En este documento se describe la residencia de datos de Apigee.
Información general
En muchos sectores y empresas, el uso de una oferta en la nube conlleva un mayor escrutinio por parte de los equipos de seguridad y cumplimiento (qué datos se almacenan en la nube, dónde se almacenan, quién tiene acceso a ellos, quién puede verlos, etc.). Además, muchos países han aprobado leyes de privacidad de datos que prohíben que la información personal identificable (IPI) se almacene fuera del país o de la región.
La residencia de datos de Apigee cumple los requisitos de cumplimiento y normativas, ya que te permite especificar las ubicaciones geográficas (regiones) donde se almacenan los datos de Apigee. Antes, Apigee te permitía seleccionar la región de la instancia y la región de analíticas. Sin embargo, Apigee también tiene una infraestructura global, como un paquete de proxy de API u otros datos de clientes. Con la residencia de datos, al seleccionar la ubicación del plano de control, se asegura de que todo el contenido de los clientes se almacene en la región especificada.
Apigee ha obtenido la autorización de nivel alto de FedRAMP y ha cumplido los estándares necesarios para la residencia de datos. Para obtener más información, consulta el artículo Residencia de los datos y cumplimiento de FedRAMP.
Compatibilidad con la residencia de datos
La residencia de datos se puede usar con lo siguiente:
- Organizaciones de Apigee (suscripción o pago por uso)
- Apigee hybrid. Consulta Residencia de datos y Apigee Hybrid.
- Anomalías de operaciones para organizaciones de suscripción no híbridas
- Monetización habilitada en organizaciones de suscripción para organizaciones no híbridas
- Seguridad avanzada de APIs
- Hub de APIs de Apigee. Consulta Centro de APIs y residencia de datos.
- Recogida de datos. Los recolectores de datos se admiten en organizaciones con suscripción y de pago por uso, así como en versiones híbridas 1.14.0 y posteriores.
- Funciones de versiones preliminares o beta, como las versiones preliminares de Integración de Looker Studio y Detección de API fantasma
- Organizaciones de evaluación
- Portales integrados
- Apigee Adapter for Envoy
- Interfaz de usuario clásica de Apigee. Para aprovisionar o gestionar una organización con residencia de datos habilitada, puedes usar Apigee en la Google Cloud consola o las APIs de Apigee.
- Apigee se ejecuta en una ventana del navegador en
apigee.google.com, ya que los nombres de las organizaciones regionalizadas no se muestran en el selector de organizaciones. Debes usar Apigee en la consola Google Cloud . - Google Cloud CLI. Para aprovisionar o gestionar una organización con residencia de datos habilitada, puedes usar Apigee en la consola Google Cloud o las APIs de Apigee.
Puntos clave
Si la residencia de datos está habilitada en tu instalación de Apigee, ten en cuenta los siguientes puntos clave:
- La residencia de datos debe estar habilitada en el momento en que se proporcione Apigee. No puedes habilitar la residencia de datos en una organización que ya se haya aprovisionado.
- De forma predeterminada, el plano de control es una entidad global, a menos que selecciones la residencia de datos (regionalización) al crear la organización de Apigee. No se puede cambiar más adelante. Una vez que hayas seleccionado la residencia de los datos y la ubicación del plano de control, no podrás cambiarlas. Si más adelante necesitas otra ubicación, tendrás que crear un nuevo Google Cloud proyecto.
-
Al aprovisionar una organización:
- Sin residencia de datos: especifica la región con ANALYTICS_REGION.
- Con la residencia de datos: especifica la región con CONTROL_PLANE_LOCATION y la subregión con CONSUMER_DATA_REGION. Consulta las regiones de residencia de datos.
-
El administrador que aprovisiona Apigee debe hacer lo siguiente:
- Informa a los usuarios de Apigee, como los desarrolladores de APIs y otros administradores, sobre la configuración de la residencia de los datos.
- Define la política de organización de la ubicación tal como se describe en Restringir ubicaciones de recursos.
- Los desarrolladores, administradores u otros usuarios de las APIs de gestión de Apigee deben usar el nuevo endpoint del servicio de la API de residencia de datos.
Regiones de residencia de datos
La residencia de datos te permite elegir la región (ubicación física) en la que se almacenan los datos durante el aprovisionamiento.
Al especificar la región (por ejemplo, us), también debe especificar una sola región (por ejemplo, us-west1) para otros servicios que solo se puedan ejecutar en una región, como los informes de Analytics.
Todos los recursos deben estar en la región especificada. Por ejemplo, si selecciona us para CONTROL_PLANE_LOCATION, los demás recursos de Apigee, como la instancia de tiempo de ejecución, la referencia a CMEK, el adjunto de endpoint, etc., también deben estar en la región us.
El tipo de datos que se almacena cuando eliges la residencia de datos se denomina datos del plano de control y datos de consumidor.
Los datos del plano de control son datos analíticos, proxies de API, servidores de destino, almacenes de confianza y almacenes de claves, así como cualquier otro elemento compartido entre los tiempos de ejecución. Los datos de consumidor son datos analíticos que se tratan mediante servicios que se ejecutan en una sola región.
Consulta las ubicaciones de Apigee para ver las regiones del plano de control admitidas actualmente.
Endpoint de servicio de residencia de datos
Un endpoint de servicio es una URL base que especifica la dirección de red de un servicio de API.
El endpoint o nombre de host del servicio de la API de Apigee es
apigee.googleapis.com.
-
Sin residencia de datos:
Usa el endpoint del servicio de la siguiente manera:
apigee.googleapis.comPor ejemplo:
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ... -
Residencia de datos:
Añade la región del plano de control al principio del endpoint de servicio:
CONTROL_PLANE_LOCATION-apigee.googleapis.comPor ejemplo:
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...Donde CONTROL_PLANE_LOCATION es la ubicación física, especificada durante el aprovisionamiento, en la que se almacenarán los datos del plano de control de Apigee.
Por ejemplo:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Cómo ver la región
Si ya has aprovisionado tu organización (PROJECT_ID) para usarla con la residencia de datos, puedes usar la API getProjectMapping para mostrar las regiones asociadas a un proyecto:
- Autoriza a gcloud para que acceda a Cloud Platform con tus credenciales de usuario de Google:
gcloud auth login
- Llama a la API:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"Donde PROJECT_ID es el nombre de tu organización de Apigee o el ID del proyecto Google Cloud .
Se devuelve algo similar a lo siguiente:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Cifrado de la residencia de datos
Consulta la introducción a las claves de cifrado gestionadas por el cliente.
Residencia de datos y restricciones de las políticas de organización
Las
restricciones de las políticas de organización deGoogle Cloudpermiten definir un conjunto de ubicaciones en las que se pueden crear recursos basados en la ubicación de Google Cloud para tu organización. Google Cloud Si tienes una Google Cloud
política de organización que usa una restricción de ubicación de recursos (constraints/gcp.resourceLocations),
la restricción se aplicará a los siguientes recursos de Apigee que se creen cuando se aprovisione Apigee:
Si vas a aprovisionar una nueva organización de Apigee en un Google Cloud proyecto con una restricción de ubicación de recursos aplicada, debes asegurarte de que la restricción de ubicación sea compatible con la ubicación del plano de control especificada para tu organización de Apigee:
- Si aprovisionas una organización de Apigee sin residencia de datos, la restricción de ubicación de recursos de tu política de organización Google Cloud debe ser
global. Como el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción que no seaglobal. - Si aprovisionas una organización de Apigee con residencia de datos, confirma que ninguna restricción de ubicación de recursos que se haya definido en tu política de organización Google Cloud excluye la región que selecciones para tus datos del plano de control. De lo contrario, el aprovisionamiento fallará.
Residencia de datos y cumplimiento del FedRAMP
Apigee está autorizado como servicio de nivel alto de FedRAMP para las organizaciones en las que está habilitada la residencia de datos. Si decides habilitar la residencia de datos al aprovisionar una organización de suscripción o de pago por uso de Apigee, los siguientes servicios se incluirán en la autorización de operación (ATO) de FedRAMP de Apigee:
- El plano de control, el plano del entorno de ejecución y las analíticas de la organización de Apigee regionalizada.
- El plano de control y las analíticas de la organización de Apigee Hybrid regionalizada.
Las siguientes ofertas de Apigee no se incluyen en la autorización de operación de FedRAMP de Apigee:
- Seguridad avanzada de APIs
- Portales integrados
- Interfaz de usuario clásica de Apigee
- Organizaciones de evaluación de Apigee
- Recogida de datos de Apigee
Residencia de datos y Apigee Hybrid
Puedes configurar nuevas instalaciones de Apigee hybrid para que usen la residencia de datos a partir de la versión 1.12 de hybrid. Consulta Usar la residencia de datos con Apigee Hybrid.
Apigee hybrid versión 1.14.0 y posteriores con la residencia de datos habilitada admite Seguridad avanzada de APIs, analíticas de APIs de Apigee y la herramienta Depuración.
Apigee hybrid con la residencia de datos habilitada no admite el rastreo distribuido. Consulta el problema conocido.