本页介绍了 Secret Manager 的全球服务与区域性服务之间的主要区别。
全球服务是 Secret Manager 的默认配置。您可以开始使用默认设置和标准 API 端点。密钥数据会跨多个区域复制,并且您可以从 Google Cloud Platform 运营的任何区域访问密钥。
对于具有严格数据主权和合规性要求的组织,Secret Manager 提供区域服务,您可以选择仅在特定地理位置或数据驻留区 (DRZ) 内存储数据。只能从该特定区域访问 Secret。如需访问区域性服务,您需要一个与数据驻留区域相关联的区域端点。
下表介绍了全球服务与区域性服务之间的主要区别。
| 功能 | 全球服务 | 区域服务 |
|---|---|---|
| 数据驻留 | 向特定区域用户管理的复制或自动复制,且不受任何限制。 | 数据存储在单个位置。全面符合数据驻留区 (DRZ) 要求,涵盖静态存储、使用中和传输中的数据。 |
| 端点 | 单一全球端点 | 区域端点 |
| 跨区域访问 | 可在用户管理的复制和自动复制中实现。 | 不可以。机密数据会严格限制在您选择的区域内,不会流出该区域。 |
| 使用场景 |
常规 Secret 管理
|
严格的数据驻留要求
|
并非所有组织都受严格的 DRZ 法规约束,这些法规会规定数据的存储或访问地点,并且并非所有数据都属于敏感类别,需要遵守 DRZ 法规。因此,您可以根据所处理数据的敏感性,选择区域性服务或全球性服务。
如果贵组织必须遵守特定的数据驻留法规,请选择区域性服务,因为该服务可确保您的 Secret 数据不会离开指定区域。如果您的应用需要高可用性,并且能够从任何位置访问 Secret,那么由于全球服务支持多区域复制,因此可能更适合。
如需了解全球 Secret Manager 服务,请参阅全球服务文档。