Cette page explique les principales différences entre le service global et régional de Secret Manager.
Le service global est la configuration par défaut de Secret Manager. Vous pouvez commencer à utiliser le service avec les paramètres par défaut et le point de terminaison de l'API standard. Les données des secrets sont répliquées dans plusieurs régions, et les secrets sont accessibles depuis n'importe quelle région où Google Cloud Platform est disponible.
Pour les organisations qui ont des exigences strictes en matière de souveraineté et de conformité des données, Secret Manager propose un service régional qui vous permet de stocker vos données uniquement dans des zones géographiques ou des zones de résidence des données (DRZ) spécifiques. Les secrets ne sont accessibles que depuis cette région spécifique. Pour accéder au service régional, vous devez un point de terminaison régional associé à la zone de résidence des données.
Le tableau suivant explique les principales différences entre les couches globales et un service régional.
Caractéristique | Service mondial | Service régional |
---|---|---|
Résidence des données | Réplication gérée par l'utilisateur vers des régions spécifiques ou via la réplication automatique sans aucune restriction. | Les données sont stockées dans un emplacement unique. Conformité totale avec les zones de résidence des données (DRZ) au repos, en cours d'utilisation et en transit. |
Points de terminaison | Point de terminaison mondial unique | Points de terminaison régionaux |
Accès interrégional | Possibilité d'utiliser à la fois la réplication gérée par l'utilisateur et la réplication automatique. | Impossible. Les données secrètes sont étroitement limitées à la région de votre choix et ne sort pas de ses limites. |
Cas d'utilisation |
Gestion générale des secrets
|
Exigences strictes en matière de résidence des données
|
Toutes les organisations ne sont pas soumises à des réglementations strictes sur l'emplacement où les données sont stockées ou auxquelles elles ont accès. De plus, toutes les données ne peuvent pas être classées dans la catégorie des données sensibles et ne sont donc pas soumises aux réglementations sur les zones de données sensibles. Par conséquent, en fonction de la sensibilité des données traitées, vous pouvez choisir entre le service régional ou mondial.
Si votre organisation doit respecter des réglementations spécifiques concernant la résidence des données, choisissez régional, car il garantit que vos données secrètes ne quittent pas le service dans la même région. Si votre application nécessite une haute disponibilité et la possibilité d'accéder aux secrets depuis n'importe quel endroit, le service mondial peut être plus adapté en raison de sa réplication multirégionale.
Pour en savoir plus sur le service Secret Manager global, consultez la documentation du service global.
Étape suivante
- Activer l'API Secret Manager
- Créer un secret régional
- Ajouter le chiffrement CMEK aux secrets régionaux