Esta página foi traduzida pela API Cloud Translation.

Introdução à residência dos dados

Este documento descreve a residência dos dados para o Apigee.

Vista geral

Para muitas verticais da indústria e empresas, a utilização de uma oferta na nuvem resulta num maior escrutínio por parte das equipas de segurança e conformidade (que dados são armazenados na nuvem, onde são armazenados, quem tem acesso aos mesmos, quem pode ver os dados, etc.). Além disso, muitos países aprovaram leis de privacidade de dados que proíbem o armazenamento de dados de informações de identificação pessoal (IIP) fora do país ou da região.

A residência dos dados para o Apigee cumpre os requisitos regulamentares e de conformidade, permitindo-lhe especificar as localizações geográficas (regiões) onde os dados do Apigee são armazenados. Anteriormente, o Apigee permitia-lhe selecionar a região da instância e a região de estatísticas; no entanto, o Apigee também tem uma infraestrutura global, como um pacote de proxy de API ou outros dados de clientes. Com a residência de dados, a seleção da localização do plano de controlo garante que todo o conteúdo do cliente é armazenado na região especificada.

O Apigee alcançou a autorização FedRAMP High, cumprindo com êxito as normas necessárias para a residência de dados. Para mais informações, consulte o artigo Residência de dados e conformidade com o FedRAMP.

Compatibilidade com a residência dos dados

A residência de dados pode ser usada com o seguinte:

Organizações do Apigee (subscrição ou pagamento conforme a utilização)
Apigee Hybrid. Consulte o artigo Residência de dados e Apigee Hybrid.
Anomalias de operações para organizações de subscrição não híbridas
Rentabilização ativada em organizações de subscrição para organizações não híbridas
Segurança avançada da API
Apigee API hub. Consulte o hub de APIs e a residência de dados.
Responsável pela recolha de dados. Os coletores de dados são suportados para organizações de subscrição e de pagamento conforme o uso, bem como para versões híbridas 1.14.0 e posteriores.

Atualmente, a residência de dados não é suportada para utilização com:

Funcionalidades de pré-visualização ou lançamento beta, como os lançamentos de pré-visualização para Integração do Looker Studio e Descoberta da API Shadow
Organizações de avaliação
Portais integrados
Adaptador da Apigee para o Envoy
IU do Apigee clássico. Para aprovisionar ou gerir uma organização com residência de dados ativada, pode usar o Apigee na Google Cloud consola ou as APIs Apigee.
O Apigee é executado numa janela do navegador em apigee.google.com, uma vez que os nomes das organizações regionalizados não são apresentados no seletor de organizações. Tem de usar o Apigee na Google Cloud consola.
CLI do Google Cloud. Para aprovisionar ou gerir uma organização com residência de dados ativada, pode usar o Apigee na Google Cloud consola ou as APIs Apigee.

Pontos-chave

Se a residência de dados estiver ativada para a sua instalação do Apigee, tenha em atenção os seguintes pontos importantes:

A residência de dados tem de estar ativada no momento em que o Apigee é aprovisionado. Não pode ativar a residência de dados para uma organização já aprovisionada.
Por predefinição, o plano de controlo é uma entidade global, a menos que selecione a residência de dados (regionalização) no momento da criação da organização do Apigee; não é possível alterá-la posteriormente. Depois de selecionar a residência de dados e a localização do plano de controlo, não é possível alterá-las. Se precisar de uma localização diferente mais tarde, tem de criar um novo Google Cloud projeto.
Quando aprovisiona uma organização:
- Sem residência de dados: especifique a região com ANALYTICS_REGION.
- Com a residência de dados: especifique a região com CONTROL_PLANE_LOCATION e a sub-região com CONSUMER_DATA_REGION. Consulte as Regiões de residência dos dados.
O administrador que aprovisiona o Apigee tem de:
- Informe os utilizadores do Apigee, como programadores de APIs e outros administradores, acerca da configuração de residência de dados
- Defina a política da organização de localização conforme descrito em Restringir localizações de recursos
Os programadores, os administradores ou outros utilizadores da API de gestão do Apigee devem usar o ponto final do serviço da nova API de residência de dados.

Regiões de residência dos dados

A residência dos dados permite-lhe escolher a região (localização física) durante o aprovisionamento onde os dados são armazenados.

Quando especificar a região (por exemplo, us), também tem de especificar uma única região (por exemplo, us-west1) para outros serviços que só podem ser executados numa única região, como relatórios do Analytics.

Todos os recursos têm de estar na região especificada. Por exemplo, se selecionar us para o CONTROL_PLANE_LOCATION, os outros recursos do Apigee, como a instância de tempo de execução, que fazem referência ao CMEK, ao anexo do ponto final, etc., também têm de estar na região us.

O tipo de dados que são armazenados quando escolhe a residência de dados é denominado dados do plano de controlo e dados do consumidor.

Os dados do plano de controlo são dados de estatísticas, proxies de API, servidores de destino, repositórios de confiança e repositórios de chaves, bem como tudo o resto partilhado entre tempos de execução. Os dados de consumidores são dados de estatísticas que são tratados por serviços que são executados numa única região.

Consulte as localizações do Apigee para as regiões do plano de controlo atualmente suportadas.

Ponto final do serviço de residência dos dados

Um ponto final de serviço é um URL base que especifica o endereço de rede de um serviço de API.

O ponto final do serviço de API da Apigee, ou o nome de anfitrião, é apigee.googleapis.com.

Sem residência de dados:
Use o ponto final do serviço da seguinte forma:

apigee.googleapis.com

Por exemplo:

curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Residência dos dados:
Adicione a região do plano de controlo ao ponto final do serviço:

CONTROL_PLANE_LOCATION-apigee.googleapis.com
Por exemplo:

curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Onde CONTROL_PLANE_LOCATION é a localização física, especificada durante o aprovisionamento, na qual os dados do plano de controlo do Apigee serão armazenados.

Por exemplo:

curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Como ver a região

Se já aprovisionou a sua organização (PROJECT_ID) para utilização com residência de dados, pode usar a API getProjectMapping para apresentar as regiões associadas a um projeto:

Autorize o gcloud a aceder à Cloud Platform com as suas credenciais de utilizador Google:
```
gcloud auth login
```

Chame a API:

curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"

Onde PROJECT_ID é o nome da sua organização Apigee ou o ID do projeto. Google Cloud

É devolvido algo semelhante ao seguinte:

{
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}

Encriptação de residência de dados

Consulte a Introdução às CMEK.

Restrições de residência de dados e políticas organizacionais

As restrições da política da organização daGoogle Cloudpermitem definir um conjunto de localizações onde os recursos Google Cloud baseados na localização podem ser criados para a sua Google Cloud organização. Se tiver uma Google Cloud política da organização que use uma restrição de localização de recursos (constraints/gcp.resourceLocations), a restrição aplica-se aos seguintes recursos do Apigee que são criados quando o Apigee é aprovisionado:

Se estiver a aprovisionar uma nova organização do Apigee num Google Cloud projeto com uma restrição de localização de recursos aplicada, tem de garantir que a restrição de localização é compatível com a localização do plano de controlo especificada para a sua organização do Apigee:

Se aprovisionar uma organização do Apigee sem residência de dados, a restrição de localização de recursos na sua Google Cloud política da organização tem de estar definida como global. Uma vez que o plano de controlo do Apigee é uma entidade global por predefinição, o aprovisionamento falha se for aplicada uma restrição que não seja global.
Se aprovisionar uma organização do Apigee com residência de dados, confirme que qualquer restrição de localização de recursos que possa ser definida na sua política organizacional não exclui a região que seleciona para os dados do plano de controlo. Google Cloud Caso contrário, o aprovisionamento falha.

Residência de dados e conformidade com a FedRAMP

O Apigee está autorizado como um serviço FedRAMP High para organizações onde a residência de dados está ativada. Se optar por ativar a residência de dados ao aprovisionar uma organização de subscrição ou de pagamento conforme o uso do Apigee, os seguintes serviços estão no âmbito da Autoridade de Operação (ATO) do FedRAMP do Apigee:

O plano de controlo, o plano de tempo de execução e as estatísticas da organização do Apigee regionalizada.
O plano de controlo e as estatísticas da organização híbrida do Apigee regionalizada.

As seguintes ofertas do Apigee não estão no âmbito da ATO FedRAMP do Apigee:

Para mais informações sobre a importância de uma ATO da FedRAMP, consulte o artigo Conformidade com a FedRAMP.

Residência de dados e Apigee Hybrid

Pode configurar novas instalações híbridas do Apigee para usar a residência de dados, a partir da versão híbrida 1.12. Consulte o artigo Usar a residência de dados com o Apigee Hybrid.

A versão 1.14.0 e posteriores do Apigee Hybrid com a residência de dados ativada suportam a segurança avançada da API, as estatísticas da API Apigee e a ferramenta de depuração.

O Apigee hybrid com residência de dados ativada não suporta o rastreio distribuído. Consulte o problema conhecido.

Introdução à residência dos dados Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.