Globalen und regionalen Dienst vergleichen

Auf dieser Seite werden die wichtigsten Unterschiede zwischen dem globalen und dem regionalen Secret Manager-Dienst erläutert.

Der globale Dienst ist die Standardkonfiguration für Secret Manager. Sie können den Dienst mit den Standardeinstellungen und dem Standard-API-Endpunkt verwenden. Die geheimen Daten werden über mehrere Regionen hinweg repliziert und auf Secrets kann von jeder Region aus zugegriffen werden, in der die Google Cloud-Plattform verfügbar ist.

Für Organisationen mit strengen Anforderungen an die Datenhoheit und Compliance bietet Secret Manager einen regionalen Dienst, mit dem Sie Ihre Daten ausschließlich an bestimmten geografischen Standorten oder in bestimmten Datenstandortzonen (Data Residency Zones, DRZs) speichern können. Der Zugriff auf Secrets ist nur innerhalb dieser Region möglich. Für den Zugriff auf den regionalen Dienst benötigen Sie einen regionalen Endpunkt, der mit der Zone für den Datenspeicherort verknüpft ist.

In der folgenden Tabelle werden die wichtigsten Unterschiede zwischen dem globalen und regionalen Dienst.

Funktion Globaler Dienst Regionaler Dienst
Datenstandort Vom Nutzer verwaltete Replikation auf bestimmte Regionen oder automatische Replikation uneingeschränkt weiter. Die Daten werden an einem einzigen Ort gespeichert. Vollständige Compliance der Datenstandortzone (Data Location Zone, DRZ) mit ruhende, verwendete und übertragene Daten.
Endpunkte Ein einzelner globaler Endpunkt Regionale Endpunkte
Regionenübergreifender Zugriff Sowohl mit vom Nutzer verwaltete Replikation als auch mit automatischer Replikation möglich. Das ist nicht möglich. Secret-Daten sind eng auf die Region Ihrer Wahl beschränkt und fließt nicht über seine Grenzen hinaus.
Anwendungsfälle

Allgemeine Secret-Verwaltung

  • Ihre Daten müssen nicht in einer bestimmten Region gespeichert werden.
  • Sie sind nur an der Verfügbarkeit und Latenz der Daten interessiert, nicht an den rechtlichen Anforderungen.

Strenge Anforderungen an den Datenstandort

  • Ihre Daten müssen in einer bestimmten Region gespeichert werden.
  • Sie möchten die Übertragung Ihrer sensiblen Daten innerhalb dieser Grenze einschränken,

Nicht alle Organisationen unterliegen strengen DRZ-Vorschriften darüber, wo Daten gespeichert werden. und nicht alle Daten in die sensible Kategorie unterliegen den DRZ-Bestimmungen. Je nach Sensibilität der verarbeiteten Daten können Sie also zwischen dem regionalen und dem globalen Dienst wählen.

Wenn Ihre Organisation bestimmte Vorschriften zum Datenstandort einhalten muss, wählen Sie den regionalen Dienst aus. So wird sichergestellt, dass Ihre geheimen Daten die angegebene Region nicht verlassen. Wenn Ihre Anwendung Hochverfügbarkeit und die Möglichkeit des Zugriffs auf Geheimnissen zu entschlüsseln, ist der globale Dienst aufgrund seiner multiregionale Replikation.

Weitere Informationen zum regionalen Dienst finden Sie in der Dokumentation zum regionalen Dienst.

Nächste Schritte