Questo documento descrive la residenza dei dati per Apigee.
Panoramica
Per molti settori verticali e aziende, l'utilizzo di un'offerta cloud porta a un maggiore controllo da parte dei team di sicurezza e conformità (quali dati sono archiviati nel cloud, dove sono archiviati, chi può accedervi, chi può visualizzarli ecc.). Inoltre, molti paesi hanno approvato leggi sulla privacy dei dati che proibiscono l'archiviazione dei dati che consentono l'identificazione personale (PII) al di fuori del paese o della regione.
La residenza dei dati per Apigee soddisfa i requisiti di conformità e normativi, consentendoti di specificare le località geografiche (regioni) in cui sono archiviati i dati di Apigee. In passato, Apigee consentiva di selezionare la regione dell'istanza e la regione di analisi, ma Apigee ha anche un'infrastruttura globale, ad esempio un bundle proxy API o altri dati dei clienti. Con la residenza dei dati, la selezione della località del piano di controllo garantisce che tutti i contenuti dei clienti vengano archiviati all'interno della regione specificata.
Apigee sta per ottenere le certificazioni FedRAMP High e altre. Apigee ha implementato lo stack regionalizzato dal punto di vista ingegneristico, ma non può garantire contrattualmente la residenza dei dati prima dell'approvazione della certificazione effettiva.
Compatibilità con la residenza dei dati
La residenza dei dati può essere utilizzata con:
Al momento la residenza dei dati non è supportata per l'utilizzo con:- Funzionalità in anteprima o in versione beta, come la versione di anteprima per l'integrazione di Looker Studio
- Organizzazioni di valutazione
- Monetizzazione
- Portali integrati
- Sicurezza delle API
- Raccoglitore dati
- Apigee in esecuzione in una finestra del browser in
apigee.google.com
poiché i nomi delle organizzazioni regionalizzati non vengono visualizzati nel selettore delle organizzazioni. Devi utilizzare Apigee nella console Google Cloud.
Punti chiave
Se la residenza dei dati è abilitata per l'installazione di Apigee, tieni presente i seguenti punti chiave:
- La residenza dei dati deve essere abilitata al momento del provisioning di Apigee. Non puoi abilitare la residenza dei dati per un'organizzazione di cui è già stato eseguito il provisioning.
- Per impostazione predefinita, il piano di controllo è un'entità globale, a meno che non selezioni la residenza dei dati (regionalizzazione) al momento della creazione dell'organizzazione Apigee; non può essere modificato in un secondo momento. Una volta selezionata la residenza dei dati e la località del piano di controllo, questa non può essere modificata. Se in un secondo momento hai bisogno di una località diversa, devi creare un nuovo progetto Google Cloud.
-
Quando esegui il provisioning di un'organizzazione:
- Senza residenza dei dati: specifica la regione con ANALYTICS_REGION.
- Con la residenza dei dati: specifica la regione con CONTROL_PLANE_LOCATION e la sottoregione con CONSUMER_DATA_REGION. Consulta Regioni di residenza dei dati.
-
L'amministratore che esegue il provisioning di Apigee deve:
- Informare gli utenti di Apigee, ad esempio sviluppatori di API e altri amministratori, sulla configurazione della residenza dei dati
- Imposta il criterio dell'organizzazione relativo alla località come descritto in Limitazione delle località delle risorse
- Gli sviluppatori di API, gli amministratori o altri utenti delle API di gestione Apigee devono utilizzare il nuovo endpoint di servizio dell'API di residenza dei dati.
Regioni di residenza dei dati
La residenza dei dati consente di scegliere la regione (località fisica) durante il provisioning in cui sono archiviati i dati.
Quando specifichi la regione (ad esempio us
), devi specificare anche una singola regione (ad esempio us-west1
) per altri servizi che possono essere eseguiti solo in una singola regione, come i report di Analytics.
Tutte le risorse devono trovarsi all'interno della regione specificata. Ad esempio, se selezioni us
per CONTROL_PLANE_LOCATION, anche le altre risorse Apigee, come l'istanza di runtime, che fanno riferimento a CMEK, collegamento endpoint e così via, devono trovarsi all'interno della regione us
.
Il tipo di dati che viene archiviato quando scegli la residenza dei dati è definito dati del piano di controllo e dati dei consumatori.
I dati del piano di controllo sono dati di analisi, proxy API, server di destinazione, archivi di attendibilità e keystore e qualsiasi altra risorsa condivisa tra i runtime. I dati consumer sono dati di analisi elaborati da servizi eseguiti in una singola regione.
Vedi le località di Apigee per le regioni del piano di controllo attualmente supportate.
Endpoint di servizio per la residenza dei dati
Un endpoint di servizio è un URL di base che specifica l'indirizzo di rete di un servizio API.
L'endpoint del servizio API Apigee, o nome host, è
apigee.googleapis.com
.
-
Nessuna residenza dei dati:
Utilizza l'endpoint di servizio come segue:
apigee.googleapis.com
Ad esempio:
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
-
Residenza dei dati:
Anteponi la regione del piano di controllo all'endpoint di servizio:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Ad esempio:
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Dove CONTROL_PLANE_LOCATION è la località fisica, specificata durante il provisioning, in cui verranno archiviati i dati del piano di controllo Apigee.
Ad esempio:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Come visualizzare la regione
Se hai già eseguito il provisioning della tua organizzazione (PROJECT_ID) per l'utilizzo con la residenza dei dati, puoi utilizzare l'API getProjectMapping per visualizzare le regioni associate a un progetto:
- Autorizza gcloud ad accedere a piattaforma Cloud con le tue credenziali utente Google:
gcloud auth login
- Chiama l'API:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"
Dove PROJECT_ID è il nome della tua organizzazione Apigee o l'ID progetto Google Cloud.
Viene restituito un codice simile al seguente:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Crittografia della residenza dei dati
Vedi Introduzione a CMEK.
Residenza dei dati e vincoli dei criteri dell'organizzazione
I
vincoli dei criteri dell'organizzazione di Google Cloud consentono di definire un insieme di località in cui è possibile creare risorse Google Cloud basate sulla località per la tua organizzazione Google Cloud. Se hai un
criterio dell'organizzazione di Google Cloud che utilizza un vincolo di località delle risorse (constraints/gcp.resourceLocations
),
il vincolo verrà applicato alle seguenti risorse Apigee create quando viene eseguito il provisioning di Apigee:
Se esegui il provisioning di una nuova organizzazione Apigee all'interno di un progetto Google Cloud a cui è applicato un vincolo di località delle risorse, devi assicurarti che il vincolo di località sia compatibile con la località del piano di controllo specificata per la tua organizzazione Apigee:
- Se esegui il provisioning di un'organizzazione Apigee senza residenza dei dati, il vincolo relativo alla località delle risorse nel criterio dell'organizzazione Google Cloud deve essere impostato su
global
. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicato un vincolo diverso daglobal
. - Se esegui il provisioning di un'organizzazione Apigee con la residenza dei dati, conferma che qualsiasi vincolo sulla località delle risorse che può essere impostato nel criterio dell'organizzazione Google Cloud non escluda la regione selezionata per i dati del piano di controllo. In caso contrario, il provisioning non andrà a buon fine.