Présentation de la résidence des données

Ce document décrit la résidence des données pour Apigee.

Présentation

Pour de nombreux secteurs et entreprises, l'utilisation d'une offre cloud permet de renforcer la surveillance des équipes de sécurité et de conformité (quelles données sont stockées dans le cloud, où elles sont stockées, qui y a accès et qui peut y accéder, etc.). En outre, de nombreux pays ont adopté des lois sur la confidentialité des données qui interdisent le stockage des données personnelles en dehors du pays ou de la région.

La résidence des données pour Apigee répond aux exigences de conformité et réglementaires en vous permettant de spécifier les emplacements géographiques (régions) où les données Apigee sont stockées. Historiquement, Apigee vous permettait de sélectionner la région de l'instance et la région de l'analyse. Cependant, Apigee possède également une infrastructure globale, telle qu'un bundle de proxys d'API ou d'autres données client. Avec la résidence des données, la sélection de l'emplacement du plan de contrôle garantit que tout le contenu client est stocké dans la région spécifiée.

L'obtention d'une certification FedRAMP élevée ou d'autres certifications pour Apigee est en cours. Apigee a implémenté la pile régionalisée côté ingénierie, mais ne peut pas garantir de manière contractuelle la résidence des données avant l'obtention définitive de la certification.

Compatibilité de la résidence des données

La résidence des données peut être utilisée avec les éléments suivants :

La résidence des données n'est actuellement pas compatible avec les éléments suivants :

Points essentiels

Si la résidence des données est activée pour votre installation Apigee, tenez compte des points clés suivants :

  • La résidence des données doit être activée au moment du provisionnement d'Apigee. Vous ne pouvez pas activer la résidence des données pour une organisation déjà provisionnée.
  • Par défaut, le plan de contrôle est une entité globale, sauf si vous sélectionnez la résidence des données (régionalisation) au moment de la création de l'organisation Apigee. Vous ne pourrez pas modifier le modifier par la suite. Une fois que vous avez sélectionné la résidence des données et l'emplacement du plan de contrôle, vous ne pouvez plus le modifier. Si vous avez besoin d'un autre emplacement ultérieurement, vous devrez créer un nouveau projet Google Cloud.
  • Lors du provisionnement d'une organisation :
    • Sans résidence des données : spécifiez la région avec ANALYTICS_REGION.
    • Avec résidence des données : spécifiez la région avec CONTROL_PLANE_LOCATION et la sous-région avec CONSUMER_DATA_REGION. Consultez la section Régions de résidence des données.
  • L'administrateur qui provisionne Apigee doit :
    • Informer les utilisateurs Apigee, tels que les développeurs d'API et d'autres administrateurs, de la configuration de la résidence des données
    • Définir la règle d'administration de l'emplacement comme décrit dans la section Limiter les emplacements des ressources
  • Les développeurs d'API, les administrateurs ou les autres utilisateurs des API de gestion Apigee doivent utiliser le nouveau point de terminaison du service d'API de résidence des données.

Régions de résidence des données

La résidence des données vous permet de choisir la région (emplacement physique) lors du provisionnement de l'endroit où les données sont stockées.

Lorsque vous spécifiez la région (par exemple, us), vous devez également spécifier une seule région (par exemple, us-west1) pour les autres services qui ne peuvent s'exécuter que dans une seule région, comme les rapports d'analyse..

Toutes les ressources doivent se trouver dans la région spécifiée. Par exemple, si vous sélectionnez us pour CONTROL_PLANE_LOCATION, les autres ressources Apigee, telles que l'instance d'exécution, qui font référence à CMEK, au rattachement de point de terminaison, etc., doivent aussi se trouver dans la région us.

Le type de données stockées lorsque vous choisissez la résidence des données est appelé "données du plan de contrôle" et "données du client".

Les données du plan de contrôle sont des données d'analyse, proxys d'API, serveurs cibles, truststores et keystores, ainsi que tout autre élément partagé entre les environnements d'exécution. Les données du client sont des données d'analyse traitées par des services exécutés dans une seule région.

Consultez la page Emplacements Apigee pour connaître les régions du plan de contrôle actuellement compatibles.

Point de terminaison du service de résidence des données

Un point de terminaison de service est une URL de base qui spécifie l'adresse réseau d'un service d'API.

Le point de terminaison du service d'API Apigee, ou nom d'hôte, est apigee.googleapis.com.

  • Sans résidence des données :

    Utilisez le point de terminaison du service comme suit :

    apigee.googleapis.com

    Exemple :

    curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  • Avec résidence des données :

    Ajoutez la région du plan de contrôle au point de terminaison du service :

    CONTROL_PLANE_LOCATION-apigee.googleapis.com

    Exemple :

    curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

    CONTROL_PLANE_LOCATION est l'emplacement physique, spécifié lors du provisionnement, dans lequel les données du plan de contrôle Apigee seront stockées.

    Exemple :

    curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Afficher la région

Si vous avez déjà provisionné votre organisation (PROJECT_ID) pour l'utiliser avec la résidence des données, vous pouvez utiliser l'API getProjectMapping pour afficher les régions associées à un projet :

  1. Autorisez gcloud à accéder à Cloud Platform avec vos identifiants Google : 
    gcloud auth login
  2. Appelez l'API : 
    curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"

    PROJECT_ID est le nom de votre organisation Apigee ou l'ID de votre projet Google Cloud.

    Un résultat semblable au suivant s'affiche :

    {
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}

Chiffrement de la résidence des données

Consultez la page Présentation du chiffrement CMEK.

Résidence des données et contraintes liées aux règles d'administration

Les contraintes liées aux règles d'administration Google Cloud permettent de définir un ensemble d'emplacements, pour lesquels des ressources Google Cloud basées sur l'emplacement peuvent être créées pour votre organisation Google Cloud. Si vous disposez d'une règle d'administration Google Cloud qui utilise une contrainte d'emplacement de ressource (constraints/gcp.resourceLocations), cette contrainte s'applique aux ressources Apigee qui ont été créées lors du provisionnement d'Apigee :

Si vous provisionnez une nouvelle organisation Apigee dans un projet Google Cloud, en appliquant une contrainte d'emplacement de ressource, vous devez vous assurer que cette contrainte d'emplacement est compatible avec l'emplacement du plan de contrôle spécifié pour votre organisation Apigee :

  • Si vous provisionnez une organisation Apigee sans résidence des données, la contrainte d'emplacement de ressource dans votre règle d'administration Google Cloud doit être définie sur global. Étant donné que le plan de contrôle Apigee est par défaut une entité globale, le provisionnement échouera si une contrainte autre que global est appliquée.
  • Si vous provisionnez une organisation Apigee avec résidence des données, vérifiez que toute contrainte d'emplacement de ressource potentiellement définie dans votre règle d'administration Google Cloud n'exclut pas la région que vous allez sélectionner pour votre plan de contrôle. Sinon, le provisionnement va échouer.