיקום ספציפי.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון
  • LOCATION: מיקום נתמך ב-API של Security Command Center

מריצים את הפקודה gcloud scc findings list:

‫Linux,‏ macOS או Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

‏Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows‏ (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

התשובה תכיל רשימת ממצאים.

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. למידע נוסף, ראו את מאמרי העזרה לספקים של Terraform. 

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

Go

משתמשים באחת מנקודות הקצה האזוריות הבאות:

Security Command Center API
securitycenter.LOCATION.rep.googleapis.com:443

מחליפים את LOCATION במיקום נתמך של השירות.

בדוגמת הקוד הבאה מוצג אופן היצירה של לקוח Security Command Center API שמשתמש בנקודת קצה אזורית.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

משתמשים באחת מנקודות הקצה האזוריות הבאות:

Security Command Center API
securitycenter.LOCATION.rep.googleapis.com:443

מחליפים את LOCATION במיקום נתמך של השירות.

בדוגמת הקוד הבאה מוצג אופן היצירה של לקוח Security Command Center API שמשתמש בנקודת קצה אזורית.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Python

משתמשים באחת מנקודות הקצה האזוריות הבאות:

Security Command Center API
securitycenter.LOCATION.rep.googleapis.com

מחליפים את LOCATION במיקום נתמך של השירות.

בדוגמת הקוד הבאה מוצג אופן היצירה של לקוח Security Command Center API שמשתמש בנקודת קצה אזורית.

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client

REST

כדי לגשת לסוגי המשאבים הבאים ב-API בארכיטקטורת REST, צריך להשתמש בנקודת קצה אזורית של שירות:

Security Command Center API

נקודת קצה: https://securitycenter.LOCATION.rep.googleapis.com

מחליפים את LOCATION במיקום נתמך של השירות.

סוגי המשאבים:

מחליפים את LOCATION במיקום נתמך של השירות.

בכל שאר סוגי המשאבים, צריך להשתמש בנקודת הקצה שמוגדרת כברירת מחדל.