Dokumen ini menjelaskan tempat penyimpanan data untuk Apigee.
Ringkasan
Untuk banyak vertikal industri dan perusahaan, penggunaan penawaran cloud akan meningkatkan pemeriksaan dari tim keamanan dan kepatuhan (data apa saja yang disimpan di cloud, tempat penyimpanannya, siapa yang memiliki akses ke data tersebut, siapa yang dapat melihat data, dll.). Selain itu, banyak negara telah mengesahkan hukum privasi data yang melarang data Informasi Identitas Pribadi (PII) disimpan di luar negara atau wilayah.
Residensi data untuk Apigee memenuhi persyaratan kepatuhan dan peraturan dengan memungkinkan Anda menentukan lokasi geografis (region) tempat data Apigee disimpan. Secara historis, Apigee memungkinkan Anda memilih region instance dan region analisis; namun, Apigee juga memiliki infrastruktur global, seperti paket proxy API atau data pelanggan lainnya. Dengan residensi data, memilih lokasi platform kontrol akan memastikan bahwa semua konten pelanggan disimpan dalam region yang ditentukan.
Apigee telah mencapai otorisasi FedRAMP High, yang berhasil memenuhi standar yang diperlukan untuk residensi data. Untuk mengetahui informasi selengkapnya, lihat Residensi data dan kepatuhan FedRAMP.
Kompatibilitas residensi data
Residensi data dapat digunakan dengan hal berikut:
- Organisasi Apigee (Langganan atau Bayar sesuai penggunaan)
- Apigee Hybrid
- Anomali Operasi untuk organisasi Langganan non-hybrid
- Monetisasi diaktifkan di organisasi Langganan untuk organisasi non-campuran
- Advanced API Security untuk organisasi non-hybrid
- Fitur rilis Pratinjau atau Beta, seperti rilis pratinjau untuk Integrasi Looker Studio dan Penemuan Shadow API
- Organisasi evaluasi
- Portal terintegrasi
- Advanced API Security untuk organisasi campuran
- Pengumpul data
- Adaptor Apigee untuk Envoy
- UI Apigee Klasik. Untuk menyediakan atau mengelola organisasi yang mengaktifkan retensi data, Anda dapat menggunakan Apigee di konsol Google Cloud atau Apigee API.
- Apigee berjalan di jendela browser di
apigee.google.com
karena nama organisasi yang diregionalisasi tidak ditampilkan di pemilih organisasi. Anda harus menggunakan Apigee di konsol Google Cloud. - Google Cloud CLI. Untuk menyediakan atau mengelola organisasi yang mengaktifkan retensi data, Anda dapat menggunakan Apigee di konsol Google Cloud atau Apigee API.
Poin utama
Jika residensi data diaktifkan untuk penginstalan Apigee Anda, perhatikan poin penting berikut:
- Residensi data harus diaktifkan saat Apigee disediakan. Anda tidak dapat mengaktifkan aset data untuk organisasi yang sudah disediakan.
- Secara default, bidang kontrol adalah entitas global kecuali jika Anda memilih lokasi data (regionalisasi) pada saat pembuatan organisasi Apigee; lokasi data tidak dapat diubah nanti. Setelah Anda memilih lokasi data dan lokasi panel kontrol, lokasi tersebut tidak dapat diubah. Jika nanti Anda memerlukan lokasi yang berbeda, Anda harus membuat project Google Cloud baru.
-
Saat menyediakan organisasi:
- Tanpa data residensi: Tentukan region dengan ANALYTICS_REGION.
- Dengan data residensi: Tentukan region dengan CONTROL_PLANE_LOCATION dan sub-region dengan CONSUMER_DATA_REGION. Lihat Region residensi data.
-
Admin yang menyediakan Apigee harus:
- Memberi tahu pengguna Apigee, seperti developer API dan admin lainnya, tentang konfigurasi retensi data
- Tetapkan kebijakan organisasi lokasi seperti yang dijelaskan dalam Membatasi Lokasi Resource
- Developer API, admin, atau pengguna lain dari API pengelolaan Apigee harus menggunakan endpoint layanan API retensi data baru.
Region residensi data
Residensi data memungkinkan Anda memilih region (lokasi fisik) selama penyediaan tempat data disimpan.
Saat menentukan region (misalnya, us
), Anda juga harus menentukan satu region (misalnya, us-west1
) untuk layanan lain yang hanya dapat berjalan di satu region, seperti laporan Analytics.
Semua resource harus berada dalam region yang ditentukan. Misalnya, jika Anda memilih us
untuk CONTROL_PLANE_LOCATION, resource Apigee lainnya, seperti instance runtime, yang mereferensikan CMEK, lampiran endpoint, dll., juga harus berada dalam region us
.
Jenis data yang disimpan saat Anda memilih residensi data disebut sebagai data platform kontrol dan data konsumen.
Data bidang kontrol adalah data analisis, proxy API, server target, truststore, dan keystore, serta hal lain yang dibagikan di seluruh runtime. Data konsumen adalah data analisis yang diproses oleh layanan yang berjalan di satu region.
Lihat Lokasi Apigee, untuk region platform kontrol yang saat ini didukung.
Endpoint layanan residensi data
Endpoint layanan adalah URL dasar yang menentukan alamat jaringan layanan API.
Endpoint layanan Apigee API, atau nama host, adalah
apigee.googleapis.com
.
-
Tidak ada residensi data:
Gunakan endpoint layanan sebagai berikut:
apigee.googleapis.com
Contoh:
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
-
Residensi data:
Tambahkan region panel kontrol ke endpoint layanan:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Contoh:
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Dengan CONTROL_PLANE_LOCATION adalah lokasi fisik, yang ditentukan selama penyediaan, tempat data platform kontrol Apigee akan disimpan.
Contoh:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Cara melihat region
Jika sudah menyediakan organisasi (PROJECT_ID) untuk digunakan dengan retensi data, Anda dapat menggunakan getProjectMapping API untuk menampilkan region yang terkait dengan project:
- Izinkan gcloud untuk mengakses Cloud Platform dengan kredensial pengguna Google Anda:
gcloud auth login
- Panggil API:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"
Dengan PROJECT_ID sebagai nama organisasi Apigee atau ID project Google Cloud Anda.
Sesuatu yang mirip dengan berikut ini akan ditampilkan:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Enkripsi residensi data
Lihat Pengantar CMEK.
Batasan kebijakan organisasi dan residensi data
Batasan kebijakan organisasi Google Cloud memungkinkan Anda menentukan kumpulan lokasi tempat resource Google Cloud berbasis lokasi dapat dibuat
untuk organisasi Google Cloud Anda. Jika Anda memiliki
kebijakan organisasi Google Cloud yang menggunakan batasan lokasi resource (constraints/gcp.resourceLocations
), batasan tersebut akan berlaku untuk resource Apigee berikut yang dibuat saat Apigee disediakan:
Jika Anda menyediakan organisasi Apigee baru dalam project Google Cloud dengan batasan lokasi resource yang diterapkan, Anda harus memastikan bahwa batasan lokasi tersebut kompatibel dengan lokasi panel kontrol yang ditentukan untuk organisasi Apigee Anda:
- Jika Anda menyediakan organisasi Apigee tanpa retensi data, batasan lokasi resource dalam kebijakan organisasi Google Cloud Anda harus ditetapkan ke
global
. Karena bidang kontrol Apigee adalah entitas global secara default, penyediaan akan gagal jika batasan selainglobal
diterapkan. - Jika Anda menyediakan organisasi Apigee dengan residensi data, pastikan bahwa setiap batasan lokasi resource yang mungkin ditetapkan dalam kebijakan organisasi Google Cloud Anda tidak mengecualikan region yang Anda pilih untuk data platform kontrol. Jika tidak, penyediaan akan gagal.
Kepatuhan FedRAMP dan residensi data
Apigee diotorisasi sebagai layanan FedRAMP High untuk organisasi yang mengaktifkan residensi data. Jika Anda memilih untuk mengaktifkan retensi data saat menyediakan Langganan Apigee atau organisasi Bayar sesuai penggunaan, layanan berikut termasuk dalam cakupan berdasarkan Otorisasi untuk Beroperasi (ATO) FedRAMP Apigee:
- Bidang kontrol, bidang runtime, dan analisis organisasi Apigee yang diregionalisasi.
- Bidang kontrol dan analisis organisasi Apigee hybrid yang diregionalisasi.
Penawaran Apigee berikut tidak termasuk dalam cakupan berdasarkan ATO FedRAMP Apigee:
- Advanced API Security
- Portal terintegrasi
- UI Apigee Klasik
- Monetisasi
- Organisasi evaluasi Apigee
- Pengumpul data Apigee
Residensi data dan Apigee hybrid
Anda dapat mengonfigurasi penginstalan Apigee hybrid baru untuk menggunakan retensi data, mulai dari versi hybrid 1.12. Lihat Menggunakan retensi data dengan Apigee Hybrid.