Questo documento descrive la residenza dei dati per Apigee.
Panoramica
Per molti verticali di settore e aziende, l'utilizzo di un'offerta cloud comporta un maggiore controllo da parte dei team di sicurezza e conformità (quali dati vengono archiviati nel cloud, dove vengono archiviati, chi ha accesso, chi può visualizzarli e così via). Inoltre, molti paesi hanno approvato leggi sulla privacy dei dati che vietano lo stoccaggio di informazioni che consentono l'identificazione personale (PII) al di fuori del paese o della regione.
La residenza dei dati per Apigee soddisfa i requisiti di conformità e normativi consente di specificare le posizioni geografiche (regioni) in cui vengono archiviati i dati di Apigee. In passato, Apigee ti consentiva di selezionare la regione dell'istanza e la regione di analisi. Tuttavia, Apigee dispone anche di un'infrastruttura globale, ad esempio un bundle di proxy API o altri dati dei clienti. Con la residenza dei dati, la selezione della posizione del piano di controllo garantisce che tutti i contenuti dei clienti vengano archiviati nella regione specificata.
Apigee ha ottenuto l'autorizzazione FedRAMP High, soddisfacendo con successo gli standard richiesti per la residenza dei dati. Per saperne di più, vedi Residenza dei dati e conformità a FedRAMP.
Compatibilità con la residenza dei dati
La residenza dei dati può essere utilizzata con quanto segue:
- Organizzazioni Apigee (abbonamento o pagamento a consumo)
- Apigee hybrid
- Anomalie delle operazioni per le organizzazioni con abbonamenti non ibride
- Monetizzazione attivata nelle organizzazioni con abbonamenti per le organizzazioni non ibride
- Advanced API Security per le organizzazioni non ibride
- Funzionalità delle release di anteprima o beta, come le release di anteprima per l'integrazione di Looker Studio e la scoperta di API shadow
- Organizzazioni di valutazione
- Portali integrati
- Advanced API Security per le organizzazioni ibride
- Raccogli dati
- Apigee Adapter for Envoy
- UI Apigee classica. Per eseguire il provisioning o gestire un'organizzazione con residenza dei dati abilitata, puoi utilizzare Apigee nella console Google Cloud o le API Apigee.
- Apigee in esecuzione in una finestra del browser all'indirizzo
apigee.google.compoiché i nomi delle organizzazioni regionali non vengono visualizzati nel selettore dell'organizzazione. Devi utilizzare Apigee nella console Google Cloud. - Google Cloud CLI. Per eseguire il provisioning o gestire un'organizzazione con residenza dei dati abilitata, puoi utilizzare Apigee nella console Google Cloud o le API Apigee.
Punti chiave
Se la residenza dei dati è abilitata per la tua installazione di Apigee, tieni presente i seguenti punti chiave:
- La residenza dei dati deve essere abilitata al momento del provisioning di Apigee. Non puoi attivare la residenza dei dati per un'organizzazione per la quale è già stato eseguito il provisioning.
- Per impostazione predefinita, il control plane è un'entità globale, a meno che non selezioni la residenza dei dati (regionalizzazione) al momento della creazione dell'organizzazione Apigee. Questa impostazione non può essere modificata in un secondo momento. Una volta selezionata la residenza dei dati e la posizione del piano di controllo, non è possibile modificarli. Se in un secondo momento avrai bisogno di una località diversa, dovrai creare un nuovo progetto Google Cloud.
-
Durante il provisioning di un'organizzazione:
- Senza residenza dei dati: specifica la regione con ANALYTICS_REGION.
- Con la residenza dei dati: specifica la regione con CONTROL_PLANE_LOCATION e la sottoregione con CONSUMER_DATA_REGION. Consulta Regioni di residenza dei dati.
-
L'amministratore che esegue il provisioning di Apigee deve:
- Informare gli utenti di Apigee, come gli sviluppatori di API e altri amministratori, sulla configurazione della residenza dei dati
- Imposta il criterio dell'organizzazione relativo alla località come descritto in Impostare limitazioni per le località delle risorse
- Gli sviluppatori API, gli amministratori o altri utenti delle API di gestione Apigee devono utilizzare il nuovo endpoint del servizio API di residenza dei dati.
Regioni di residenza dei dati
La residenza dei dati ti consente di scegliere la regione (posizione fisica) durante il provisioning in cui vengono archiviati i dati.
Quando specifichi la regione (ad esempio us), devi anche
specificare una singola regione (ad esempio us-west1)
per altri servizi che possono essere eseguiti solo in una singola regione, come
i report di Analytics.
Tutte le risorse devono trovarsi all'interno della regione specificata. Ad esempio, se selezioni us per CONTROL_PLANE_LOCATION, anche le altre risorse Apigee, come l'istanza di runtime, il riferimento a CMEK, l'attacco dell'endpoint e così via, devono trovarsi nella regione us.
Il tipo di dati archiviati quando scegli la residenza dei dati è indicato come dati del piano di controllo e dati dei consumatori.
I dati del piano di controllo sono dati di analisi, proxy API, server di destinazione, truststore e keystore e qualsiasi altro elemento condiviso tra runtime. I dati dei consumatori sono dati di analisi elaborati da servizi eseguiti in un'unica regione.
Per le regioni del piano di controllo attualmente supportate, consulta Sedi Apigee.
Endpoint di servizio per la residenza dei dati
Un endpoint di servizio è un URL di base che specifica l'indirizzo di rete di un servizio API.
L'endpoint del servizio API Apigee o il nome host è
apigee.googleapis.com.
-
Nessuna residenza dei dati:
Utilizza l'endpoint di servizio come segue:
apigee.googleapis.comAd esempio:
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ... -
Residenza dei dati:
Anteponi la regione del piano di controllo all'endpoint del servizio:
CONTROL_PLANE_LOCATION-apigee.googleapis.comAd esempio:
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...Dove CONTROL_PLANE_LOCATION è la posizione fisica specificata durante il provisioning in cui verranno archiviati i dati del piano di controllo di Apigee.
Ad esempio:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Come visualizzare la regione
Se hai già eseguito il provisioning della tua organizzazione (PROJECT_ID) per l'utilizzo con la residenza dei dati, puoi utilizzare l' API getProjectMapping per visualizzare le regioni associate a un progetto:
- Autorizza gcloud ad accedere alla piattaforma Cloud con le tue credenziali utente Google:
gcloud auth login
- Chiama l'API:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"dove PROJECT_ID è il nome dell'organizzazione Apigee o l'ID progetto Google Cloud.
Viene restituito qualcosa di simile al seguente:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Crittografia della residenza dei dati
Consulta Introduzione a CMEK.
Vincoli relativi alla localizzazione dei dati e ai criteri dell'organizzazione
I
vincoli dei criteri dell'organizzazione di Google Cloud consentono di definire un insieme di località in cui è possibile creare risorse Google Cloud basate sulla località per la tua organizzazione Google Cloud. Se hai un
criterio dell'organizzazione Google Cloud che utilizza un vincolo relativo alla posizione della risorsa (constraints/gcp.resourceLocations),
il vincolo verrà applicato alle seguenti risorse Apigee create durante il provisioning di Apigee:
Se esegui il provisioning di una nuova organizzazione Apigee in un progetto Google Cloud a cui è stato applicato un vincolo di località della risorsa, devi assicurarti che il vincolo di località sia compatibile con la località del piano di controllo specificata per l'organizzazione Apigee:
- Se esegui il provisioning di un'organizzazione Apigee senza residenza dei dati, la limitazione della posizione della risorsa nel criterio dell'organizzazione Google Cloud deve essere impostata su
global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicata una limitazione diversa daglobal. - Se esegui il provisioning di un'organizzazione Apigee con la residenza dei dati, verifica che qualsiasi vincolo relativo alla posizione della risorsa impostato nel criterio dell'organizzazione Google Cloud non escluda la regione selezionata per i dati del piano di controllo. In caso contrario, il provisioning non andrà a buon fine.
Residenza dei dati e conformità FedRAMP
Apigee è autorizzato come servizio FedRAMP High per le organizzazioni in cui è attiva la residenza dei dati. Se scegli di attivare la residenza dei dati durante il provisioning di un'organizzazione con abbonamento Apigee o con pagamento a consumo, i seguenti servizi rientrano nell'ambito dell'ATO (Authority To Operate) FedRAMP di Apigee:
- Il piano di controllo, il piano di runtime e gli analytics dell'organizzazione Apigee regionalizzata.
- Il piano di controllo e gli analytics dell'organizzazione Apigee Hybrid regionalizzata.
Le seguenti offerte Apigee non rientrano nell'ambito dell'ATO FedRAMP di Apigee:
- Advanced API Security
- Portali integrati
- UI Apigee classica
- Monetizzazione
- Organizzazioni di valutazione Apigee
- Raccoglitori di dati Apigee
Localizzazione dei dati e Apigee hybrid
Puoi configurare le nuove installazioni di Apigee hybrid in modo che utilizzino la residenza dei dati, a partire dalla versione 1.12 di hybrid. Consulta Utilizzare la residenza dei dati con Apigee hybrid.