规划数据驻留

如果您打算在激活 Security Command Center 时启用数据驻留，该页面会提供您需要了解的信息。

只有在组织中首次激活 Security Command Center 的标准层级或高级层级时，您才能启用对数据驻留的支持。Enterprise 层级不支持数据驻留。

数据驻留一经启用，便无法停用。

在 Security Command Center 中启用数据驻留功能时，Security Command Center 会自动将可能包含或引用数据的发现结果存储在与资源位置相对应的 Security Command Center 位置中。

同样，持续导出、BigQuery 导出和忽略规则配置（可将您的数据包含在其过滤条件中）存储在您创建它们的 Security Command Center 位置，在此位置，它们仅适用于该位置中的发现结果。

“发现结果”是某项 Security Command Center 检测服务在您的环境中检测到的安全问题的记录。发现结果记录由描述安全问题的属性以及受该问题影响的资源组成。

发现结果过滤条件通过引用发现结果的属性和属性值来选择发现结果。发现结果过滤条件在持续导出 (NotificationConfig) 和忽略规则 (muteConfig) 的配置中使用和保存。

在数据驻留上下文中，以下定义适用：

• 位置是与数据存储位置相对应的 Google Cloud 区域或多区域。
• “您的数据”一词的含义等同于 Google Cloud 通用服务条款的“数据位置”部分中“客户数据”一词的含义。

Security Command Center 的标准层级和高级层级均提供了启用数据驻留的选项。

支持的数据位置

Security Command Center 仅支持以下 Google Cloud 多区域作为数据位置：

欧盟 (eu)

数据存储在欧盟成员国内的任何 Google Cloud 区域中。

美国 (us)

数据存储在美国的任何 Google Cloud 区域中。

全球支持专线（global）

您可以在任何 Google Cloud 区域中存储或处理数据。如果未启用数据驻留，则全球是唯一受支持的位置。

如需详细了解 Security Command Center 位置，请参阅按位置提供的产品。

如果您需要为 Security Command Center 不支持的数据驻留指定默认位置，请与您的客户代表或 Google Cloud 销售专家联系。

激活期间启用数据驻留

只有在组织中首次激活 Security Command Center 时，您才能启用数据驻留。

如果未启用数据驻留，则所有 Security Command Center 资源的位置都会设置为 global，并且 Security Command Center 不会将您的数据存储到任何特定位置。

必须在组织级层激活。

启用数据驻留后，您无法将其停用，也无法更改默认位置。

如果在项目或组织级别激活 Security Command Center，而未同时启用数据驻留，则之后无法在 Security Command Center 中启用数据驻留。您需要创建一个新的 Google Cloud 组织，才能激活具有数据驻留的 Security Command Center。

默认数据位置

启用 Security Command Center 数据驻留时，您需要指定的唯一位置是您的默认 Security Command Center 位置。这是因为 Security Command Center 会根据资源的部署位置来确定数据需要存储的位置。

Security Command Center 使用默认的 Security Command Center 位置仅存储适用于以下资源类型的发现结果：

• 资源不在 Security Command Center 支持的位置
• 元数据中不包含位置规范的资源

您可以选择任何受支持的数据位置作为默认位置。

如果您是在多个位置或多区域部署 Google Cloud 资源的全球性企业，则可以选择全球位置作为默认位置。

如果您的企业仅在一个位置开展业务，您可以选择该位置作为默认的 Security Command Center 位置。

Security Command Center API 和数据驻留

数据驻留需要 Security Command Center API v2。

如果在启用数据驻留的情况下使用 Security Command Center API，则 v2 是唯一可用的 API。

Security Command Center 资源和数据驻留

以下列表介绍了 Security Command Center 如何将数据驻留控制措施应用于您使用 Security Command Center 时使用的资源：

资产

资产元数据不受数据驻留控制措施的控制。资产元数据全局存储在 Cloud Asset Inventory 中。

因此，Security Command Center 资产页面始终会显示您的组织、文件夹或项目中的所有资源，无论它们的位置或您设置 Google Cloud 控制台视图的位置。但是，如果启用数据驻留，并且您查看资产的详细信息，则资产页面中不会显示任何可能影响资产的发现结果的相关信息。

攻击风险得分和攻击路径

攻击风险得分和攻击路径不受数据驻留控制的约束，并在全球范围内存储。

BigQuery Export

BigQuery 导出配置受数据驻留控制措施的约束，并存储在您创建这些配置的位置。它们仅适用于驻留在同一位置的发现结果。

持续导出

持续导出配置受数据驻留控制措施的约束，并且存储在您创建它们的位置。它们仅适用于驻留在同一位置的发现结果。

发现结果

发现结果受数据驻留控制措施的约束，并存储在受影响资源所在的 Security Command Center 位置。如果受影响的资源位于受支持位置之外或者没有位置标识符，则该资源实例的任何发现结果都会存储在您的默认位置。

忽略规则

忽略规则配置受数据驻留控制措施的约束，并且存储在您创建这些规则的位置。它们仅适用于驻留在同一位置的发现结果。

Security Command Center 设置

大多数 Security Command Center 设置（例如定义启用哪些服务或哪个层级处于活动状态的设置）不受数据驻留控制措施的影响，并且会在全球范围内存储。BigQuery Export、持续导出到 Pub/Sub 以及忽略规则的配置设置是一个例外情况。这些设置因创建位置而异。

在 Google Cloud 控制台中查看位置数据

启用数据驻留并在 Google Cloud 控制台中选择位置后，每个 Security Command Center 页面仅显示来自所选位置的发现结果、忽略规则和持续导出。

例如，当您选择全球视图时，您只会看到全球数据。 如需查看发现结果、忽略规则或从其他位置的持续导出，您必须将 Google Cloud 控制台视图更改为其他位置。

启用后确定数据位置

包含您的数据的 Security Command Center 发现结果和配置的存储位置将在启用数据驻留后的几个时间点确定：

• 在您或 Security Command Center 生成或创建发现结果或配置时。
• 查看或检索发现结果或配置时。

创建配置时确定位置

创建持续导出、BigQuery 导出或忽略规则时，Security Command Center 会将生成的配置存储为资源。持续导出配置会存储为 NotificationConfig 资源，BigQuery 导出配置会存储为 BiqQueryExport 资源，忽略规则配置会存储为 MuteConfig 资源。

在创建导出配置或忽略规则之前，您必须选择创建导出配置或忽略规则的位置。您选择的位置是要导出或忽略的发现结果所在的位置。

在 Google Cloud 控制台中，您需要先将 Google Cloud 控制台视图设置为适当的位置，然后才能创建持续导出或忽略规则。

使用 Security Command Center API 或 Google Cloud CLI 创建持续导出或忽略规则时，您可以在用于创建 notificationConfig 或 muteConfig 配置的 API 调用或 gcloud 命令中指定位置。

如需详细了解如何创建配置，请参阅：

• 创建持续导出：
  • 持续导出
  • 使用 API 创建和管理通知配置
  • gcloud scc notifications create
• 创建忽略规则：
  • 创建忽略规则
  • gcloud scc muteconfigs create

在生成发现结果时确定位置

当其中一项 Security Command Center 服务在您的环境中检测到安全问题时，Security Command Center 会根据受影响资源的位置确定发现结果的存储位置。

如果受影响的资源位于 Security Command Center 支持的数据位置，Security Command Center 会将发现结果存储在同一位置。

如果受影响的资源不在受支持的数据位置，或者未在其元数据中指定位置，Security Command Center 会将发现结果存储在您在启用数据驻留时指定的默认数据位置。

在查看 Security Command Center 数据时确定位置

如需在 Google Cloud 控制台中查看特定位置的发现结果、忽略规则和持续导出，您必须先将 Google Cloud 控制台视图设置为该位置。

您可以在 Google Cloud 控制台中大多数 Security Command Center 页面的左上角（项目选择器正下方）设置视图位置：

如果将 Google Cloud 控制台视图设置为某个位置，则 Google Cloud 控制台将仅显示驻留在该位置的发现结果、忽略规则和持续导出。

如需使用 API 或 gcloud CLI 检索发现结果或配置，您需要指定发现结果或配置的存储位置。

针对功能和集成的数据驻留支持

启用数据驻留后，以下功能、函数以及与其他产品的集成将不受支持：

• AI 摘要
• Web Security Scanner
• 快速漏洞检测
• Terraform

后续步骤

如需了解如何在启用数据驻留的情况下激活 Security Command Center，请参阅首次为组织激活 Security Command Center。