Pengantar residensi data

Dokumen ini menjelaskan residensi data untuk Apigee.

Ringkasan

Bagi banyak vertical industri dan perusahaan, menggunakan penawaran cloud menghasilkan pengawasan yang lebih ketat dari tim keamanan dan kepatuhan (data apa yang disimpan di cloud, di mana data disimpan, siapa yang memiliki akses ke data tersebut, siapa yang dapat melihat data, dll.). Selain itu, banyak negara telah mengeluarkan hukum privasi data yang melarang data Informasi Identitas Pribadi (PII) disimpan di luar negara atau wilayah.

Residensi data untuk Apigee memenuhi persyaratan kepatuhan dan peraturan dengan mengizinkan Anda menentukan lokasi geografis (region) tempat data Apigee disimpan. Secara historis, Apigee memungkinkan Anda memilih region instance dan region analisis. Namun, Apigee juga memiliki infrastruktur global, seperti paket proxy API atau data pelanggan lainnya. Dengan residensi data, memilih lokasi bidang kontrol akan memastikan bahwa semua konten pelanggan disimpan dalam region yang ditentukan.

Apigee sedang dalam proses mendapatkan sertifikasi tinggi FedRAMP dan lainnya. Apigee telah mengimplementasikan stack yang di-regionalkan dari sisi engineering, tetapi tidak dapat menjamin residensi data secara kontrak sebelum sertifikasi sebenarnya disetujui.

Kompatibilitas residensi data

Residensi data dapat digunakan dengan hal-hal berikut:

• Organisasi berbayar Apigee (Langganan dan Bayar sesuai penggunaan)

Saat ini, residensi data tidak didukung untuk digunakan dengan:

• Apigee Hybrid
• Fitur rilis pratinjau atau Beta, seperti rilis pratinjau untuk Integrasi Looker Studio
• Eval org
• Monetisasi
• Portal terintegrasi
• Keamanan API
• Pengumpul data
• Apigee berjalan di jendela browser pada apigee.google.com karena nama organisasi yang diregionalkan tidak ditampilkan di pemilih organisasi. Anda harus menggunakan Apigee di Konsol Google Cloud.

Poin utama

Jika residensi data diaktifkan untuk penginstalan Apigee, perhatikan poin-poin penting berikut:

• Residensi data harus diaktifkan saat Apigee disediakan. Anda tidak dapat mengaktifkan residensi data untuk organisasi yang telah disediakan.
• Secara default, bidang kontrol adalah entity global, kecuali jika Anda memilih residensi data (regionalisasi) pada saat pembuatan organisasi Apigee; hal ini tidak dapat diubah nanti. Setelah Anda memilih residensi data dan lokasi bidang kontrol, pilihan tersebut tidak dapat diubah. Jika nantinya memerlukan lokasi lain, Anda harus membuat project Google Cloud baru.
• Saat menyediakan organisasi:
  • Tanpa residensi data: Tentukan region dengan ANALYTICS_REGION.
  • Dengan residensi data: Tentukan region dengan CONTROL_PLANE_LOCATION dan sub-region dengan CONSUMER_DATA_REGION. Lihat Wilayah residensi data.
• Admin yang menyediakan Apigee harus:
  • Memberi tahu pengguna Apigee, seperti developer API dan admin lainnya, tentang konfigurasi residensi data
  • Tetapkan kebijakan organisasi lokasi seperti yang dijelaskan di Membatasi Lokasi Resource
• Developer API, admin, atau pengguna API pengelolaan Apigee lainnya harus menggunakan endpoint layanan API residensi data baru.

Wilayah residensi data

Residensi data memungkinkan Anda memilih region (lokasi fisik) selama penyediaan tempat data disimpan.

Saat menentukan wilayah (misalnya, us), Anda juga harus menentukan satu wilayah (misalnya, us-west1) untuk layanan lain yang hanya dapat berjalan di satu wilayah, seperti laporan Analytics.

Semua resource harus berada dalam region yang ditentukan. Misalnya, jika Anda memilih us untuk CONTROL_PLANE_LOCATION, resource Apigee lainnya, seperti instance runtime, yang merujuk ke CMEK, lampiran endpoint, dll., juga harus berada dalam region us.

Jenis data yang disimpan saat Anda memilih residensi data disebut sebagai data bidang kontrol dan data konsumen.

Data bidang kontrol adalah data analisis, proxy API, server target, truststore dan keystore, serta hal lainnya yang dibagikan di seluruh runtime. Data konsumen adalah data analisis yang diproses oleh layanan yang berjalan di satu region.

Lihat Lokasi Apigee, untuk mengetahui wilayah bidang kontrol yang saat ini didukung.

Endpoint layanan residensi data

Endpoint layanan adalah URL dasar yang menentukan alamat jaringan layanan API.

Endpoint layanan Apigee API, atau nama host, adalah apigee.googleapis.com.

• Tidak ada residensi data:

  Gunakan endpoint layanan seperti berikut:

  apigee.googleapis.com

  Contoh:

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• Residensi data:

  Tambahkan region bidang kontrol ke endpoint layanan:

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  Contoh:

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  Dengan CONTROL_PLANE_LOCATION adalah lokasi fisik, yang ditentukan selama penyediaan, tempat data bidang kontrol Apigee akan disimpan.

  Contoh:

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Cara melihat wilayah

Jika telah menyediakan organisasi Anda (PROJECT_ID) untuk digunakan dengan residensi data, Anda dapat menggunakan getProjectMapping API untuk menampilkan region yang terkait dengan project:

1. Izinkan gcloud mengakses Cloud Platform dengan kredensial pengguna Google Anda:

   gcloud auth login

2. Panggil API:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   Dengan PROJECT_ID adalah nama organisasi Apigee atau ID project Google Cloud Anda.

   Sesuatu yang mirip dengan yang berikut ini ditampilkan:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

Enkripsi residensi data

Lihat Pengantar CMEK.

Batasan residensi data dan organisasi

Batasan kebijakan organisasi Google Cloud memungkinkan penetapan serangkaian lokasi tempat resource Google Cloud berbasis lokasi dapat dibuat untuk organisasi Google Cloud Anda. Jika Anda memiliki kebijakan organisasi Google Cloud yang menggunakan batasan lokasi resource (constraints/gcp.resourceLocations), batasan tersebut akan berlaku untuk resource Apigee berikut yang dibuat saat Apigee disediakan:

• Bidang kontrol
• Data konsumen
• Runtime
• Lampiran endpoint
• Analytics

Jika Anda menyediakan organisasi Apigee baru dalam project Google Cloud dengan batasan lokasi resource yang diterapkan, Anda harus memastikan bahwa batasan lokasi kompatibel dengan lokasi bidang kontrol yang ditetapkan untuk organisasi Apigee Anda:

• Jika Anda menyediakan organisasi Apigee tanpa residensi data, batasan lokasi resource dalam kebijakan organisasi Google Cloud harus ditetapkan ke global. Karena bidang kontrol Apigee adalah entitas global secara default, penyediaan akan gagal jika batasan selain global diterapkan.
• Jika Anda menyediakan organisasi Apigee dengan residensi data, pastikan bahwa batasan lokasi resource yang mungkin ditetapkan dalam kebijakan organisasi Google Cloud tidak mengecualikan region yang dipilih untuk data bidang kontrol. Jika tidak, penyediaan akan gagal.