Endpoints regionais do Security Command Center

Este documento explica como trabalhar com os recursos do Security Command Center quando a residência de dados está ativada. Só é possível ativar a residência de dados para o Security Command Center quando você ativa o Security Command Center para uma organização.

Recursos com controles de residência de dados

Os seguintes tipos de recursos do Security Command Center estão sujeitos a controles de residência de dados:

• Todos os recursos do Google Security Operations
• Configurações do BigQuery Export
• Configurações de exportação contínua
• Descobertas
• Configurações de regras de silenciamento

Para trabalhar com esses recursos de maneira programática ou na linha de comando, você deve usar os endpoints regionais da API Security Command Center. Para trabalhar com esses recursos no Google Cloud console, use o console Google Cloud de jurisdição.

Para todos os outros tipos de recursos, use os endpoints de API padrão e o Google Cloud console.

Sobre endpoints regionais

Os endpoints regionais fornecem acesso a recursos em um local específico. Quando você usa um endpoint regional, a solicitação é encaminhada diretamente para o local do endpoint. Não é possível usar um endpoint regional para acessar recursos em outros locais.

O uso de um endpoint regional ajuda a aplicar controles de residência de dados aos recursos quando eles estão em repouso, em uso e em trânsito.

O Security Command Center inclui vários serviços. Para tipos de recursos sujeitos a controles de residência de dados, os seguintes serviços exigem o uso de endpoints regionais:

API Security Command Center

securitycenter.LOCATION.rep.googleapis.com

Google SecOps

Consulte a documentação de referência do Google SecOps.

Substitua LOCATION por um local compatível com o serviço.

Para todos os outros tipos de recursos, use o endpoint padrão.

Sobre oconsole de jurisdição Google Cloud

Oconsole de jurisdição permite ativar a residência de dados ao ativar o Security Command Center. Google Cloud Ele também fornece acesso a recursos em um local específico.

O uso doconsole de jurisdição ajuda a aplicar controles de residência de dados aos recursos quando eles estão em repouso, em uso e em trânsito. Google Cloud

É possível usar oconsole de jurisdição Google Cloud para acessar apenas tipos de recursos sujeitos a controles de residência de dados. Para abrir o console, use o URL apropriado para seu local:

União Europeia

Usuários de identidade federada: console.eu.cloud.google

Todos os outros usuários: console.eu.cloud.google.com

Reino da Arábia Saudita (KSA, na sigla em inglês)

Usuários de identidade federada: console.sa.cloud.google

Todos os outros usuários: console.sa.cloud.google.com

Estados Unidos

Usuários de identidade federada: console.us.cloud.google

Todos os outros usuários: console.us.cloud.google.com

Para todos os outros tipos de recursos, use oconsole padrão Google Cloud .

Locais para endpoints regionais

Esta seção lista os locais em que os endpoints regionais estão disponíveis para a API Security Command Center e serviços relacionados.

Locais para a API Security Command Center

A API Security Command Center fornece endpoints regionais e multirregionais nos seguintes locais:

União Europeia

eu

Reino da Arábia Saudita (KSA, na sigla em inglês)

me-central2

Estados Unidos

us

Locais para a proteção por IA

Para aproveitar ao máximo a proteção por IA, as cargas de trabalho de IA precisam estar nestas regiões:

União Europeia

europe-west4: Países Baixos Baixo CO₂

Estados Unidos

us-central1: Iowa Baixo CO₂

us-east4: Virgínia do Norte

us-west1: Oregon Baixo CO₂

A proteção por IA fornece endpoints multirregionais nos seguintes locais:

União Europeia

eu

Estados Unidos

us

Os recursos disponíveis variam de acordo com a região. Para saber quais recursos estão ou não disponíveis na sua região, consulte a tabela a seguir.

Locais do Google SecOps

Consulte a página de locais do Google SecOps.

Ferramentas para endpoints regionais

Para gerenciar tipos de recursos sujeitos a controles de residência de dados, especifique um endpoint regional ao criar um cliente ou executar um comando.

Para todos os outros tipos de recursos, use o endpoint padrão.

gcloud config set api_endpoint_overrides/SERVICE \
    https://SERVICE.LOCATION.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/SERVICE

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

provider "google" {
  alias                              = "securitycenter_v2_endpoint_us"
  security_center_v2_custom_endpoint = "https://securitycenter.us.rep.googleapis.com/v2/"
}

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

from google.cloud import securitycenter_v2


def create_client_with_endpoint(api_endpoint) -> securitycenter_v2.SecurityCenterClient:
    """
    Creates a Security Command Center client for a regional endpoint.
    Args:
        api_endpoint: the regional endpoint's hostname, like 'securitycenter.REGION.rep.googleapis.com'
    Returns:
        securitycenter_v2.SecurityCenterClient: returns a client for the regional endpoint
    """
    regional_client = securitycenter_v2.SecurityCenterClient(
        client_options={"api_endpoint": api_endpoint}
    )
    print(
        "Regional client initiated with endpoint: {}".format(
            regional_client.api_endpoint
        )
    )
    return regional_client