Questo documento descrive la residenza dei dati per Apigee.
Panoramica
Per molti verticali e imprese del settore, l'utilizzo di un'offerta cloud comporta un maggiore controllo da parte dei team di sicurezza e conformità (quali dati vengono archiviati nel cloud, dove sono archiviati, chi vi ha accesso, chi può visualizzarli e così via). Inoltre, molti paesi hanno approvato leggi sulla privacy dei dati che vietano l'archiviazione dei dati che consentono l'identificazione personale (PII) al di fuori del paese o della regione.
La residenza dei dati per Apigee soddisfa i requisiti normativi e di conformità consentendoti di specificare le località geografiche (regioni) in cui sono archiviati i dati Apigee. In passato, Apigee consentiva di selezionare la regione dell'istanza e la regione di analisi. Tuttavia, Apigee dispone anche di un'infrastruttura globale, come un bundle proxy API o altri dati dei clienti. Con la residenza dei dati, la selezione della località del piano di controllo garantisce che tutti i contenuti dei clienti siano archiviati all'interno della regione specificata.
Apigee ha ottenuto l'autorizzazione FedRAMP High, soddisfacendo con successo gli standard richiesti per la residenza dei dati. Per ulteriori informazioni, consulta Residenza dei dati e conformità FedRAMP.
Compatibilità della residenza dei dati
La residenza dei dati può essere utilizzata con:
La residenza dei dati non è attualmente supportata per l'uso con:- Funzionalità di release in anteprima o beta, come la release di anteprima per l' integrazione di Looker Studio
- Organizzazioni di valutazione
- Monetizzazione
- Portali integrati
- Sicurezza delle API
- Raccoglitore dati
- Apigee in esecuzione in una finestra del browser in
apigee.google.com
poiché i nomi delle organizzazioni regionalizzati non vengono visualizzati nel selettore dell'organizzazione. Devi utilizzare Apigee nella console Google Cloud.
Punti chiave
Se la residenza dei dati è abilitata per l'installazione di Apigee, tieni presente i seguenti punti chiave:
- La residenza dei dati deve essere abilitata nel momento in cui viene eseguito il provisioning di Apigee. Non puoi abilitare la residenza dei dati per un'organizzazione di cui è già stato eseguito il provisioning.
- Per impostazione predefinita, il piano di controllo è un'entità globale, a meno che non selezioni la residenza dei dati (regionalizzazione) al momento della creazione dell'organizzazione Apigee; non può essere modificato in un secondo momento. Dopo aver selezionato la residenza dei dati e la località del piano di controllo, non puoi modificarle. Se in un secondo momento avrai bisogno di una località diversa, dovrai creare un nuovo progetto Google Cloud.
-
Quando esegui il provisioning di un'organizzazione:
- Senza residenza dei dati: specifica la regione con ANALYTICS_REGION.
- Con la residenza dei dati: specifica la regione con CONTROL_PLANE_LOCATION e la regione secondaria con CONSUMER_DATA_REGION. Consulta Regioni di residenza dei dati.
-
L'amministratore che esegue il provisioning di Apigee deve:
- Informare gli utenti Apigee, ad esempio sviluppatori di API e altri amministratori, della configurazione della residenza dei dati
- Imposta il criterio dell'organizzazione relativo alla località come descritto in Limitazione delle località delle risorse
- Sviluppatori di API, amministratori o altri utenti delle API di gestione Apigee devono utilizzare il nuovo endpoint del servizio API di residenza dei dati.
Regioni di residenza dei dati
La residenza dei dati consente di scegliere la regione (posizione fisica) durante il provisioning in cui vengono archiviati i dati.
Quando specifichi la regione (ad esempio us
), devi anche
indicare una singola regione (ad esempio us-west1
)
per gli altri servizi che possono essere eseguiti solo in una singola regione come
i report di Analytics.
Tutte le risorse devono trovarsi all'interno della regione specificata. Ad esempio, se
selezioni us
per CONTROL_PLANE_LOCATION,
anche le altre risorse Apigee, come l'istanza di runtime, i riferimenti a CMEK,
il collegamento dell'endpoint e così via, devono trovarsi nella regione us
.
Il tipo di dati che viene archiviato quando scegli la residenza dei dati è definito dati del piano di controllo e dati dei consumatori.
I dati del piano di controllo sono dati di analisi, proxy API, server di destinazione, archivi di chiavi e archivi di chiavi e qualsiasi altro elemento condiviso tra i runtime. I dati dei consumatori sono dati di analisi elaborati da servizi in esecuzione in una singola regione.
Consulta Località Apigee per conoscere le regioni del piano di controllo attualmente supportate.
Endpoint del servizio di residenza dei dati
Un endpoint di servizio è un URL di base che specifica l'indirizzo di rete di un servizio API.
L'endpoint di servizio API Apigee, o nome host, è
apigee.googleapis.com
.
-
Nessuna residenza dei dati:
Utilizza l'endpoint di servizio come segue:
apigee.googleapis.com
Ad esempio:
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
-
Residenza dei dati:
Anteponi la regione del piano di controllo all'endpoint di servizio:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Ad esempio:
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Dove CONTROL_PLANE_LOCATION è la località fisica, specificata durante il provisioning, in cui verranno archiviati i dati del piano di controllo Apigee.
Ad esempio:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Come visualizzare la regione
Se hai già eseguito il provisioning dell'organizzazione (PROJECT_ID) per l'utilizzo con la residenza dei dati, puoi utilizzare l' API getProjectMapping per visualizzare le regioni associate a un progetto:
- Autorizza gcloud ad accedere a piattaforma Cloud con le tue credenziali utente Google:
gcloud auth login
- Chiama l'API:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"
Dove PROJECT_ID è il nome della tua organizzazione Apigee o l'ID progetto Google Cloud.
Viene restituito un risultato simile al seguente:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Crittografia della residenza dei dati
Vedi Introduzione a CMEK.
Vincoli dei criteri dell'organizzazione e della residenza dei dati
I
vincoli dei criteri dell'organizzazione di Google Cloud consentono di definire un insieme di località in cui è possibile creare risorse Google Cloud basate sulla località per la tua organizzazione Google Cloud. Se hai un
criterio dell'organizzazione di Google Cloud che utilizza un vincolo di località delle risorse (constraints/gcp.resourceLocations
),
il vincolo verrà applicato alle seguenti risorse Apigee create quando viene eseguito il provisioning di Apigee:
Se stai eseguendo il provisioning di una nuova organizzazione Apigee all'interno di un progetto Google Cloud con un vincolo di località delle risorse applicato, devi assicurarti che il vincolo di località sia compatibile con la località del piano di controllo specificata per la tua organizzazione Apigee:
- Se esegui il provisioning di un'organizzazione Apigee senza residenza dei dati, il vincolo di località delle risorse nel criterio dell'organizzazione Google Cloud deve essere impostato su
global
. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non riuscirà se viene applicato un vincolo diverso daglobal
. - Se esegui il provisioning di un'organizzazione Apigee con residenza dei dati, verifica che l'eventuale vincolo di località delle risorse impostato nel criterio dell'organizzazione Google Cloud non escluda la regione selezionata per i dati del piano di controllo. In caso contrario, il provisioning non andrà a buon fine.
Residenza dei dati e conformità FedRAMP
Apigee è autorizzato come servizio FedRAMP High per le organizzazioni in cui è abilitata la residenza dei dati. Se scegli di abilitare la residenza dei dati durante il provisioning di un'organizzazione con abbonamento ad Apigee o con pagamento a consumo, i seguenti servizi rientrano nell'ambito dell'autorità per operare (ATO) FedRAMP di Apigee:
- Piano di controllo, piano di runtime e analisi dell'organizzazione Apigee regionalizzata.
- Piano di controllo e analisi dell'organizzazione Apigee ibrida regionalizzata.
Le seguenti offerte Apigee non rientrano nell'ambito dell'ATO FedRAMP FedRAMP di Apigee:
- Advanced API Security
- Portali integrati
- UI classica di Apigee
- Monetizzazione
- Organizzazioni di valutazione Apigee
- Raccoglitori di dati Apigee
Residenza dei dati e Apigee hybrid
Puoi configurare nuove installazioni ibride di Apigee per utilizzare la residenza dei dati, a partire dalla versione ibrida 1.12. Consulta Utilizzare la residenza dei dati con Apigee hybrid.