このドキュメントでは、データ所在地が有効になっている場合に Security Command Center リソースを操作する方法について説明します。Security Command Center のデータ所在地を有効にできるのは、組織で Security Command Center の Standard サービスティアまたは Premium サービスティアを有効にする場合、または Security Command Center の Enterprise サービスティアを有効にする場合のみです。
データ所在地の制御があるリソース
次の Security Command Center リソースタイプは、データ所在地の制御の対象となります。
- すべての Model Armor リソース
- すべての Google Security Operations リソース
- BigQuery エクスポートの構成
- 継続的エクスポート構成
- 検出
- ミュートルールの構成
これらのリソースをプログラムまたはコマンドラインで操作するには、Security Command Center API のリージョン エンドポイントを使用する必要があります。 Google Cloud コンソールでこれらのリソースを操作するには、管轄区域の Google Cloud コンソールを使用する必要があります。
他のすべてのリソースタイプでは、デフォルトの API エンドポイントと Google Cloud コンソールを使用します。
リージョン エンドポイントについて
リージョン エンドポイントは、特定のロケーションにあるリソースへのアクセスを提供します。リージョン エンドポイントを使用すると、リクエストはエンドポイントのロケーションに直接転送されます。リージョン エンドポイントを使用して、他のロケーションのリソースにアクセスすることはできません。
リージョン エンドポイントを使用すると、リソースが保存中、使用中、転送中の場合に、リソースのデータ所在地制御を適用できます。
Security Command Center には複数のサービスが含まれています。データ所在地の制御の対象となるリソースタイプの場合、次のサービスではリージョン エンドポイントを使用する必要があります。
- Model Armor API
modelarmor.LOCATION.rep.googleapis.com
- Security Command Center API
securitycenter.LOCATION.rep.googleapis.com
- Google SecOps
- Google SecOps のリファレンス ドキュメントをご覧ください。
LOCATION
は、サービスのサポートされているロケーションに置き換えます。
他のすべてのリソースタイプでは、デフォルトのエンドポイントを使用する必要があります。
地域の Google Cloud コンソールについて
法域の Google Cloud コンソールを使用すると、Security Command Center を有効にする際にデータ所在地を有効にできます。また、特定のロケーションにあるリソースへのアクセスも提供します。
管轄区域の Google Cloud コンソールを使用すると、リソースが保存中、使用中、転送中のときに、リソースのデータ所在地制御を適用できます。
管轄区域の Google Cloud コンソールを使用して、データ所在地の制御の対象となるリソースタイプにのみアクセスできます。コンソールを開くには、お住まいの地域に応じた適切な URL を使用します。
- 欧州連合
- フェデレーション ID ユーザー:
console.eu.cloud.google
- その他のすべてのユーザー:
console.eu.cloud.google.com
- サウジアラビア王国(KSA)
- フェデレーション ID ユーザー:
console.sa.cloud.google
- その他のすべてのユーザー:
console.sa.cloud.google.com
- 米国
- フェデレーション ID ユーザー:
console.us.cloud.google
- その他のすべてのユーザー:
console.us.cloud.google.com
他のすべてのリソースタイプでは、標準の Google Cloud コンソールを使用する必要があります。
リージョン エンドポイントのロケーション
このセクションでは、Security Command Center API と関連サービスでリージョン エンドポイントを使用できるロケーションの一覧を示します。
Security Command Center API のロケーション
Security Command Center API は、次のロケーションにリージョン エンドポイントとマルチリージョン エンドポイントを提供します。
- 欧州連合
eu
- サウジアラビア王国(KSA)
me-central2
- 米国
us
Model Armor API のロケーション
Model Armor API は、次のロケーションにリージョン エンドポイントを提供します。
- 欧州連合
europe-west4
: オランダ低 CO2
- 米国
us-central1
: アイオワ低 CO2
us-east1
: サウスカロライナus-east4
: 北バージニアus-west1
: オレゴン <0x- アジア太平洋
asia-southeast1
: シンガポール (保存時のデータ所在地のみをサポート)
Model Armor API は、次のロケーションにマルチリージョン エンドポイントを提供します。
- 欧州連合
eu
- 米国
us
AI 保護のロケーション
AI Protection(プレビュー版)のメリットを最大限に活用するには、AI ワークロードが次のリージョンにある必要があります。
AI Protection は、次のロケーションにマルチリージョン エンドポイントを提供します。
- 欧州連合
eu
- 米国
us
利用できる機能は地域によって異なります。お住まいの地域で利用できる機能と利用できない機能については、次の表をご覧ください。
地域 | Notebook Security Scanner | Model Armor | 利用できない機能 |
---|---|---|---|
us-east7 |
○ | いいえ |
|
europe-west1
europe-west2
asia-southeast1 |
いいえ | ○ | パッケージの脆弱性の検出結果は使用できません。 |
その他の地域 | いいえ | いいえ |
|
Google SecOps のロケーション
Google SecOps のロケーションのページをご覧ください。
リージョン エンドポイントのツール
データ所在地の制御の対象となるリソースタイプを管理するには、クライアントを作成するか、コマンドを実行するときにリージョン エンドポイントを指定する必要があります。
他のすべてのリソースタイプでは、デフォルトのエンドポイントを使用する必要があります。
gcloud
次の gcloud CLI コマンド グループでは、リージョン エンドポイントを使用する必要があります。
gcloud model-armor
: Model Armor リソースを管理しますgcloud scc bqexports
: BigQuery Export の構成を管理するgcloud scc findings
: 検出結果を管理するgcloud scc muteconfigs
: ミュートルールの構成を管理するgcloud scc notifications
: 継続的エクスポート構成を管理する
他のすべての gcloud scc
コマンド グループでは、Security Command Center API のデフォルトのエンドポイントを使用する必要があります。
サービス エンドポイントを変更する
リージョン エンドポイントに切り替えるには、次のコマンドを実行します。
gcloud config set api_endpoint_overrides/SERVICE \ https://SERVICE.LOCATION.rep.googleapis.com/
デフォルトのエンドポイントに切り替えるには、次のコマンドを実行します。
gcloud config unset api_endpoint_overrides/SERVICE
次のように置き換えます。
SERVICE
: 構成するサービス。Model Armor API にはmodelarmor
を使用し、Security Command Center API にはsecuritycenter
を使用します。LOCATION
: サービスのサポートされているロケーション
必要に応じて、リージョン エンドポイントを使用する gcloud CLI の名前付き構成を作成できます。gcloud CLI コマンドを実行する前に、gcloud config configurations activate
コマンドを実行して、名前付き構成に切り替えることができます。
gcloud CLI コマンドを実行する
Security Command Center API の gcloud CLI コマンドを実行する場合は、常にロケーションを指定する必要があります。これを行うにはいくつかの方法があります
--location
フラグを使用します。- リソース名のフルパスを指定する場合は、
projects/123/sources/456/locations/LOCATION/findings/a1b2c3
などの場所を指定する形式を使用します。
次の例は、--location
フラグの使用方法を示しています。
gcloud scc findings list
コマンドを使用すると、特定のロケーションにある組織の検出結果が一覧表示されます。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID
: 組織の数値 ID -
LOCATION
: Security Command Center API のサポートされているロケーション
gcloud scc findings list
コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows(PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows(cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
レスポンスには、検出結果のリストが含まれます。
Terraform
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。詳細については、Terraform プロバイダのリファレンス ドキュメントをご覧ください。
Go
次のいずれかのリージョン エンドポイントを使用します。
- Model Armor API
modelarmor.LOCATION.rep.googleapis.com:443
- Security Command Center API
securitycenter.LOCATION.rep.googleapis.com:443
LOCATION
は、サービスのサポートされているロケーションに置き換えます。
次のコードサンプルは、リージョン エンドポイントを使用する Security Command Center API クライアントを作成する方法を示しています。
Java
次のいずれかのリージョン エンドポイントを使用します。
- Model Armor API
modelarmor.LOCATION.rep.googleapis.com:443
- Security Command Center API
securitycenter.LOCATION.rep.googleapis.com:443
LOCATION
は、サービスのサポートされているロケーションに置き換えます。
次のコードサンプルは、リージョン エンドポイントを使用する Security Command Center API クライアントを作成する方法を示しています。
Python
次のいずれかのリージョン エンドポイントを使用します。
- Model Armor API
modelarmor.LOCATION.rep.googleapis.com
- Security Command Center API
securitycenter.LOCATION.rep.googleapis.com
LOCATION
は、サービスのサポートされているロケーションに置き換えます。
次のコードサンプルは、リージョン エンドポイントを使用する Security Command Center API クライアントを作成する方法を示しています。
REST
次の REST API リソースタイプにアクセスするには、リージョン サービス エンドポイントを使用する必要があります。
- Model Armor API
エンドポイント:
https://modelarmor.LOCATION.rep.googleapis.com
LOCATION
は、サービスのサポートされているロケーションに置き換えます。リソースタイプ: すべてのリソースタイプ
- Security Command Center API
エンドポイント:
https://securitycenter.LOCATION.rep.googleapis.com
LOCATION
は、サービスのサポートされているロケーションに置き換えます。リソースタイプ:
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
LOCATION
は、サービスのサポートされているロケーションに置き換えます。
他のすべてのリソースタイプでは、デフォルトのエンドポイントを使用する必要があります。