En este documento, se describe la residencia de los datos de Apigee.
Descripción general
Para muchas empresas y verticales del sector, el uso de una oferta en la nube da como resultado un mayor análisis de los equipos de seguridad y cumplimiento (qué datos se almacenan en la nube, dónde se almacenan, quién tiene acceso a ella y quién puede ver los datos, etc.). Además, muchos países aprobaron leyes de privacidad de los datos que prohíben el almacenamiento de los datos de información de identificación personal (PII) fuera del país o la región.
La residencia de datos para Apigee cumple con los requisitos normativos y de cumplimiento, ya que te permite especificar las ubicaciones geográficas (regiones) en las que se almacenan los datos de Apigee. Históricamente, Apigee te permitía seleccionar la región de la instancia y la región de estadísticas; Sin embargo, Apigee también tiene una infraestructura global, como un paquete de proxy de API u otros datos del clientes. Con la residencia de datos, seleccionar la ubicación del plano de control garantiza que todo el contenido del cliente se almacene dentro de la región especificada.
Apigee obtuvo la autorización de FedRAMP High y cumple con los estándares necesarios para la residencia de datos. Para obtener más información, consulta Residencia de datos y cumplimiento de FedRAMP.
Compatibilidad con la residencia de datos
La residencia de datos se puede usar con lo siguiente:
- Organizaciones de Apigee (suscripción o pago por uso)
- Apigee Hybrid
- Anomalías de operaciones para organizaciones de Subscription no híbridas
- Monetización habilitada en organizaciones de suscripción para organizaciones no híbridas
- Advanced API Security para organizaciones no híbridas
- Funciones de versión preliminar o beta, como las versiones preliminares de la integración de Looker Studio y Shadow API Discovery
- Organizaciones de evaluación
- Portales integrados
- Seguridad avanzada de la API para organizaciones híbridas
- Recopilador de datos
- Apigee que se ejecuta en una ventana del navegador en
apigee.google.com
, ya que los nombres de la organización regionalizados no se muestran en el selector de la organización. Debes usar Apigee en la consola de Google Cloud.
Puntos clave
Si la residencia de datos está habilitada para tu instalación de Apigee, ten en cuenta los siguientes puntos clave:
- La residencia de los datos debe estar habilitada en el momento en que Apigee se aprovisiona. No puedes habilitar la residencia de datos para una organización ya aprovisionada.
- De forma predeterminada, el plano de control es una entidad global, a menos que selecciones la residencia de datos (regionalización) en el momento de la creación de la organización de Apigee. No se puede cambiar más adelante. Una vez que seleccionas la residencia de los datos y la ubicación del plano de control, no se puede cambiar. Si más adelante necesitas una ubicación diferente, deberás crear un proyecto de Google Cloud nuevo.
-
Cuando aprovisionas una organización, sucede lo siguiente:
- Sin residencia de datos: especifica la región con ANALYTICS_REGION.
- Con la residencia de datos, especifica la región con CONTROL_PLANE_LOCATION y la subregión con CONSUMER_DATA_REGION. Consulta Regiones de residencia de datos.
-
El administrador que aprovisiona Apigee debe hacer lo siguiente:
- Informa a los usuarios de Apigee, como los desarrolladores de API y otros administradores, sobre la configuración de residencia de datos
- Configura la política de la organización de la ubicación como se describe en Restringe las ubicaciones de recursos.
- Los desarrolladores de API, administradores y otros usuarios de las API de administración de Apigee deben usar el extremo nuevo del servicio de API de residencia de datos.
Regiones de residencia de datos
La residencia de datos te permite elegir la región (ubicación física) durante el aprovisionamiento donde se almacenan los datos.
Cuando especificas la región (por ejemplo, us
), también debes especificar una sola región (por ejemplo, us-west1
) para otros servicios que pueden ejecutarse solo en una región, como los Informes de estadísticas.
Todos los recursos deben estar dentro de la región especificada. Por ejemplo, si seleccionas us
para CONTROL_PLANE_LOCATION, los otros recursos de Apigee, como la instancia del entorno de ejecución, hacen referencia a CMEK, al adjunto de extremo, etc., también deben estar dentro de la región us
.
El tipo de datos que se almacenan cuando eliges la residencia de los datos se conoce como datos del plano de control y datos del consumidor.
Los datos del plano de control son los datos de estadísticas, los proxies de API, los servidores de destino, los almacenes de claves y los almacenes de claves, y cualquier otro elemento que se comparta en los entornos de ejecución. Los datos del consumidor son datos de estadísticas que procesan los servicios que se ejecutan en una sola región.
Consulta Ubicaciones de Apigee para conocer las regiones del plano de control compatibles actualmente.
Extremo del servicio de residencia de datos
Un extremo de servicio es una URL base que especifica la dirección de la red de un servicio de API.
El extremo o el nombre de host del servicio de la API de Apigee es apigee.googleapis.com
.
-
Sin residencia de datos:
Usa el extremo de servicio de la siguiente manera:
apigee.googleapis.com
Por ejemplo:
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
-
Residencia de los datos:
Agrega la región del plano de control al extremo del servicio:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Por ejemplo:
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
En el ejemplo anterior, CONTROL_PLANE_LOCATION es la ubicación física, especificada durante el aprovisionamiento, en la que se almacenarán los datos del plano de control de Apigee.
Por ejemplo:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Cómo ver la región
Si ya aprovisionaste tu organización (PROJECT_ID) para usarla con residencia de datos, puedes usar la API de getProjectMapping a fin de mostrar las regiones asociadas con un proyecto:
- Autoriza a gcloud a que acceda a Cloud Platform con tus credenciales de usuario de Google:
gcloud auth login
- Llama a la API:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"
En el ejemplo anterior, PROJECT_ID es el nombre de la organización de Apigee o el ID del proyecto de Google Cloud.
Se mostrará un resultado similar al siguiente:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Encriptación de la residencia de datos
Consulta Introducción a CMEK.
Restricciones de la política de la organización y residencia de los datos
Las
restricciones de la política de la organización de Google Cloud permiten definir un conjunto de ubicaciones en las que se pueden crear recursos de Google Cloud basados en la ubicación para tu organización de Google Cloud. Si tienes una
política de la organización de Google Cloud que usa una restricción de ubicación de recursos (constraints/gcp.resourceLocations
), la restricción se aplicará a los siguientes recursos de Apigee que se crean cuando se aprovisiona Apigee:
Si aprovisionas una nueva organización de Apigee dentro de un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada, debes asegurarte de que la restricción de ubicación sea compatible con la ubicación del plano de control especificada para tu organización de Apigee:
- Si aprovisionas una organización de Apigee sin residencia de datos, la restricción de ubicación de recursos en la política de la organización de Google Cloud debe establecerse en
global
. Debido a que el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción distinta deglobal
. - Si aprovisionas una organización de Apigee con residencia de datos, confirma que cualquier restricción de ubicación de recursos que se pueda establecer en la política de la organización de Google Cloud no excluya la región que seleccionaste para tus datos del plano de control. De lo contrario, el aprovisionamiento fallará.
Residencia de los datos y cumplimiento del FedRAMP
Apigee está autorizado como servicio de FedRAMP High para las organizaciones en las que está habilitada la residencia de datos. Si decides habilitar la residencia de datos cuando aprovisiones una suscripción de Apigee o una organización de pago por uso, los siguientes servicios están dentro del alcance de la autorización para operar (ATO) de FedRAMP de Apigee:
- El plano de control, el plano de ejecución y las estadísticas de la organización de Apigee regionalizada
- El plano de control y las estadísticas de la organización híbrida de Apigee regionalizada
Las siguientes ofertas de Apigee no están dentro del alcance de la ATO de FedRAMP de Apigee:
- Seguridad avanzada de la API
- Portales integrados
- IU clásica de Apigee
- Monetización
- Organizaciones de evaluación de Apigee
- Recopiladores de datos de Apigee
Residencia de datos y Apigee Hybrid
Puedes configurar nuevas instalaciones de Apigee Hybrid para usar la residencia de datos, a partir de la versión 1.12 de Hybrid. Consulta Usa la residencia de datos con Apigee Hybrid.