Einführung in den Datenstandort

In diesem Dokument wird der Datenstandort für Apigee beschrieben.

Übersicht

Für viele Branchen und Unternehmen führt die Verwendung eines Cloud-Angebots zu einer genaueren Kontrolle durch Sicherheits- und Compliance-Teams (die Daten, die in der Cloud gespeichert sind, wo sie gespeichert werden, wer Zugriff darauf hat und wer die Daten sieht). Darüber hinaus haben viele Länder Datenschutzgesetze verabschiedet, die verbieten, personenidentifizierbare Informationen (PII) außerhalb des Landes oder der Region zu speichern.

Der Datenstandort für Apigee erfüllt Compliance- und behördliche Anforderungen, indem Sie die geografischen Standorte (Regionen) angeben können, an denen Apigee-Daten gespeichert werden. In der Vergangenheit konnten Sie mit Apigee die Instanzregion und die Analyseregion auswählen. Apigee hat jedoch auch eine globale Infrastruktur wie ein API-Proxy-Bundle oder andere Kundendaten. Wenn Sie bei Verwendung des Datenstandorts den Standort der Steuerungsebene auswählen, werden alle Kundeninhalte in der angegebenen Region gespeichert.

Apigee hat die FedRAMP High-Autorisierung erhalten und damit die für den Datenstandort erforderlichen Standards erfüllt. Weitere Informationen finden Sie unter Datenstandort und FedRAMP-Compliance.

Kompatibilität mit Datenstandorten

Der Speicherort der Daten kann mit folgenden Elementen verwendet werden:

Apigee-Organisationen (Abo oder Pay-as-you-go)
Apigee Hybrid
Hinweis:Apigee Hybrid Version 1.13.1 und höher mit aktiviertem Datenstandort unterstützt Apigee API Analytics und das Debug-Tool. Apigee Hybrid mit aktiviertem Datenstandort unterstützt kein verteiltes Tracing. Siehe Bekannte Probleme.
Anomalien im Betrieb für nicht hybride Abo-Organisationen
Monetarisierung in Abo-Organisationen für nicht hybride Organisationen aktiviert
Erweiterte API-Sicherheit für nicht hybride Organisationen

Der Datenstandort wird derzeit nicht unterstützt für die Verwendung mit:

Vorschau- oder Betarelease-Features wie die Vorabversionen für die Looker Studio-Integration und die Shadow API Discovery
Eval-Organisationen
Integrierte Portale
Erweiterte API-Sicherheit für hybride Organisationen
Datenerhebung
Klassische Apigee-UI. Sie können Apigee in der Google Cloud Console oder die Apigee APIs verwenden, um eine Organisation mit aktiviertem Datenspeicherort bereitzustellen oder zu verwalten.
Apigee wird in einem Browserfenster unter apigee.google.com ausgeführt, da die regionalisierten Organisationsnamen nicht in der Organisationsauswahl angezeigt werden. Sie müssen Apigee in der Google Cloud Console verwenden.
Google Cloud CLI. Sie können Apigee in der Google Cloud Console oder die Apigee APIs verwenden, um eine Organisation mit aktiviertem Datenspeicherort bereitzustellen oder zu verwalten.

Wichtige Fakten

Wenn der Datenstandort für Ihre Apigee-Installation aktiviert ist, beachten Sie die folgenden wichtigen Punkte:

Der Datenstandort muss zu dem Zeitpunkt aktiviert sein, an dem Apigee bereitgestellt wird. Sie können den Datenstandort für eine bereits bereitgestellte Organisation nicht aktivieren.
Standardmäßig ist die Steuerungsebene eine globale Entität, es sei denn, Sie wählen den Datenstandort (Regionalisierung) zum Zeitpunkt der Erstellung der Apigee-Organisation aus. Kann später nicht mehr geändert werden. Nachdem Sie den Datenstandort und den Standort der Steuerungsebene ausgewählt haben, können diese nicht mehr geändert werden. Wenn Sie später einen anderen Standort benötigen, müssen Sie ein neues Google Cloud-Projekt erstellen.
Beim Bereitstellen einer Organisation:
- Ohne Datenstandort: Geben Sie die Region mit ANALYTICS_REGION an.
- Mit Datenstandort: Geben Sie die Region mit CONTROL_PLANE_LOCATION und die Subregion mit CONSUMER_DATA_REGION an. Siehe Datenstandortregionen.
Der Administrator, der Apigee bereitstellt, muss:
- Informieren Sie Apigee-Nutzer wie API-Entwickler und andere Administratoren über die Konfiguration des Datenstandorts.
- Legen Sie die Standort-Organisationsrichtlinie fest, wie unter Ressourcenstandorte einschränken beschrieben.
API-Entwickler, Administratoren oder andere Nutzer von Apigee Management APIs müssen den neuen Datenstandort-API-Dienstendpunkt verwenden.

Datenstandortregionen

Mit dem Datenstandort können Sie während der Bereitstellung die Region (physischer Standort) auswählen, in der Daten gespeichert werden.

Beim Angeben der Region (z. B. us) müssen Sie auch eine einzelne Region (z. B. us-west1) für andere Dienste angeben, die nur in einer einzelnen Region ausgeführt werden können, z. B.: Analytics-Berichte.

Alle Ressourcen müssen sich in der angegebenen Region befinden. Wenn Sie beispielsweise für die CONTROL_PLANE_LOCATION us auswählen, müssen sich die anderen Apigee-Ressourcen wie die Laufzeitinstanz, die auf CMEK, den Endpunktanhang usw. verweist, ebenfalls in der Region us befinden.

Der Datentyp, der gespeichert wird, wenn Sie den Datenstandort auswählen, wird als Daten der Steuerungsebene und Nutzerdaten bezeichnet.

Daten der Steuerungsebene sind Analysedaten, API-Proxys, Zielserver, Truststores und Schlüsselspeicher und alles andere, das von den Laufzeiten gemeinsam genutzt wird. Nutzerdaten sind Analysedaten, die von Diensten verarbeitet werden, die in einer einzelnen Region ausgeführt werden.

Die derzeit unterstützten Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.

Dienstendpunkt des Datenstandorts

Ein Dienstendpunkt ist eine Basis-URL, die die Netzwerkadresse eines API-Dienstes angibt.

Der Apigee API-Dienstendpunkt oder Hostname ist apigee.googleapis.com.

Kein Datenstandort:
So verwenden Sie den Dienstendpunkt:

apigee.googleapis.com

Beispiel:

curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Datenstandort:
Stellen Sie dem Dienstendpunkt die Region der Steuerungsebene voran:

CONTROL_PLANE_LOCATION-apigee.googleapis.com
Beispiel:

curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Dabei ist CONTROL_PLANE_LOCATION der physische Standort, der während der Bereitstellung angegeben wird, an dem Daten der Apigee-Steuerungsebene gespeichert werden.

Beispiel:

curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Region aufrufen

Wenn Sie Ihre Organisation (PROJECT_ID) bereits für die Verwendung mit dem Datenstandort bereitgestellt haben, können Sie mit der getProjectMapping API die einem Projekt zugeordneten Regionen anzeigen lassen:

So autorisieren Sie gcloud mit Ihren Google-Nutzeranmeldedaten, um auf die Cloud Platform zuzugreifen:
```
gcloud auth login
```

API aufrufen:

curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"

Dabei ist PROJECT_ID der Name Ihrer Apigee-Organisation oder die Google Cloud-Projekt-ID.

Es wird in etwa Folgendes zurückgegeben:

{
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}

Verschlüsselung des Datenstandorts

Siehe Einführung in CMEK

Einschränkungen für Datenstandort und Organisationsrichtlinien

Mit den Einschränkungen für Organisationsrichtlinien von Google Cloud können Sie eine Reihe von Standorten definieren, an denen standortbasierte Google Cloud-Ressourcen für Ihre Google Cloud-Organisation erstellt werden können. Wenn Sie eine Google Cloud-Organisationsrichtlinie haben, die eine Einschränkung des Ressourcenstandorts (constraints/gcp.resourceLocations) verwendet, gilt die Einschränkung für die folgenden Apigee-Ressourcen, die bei der Bereitstellung von Apigee erstellt werden:

Wenn Sie eine neue Apigee-Organisation in einem Google Cloud-Projekt bereitstellen, für das eine Einschränkung des Ressourcenstandorts gilt, müssen Sie darauf achten, dass die Standorteinschränkung mit dem für Ihre Apigee-Organisation angegebenen Standort der Kontrollebene kompatibel ist:

Wenn Sie eine Apigee-Organisation ohne Datenspeicherort bereitstellen, muss die Einschränkung des Ressourcenstandorts in Ihrer Google Cloud-Organisationsrichtlinie auf global festgelegt sein. Da die Apigee-Steuerungsebene standardmäßig eine globale Entität ist, schlägt die Bereitstellung fehl, wenn eine andere Einschränkung als global angewendet wird.
Wenn Sie eine Apigee-Organisation mit Datenstandort bereitstellen, stellen Sie sicher, dass jegliche in Ihrer Google Cloud-Organisationsrichtlinie festgelegte Einschränkung des Ressourcenstandorts die Region nicht ausschließt, die Sie für die Daten Ihrer Steuerungsebene auswählen. Andernfalls schlägt die Bereitstellung fehl.

Datenstandort und FedRAMP-Compliance

Apigee ist als FedRAMP High-Dienst für Organisationen autorisiert, bei denen der Speicherort der Daten aktiviert ist. Wenn Sie bei der Bereitstellung einer Apigee-Abo- oder Pay-as-you-go-Organisation den Datenstandort aktivieren, fallen die folgenden Dienste unter die FedRAMP Authority To Operate (ATO) von Apigee:

Die Steuerungsebene, die Laufzeitebene und die Analysen der regionalisierten Apigee-Organisation.
Die Steuerungsebene und Analysen der regionalisierten Apigee Hybrid-Organisation.

Die folgenden Apigee-Angebote fallen nicht unter die FedRAMP-ATO von Apigee:

Weitere Informationen zur Bedeutung einer FedRAMP-ATO finden Sie unter FedRAMP-Compliance.

Datenspeicherort und Apigee Hybrid

Ab der Hybridversion 1.12 können Sie neue Apigee Hybrid-Installationen so konfigurieren, dass der Datenspeicherort verwendet wird. Weitere Informationen finden Sie unter Datenstandort mit Apigee Hybrid verwenden.