La résidence des données vous permet de mieux contrôler l'emplacement de vos données Security Command Center. localisés. Cette page fournit des informations essentielles sur le fonctionnement est compatible avec la résidence des données.
Les définitions suivantes s'appliquent à cette page :
- Un emplacement est une région ou une zone multirégionale Google Cloud qui correspond à l'emplacement de vos données.
- Le terme vos données a la même signification que le terme "Données client" dans l'élément Emplacement des données des Conditions d'utilisation générales de Google Cloud.
Emplacements de données acceptés
Security Command Center n'est compatible qu'avec les emplacements multirégionaux Google Cloud suivants en tant qu'emplacements de données:
- Union européenne (
eu
) - Les données se trouvent dans n'importe quelle région Google Cloud, au sein des États membres de Union européenne.
- États-Unis (
us
) - Les données se trouvent dans n'importe quelle région Google Cloud des États-Unis.
- Royaume d'Arabie saoudite (
sa
) - Les données résident dans n'importe quelle région Google Cloud en Arabie saoudite.
- Numéro international (
global
) - Les données peuvent résider dans n'importe quelle région Google Cloud. Si la résidence des données n'est pas
l'emplacement Mondial (
global
) est le seul emplacement accepté.
Pour en savoir plus sur les emplacements Security Command Center, consultez Produits disponibles par zone géographique
Si vous devez spécifier un emplacement par défaut pour la résidence des données qui n'est pas compatible avec Security Command Center, contactez votre représentant de compte ou un spécialiste commercial Google Cloud.
Exigences concernant la résidence des données
Vous ne pouvez activer la résidence des données que lorsque vous activer le niveau Standard ou Premium de Security Command Center dans une organisation pour la première fois. Le niveau Entreprise n'est pas compatible avec la résidence des données.
Une fois la résidence des données activée, vous ne pouvez plus la désactiver ni modifier votre l'emplacement. De plus, les résultats et les chemins d'attaque de Gemini ne sont pas disponibles.
La résidence des données nécessite l'utilisation de l'API Security Command Center v2. Si la résidence des données est activée, vous ne pouvez pas utiliser d'anciennes versions de l'API Security Command Center.
Si vous n'activez pas la résidence des données lorsque vous activez Security Command Center, Security Command Center ne limite pas vos données à un emplacement particulier. elles sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform
URL régionales
Pour le Royaume d'Arabie saoudite, vous devez utiliser des URL spécifiques à chaque zone géographique pour accéder à la console Google Cloud juridictionnelle, ainsi qu'à certaines méthodes et commandes dans la gcloud CLI, les bibliothèques clientes Cloud et l'API Security Command Center:
Console
Pour accéder à Security Command Center, utilisez la console Google Cloud de votre juridiction à l'adresse https://console.sa.cloud.google.com/.
La console Google Cloud de votre juridiction vous permet d'accéder aux données Security Command Center en Arabie saoudite et dans le monde.
gcloud
Pour accéder aux données en Arabie saoudite, les groupes de commandes gcloud CLI suivants vous obligent à utiliser le point de terminaison de service régional pour l'API Security Command Center :
gcloud scc bqexports
: gère Configurations BigQuery Exportgcloud scc findings
: gère les résultatsgcloud scc muteconfigs
: gère les configurations des règles de masquagegcloud scc notifications
: gère configurations d'exportations continues
De plus, le gcloud scc operations
n'est pas disponible pour les opérations de longue durée dans
Arabie saoudite. Par exemple, vous ne pouvez pas vérifier l'état d'une opération de longue durée pour couper le son des résultats de manière groupée.
Pour tous les autres groupes de commandes gcloud scc
, vous devez utiliser le service par défaut
pour l'API Security Command Center.
Pour basculer vers le point de terminaison de service régional, exécutez la commande suivante:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Pour passer au point de terminaison de service par défaut, exécutez la commande suivante:
gcloud config unset api_endpoint_overrides/securitycenter
Si vous préférez, vous pouvez créer une configuration nommée pour gcloud CLI qui utilise le point de terminaison de service régional, puis passer à cette configuration nommée avant d'exécuter des commandes Security Command Center dans l'emplacement Arabie saoudite. Pour passer à une configuration nommée, exécutez la commande gcloud config configurations activate
.
REST
Pour l'emplacement du KSA, l'API Security Command Center utilise le point de terminaison de service régional
https://securitycenter.me-central2.rep.googleapis.com/
Pour accéder aux types de ressources d'API REST suivants en Arabie saoudite, vous devez utiliser le point de terminaison de service régional pour Security Command Center :
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
De plus, vous ne pouvez appeler aucune méthode
organizations.operations
ressources de l'emplacement du Royaume d'Arabie saoudite. Par exemple, vous ne pouvez pas vérifier l'état d'une opération de longue durée pour couper le son des résultats de manière groupée.
Pour tous les autres types de ressources, vous devez utiliser le point de terminaison de service par défaut pour le
API Security Command Center, https://securitycenter.googleapis.com/
.
Bibliothèques clientes
Pour gérer les types de ressources suivants dans l'emplacement Arabie saoudite, vous devez remplacer le point de terminaison de service par défaut lorsque vous créez un client pour Security Command Center :
- Configurations d'exportation vers BigQuery
- Configurations d'exportation continue
- Résultats
- Configurations des règles de blocage
Utilisez le point de terminaison https://securitycenter.me-central2.rep.googleapis.com
pour ces types de ressources.
Pour tous les autres types de ressources, vous devez utiliser le point de terminaison de service par défaut pour le
API Security Command Center, https://securitycenter.googleapis.com
.
Pour savoir comment remplacer le point de terminaison du service dans les bibliothèques clientes Cloud, consultez les instructions pour Go et Java
Quand la résidence des données est-elle appliquée ?
Lorsque vous activez la résidence des données pour Security Command Center, certaines données de Security Command Center sont conservées dans un emplacement spécifié lorsqu'elles se trouvent dans l'un des états suivants :
- Au repos: tous les emplacements compatibles
- En cours d'utilisation : KSA (
sa
) uniquement - En transit: Arabie saoudite (
sa
) uniquement
Résidence des données au repos
Les données sont au repos lorsque tous les critères suivants sont remplis:
- Les données concernent un type de ressource soumis à des contrôles de résidence des données.
- Vous n'avez pas demandé d'opération nécessitant l'accès aux données.
- Les données ne sont pas consultées de manière à générer des journaux d'audit ou des journaux Access Transparency.
Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes:
Dans le monde, aux États-Unis et dans l'Union européenne
Si possible, lorsque les données de résultats sont au repos, Security Command Center les stocke l'emplacement Google Cloud multirégional où se trouvent vos ressources ; localisés.
Sinon, lorsque les données de résultats sont au repos, elles sont stockées emplacement par défaut de votre choix.
Lorsque des types spécifiques de ressources de configuration sont au repos, Security Command Center les stocke dans l'emplacement par défaut de votre choix.
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données au repos conformément aux Conditions d'utilisation de Google Cloud Platform.
KSA
- Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans cet emplacement au repos.
- Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il se trouve finalement dans l'emplacement KSA au repos. Toutefois, la découverte peut temporairement se trouver dans une autre région au repos.
- Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont inactives, elles se trouvent dans l'emplacement Arabie saoudite.
-
Dans les cas où Security Command Center stocke des données qui ne sont pas des Données client, comme défini dans l'élément Emplacement des données de Google Cloud dans les Conditions d'utilisation générales, Security Command Center stocke au repos conformément aux Conditions d'utilisation de Google Cloud Platform.
Résidence des données en cours d'utilisation
Les données sont utilisées lorsque toutes les conditions suivantes sont remplies :
- Les données concernent un type de ressource soumises à des contrôles de résidence des données.
- Google Cloud termine une opération lancée à votre demande (par exemple, parce que votre application a appelé l'API Security Command Center) ou une opération qui génère des journaux d'audit ou des journaux Access Transparency.
- Google Cloud peut opérer sur les données d'une manière nécessite de connaître la signification des données, par exemple en mettant à jour des champs spécifiques dans une ressource de configuration. Cela inclut tous les cas où les données ne sont pas chiffrées en mémoire.
Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes :
Union européenne, États-Unis et monde
Dans l'UE, aux États-Unis et dans le monde, les données en cours d'utilisation ne sont pas soumises à des contrôles de résidence des données.
KSA
- Lorsqu'un résultat est créé pour une ressource qui se trouve dans le Emplacement en Arabie saoudite, que le résultat se trouve toujours dans l'emplacement en Arabie saoudite en cours d'utilisation.
- Lorsqu'un résultat est créé pour une ressource qui se trouve à un autre emplacement, le se trouve finalement à l’emplacement utilisé en Arabie saoudite. Toutefois, il est possible que la découverte se trouve temporairement dans une autre région utilisée.
- Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont utilisées, elles se trouvent dans l'emplacement Arabie saoudite.
-
Dans les cas où Security Command Center stocke des données qui ne sont pas des Données client, comme défini dans l'élément Emplacement des données de Google Cloud dans les Conditions d'utilisation générales, Security Command Center stocke données utilisées conformément aux Conditions d'utilisation de Google Cloud Platform.
Résidence des données en transit
Les données sont en transit lorsque tous les critères suivants sont remplis:
- Les données concernent un type de ressource soumises à des contrôles de résidence des données.
- Les données sont transmises, avec chiffrement, sur le réseau de Google, ou elles se trouvent en mémoire, avec chiffrement, dans le but de les transmettre sur le réseau de Google.
Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes :
Dans le monde, aux États-Unis et dans l'Union européenne
Dans l'UE, aux États-Unis et dans le monde entier, les données en transit ne sont pas soumises à la résidence des données .
KSA
- Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours en transit dans ce pays.
- Lorsqu'un résultat est créé pour une ressource qui se trouve à un autre emplacement, le se trouve finalement à l’emplacement en Arabie saoudite en transit. Toutefois, le résultat peut résider temporairement dans une autre région en transit.
- Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont en transit, elles se trouvent dans l'emplacement Arabie saoudite.
-
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données en transit conformément aux Conditions d'utilisation de Google Cloud Platform.
Emplacement des données par défaut
Pour les emplacements en Europe, aux États-Unis et dans le monde, lorsque vous activez la résidence des données Security Command Center, vous spécifiez un emplacement Security Command Center par défaut. Vous pouvez sélectionner emplacement des données compatible comme emplacement par défaut.
Security Command Center n'utilise l'emplacement par défaut que pour stocker les résultats au repos qui s'appliquent aux types de ressources suivants:
- Les ressources qui ne se trouvent pas dans un emplacement de données compatible pour Security Command Center
- Ressources dont l'emplacement n'est pas spécifié dans leurs métadonnées
Si vous déployez des ressources Google Cloud dans plusieurs emplacements ou
emplacements multirégionaux, vous pouvez choisir l'emplacement Mondial (global
) comme emplacement
par défaut.
Si vous ne déployez des ressources que dans un seul emplacement, vous pouvez choisir la région multirégionale qui inclut cet emplacement comme valeur par défaut.
Ressources Security Command Center et résidence des données
La liste suivante explique comment Security Command Center applique la résidence des données aux ressources Security Command Center. Si une ressource ne figure pas dans la liste, elles ne sont pas soumises aux contrôles de résidence des données et sont stockées avec les Conditions d'utilisation de Google Cloud Platform.
- Éléments
Les métadonnées des éléments sont stockées par l'inventaire des éléments cloud. ne sont pas soumises aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
C'est pourquoi la page Éléments de Security Command Center dans la console Google Cloud affiche toujours toutes les ressources de votre organisation, de votre dossier ou de votre projet, quel que soit leur emplacement ou l'emplacement que vous sélectionnez dans la console Google Cloud. Toutefois, lorsque la résidence des données est activée, et que vous consultez les détails d'un élément, la page Composants n'affiche aucune information sur les résultats qui affectent l'élément.
- Scores d'exposition au piratage et chemins d'attaque
Scores d'exposition au piratage et chemins d'attaque ne sont pas soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
- exportations BigQuery
Les configurations d'exportation BigQuery sont soumises à des contrôles de résidence des données.
Dans le monde, aux États-Unis et dans l'Union européenne
Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.
KSA
Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils se trouvent en Arabie saoudite, avec votre les résultats.
L'API Security Command Center représente BigQuery Export de configuration en tant que
BiqQueryExport
ressources.- Exportations continues
Les configurations d'exportation continue sont soumises aux contrôles de résidence des données.
Dans le monde, aux États-Unis et dans l'Union européenne
Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.
KSA
Utilisez les URL régionales pour créer et gérer ces URL. des ressources de configuration. Ils se trouvent en Arabie saoudite, avec votre les résultats.
L'API Security Command Center représente les configurations d'exportation continue en tant que ressources
NotificationConfig
.- Résultats
Les résultats sont soumis aux contrôles de résidence des données.
Union européenne, États-Unis et monde
Lorsqu'un résultat est créé, il se trouve dans l'emplacement Security Command Center où se trouve la ressource concernée.
Si une ressource affectée se trouve en dehors d'un emplacement compatible ou ne dispose d'aucun identifiant d'emplacement, les résultats de la ressource se trouvent dans votre emplacement par défaut.
KSA
Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans ce pays.
Lorsqu'un résultat est créé pour une ressource résidant dans un autre le résultat réside finalement dans l'emplacement du Royaume d'Arabie saoudite. Toutefois, la découverte peut se trouver dans une autre région au moment de sa création.
Pour vous assurer que les résultats se trouvent toujours à l'emplacement du Royaume d'Arabie saoudite, créer toutes vos ressources dans l'emplacement du Royaume d'Arabie saoudite.
- Règles de masquage
Les configurations des règles Ignorer sont soumises à des contrôles de résidence des données.
Dans le monde, aux États-Unis et dans l'Union européenne
Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.
KSA
Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils résident en Arabie saoudite, ainsi que vos résultats.
L'API Security Command Center représente les configurations de règles de désactivation sous la forme de ressources
MuteConfig
.- Autres ressources et paramètres Security Command Center
aux ressources et paramètres Security Command Center non listés ici, tels que celles qui définissent les services activés ou le niveau actif, soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform
Créer ou afficher des données dans un emplacement
Lorsque la résidence des données est activée, vous devez spécifier un emplacement lorsque vous créez ou affichez des données soumises à des contrôles de résidence des données. Security Command Center choisit automatiquement un emplacement pour les résultats qu'il crée.
Vous ne pouvez créer ou afficher des données que dans un seul emplacement à la fois. Par exemple, si vous
liste les résultats à l'emplacement Monde (global
), vous ne verrez pas les résultats dans
dans l'Union européenne (eu
).
Pour créer ou afficher des données qui se trouvent dans un emplacement Security Command Center, procédez comme suit : suivantes:
Console
Union européenne, États-Unis et monde
Dans la console Google Cloud, accédez à Security Command Center (Security Command Center).
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'emplacements s'affiche. Sélectionnez le nouvel emplacement.
KSA
Dans la console Google Cloud de la juridiction pour l'emplacement en Arabie saoudite, accédez à Security Command Center (Centre de commande de sécurité).
gcloud
Union européenne, États-Unis et monde
Utilisez l'indicateur --location=LOCATION
lorsque vous exécutez la Google Cloud CLI, comme indiqué dans l'exemple suivant.
La
gcloud scc findings list
liste les résultats d'une organisation à un emplacement spécifique.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation -
LOCATION
: emplacement où les données sont stockées (par exemple,eu
ouglobal
)
Exécutez la
gcloud scc findings list
commande:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
La réponse contient une liste de résultats.
KSA
Configurez la gcloud CLI pour utiliser l'emplacement régional du Royaume d'Arabie saoudite point de terminaison du service pour l'API Security Command Center:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Vous devez ensuite utiliser l'option --location=sa
lorsque vous exécutez la
Google Cloud CLI, comme illustré dans l'exemple suivant.
La
gcloud scc findings list
liste les résultats d'une organisation dans un emplacement spécifique.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation
Exécutez la
gcloud scc findings list
commande:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
La réponse contient une liste de résultats.
REST
Union européenne, États-Unis et monde
Utiliser un point de terminaison d'API qui inclut locations/LOCATION
dans le chemin, comme illustré dans l'exemple suivant.
L'API Security Command Center
organizations.sources.locations.findings.list
liste les résultats d'une organisation à un emplacement spécifique.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation -
LOCATION
: emplacement de stockage des données Exemple :eu
ouglobal
Méthode HTTP et URL :
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient une liste de résultats.
KSA
Utilisez le point de terminaison de service régional pour l'emplacement Arabie saoudite pour appeler l'API, comme illustré dans l'exemple suivant.
L'API Security Command Center
organizations.sources.locations.findings.list
liste les résultats d'une organisation à un emplacement spécifique.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation
Méthode HTTP et URL :
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient une liste de résultats.
Étape suivante
- Découvrez comment activer Security Command Center avec la résidence des données activée.
- Activez Security Command Center pour transmettre les résultats à BigQuery.
- Configurer exportations continues depuis Security Command Center vers Pub/Sub.
- Créer une règle Ignorer pour obtenir des résultats.