数据驻留规划

如果您打算在激活 Security Command Center 时启用数据驻留，该页面会提供您需要了解的信息。

只有在组织中首次启用 Security Command Center 的高级层级时，才能启用对数据驻留的支持。企业层级不支持数据驻留。

启用数据驻留后，无法将其停用。

在 Security Command Center 中启用数据驻留时，Security Command Center 会自动将可能包含或引用数据的发现结果存储在与资源位置对应的 Security Command Center 位置。

同样，持续导出、BigQuery 导出和忽略规则配置（可以将您的数据包含在其过滤条件中）存储在您创建它们的 Security Command Center 位置，它们仅适用于该位置中的发现结果。

发现结果记录了某项 Security Command Center 检测服务在您的环境中检测到的安全问题。发现记录由描述安全问题以及受安全问题影响的资源的属性组成。

发现结果过滤条件会通过引用发现结果的属性和属性值来选择发现结果。发现结果过滤条件使用并保存在持续导出 (NotificationConfig) 和忽略规则 (muteConfig) 的配置中。

在数据驻留上下文中，以下定义适用：

• 位置是一个 Google Cloud 单区域或多区域，它与数据存储位置相对应。
• “您的数据”一词的含义与 Google Cloud 通用服务条款中数据位置项目中“客户数据”一词的含义相同。

Security Command Center 的标准层级和高级层级均可启用数据驻留选项。

支持的数据位置

Security Command Center 仅支持以下 Google Cloud 多区域作为数据位置：

欧盟 (eu)

数据存储在欧盟成员国境内的任何 Google Cloud 区域中。

美国 (us)

数据存储在美国的任何 Google Cloud 区域中。

全球支持专线（global）

数据可以在任何 Google Cloud 区域中存储或处理。如果未启用数据驻留，则全球是唯一支持的位置。

如需详细了解 Security Command Center 位置，请参阅各位置提供的产品。

如果您需要为 Security Command Center 不支持的数据驻留指定默认位置，请与您的客户代表或 Google Cloud 销售专家联系。

在激活期间启用数据驻留

只有在首次在组织中启用 Security Command Center 时，才能启用数据驻留。

如果您未启用数据驻留，则所有 Security Command Center 资源的位置都会设置为 global，并且 Security Command Center 不会将数据存储限制在任何特定位置。

必须在组织级别激活。

启用数据驻留后，您无法将其停用，也无法更改默认位置。

如果您在项目级或组织级激活 Security Command Center，但未同时启用数据驻留，则之后将无法在 Security Command Center 中启用数据驻留。您需要创建一个新的 Google Cloud 组织，才能激活具有数据驻留的 Security Command Center。

默认数据位置

启用 Security Command Center 数据驻留时，您只需指定您的默认 Security Command Center 位置。这是因为 Security Command Center 会根据资源的部署位置来确定需要在何处存储数据。

Security Command Center 使用默认 Security Command Center 位置仅存储适用于以下类型的资源的发现结果：

• 资源不在 Security Command Center 支持的位置
• 元数据中未包含位置规范的资源

您可以选择任何受支持的数据位置作为默认位置。

如果您是在多个位置或多区域部署 Google Cloud 资源的全球企业，则可以选择全球位置作为默认位置。

如果您的企业仅在一个位置运营，您可以选择该位置作为您的默认 Security Command Center 位置。

Security Command Center API 和数据驻留

数据驻留需要 Security Command Center API v2。

如果您在启用数据驻留时使用 Security Command Center API，v2 是您可以使用的唯一 API。

Security Command Center 资源和数据驻留

以下列表介绍了 Security Command Center 如何将数据驻留控制措施应用于您在使用 Security Command Center 时使用的资源：

资产

资产元数据不受数据驻留控制。资产元数据在全球范围内存储在 Cloud Asset Inventory 中。

因此，Security Command Center 资产页面始终显示您的组织、文件夹或项目中的所有资源，无论其位置以及您为 Google Cloud 控制台视图设置的位置如何。但是，在启用数据驻留时，如果您查看资产的详细信息，则无法从资产页面获取可能影响该资产的任何发现结果的信息。

攻击风险得分和攻击路径

攻击风险得分和攻击路径不受数据驻留控制，并在全球范围内存储。

BigQuery Export

BigQuery Export 配置受数据驻留控制措施的约束，并存储在您创建这些配置的位置。它们仅适用于驻留在同一位置的发现结果。

持续导出

持续导出配置受数据驻留控制措施的约束，并存储在您创建它们的位置。它们仅适用于驻留在同一位置的发现结果。

发现结果

发现结果受数据驻留控制措施约束，并存储在受影响资源所在的 Security Command Center 位置。如果受影响的资源位于受支持的位置之外或没有位置标识符，则该资源实例的任何发现结果都会存储在您的默认位置。

忽略规则

忽略规则配置受数据驻留控制措施的约束，并存储在您创建它们的位置。它们仅适用于驻留在同一位置的发现结果。

Security Command Center 设置

大多数 Security Command Center 设置（例如那些定义启用哪些服务或哪个层级处于活动状态的设置）都不受数据驻留控制措施的限制，并在全球范围内存储。例外情况是 BigQuery 导出、持续导出到 Pub/Sub 和忽略规则的配置设置。这些设置特定于您创建它们的位置。

在 Google Cloud 控制台中查看位置数据

启用数据驻留后，当您在 Google Cloud 控制台中选择位置后，每个 Security Command Center 页面都会显示从所选位置执行的发现结果、忽略规则和持续导出内容。

例如，如果您选择全局视图，则只能看到全局数据。 如需查看发现结果、忽略规则或从其他位置的持续导出，您必须将 Google Cloud 控制台视图更改为其他位置。

启用后确定数据位置

启用数据驻留后的几个时间点，可以确定包含数据的 Security Command Center 发现结果和配置的存储位置：

• 您或 Security Command Center 生成或创建发现结果或配置时。
• 查看或检索发现结果或配置时。

在创建配置时确定位置

创建持续导出、BigQuery Export 或忽略规则时，Security Command Center 会将生成的配置存储为资源。持续导出配置存储为 NotificationConfig 资源，BigQuery 导出配置存储为 BiqQueryExport 资源，忽略规则配置存储为 MuteConfig 资源。

在创建导出配置或忽略规则之前，您必须选择要在其中创建导出配置或忽略规则的位置。您选择的位置是要导出或忽略的发现结果所在的位置。

在 Google Cloud 控制台中，您需要先将 Google Cloud 控制台视图设置为适当的位置，然后才能创建持续导出或忽略规则。

使用 Security Command Center API 或 Google Cloud CLI 创建持续导出或忽略规则时，您需要在 API 调用或 gcloud 命令中指定用于创建 notificationConfig 或 muteConfig 配置的位置。

如需详细了解如何创建配置，请参阅：

• 创建持续导出：
  • 持续导出
  • 使用 API 创建和管理通知配置
  • gcloud scc notifications create
• 创建忽略规则：
  • 创建忽略规则
  • gcloud scc muteconfigs create

在生成发现结果时确定位置

当某项 Security Command Center 服务在您的环境中检测到安全问题时，Security Command Center 会根据受影响资源的位置，确定生成的发现结果的存储位置。

如果受影响的资源位于 Security Command Center 支持的数据位置，Security Command Center 会将发现结果存储在同一位置。

如果受影响的资源不在受支持的数据位置，或未在其元数据中指定位置，则 Security Command Center 会将发现结果存储在您在启用数据驻留时指定的默认数据位置。

在您查看 Security Command Center 数据时确定位置

如需在 Google Cloud 控制台中查看特定位置的发现结果、忽略规则和持续导出内容，您必须先将 Google Cloud 控制台视图设置为该位置。

您可以在 Google Cloud 控制台中大多数 Security Command Center 页面的左上角设置视图位置，该位置位于项目选择器的正下方：

如果 Google Cloud 控制台视图设置为某个位置，则 Google Cloud 控制台仅显示该位置下的发现结果、忽略规则和持续导出内容。

如需使用 API 或 gcloud CLI 检索发现结果或配置，您需要指定发现结果或配置的存储位置。

对功能和集成的数据驻留支持

启用数据驻留后，以下特性、功能以及与其他产品的集成不受支持：

• AI 摘要
• Web Security Scanner
• 快速漏洞检测
• Terraform

后续步骤

如需了解如何在启用数据驻留的情况下激活 Security Command Center，请参阅首次为组织激活 Security Command Center。