Ce document décrit la résidence des données pour Apigee.
Présentation
Pour de nombreux secteurs et entreprises, l'utilisation d'une offre cloud permet de renforcer la surveillance des équipes de sécurité et de conformité (quelles données sont stockées dans le cloud, où elles sont stockées, qui y a accès et qui peut y accéder, etc.). En outre, de nombreux pays ont adopté des lois sur la confidentialité des données qui interdisent le stockage des données personnelles en dehors du pays ou de la région.
La résidence des données pour Apigee répond aux exigences de conformité et réglementaires en vous permettant de spécifier les emplacements géographiques (régions) où les données Apigee sont stockées. Historiquement, Apigee vous permettait de sélectionner la région de l'instance et la région de l'analyse. Cependant, Apigee possède également une infrastructure globale, telle qu'un bundle de proxys d'API ou d'autres données client. Avec la résidence des données, la sélection de l'emplacement du plan de contrôle garantit que tout le contenu client est stocké dans la région spécifiée.
Apigee a obtenu l'autorisation FedRAMP de niveau élevé, répondant ainsi aux normes requises pour la résidence des données. Pour en savoir plus, consultez la section Résidence des données et conformité FedRAMP.
Compatibilité de la résidence des données
La résidence des données peut être utilisée avec les éléments suivants :
- Organisations Apigee (abonnement ou paiement à l'usage)
- Apigee Hybrid
- Anomalies opérationnelles pour les organisations avec abonnement non hybrides
- Monétisation activée dans les organisations avec abonnement pour les organisations non hybrides
- Advanced API Security pour les organisations non hybrides
- Fonctionnalités en version preview ou bêta, telles que les versions preview de l' intégration Looker Studio et de l'API Discovery Shadow
- Organisations d'évaluation
- Portails intégrés
- Advanced API Security pour les organisations hybrides
- Collecteur de données
- Apigee s'exécutant dans une fenêtre de navigateur sur
apigee.google.com
, car les noms d'organisations régionalisées ne sont pas affichés dans le sélecteur d'organisations. Vous devez utiliser Apigee dans la console Google Cloud.
Points essentiels
Si la résidence des données est activée pour votre installation Apigee, tenez compte des points clés suivants :
- La résidence des données doit être activée au moment du provisionnement d'Apigee. Vous ne pouvez pas activer la résidence des données pour une organisation déjà provisionnée.
- Par défaut, le plan de contrôle est une entité globale, sauf si vous sélectionnez la résidence des données (régionalisation) au moment de la création de l'organisation Apigee. Vous ne pourrez pas modifier le modifier par la suite. Une fois que vous avez sélectionné la résidence des données et l'emplacement du plan de contrôle, vous ne pouvez plus le modifier. Si vous avez besoin d'un autre emplacement ultérieurement, vous devrez créer un nouveau projet Google Cloud.
-
Lors du provisionnement d'une organisation :
- Sans résidence des données : spécifiez la région avec ANALYTICS_REGION.
- Avec résidence des données : spécifiez la région avec CONTROL_PLANE_LOCATION et la sous-région avec CONSUMER_DATA_REGION. Consultez la section Régions de résidence des données.
-
L'administrateur qui provisionne Apigee doit :
- Informer les utilisateurs Apigee, tels que les développeurs d'API et d'autres administrateurs, de la configuration de la résidence des données
- Définir la règle d'administration de l'emplacement comme décrit dans la section Limiter les emplacements des ressources
- Les développeurs d'API, les administrateurs ou les autres utilisateurs des API de gestion Apigee doivent utiliser le nouveau point de terminaison du service d'API de résidence des données.
Régions de résidence des données
La résidence des données vous permet de choisir la région (emplacement physique) lors du provisionnement de l'endroit où les données sont stockées.
Lorsque vous spécifiez la région (par exemple, us
), vous devez également spécifier une seule région (par exemple, us-west1
) pour les autres services qui ne peuvent s'exécuter que dans une seule région, comme les rapports d'analyse..
Toutes les ressources doivent se trouver dans la région spécifiée. Par exemple, si vous sélectionnez us
pour CONTROL_PLANE_LOCATION, les autres ressources Apigee, telles que l'instance d'exécution, qui font référence à CMEK, au rattachement de point de terminaison, etc., doivent aussi se trouver dans la région us
.
Le type de données stockées lorsque vous choisissez la résidence des données est appelé "données du plan de contrôle" et "données du client".
Les données du plan de contrôle sont des données d'analyse, proxys d'API, serveurs cibles, truststores et keystores, ainsi que tout autre élément partagé entre les environnements d'exécution. Les données du client sont des données d'analyse traitées par des services exécutés dans une seule région.
Consultez la page Emplacements Apigee pour connaître les régions du plan de contrôle actuellement compatibles.
Point de terminaison du service de résidence des données
Un point de terminaison de service est une URL de base qui spécifie l'adresse réseau d'un service d'API.
Le point de terminaison du service d'API Apigee, ou nom d'hôte, est apigee.googleapis.com
.
-
Sans résidence des données :
Utilisez le point de terminaison du service comme suit :
apigee.googleapis.com
Exemple :
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
-
Avec résidence des données :
Ajoutez la région du plan de contrôle au point de terminaison du service :
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Exemple :
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Où CONTROL_PLANE_LOCATION est l'emplacement physique, spécifié lors du provisionnement, dans lequel les données du plan de contrôle Apigee seront stockées.
Exemple :
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Afficher la région
Si vous avez déjà provisionné votre organisation (PROJECT_ID) pour l'utiliser avec la résidence des données, vous pouvez utiliser l'API getProjectMapping pour afficher les régions associées à un projet :
- Autorisez gcloud à accéder à Cloud Platform avec vos identifiants Google :
gcloud auth login
- Appelez l'API :
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"
Où PROJECT_ID est le nom de votre organisation Apigee ou l'ID de votre projet Google Cloud.
Un résultat semblable au suivant s'affiche :
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Chiffrement de la résidence des données
Consultez la page Présentation du chiffrement CMEK.
Résidence des données et contraintes liées aux règles d'administration
Les contraintes liées aux règles d'administration Google Cloud permettent de définir un ensemble d'emplacements, pour lesquels des ressources Google Cloud basées sur l'emplacement peuvent être créées pour votre organisation Google Cloud. Si vous disposez d'une règle d'administration Google Cloud qui utilise une contrainte d'emplacement de ressource (constraints/gcp.resourceLocations
), cette contrainte s'applique aux ressources Apigee qui ont été créées lors du provisionnement d'Apigee :
- Plan de contrôle
- Données client
- Environnement d'exécution
- Rattachement de points de terminaison
- Analytics
Si vous provisionnez une nouvelle organisation Apigee dans un projet Google Cloud, en appliquant une contrainte d'emplacement de ressource, vous devez vous assurer que cette contrainte d'emplacement est compatible avec l'emplacement du plan de contrôle spécifié pour votre organisation Apigee :
- Si vous provisionnez une organisation Apigee sans résidence des données, la contrainte d'emplacement de ressource dans votre règle d'administration Google Cloud doit être définie sur
global
. Étant donné que le plan de contrôle Apigee est par défaut une entité globale, le provisionnement échouera si une contrainte autre queglobal
est appliquée. - Si vous provisionnez une organisation Apigee avec résidence des données, vérifiez que toute contrainte d'emplacement de ressource potentiellement définie dans votre règle d'administration Google Cloud n'exclut pas la région que vous allez sélectionner pour votre plan de contrôle. Sinon, le provisionnement va échouer.
Résidence des données et conformité FedRAMP
Apigee est autorisé en tant que service FedRAMP High pour les organisations où la résidence des données est activée. Si vous choisissez d'activer la résidence des données lors du provisionnement d'une organisation Apigee avec abonnement ou paiement à l'usage, les services suivants sont concernés par l'autorisation d'exploitation (ATO) FedRAMP d'Apigee :
- Plan de contrôle, plan d'exécution et analyse de l'organisation Apigee régionalisée.
- Plan de contrôle et analyse de l'organisation hybride Apigee régionalisée
Les offres Apigee suivantes ne sont pas concernées par l'ATO FedRAMP d'Apigee :
- Advanced API Security
- Portails intégrés
- Interface utilisateur classique d'Apigee
- Monétisation
- Organisations d'évaluation Apigee
- Collecteurs de données Apigee
Résidence des données et Apigee hybrid
Vous pouvez configurer les nouvelles installations d'Apigee hybrid pour qu'elles utilisent la résidence des données, à partir de la version 1.12. Consultez la section Utiliser la résidence des données avec Apigee hybrid.