比较全球服务和区域服务

本页介绍了 Secret Manager 全球服务与区域性服务之间的主要区别。

全球服务是 Secret Manager 的默认配置。您可以开始使用默认设置和标准 API 端点。密钥数据会跨多个区域复制,并且您可以从 Google Cloud Platform 运营的任何区域访问密钥。

对于具有严格数据主权和合规性要求的组织,Secret Manager 提供区域服务,您可以选择仅在特定地理位置或数据驻留区 (DRZ) 内存储数据。只能从该特定区域访问 Secret。如需访问区域性服务,您需要具有与数据驻留区域关联的区域端点。

下表介绍了全球服务与区域性服务之间的主要区别。

功能 全球服务 区域服务
数据驻留 向特定区域用户管理的复制自动复制,且不受任何限制。 数据存储在单个位置。全面符合数据驻留区 (DRZ) 要求,涵盖静态存储、使用中和传输中的数据。
端点 单一全球端点 区域端点
跨区域访问 可通过用户管理的复制和自动复制实现。 不可以。机密数据会严格限制在您选择的区域内,不会流出该区域。
使用场景

常规 Secret 管理

  • 您的数据不必存储在特定区域。
  • 您只关心数据的可用性和延迟时间,而不关心监管要求。

严格的数据驻留要求

  • 您的数据必须存储在特定区域。
  • 您希望限制敏感数据在该特定边界内的移动,

并非所有组织都受严格的 DRZ 法规约束,这些法规会规定数据的存储或访问地点,并且并非所有数据都属于敏感类别,需要遵守 DRZ 法规。因此,您可以根据所处理数据的敏感性,选择区域性服务或全球性服务。

如果贵组织必须遵守特定的数据驻留法规,请选择区域性服务,因为该服务可确保您的 Secret 数据不会离开指定区域。如果您的应用需要高可用性,并且能够从任何位置访问 Secret,那么由于全球服务支持多区域复制,因此可能更适合。

如需详细了解地区性服务,请参阅地区性服务文档

后续步骤