Introduzione alla residenza dei dati

Questo documento descrive la residenza dei dati per Apigee.

Panoramica

Per molti settori verticali e imprese, l'utilizzo di un'offerta cloud porta a un maggiore controllo da parte dei team di sicurezza e conformità (quali dati vengono nel cloud, dove sono archiviati, chi vi ha accesso, chi può vedere dati e così via). Inoltre, molti paesi hanno adottato leggi sulla privacy dei dati che vietano l'archiviazione di informazioni che consentono l'identificazione personale (PII) al di fuori del paese o della regione.

La residenza dei dati per Apigee soddisfa le normative e la conformità requisiti consentendoti di specificare le località geografiche (regioni) in cui sono archiviati i dati di Apigee. Storicamente, Apigee ti ha consentito selezionare la regione dell'istanza e quella dell'analisi; mentre Apigee dispone anche di un'infrastruttura globale, come un bundle proxy API o un altro e i dati dei clienti. Con la residenza dei dati, la selezione della posizione del piano di controllo garantisce che tutti i contenuti dei clienti vengano archiviati nella regione specificata.

Apigee ha ottenuto l'autorizzazione FedRAMP High, conformi agli standard richiesti per la residenza dei dati. Per saperne di più, vedi Residenza dei dati e conformità a FedRAMP.

Compatibilità con la residenza dei dati

La residenza dei dati può essere utilizzata con quanto segue:

• Organizzazioni Apigee (abbonamento o pagamento a consumo)
• Apigee ibrido
• Anomalie delle operazioni per le organizzazioni con abbonamento non ibride
• Monetizzazione abilitata nelle organizzazioni che sottoscrivono abbonamenti per organizzazioni non ibride
• Sicurezza avanzata delle API per organizzazioni non ibride

La residenza dei dati non è attualmente supportata per l'uso con:

• Funzionalità in versione di anteprima o beta, come le release di anteprima per l'integrazione di Looker Studio e la scoperta di API shadow
• Organizzazioni di valutazione
• Portali integrati
• Sicurezza avanzata delle API per le organizzazioni ibride
• Raccoglitore dati
• UI Apigee classica. Eseguire il provisioning o la gestione di una residenza dei dati abilitata organizzazione, puoi utilizzare Apigee nella console Google Cloud o le API Apigee.
• Apigee in esecuzione in una finestra del browser all'indirizzo apigee.google.com perché i nomi delle organizzazioni regionalizzati sono non visualizzati nel selettore dell'organizzazione. Devi utilizzare Apigee nella console Google Cloud.
• Google Cloud CLI. Per eseguire il provisioning o gestire un'organizzazione con residenza dei dati abilitata, puoi utilizzare Apigee nella console Google Cloud o le API Apigee.

Punti chiave

Se la residenza dei dati è abilitata per la tua installazione Apigee, tieni presente che i seguenti punti chiave:

• La residenza dei dati deve essere abilitata nel momento in cui Apigee di cui è stato eseguito il provisioning. Non puoi attivare la residenza dei dati per un'organizzazione per la quale è già stato eseguito il provisioning.
• Per impostazione predefinita, il control plane è un'entità globale, a meno che non selezioni la residenza dei dati (regionalizzazione) al momento della creazione dell'organizzazione Apigee. Questa impostazione non può essere modificata in un secondo momento. Dopo aver selezionato la residenza dei dati e la posizione del piano di controllo, è cambiato. Se in un secondo momento avrai bisogno di una località diversa, dovrai creare un nuovo progetto Google Cloud.
• Quando esegui il provisioning di un'organizzazione:
  • Senza residenza dei dati: specifica la regione con ANALYTICS_REGION.
  • Con la residenza dei dati: specifica la regione con CONTROL_PLANE_LOCATION e la sottoregione con CONSUMER_DATA_REGION. Consulta Regioni di residenza dei dati.
• L'amministratore che esegue il provisioning di Apigee deve:
  • Informare gli utenti di Apigee, ad esempio sviluppatori di API e altri amministratori, sulla configurazione della residenza dei dati
  • Imposta il criterio dell'organizzazione relativo alla località come descritto in Limitazione delle località delle risorse
• Sviluppatori, amministratori di API o altri utenti di Le API di gestione Apigee devono utilizzare nuova API di residenza dei dati dell'endpoint di servizio.

Regioni di residenza dei dati

La residenza dei dati ti consente di scegliere la regione (la posizione fisica) durante il provisioning, dove vengono archiviati i dati.

Quando specifichi la regione (ad esempio us), devi anche specificare una singola regione (ad esempio us-west1) per altri servizi che possono essere eseguiti solo in una singola regione, come i report di Analytics.

Tutte le risorse devono trovarsi all'interno della regione specificata. Ad esempio, se seleziona us per CONTROL_PLANE_LOCATION, ad altre risorse Apigee, come l'istanza di runtime, con riferimento a CMEK, il collegamento dell'endpoint e così via deve trovarsi anch'esso nella regione us.

Il tipo di dati archiviati quando scegli la residenza dei dati è indicato come dati del piano di controllo e dati dei consumatori.

I dati del piano di controllo sono dati di analisi, proxy API, server di destinazione, archivi attendibili, archivi chiavi e qualsiasi altra cosa condivisa tra runtime. I dati dei consumatori sono dati di analisi trattati da servizi che vengono eseguiti in una singola regione.

Vedi Località Apigee per le regioni del piano di controllo attualmente supportate.

Endpoint di servizio per la residenza dei dati

Un endpoint di servizio è un URL di base che specifica l'indirizzo di rete di un servizio API.

L'endpoint di servizio o il nome host dell'API Apigee è apigee.googleapis.com.

• Nessuna residenza dei dati:

  Utilizza l'endpoint di servizio come segue:

  apigee.googleapis.com

  Ad esempio:

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• Residenza dei dati:

  Anteponi la regione del piano di controllo all'endpoint di servizio:

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  Ad esempio:

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  dove CONTROL_PLANE_LOCATION è la posizione fisica specificata durante il provisioning in cui verranno archiviati i dati del piano di controllo di Apigee.

  Ad esempio:

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Come visualizzare la regione

Se hai già eseguito il provisioning della tua organizzazione (PROJECT_ID) per l'utilizzo con la residenza dei dati, puoi utilizzare l' API getProjectMapping per visualizzare le regioni associate a un progetto:

1. Autorizza gcloud ad accedere alla piattaforma Cloud con le tue credenziali utente Google:

   gcloud auth login

2. Chiama l'API:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   Dove PROJECT_ID è il nome della tua organizzazione Apigee ID progetto Google Cloud.

   Viene restituito qualcosa di simile al seguente:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

Crittografia della residenza dei dati

Vedi Introduzione a CMEK.

Localizzazione dei dati e vincoli dei criteri dell'organizzazione

di Google Cloud I vincoli dei criteri dell'organizzazione consentono di definire un insieme di località in cui è possibile creare risorse Google Cloud basate sulla località della tua organizzazione Google Cloud. Se hai un criterio dell'organizzazione Google Cloud che utilizza un vincolo relativo alla posizione della risorsa (constraints/gcp.resourceLocations), il vincolo verrà applicato alle seguenti risorse Apigee create durante il provisioning di Apigee:

• Piano di controllo
• Dati dei consumatori
• Tempo di esecuzione
• Allegato endpoint
• Analytics

Se esegui il provisioning di una nuova organizzazione Apigee in un progetto Google Cloud a cui è stato applicato un vincolo di località della risorsa, devi assicurarti che il vincolo di località sia compatibile con la località del piano di controllo specificata per la tua organizzazione Apigee:

• Se esegui il provisioning di un'organizzazione Apigee senza residenza dei dati, la limitazione della posizione della risorsa nel criterio dell'organizzazione Google Cloud deve essere impostata su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning avrà esito negativo se si applica un vincolo diverso da global.
• Se esegui il provisioning di un'organizzazione Apigee con la residenza dei dati, verifica che qualsiasi vincolo relativo alla posizione della risorsa impostato nel criterio dell'organizzazione Google Cloud non escluda la regione selezionata per i dati del piano di controllo. In caso contrario, il provisioning non andrà a buon fine.

Residenza dei dati e conformità FedRAMP

Apigee è autorizzato come servizio FedRAMP High per le organizzazioni in cui è attiva la residenza dei dati. Se scegli di attivare la residenza dei dati durante il provisioning di un'organizzazione con abbonamento o con pagamento a consumo Apigee, i seguenti servizi rientrano nell'ambito dell'ATO (Authority To Operate) FedRAMP di Apigee:

• Piano di controllo, piano di runtime e analisi dell'organizzazione Apigee regionalizzata.
• Piano di controllo e analisi dell'organizzazione Apigee ibrida regionalizzata.

Le seguenti offerte Apigee non rientrano nell'ambito dell'ATO FedRAMP di Apigee:

• Advanced API Security
• Portali integrati
• UI classica di Apigee
• Monetizzazione
• Organizzazioni di valutazione Apigee
• Raccoglitori di dati Apigee

Per ulteriori informazioni sull'importanza di un FedRAMP ATO, consulta Conformità FedRAMP.

Residenza dei dati e Apigee hybrid

Puoi configurare nuove installazioni ibride di Apigee per utilizzare la residenza dei dati, a partire dalla versione ibrida 1.12. Consulta Utilizzare la residenza dei dati con Apigee hybrid.