规划数据驻留

数据驻留可让您更好地控制 Security Command Center 数据所处的位置。本文档提供了有关 Security Command Center 如何支持数据驻留的重要信息。

以下定义适用于本文档:

  • 位置是指 Google Cloud 区域或多区域,对应于您的数据所在的位置。
  • “您的数据”一词的含义等同于 Google Cloud 《一般服务条款》数据位置项下的“客户数据”一词的含义。

如需了解如何在启用数据驻留功能的情况下使用 Security Command Center 资源,请参阅 Security Command Center 区域端点

支持的数据位置

本部分介绍了可用于 Security Command Center 和相关服务的数据位置。

Security Command Center 数据位置

启用数据驻留后,Security Command Center API 支持以下Google Cloud 多区域作为数据位置:

欧盟 (eu)
数据驻留在欧盟成员国境内的任何 Google Cloud 区域中。
沙特阿拉伯王国 (KSA) (sa)
数据驻留在沙特阿拉伯境内的任何 Google Cloud 区域。
美国 (us)
数据位于美国境内的任何 Google Cloud 区域。

如需详细了解 Security Command Center 适用的位置,请参阅各位置可使用的产品

如果您需要为数据驻留指定 Security Command Center 不支持的默认位置,请与您的客户代表或Google Cloud 销售专家联系。

Model Armor 数据位置

对于 Model Armor,数据驻留始终处于启用状态。

Model Armor API 在以下位置提供区域级端点:

欧盟
europe-west4:荷兰 叶形图标 二氧化碳排放量低
美国
us-central1:艾奥瓦 叶形图标 二氧化碳排放量低
us-east1:南卡罗来纳
us-east4:北弗吉尼亚
us-west1:俄勒冈 叶形图标 二氧化碳排放量低

Model Armor API 在以下位置提供多区域端点:

欧盟
eu
美国
us

数据驻留要求

本部分介绍了在 Security Command Center 和相关服务中使用数据驻留功能的要求。

Security Command Center 的要求

只有在为组织首次激活标准或高级服务层级时,您才能为 Security Command Center 启用数据驻留。企业版层级不支持数据驻留。

启用数据留存后,您无法停用此功能。

数据驻留要求您使用 Security Command Center v2 API。如果启用了数据留存,则无法使用早期版本的 Security Command Center API。

如果您在激活 Security Command Center 时未启用数据驻留,则 Security Command Center 不会将您的数据限制在任何特定位置,而是会根据 Google Cloud Platform 服务条款存储数据。

Model Armor 的要求

对于 Model Armor,数据驻留功能默认处于启用状态。您无法为 Model Armor 停用数据驻留。

数据驻留的强制执行方式和时间

为 Security Command Center 启用数据驻留后,当某些 Security Command Center 数据处于以下状态之一时,这些数据会保留在指定位置:

启用数据驻留并选择数据位置后,Security Command Center 会执行以下操作:

  • 如果为指定位置的资源创建了发现结果,该发现结果始终会驻留在您的数据位置。
  • 如果为位于其他位置的资源创建了发现结果,该发现结果最终会位于您的数据位置。不过,相应发现可能暂时位于其他区域。
  • 在数据位置创建特定类型的配置资源时,这些资源会驻留在该位置。
  • 如果 Security Command Center 存储的数据不是客户数据(如 Google Cloud 《一般服务条款》中的数据位置项中所定义),Security Command Center 会根据 Google Cloud Platform 服务条款存储相应数据。

数据驻留(静态)

当满足以下所有条件时,数据处于静态状态:

数据驻留(使用中)

当满足以下所有条件时,数据处于使用中状态:

  • 相应数据所对应的资源类型受数据驻留控制措施约束
  • Google Cloud 正在完成您请求启动的操作(例如,因为您的应用调用了 Security Command Center API)生成审核日志Access Transparency 日志的操作。
  • Google Cloud 可能会以需要了解数据含义的方式来处理数据,例如通过更新配置资源中的特定字段。这包括内存中的数据未加密的任何情况。

传输中的数据驻留

当满足以下所有条件时,数据处于传输中状态:

  • 相应数据所对应的资源类型受数据驻留控制措施约束
  • 数据正在 Google 的网络中以加密方式传输,数据在内存中以加密方式存储,以便在 Google 的网络中传输。

Security Command Center 资源和数据驻留

下表说明了 Security Command Center 如何将数据驻留控制措施应用于 Security Command Center 资源。如果资源未在此处列出,则不受数据驻留控制措施的约束,并且会根据 Google Cloud Platform 服务条款进行存储。

BigQuery Export

BigQuery 导出配置受数据留存位置控制的约束。使用区域级端点创建和管理这些配置资源。

Security Command Center API 将 BigQuery 导出配置表示为 BiqQueryExport 资源。

持续导出

持续导出配置受数据驻留控制措施的约束。使用区域级端点创建和管理这些配置资源。

Security Command Center API 将持续导出配置表示为 NotificationConfig 资源。

发现结果

发现项受数据驻留控制措施的约束。

如果为所选数据位置中的资源创建了发现结果,该发现结果始终位于同一位置。

如果为位于其他位置的资源创建了发现结果,该发现结果最终会驻留在您选择的数据位置。不过,在创建发现时,该发现可能位于其他区域。

为确保检测结果始终位于您的数据位置,请在该位置创建所有 Google Cloud 资源。

Model Armor 资源

所有 Model Armor 资源均受数据驻留控制措施约束。使用区域级端点创建和管理这些配置资源。

忽略规则

忽略规则配置受数据驻留控制措施的约束。使用区域级端点创建和管理这些配置资源。

Security Command Center API 将忽略规则配置表示为 MuteConfig 资源。

其他 Security Command Center 资源和设置

此处未列出的 Security Command Center 资源和设置(例如用于定义已启用哪些服务或哪个层级的资源和设置)不受数据驻留控制措施的约束。我们会根据 Google Cloud Platform 服务条款存储这些数据。

在某个位置创建或查看数据

启用数据驻留后,您必须在创建或查看受数据驻留控制措施约束的任何数据时指定位置。Security Command Center 会自动为创建的发现结果选择位置。

您一次只能在一个位置创建或查看数据。例如,如果您列出美国 (us) 位置的发现结果,则不会看到欧盟 (eu) 位置的发现结果。

如需了解如何创建或查看受数据驻留控制措施约束的数据,请参阅管辖区 Google Cloud 控制台简介区域级端点工具

后续步骤