Cette page a été traduite par l'API Cloud Translation.

Planifier la résidence des données

La résidence des données vous permet de mieux contrôler l'emplacement de vos données Security Command Center. localisés. Cette page fournit des informations essentielles sur le fonctionnement est compatible avec la résidence des données.

Les définitions suivantes s'appliquent à cette page :

Un emplacement est une région ou une zone multirégionale Google Cloud qui correspond à l'emplacement de vos données.
Le terme vos données a la même signification que le terme "Données client" dans l'élément Emplacement des données des Conditions d'utilisation générales de Google Cloud.

Emplacements de données acceptés

Security Command Center n'est compatible qu'avec les emplacements multirégionaux Google Cloud suivants en tant qu'emplacements de données:

Union européenne (eu): Les données se trouvent dans n'importe quelle région Google Cloud, au sein des États membres de Union européenne.
États-Unis (us): Les données se trouvent dans n'importe quelle région Google Cloud des États-Unis.
Royaume d'Arabie saoudite (sa): Les données résident dans n'importe quelle région Google Cloud en Arabie saoudite.
Numéro international (global): Les données peuvent résider dans n'importe quelle région Google Cloud. Si la résidence des données n'est pas l'emplacement Mondial (global) est le seul emplacement accepté.

Pour en savoir plus sur les emplacements Security Command Center, consultez Produits disponibles par zone géographique

Si vous devez spécifier un emplacement par défaut pour la résidence des données qui n'est pas compatible avec Security Command Center, contactez votre représentant de compte ou un spécialiste commercial Google Cloud.

Exigences concernant la résidence des données

Vous ne pouvez activer la résidence des données que lorsque vous activer le niveau Standard ou Premium de Security Command Center dans une organisation pour la première fois. Le niveau Entreprise n'est pas compatible avec la résidence des données.

Une fois la résidence des données activée, vous ne pouvez plus la désactiver ni modifier votre l'emplacement. De plus, les résultats et les chemins d'attaque de Gemini ne sont pas disponibles.

La résidence des données nécessite l'utilisation de l'API Security Command Center v2. Si la résidence des données est activée, vous ne pouvez pas utiliser d'anciennes versions de l'API Security Command Center.

Si vous n'activez pas la résidence des données lorsque vous activez Security Command Center, Security Command Center ne limite pas vos données à un emplacement particulier. elles sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform

URL régionales

Pour le Royaume d'Arabie saoudite, vous devez utiliser des URL spécifiques à chaque zone géographique pour accéder à la console Google Cloud juridictionnelle, ainsi qu'à certaines méthodes et commandes dans la gcloud CLI, les bibliothèques clientes Cloud et l'API Security Command Center:

Console

Pour accéder à Security Command Center, utilisez la console Google Cloud de votre juridiction à l'adresse https://console.sa.cloud.google.com/.

La console Google Cloud de votre juridiction vous permet d'accéder aux données Security Command Center en Arabie saoudite et dans le monde.

gcloud

Pour accéder aux données en Arabie saoudite, les groupes de commandes gcloud CLI suivants vous obligent à utiliser le point de terminaison de service régional pour l'API Security Command Center :

gcloud scc bqexports: gère Configurations BigQuery Export
gcloud scc findings : gère les résultats
gcloud scc muteconfigs : gère les configurations des règles de masquage
gcloud scc notifications: gère configurations d'exportations continues

De plus, le gcloud scc operations n'est pas disponible pour les opérations de longue durée dans Arabie saoudite. Par exemple, vous ne pouvez pas vérifier l'état d'une opération de longue durée pour couper le son des résultats de manière groupée.

Pour tous les autres groupes de commandes gcloud scc, vous devez utiliser le service par défaut pour l'API Security Command Center.

Pour basculer vers le point de terminaison de service régional, exécutez la commande suivante:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Pour passer au point de terminaison de service par défaut, exécutez la commande suivante:

gcloud config unset api_endpoint_overrides/securitycenter

Si vous préférez, vous pouvez créer une configuration nommée pour gcloud CLI qui utilise le point de terminaison de service régional, puis passer à cette configuration nommée avant d'exécuter des commandes Security Command Center dans l'emplacement Arabie saoudite. Pour passer à une configuration nommée, exécutez la commande gcloud config configurations activate.

REST

Pour l'emplacement du KSA, l'API Security Command Center utilise le point de terminaison de service régional https://securitycenter.me-central2.rep.googleapis.com/

Pour accéder aux types de ressources d'API REST suivants en Arabie saoudite, vous devez utiliser le point de terminaison de service régional pour Security Command Center :

De plus, vous ne pouvez appeler aucune méthode organizations.operations ressources de l'emplacement du Royaume d'Arabie saoudite. Par exemple, vous ne pouvez pas vérifier l'état d'une opération de longue durée pour couper le son des résultats de manière groupée.

Pour tous les autres types de ressources, vous devez utiliser le point de terminaison de service par défaut pour le API Security Command Center, https://securitycenter.googleapis.com/.

Bibliothèques clientes

Pour gérer les types de ressources suivants dans l'emplacement Arabie saoudite, vous devez remplacer le point de terminaison de service par défaut lorsque vous créez un client pour Security Command Center :

Utilisez le point de terminaison https://securitycenter.me-central2.rep.googleapis.com pour ces types de ressources.

Pour tous les autres types de ressources, vous devez utiliser le point de terminaison de service par défaut pour le API Security Command Center, https://securitycenter.googleapis.com.

Pour savoir comment remplacer le point de terminaison du service dans les bibliothèques clientes Cloud, consultez les instructions pour Go et Java

Quand la résidence des données est-elle appliquée ?

Lorsque vous activez la résidence des données pour Security Command Center, certaines données de Security Command Center sont conservées dans un emplacement spécifié lorsqu'elles se trouvent dans l'un des états suivants :

Au repos: tous les emplacements compatibles
En cours d'utilisation : KSA (sa) uniquement
En transit: Arabie saoudite (sa) uniquement

Résidence des données au repos

Les données sont au repos lorsque tous les critères suivants sont remplis:

Les données concernent un type de ressource soumis à des contrôles de résidence des données.
Vous n'avez pas demandé d'opération nécessitant l'accès aux données.
Les données ne sont pas consultées de manière à générer des journaux d'audit ou des journaux Access Transparency.

Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes:

Dans le monde, aux États-Unis et dans l'Union européenne

Si possible, lorsque les données de résultats sont au repos, Security Command Center les stocke l'emplacement Google Cloud multirégional où se trouvent vos ressources ; localisés.

Sinon, lorsque les données de résultats sont au repos, elles sont stockées emplacement par défaut de votre choix.
Lorsque des types spécifiques de ressources de configuration sont au repos, Security Command Center les stocke dans l'emplacement par défaut de votre choix.
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données au repos conformément aux Conditions d'utilisation de Google Cloud Platform.

KSA

Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans cet emplacement au repos.
Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il se trouve finalement dans l'emplacement KSA au repos. Toutefois, la découverte peut temporairement se trouver dans une autre région au repos.
Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont inactives, elles se trouvent dans l'emplacement Arabie saoudite.
Dans les cas où Security Command Center stocke des données qui ne sont pas des Données client, comme défini dans l'élément Emplacement des données de Google Cloud dans les Conditions d'utilisation générales, Security Command Center stocke au repos conformément aux Conditions d'utilisation de Google Cloud Platform.

Résidence des données en cours d'utilisation

Les données sont utilisées lorsque toutes les conditions suivantes sont remplies :

Les données concernent un type de ressource soumises à des contrôles de résidence des données.
Google Cloud termine une opération lancée à votre demande (par exemple, parce que votre application a appelé l'API Security Command Center) ou une opération qui génère des journaux d'audit ou des journaux Access Transparency.
Google Cloud peut opérer sur les données d'une manière nécessite de connaître la signification des données, par exemple en mettant à jour des champs spécifiques dans une ressource de configuration. Cela inclut tous les cas où les données ne sont pas chiffrées en mémoire.

Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes :

Union européenne, États-Unis et monde

Dans l'UE, aux États-Unis et dans le monde, les données en cours d'utilisation ne sont pas soumises à des contrôles de résidence des données.

KSA

Lorsqu'un résultat est créé pour une ressource qui se trouve dans le Emplacement en Arabie saoudite, que le résultat se trouve toujours dans l'emplacement en Arabie saoudite en cours d'utilisation.
Lorsqu'un résultat est créé pour une ressource qui se trouve à un autre emplacement, le se trouve finalement à l’emplacement utilisé en Arabie saoudite. Toutefois, il est possible que la découverte se trouve temporairement dans une autre région utilisée.
Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont utilisées, elles se trouvent dans l'emplacement Arabie saoudite.
Dans les cas où Security Command Center stocke des données qui ne sont pas des Données client, comme défini dans l'élément Emplacement des données de Google Cloud dans les Conditions d'utilisation générales, Security Command Center stocke données utilisées conformément aux Conditions d'utilisation de Google Cloud Platform.

Résidence des données en transit

Les données sont en transit lorsque tous les critères suivants sont remplis:

Les données concernent un type de ressource soumises à des contrôles de résidence des données.
Les données sont transmises, avec chiffrement, sur le réseau de Google, ou elles se trouvent en mémoire, avec chiffrement, dans le but de les transmettre sur le réseau de Google.

Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes :

Dans le monde, aux États-Unis et dans l'Union européenne

Dans l'UE, aux États-Unis et dans le monde entier, les données en transit ne sont pas soumises à la résidence des données .

KSA

Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours en transit dans ce pays.
Lorsqu'un résultat est créé pour une ressource qui se trouve à un autre emplacement, le se trouve finalement à l’emplacement en Arabie saoudite en transit. Toutefois, le résultat peut résider temporairement dans une autre région en transit.
Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont en transit, elles se trouvent dans l'emplacement Arabie saoudite.
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données en transit conformément aux Conditions d'utilisation de Google Cloud Platform.

Emplacement des données par défaut

Pour les emplacements en Europe, aux États-Unis et dans le monde, lorsque vous activez la résidence des données Security Command Center, vous spécifiez un emplacement Security Command Center par défaut. Vous pouvez sélectionner emplacement des données compatible comme emplacement par défaut.

Security Command Center n'utilise l'emplacement par défaut que pour stocker les résultats au repos qui s'appliquent aux types de ressources suivants:

Les ressources qui ne se trouvent pas dans un emplacement de données compatible pour Security Command Center
Ressources dont l'emplacement n'est pas spécifié dans leurs métadonnées

Si vous déployez des ressources Google Cloud dans plusieurs emplacements ou emplacements multirégionaux, vous pouvez choisir l'emplacement Mondial (global) comme emplacement par défaut.

Si vous ne déployez des ressources que dans un seul emplacement, vous pouvez choisir la région multirégionale qui inclut cet emplacement comme valeur par défaut.

Ressources Security Command Center et résidence des données

La liste suivante explique comment Security Command Center applique la résidence des données aux ressources Security Command Center. Si une ressource ne figure pas dans la liste, elles ne sont pas soumises aux contrôles de résidence des données et sont stockées avec les Conditions d'utilisation de Google Cloud Platform.

Éléments

Les métadonnées des éléments sont stockées par l'inventaire des éléments cloud. ne sont pas soumises aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.

C'est pourquoi la page Éléments de Security Command Center dans la console Google Cloud affiche toujours toutes les ressources de votre organisation, de votre dossier ou de votre projet, quel que soit leur emplacement ou l'emplacement que vous sélectionnez dans la console Google Cloud. Toutefois, lorsque la résidence des données est activée, et que vous consultez les détails d'un élément, la page Composants n'affiche aucune information sur les résultats qui affectent l'élément.

Scores d'exposition au piratage et chemins d'attaque

Scores d'exposition au piratage et chemins d'attaque ne sont pas soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.

exportations BigQuery

Les configurations d'exportation BigQuery sont soumises à des contrôles de résidence des données.

Dans le monde, aux États-Unis et dans l'Union européenne

Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.

KSA

Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils se trouvent en Arabie saoudite, avec votre les résultats.

L'API Security Command Center représente BigQuery Export de configuration en tant que BiqQueryExport ressources.

Exportations continues

Les configurations d'exportation continue sont soumises aux contrôles de résidence des données.

Dans le monde, aux États-Unis et dans l'Union européenne

Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.

KSA

Utilisez les URL régionales pour créer et gérer ces URL. des ressources de configuration. Ils se trouvent en Arabie saoudite, avec votre les résultats.

L'API Security Command Center représente les configurations d'exportation continue en tant que ressources NotificationConfig.

Résultats

Les résultats sont soumis aux contrôles de résidence des données.

Union européenne, États-Unis et monde

Lorsqu'un résultat est créé, il se trouve dans l'emplacement Security Command Center où se trouve la ressource concernée.

Si une ressource affectée se trouve en dehors d'un emplacement compatible ou ne dispose d'aucun identifiant d'emplacement, les résultats de la ressource se trouvent dans votre emplacement par défaut.

KSA

Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans ce pays.

Lorsqu'un résultat est créé pour une ressource résidant dans un autre le résultat réside finalement dans l'emplacement du Royaume d'Arabie saoudite. Toutefois, la découverte peut se trouver dans une autre région au moment de sa création.

Pour vous assurer que les résultats se trouvent toujours à l'emplacement du Royaume d'Arabie saoudite, créer toutes vos ressources dans l'emplacement du Royaume d'Arabie saoudite.

Règles de masquage

Les configurations des règles Ignorer sont soumises à des contrôles de résidence des données.

Dans le monde, aux États-Unis et dans l'Union européenne

Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.

KSA

Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils résident en Arabie saoudite, ainsi que vos résultats.

L'API Security Command Center représente les configurations de règles de désactivation sous la forme de ressources MuteConfig.

Autres ressources et paramètres Security Command Center

aux ressources et paramètres Security Command Center non listés ici, tels que celles qui définissent les services activés ou le niveau actif, soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform

Créer ou afficher des données dans un emplacement

Lorsque la résidence des données est activée, vous devez spécifier un emplacement lorsque vous créez ou affichez des données soumises à des contrôles de résidence des données. Security Command Center choisit automatiquement un emplacement pour les résultats qu'il crée.

Vous ne pouvez créer ou afficher des données que dans un seul emplacement à la fois. Par exemple, si vous liste les résultats à l'emplacement Monde (global), vous ne verrez pas les résultats dans dans l'Union européenne (eu).

Pour créer ou afficher des données qui se trouvent dans un emplacement Security Command Center, procédez comme suit : suivantes:

Console

Union européenne, États-Unis et monde

Dans la console Google Cloud, accédez à Security Command Center (Security Command Center).

Accéder à Security Command Center
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.

Une liste d'emplacements s'affiche. Sélectionnez le nouvel emplacement.

KSA

Dans la console Google Cloud de la juridiction pour l'emplacement en Arabie saoudite, accédez à Security Command Center (Centre de commande de sécurité).

Accéder à Security Command Center

gcloud

Union européenne, États-Unis et monde

Utilisez l'indicateur --location=LOCATION lorsque vous exécutez la Google Cloud CLI, comme indiqué dans l'exemple suivant.

La gcloud scc findings list liste les résultats d'une organisation à un emplacement spécifique.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation
LOCATION : emplacement où les données sont stockées (par exemple, eu ou global)

Exécutez la gcloud scc findings list commande:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La réponse contient une liste de résultats.

KSA

Configurez la gcloud CLI pour utiliser l'emplacement régional du Royaume d'Arabie saoudite point de terminaison du service pour l'API Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Vous devez ensuite utiliser l'option --location=sa lorsque vous exécutez la Google Cloud CLI, comme illustré dans l'exemple suivant.

La gcloud scc findings list liste les résultats d'une organisation dans un emplacement spécifique.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation

Exécutez la gcloud scc findings list commande:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

La réponse contient une liste de résultats.

REST

Union européenne, États-Unis et monde

Utiliser un point de terminaison d'API qui inclut locations/LOCATION dans le chemin, comme illustré dans l'exemple suivant.

L'API Security Command Center organizations.sources.locations.findings.list liste les résultats d'une organisation à un emplacement spécifique.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation
LOCATION: emplacement de stockage des données Exemple : eu ou global

Méthode HTTP et URL :

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

La réponse contient une liste de résultats.

KSA

Utilisez le point de terminaison de service régional pour l'emplacement Arabie saoudite pour appeler l'API, comme illustré dans l'exemple suivant.

L'API Security Command Center organizations.sources.locations.findings.list liste les résultats d'une organisation à un emplacement spécifique.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

La réponse contient une liste de résultats.

Étape suivante

Découvrez comment activer Security Command Center avec la résidence des données activée.
Activez Security Command Center pour transmettre les résultats à BigQuery.
Configurer exportations continues depuis Security Command Center vers Pub/Sub.
Créer une règle Ignorer pour obtenir des résultats.