Neste documento, descrevemos a residência de dados da Apigee.
Visão geral
Em muitos segmentos do setor e empresas, o uso de um produto de nuvem resulta em maior análise por parte das equipes de segurança e conformidade (quais dados são armazenados na nuvem, onde eles são armazenados, quem tem acesso a eles, quem pode ver os dados etc.). Além disso, muitos países aprovaram leis de privacidade de dados que proíbem o armazenamento de informações de identificação pessoal (PII) fora do país ou da região.
A residência de dados da Apigee atende aos requisitos regulatórios e de conformidade ao permitir que você especifique as localizações geográficas (regiões) onde os dados da Apigee são armazenados. Antes, a Apigee permitia selecionar a região da instância e a região de análise. No entanto, a Apigee também tem uma infraestrutura global, como um pacote de proxies de API ou outros dados do cliente. Com a residência de dados, selecionar o local do plano de controle garante que todo o conteúdo do cliente seja armazenado na região especificada.
A Apigee recebeu a autorização FedRAMP de nível alto, atendendo aos padrões necessários para a residência de dados. Para mais informações, consulte Residência de dados e compliance do FedRAMP.
Compatibilidade da residência de dados
A residência de dados pode ser usada com isto:
- Organizações da Apigee (assinatura ou pagamento por uso)
- Apigee híbrida
- Anomalias de operações em organizações de assinatura não híbridas
- Monetização ativada em organizações com assinatura para organizações não híbridas
- Segurança avançada de API para organizações não híbridas
- Recursos de pré-lançamento ou em versão Beta, como as versões de pré-lançamento da integração do Looker Studio e da descoberta de APIs Shadow
- Organizações de avaliação
- Portais integrados
- Segurança avançada da API para organizações híbridas
- Coletor de dados
- Adaptador do Apigee para Envoy
- Interface clássica da Apigee. Para provisionar ou gerenciar uma organização com residência de dados ativada, use a Apigee no console do Google Cloud ou as APIs da Apigee.
- A Apigee em execução em uma janela do navegador em
apigee.google.com
, já que os nomes de organizações regionais não são exibidos no seletor de organizações. É preciso usar a Apigee no console do Google Cloud. - CLI do Google Cloud. Para provisionar ou gerenciar uma organização com residência de dados ativada, use a Apigee no console do Google Cloud ou as APIs da Apigee.
Pontos principais
Se a residência de dados estiver ativada na sua instalação da Apigee, observe os seguintes pontos-chave:
- A residência de dados precisa estar ativada no momento em que a Apigee é provisionada. Não é possível ativar a residência de dados para uma organização já provisionada.
- Por padrão, o plano de controle é uma entidade global, a menos que você selecione a residência de dados (regionalização) no momento da criação da organização da Apigee. Não será possível alterá-la mais tarde. Depois de selecionar a residência de dados e o local do plano de controle, não será possível alterá-la. Se mais tarde você precisar de um local diferente, será necessário criar um novo projeto do Google Cloud.
-
Ao provisionar uma organização:
- Sem residência de dados: especifique a região com ANALYTICS_REGION.
- Com residência de dados: especifique a região com CONTROL_PLANE_LOCATION e a sub-região com CONSUMER_DATA_REGION. Consulte Regiões de residência de dados.
-
O administrador que provisiona a Apigee precisa:
- informar os usuários da Apigee, como desenvolvedores de API e outros administradores, sobre a configuração da residência de dados.
- definir a política da organização do local, conforme descrito em Como restringir locais de recursos.
- Os desenvolvedores de API, administradores ou outros usuários de APIs de gerenciamento da Apigee precisam usar o novo endpoint de serviço da API de residência de dados.
Regiões de residência de dados
Durante o provisionamento, a residência de dados permite escolher a região (local físico) onde os dados são armazenados.
Ao especificar a região (por exemplo, us
), você também precisa especificar uma única região (por exemplo, us-west1
) para outros serviços que podem ser executados apenas em uma única região, como relatórios do Analytics.
Todos os recursos precisam estar dentro da região especificada. Por exemplo, se você selecionar us
para o CONTROL_PLANE_LOCATION, os outros recursos da Apigee, como a instância do ambiente de execução, com referência a CMEK, anexo de endpoint etc., também precisarão estar na região us
.
O tipo de dados que são armazenados quando você escolhe a residência de dados é chamado de dados do plano de controle e dados do consumidor.
Os dados do plano de controle são dados de análise, proxies de API, servidores de destino, truststores e keystores e qualquer outra coisa compartilhada entre ambientes de execução. Os dados do consumidor são dados de análise processados por serviços executados em uma única região.
Consulte Locais da Apigee para ver as regiões do plano de controle compatíveis no momento.
Endpoint do serviço de residência de dados
Um endpoint de serviço é um URL de base que especifica o endereço de rede de um serviço de API.
O endpoint do serviço de API Apigee, ou nome do host, é apigee.googleapis.com
.
-
Sem residência de dados:
Use o endpoint do serviço conforme a seguir:
apigee.googleapis.com
Exemplo:
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
-
Residência de dados:
Adicione ao início a região do plano de controle ao endpoint do serviço:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Exemplo:
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Em que CONTROL_PLANE_LOCATION é o local físico, especificado durante o provisionamento, onde os dados do plano de controle da Apigee serão armazenados.
Exemplo:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Como ver a região
Se você já provisionou sua organização (PROJECT_ID) para uso com residência de dados, use a API getProjectMapping para exibir as regiões associadas a um projeto:
- Autorize o gcloud para acessar o Cloud Platform com suas credenciais de usuário do Google:
gcloud auth login
- Chame a API:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"
Em que PROJECT_ID é o nome da organização da Apigee ou o ID do projeto do Google Cloud.
Algo semelhante ao seguinte é retornado:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Criptografia da residência de dados
Consulte Introdução a CMEK.
Restrições da política da organização e residência de dados
As
restrições da política da organização do Google Cloud possibilitam a definição de um conjunto de locais onde os recursos do Google Cloud baseados em local podem ser criados
para sua organização do Google Cloud. Se você tiver uma
política da organização do Google Cloud que use uma restrição de local de recursos (constraints/gcp.resourceLocations
),
a restrição será aplicada aos seguintes recursos da Apigee criados quando a Apigee é provisionada:
Se você estiver provisionando uma nova organização da Apigee em um projeto do Google Cloud com uma restrição de local de recurso aplicada, verifique se a restrição de local é compatível com o local do plano de controle especificado para sua organização da Apigee:
- Se você provisionar uma organização da Apigee sem residência de dados, a restrição de local do recurso na
política da organização do Google Cloud precisará ser definida como
global
. Como o plano de controle da Apigee é uma entidade global por padrão, o provisionamento falhará se uma restrição diferente deglobal
for aplicada. - Se você provisionar uma organização da Apigee com residência de dados, confirme se qualquer restrição de local de recursos que pode ser definida na política da organização do Google Cloud não exclui a região selecionada para seu plano de controle dados. Caso contrário, o provisionamento falhará.
Residência de dados e conformidade com o FedRAMP
A Apigee é autorizada como um serviço FedRAMP de alto nível para organizações em que a residência de dados está ativada. Se você ativar a residência de dados ao provisionar uma organização de assinatura ou pagamento por uso da Apigee, os seguintes serviços estarão no escopo da autoridade para operar (ATO, na sigla em inglês) da Apigee no FedRAMP:
- O plano de controle, o plano de execução e as análises da organização regionalizada da Apigee.
- O plano de controle e a análise da organização regionalizada da Apigee híbrida.
As seguintes ofertas da Apigee não estão no escopo do FedRAMP ATO da Apigee:
- Segurança avançada da API
- Portais integrados
- IU clássica da Apigee
- Monetização
- Organizações de avaliação da Apigee
- Coletores de dados da Apigee
Residência de dados e Apigee híbrida
É possível configurar novas instalações da Apigee híbrida para usar a residência de dados, a partir da versão híbrida 1.12. Consulte Como usar a residência de dados com a Apigee híbrida.