Introdução à residência de dados

Neste documento, descrevemos a residência de dados da Apigee.

Informações gerais

Em muitos segmentos do setor e empresas, o uso de um produto de nuvem resulta em maior análise por parte das equipes de segurança e conformidade (quais dados são armazenados na nuvem, onde eles são armazenados, quem tem acesso a eles, quem pode ver os dados etc.). Além disso, muitos países aprovaram leis de privacidade de dados que proíbem o armazenamento de informações de identificação pessoal (PII) fora do país ou da região.

A residência de dados da Apigee atende aos requisitos regulatórios e de conformidade ao permitir que você especifique as localizações geográficas (regiões) onde os dados da Apigee são armazenados. Antes, a Apigee permitia selecionar a região da instância e a região de análise. No entanto, a Apigee também tem uma infraestrutura global, como um pacote de proxies de API ou outros dados do cliente. Com a residência de dados, selecionar o local do plano de controle garante que todo o conteúdo do cliente seja armazenado na região especificada.

A Apigee está em processo de recebimento das certificações FedRAMP de nível alto e outras certificações. A Apigee implementou a pilha regionalizada do lado da engenharia, mas não pode garantir contratualmente a residência de dados antes que a certificação real seja aprovada.

Compatibilidade da residência de dados

A residência de dados pode ser usada com isto:

• Organizações pagas da Apigee (assinaturas e pagamento por uso)
• Apigee híbrida

No momento, não é possível usar a residência de dados com:

• Recursos de pré-lançamento ou em versão Beta, como a versão de pré-lançamento da integração do Looker Studio
• Organizações eval
• Monetização
• Portais integrados
• Segurança da API
• Coletor de dados
• A Apigee em execução em uma janela do navegador em apigee.google.com, já que os nomes de organizações regionais não são exibidos no seletor de organizações. É preciso usar a Apigee no console do Google Cloud.

Pontos principais

Se a residência de dados estiver ativada na sua instalação da Apigee, observe os seguintes pontos-chave:

• A residência de dados precisa estar ativada no momento em que a Apigee é provisionada. Não é possível ativar a residência de dados para uma organização já provisionada.
• Por padrão, o plano de controle é uma entidade global, a menos que você selecione a residência de dados (regionalização) no momento da criação da organização da Apigee. Não será possível alterá-la mais tarde. Depois de selecionar a residência de dados e o local do plano de controle, não será possível alterá-la. Se mais tarde você precisar de um local diferente, será necessário criar um novo projeto do Google Cloud.
• Ao provisionar uma organização:
  • Sem residência de dados: especifique a região com ANALYTICS_REGION.
  • Com residência de dados: especifique a região com CONTROL_PLANE_LOCATION e a sub-região com CONSUMER_DATA_REGION. Consulte Regiões de residência de dados.
• O administrador que provisiona a Apigee precisa:
  • informar os usuários da Apigee, como desenvolvedores de API e outros administradores, sobre a configuração da residência de dados.
  • definir a política da organização do local, conforme descrito em Como restringir locais de recursos.
• Os desenvolvedores de API, administradores ou outros usuários de APIs de gerenciamento da Apigee precisam usar o novo endpoint de serviço da API de residência de dados.

Regiões de residência de dados

Durante o provisionamento, a residência de dados permite escolher a região (local físico) onde os dados são armazenados.

Ao especificar a região (por exemplo, us), você também precisa especificar uma única região (por exemplo, us-west1) para outros serviços que podem ser executados apenas em uma única região, como relatórios do Analytics.

Todos os recursos precisam estar dentro da região especificada. Por exemplo, se você selecionar us para o CONTROL_PLANE_LOCATION, os outros recursos da Apigee, como a instância do ambiente de execução, com referência a CMEK, anexo de endpoint etc., também precisarão estar na região us.

O tipo de dados que são armazenados quando você escolhe a residência de dados é chamado de dados do plano de controle e dados do consumidor.

Os dados do plano de controle são dados de análise, proxies de API, servidores de destino, truststores e keystores e qualquer outra coisa compartilhada entre ambientes de execução. Os dados do consumidor são dados de análise processados por serviços executados em uma única região.

Consulte Locais da Apigee para ver as regiões do plano de controle compatíveis no momento.

Endpoint do serviço de residência de dados

Um endpoint de serviço é um URL de base que especifica o endereço de rede de um serviço de API.

O endpoint do serviço de API Apigee, ou nome do host, é apigee.googleapis.com.

• Sem residência de dados:

  Use o endpoint do serviço conforme a seguir:

  apigee.googleapis.com

  Exemplo:

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• Residência de dados:

  Prefixe a região do plano de controle ao endpoint do serviço:

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  Exemplo:

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  Em que CONTROL_PLANE_LOCATION é o local físico, especificado durante o provisionamento, onde os dados do plano de controle da Apigee serão armazenados.

  Exemplo:

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Como ver a região

Se você já provisionou sua organização (PROJECT_ID) para uso com residência de dados, use a API getProjectMapping para exibir as regiões associadas a um projeto:

1. Autorize o gcloud para acessar o Cloud Platform com suas credenciais de usuário do Google:

   gcloud auth login

2. Chame a API:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   Em que PROJECT_ID é o nome da organização da Apigee ou o ID do projeto do Google Cloud.

   Algo semelhante ao seguinte é retornado:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

Criptografia da residência de dados

Consulte Introdução a CMEK.

Restrições da política da organização e residência de dados

As restrições da política da organização do Google Cloud possibilitam a definição de um conjunto de locais onde os recursos do Google Cloud baseados em local podem ser criados para sua organização do Google Cloud. Se você tiver uma política da organização do Google Cloud que use uma restrição de local de recursos (constraints/gcp.resourceLocations), a restrição será aplicada aos seguintes recursos da Apigee criados quando a Apigee é provisionada:

• Plano de controle
• Dados do consumidor
• Ambiente de execução
• Anexo de endpoints
• Analytics

Se você estiver provisionando uma nova organização da Apigee em um projeto do Google Cloud com uma restrição de local de recurso aplicada, verifique se a restrição de local é compatível com o local do plano de controle especificado para sua organização da Apigee:

• Se você provisionar uma organização da Apigee sem residência de dados, a restrição de local do recurso na política da organização do Google Cloud precisará ser definida como global. Como o plano de controle da Apigee é uma entidade global por padrão, o provisionamento falhará se uma restrição diferente de global for aplicada.
• Se você provisionar uma organização da Apigee com residência de dados, confirme se qualquer restrição de local de recursos que pode ser definida na política da organização do Google Cloud não exclui a região selecionada para seu plano de controle dados. Caso contrário, o provisionamento falhará.