Comparar serviços globais e regionais

Esta página explica as principais diferenças entre o serviço global e regional do Secret Manager.

O serviço global é a configuração padrão do Secret Manager. Você pode começar a usar o serviço com as configurações padrão e o endpoint padrão da API. Os dados secretos são replicados em várias regiões, e os secrets podem ser acessados em qualquer região em que a plataforma do Google Cloud opere.

Para organizações com requisitos rigorosos de soberania e conformidade de dados, o Secret Manager oferece um serviço regional em que você pode armazenar seus dados apenas em locais geográficos específicos ou zonas de residência de dados (DRZs, na sigla em inglês). Os secrets só podem ser acessados nesta região específica. Para acessar o serviço regional, você vai precisar de um endpoint regional associado à zona de residência de dados.

A tabela a seguir explica as principais diferenças entre o serviço global e o regional.

Recurso	Serviço global	Serviço regional
Residência dos dados	Replicação gerenciada pelo usuário para regiões específicas ou replicação automática sem nenhuma restrição.	Os dados são armazenados em um único local. Conformidade completa da zona de residência de dados (DRZ, na sigla em inglês) com os dados em repouso, em uso e em trânsito.
Endpoints	Endpoint global único	Endpoints regionais
Acesso entre regiões	Possível com a replicação gerenciada pelo usuário e a automática.	Não é possível. Os dados secretos são restritos à região escolhida e não fluem para fora dos limites dela.
Casos de uso	Gerenciamento geral de secrets Seus dados não precisam ser armazenados em uma região específica. Você só se preocupa com a disponibilidade e a latência dos dados, e não com os requisitos regulatórios.	Requisitos rigorosos de residência de dados Seus dados precisam ser armazenados em uma região específica. Você quer restringir o movimento dos seus dados sensíveis dentro desse limite específico.

Nem todas as organizações estão sujeitas a regulamentações rígidas de DRZ sobre onde os dados são armazenados ou acessados, e nem todos os dados podem se enquadrar na categoria sensível para estar sujeito às regulamentações de DRZ. Portanto, dependendo da sensibilidade dos dados que estão sendo processados, você pode escolher entre o serviço regional ou global.

Se a sua organização precisar obedecer a regulamentos específicos de residência de dados, escolha o serviço regional, que garante que os dados secretos não saiam da região designada. Se o aplicativo exigir alta disponibilidade e a capacidade de acessar os segredos de qualquer lugar, o serviço global pode ser mais adequado devido à replicação em várias regiões.

Para informações sobre o serviço global do Secret Manager, consulte a documentação do serviço global.

A seguir

• Ativar a API Secret Manager
• Criar um secret regional
• Adicionar a criptografia CMEK a segredos regionais