Introducción a la residencia de datos

En este documento, se describe la residencia de los datos de Apigee.

Descripción general

Para muchas empresas y verticales del sector, el uso de una oferta en la nube da como resultado un mayor análisis de los equipos de seguridad y cumplimiento (qué datos se almacenan en la nube, dónde se almacenan, quién tiene acceso a ella y quién puede ver los datos, etc.). Además, muchos países aprobaron leyes de privacidad de los datos que prohíben el almacenamiento de los datos de información de identificación personal (PII) fuera del país o la región.

La residencia de datos para Apigee cumple con los requisitos normativos y de cumplimiento, ya que te permite especificar las ubicaciones geográficas (regiones) en las que se almacenan los datos de Apigee. Históricamente, Apigee te permitía seleccionar la región de la instancia y la región de estadísticas; Sin embargo, Apigee también tiene una infraestructura global, como un paquete de proxy de API u otros datos del clientes. Con la residencia de datos, seleccionar la ubicación del plano de control garantiza que todo el contenido del cliente se almacene dentro de la región especificada.

Apigee está en proceso de obtener certificaciones FedRAMP altas y otras. Apigee implementó la pila regionalizada del lado de la ingeniería, pero no puede garantizar la residencia de los datos por contrato antes de que se apruebe la certificación real.

Compatibilidad con la residencia de datos

La residencia de datos se puede usar con lo siguiente:

Actualmente, la residencia de datos no es compatible con lo siguiente:

Puntos clave

Si la residencia de datos está habilitada para tu instalación de Apigee, ten en cuenta los siguientes puntos clave:

  • La residencia de los datos debe estar habilitada en el momento en que Apigee se aprovisiona. No puedes habilitar la residencia de datos para una organización ya aprovisionada.
  • De forma predeterminada, el plano de control es una entidad global, a menos que selecciones la residencia de datos (regionalización) en el momento de la creación de la organización de Apigee. No se puede cambiar más adelante. Una vez que seleccionas la residencia de los datos y la ubicación del plano de control, no se puede cambiar. Si más adelante necesitas una ubicación diferente, deberás crear un proyecto de Google Cloud nuevo.
  • Cuando aprovisionas una organización, sucede lo siguiente:
    • Sin residencia de datos: especifica la región con ANALYTICS_REGION.
    • Con la residencia de datos, especifica la región con CONTROL_PLANE_LOCATION y la subregión con CONSUMER_DATA_REGION. Consulta Regiones de residencia de datos.
  • El administrador que aprovisiona Apigee debe hacer lo siguiente:
    • Informa a los usuarios de Apigee, como los desarrolladores de API y otros administradores, sobre la configuración de residencia de datos
    • Configura la política de la organización de la ubicación como se describe en Restringe las ubicaciones de recursos.
  • Los desarrolladores de API, administradores y otros usuarios de las API de administración de Apigee deben usar el extremo nuevo del servicio de API de residencia de datos.

Regiones de residencia de datos

La residencia de datos te permite elegir la región (ubicación física) durante el aprovisionamiento donde se almacenan los datos.

Cuando especificas la región (por ejemplo, us), también debes especificar una sola región (por ejemplo, us-west1) para otros servicios que pueden ejecutarse solo en una región, como los Informes de estadísticas.

Todos los recursos deben estar dentro de la región especificada. Por ejemplo, si seleccionas us para CONTROL_PLANE_LOCATION, los otros recursos de Apigee, como la instancia del entorno de ejecución, hacen referencia a CMEK, al adjunto de extremo, etc., también deben estar dentro de la región us.

El tipo de datos que se almacenan cuando eliges la residencia de los datos se conoce como datos del plano de control y datos del consumidor.

Los datos del plano de control son los datos de estadísticas, los proxies de API, los servidores de destino, los almacenes de claves y los almacenes de claves, y cualquier otro elemento que se comparta en los entornos de ejecución. Los datos del consumidor son datos de estadísticas que procesan los servicios que se ejecutan en una sola región.

Consulta Ubicaciones de Apigee para conocer las regiones del plano de control compatibles actualmente.

Extremo del servicio de residencia de datos

Un extremo de servicio es una URL base que especifica la dirección de la red de un servicio de API.

El extremo o el nombre de host del servicio de la API de Apigee es apigee.googleapis.com.

  • Sin residencia de datos:

    Usa el extremo de servicio de la siguiente manera:

    apigee.googleapis.com

    Por ejemplo:

    curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  • Residencia de los datos:

    Agrega la región del plano de control al extremo del servicio:

    CONTROL_PLANE_LOCATION-apigee.googleapis.com

    Por ejemplo:

    curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

    En el ejemplo anterior, CONTROL_PLANE_LOCATION es la ubicación física, especificada durante el aprovisionamiento, en la que se almacenarán los datos del plano de control de Apigee.

    Por ejemplo:

    curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Cómo ver la región

Si ya aprovisionaste tu organización (PROJECT_ID) para usarla con residencia de datos, puedes usar la API de getProjectMapping a fin de mostrar las regiones asociadas con un proyecto:

  1. Autoriza a gcloud a que acceda a Cloud Platform con tus credenciales de usuario de Google: 
    gcloud auth login
  2. Llama a la API: 
    curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"

    En el ejemplo anterior, PROJECT_ID es el nombre de la organización de Apigee o el ID del proyecto de Google Cloud.

    Se mostrará un resultado similar al siguiente:

    {
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}

Encriptación de la residencia de datos

Consulta Introducción a CMEK.

Restricciones de la política de la organización y residencia de los datos

Las restricciones de la política de la organización de Google Cloud permiten definir un conjunto de ubicaciones en las que se pueden crear recursos de Google Cloud basados en la ubicación para tu organización de Google Cloud. Si tienes una política de la organización de Google Cloud que usa una restricción de ubicación de recursos (constraints/gcp.resourceLocations), la restricción se aplicará a los siguientes recursos de Apigee que se crean cuando se aprovisiona Apigee:

Si aprovisionas una organización de Apigee nueva dentro de un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada, debes asegurarte de que la restricción de ubicación sea compatible con la ubicación del plano de control especificada para tu organización de Apigee:

  • Si aprovisionas una organización de Apigee sin residencia de datos, la restricción de ubicación de recursos en la política de la organización de Google Cloud debe establecerse en global. Debido a que el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción distinta de global.
  • Si aprovisionas una organización de Apigee con residencia de datos, confirma que cualquier restricción de ubicación de recursos que se pueda establecer en la política de la organización de Google Cloud no excluya la región que seleccionaste para tus datos del plano de control. De lo contrario, el aprovisionamiento fallará.