本页介绍了 Secret Manager 的全球服务与区域服务之间的主要区别。
全球服务是 Secret Manager 的默认配置。您可以通过默认设置和标准 API 端点开始使用该服务。 Secret 数据会复制到多个区域,并且 Secret 可以访问 Google Cloud Platform 运营区域的任何用户都可以访问自己的项目。
对于具有严格数据主权和合规性要求的组织,Secret Manager 提供区域服务,您可以选择仅在特定地理位置或数据驻留区 (DRZ) 内存储数据。只能通过 特定区域内的 Pod如需访问区域性服务,您需要一个与数据驻留区域相关联的区域性端点。
下表说明了全局和 区域服务
| 特征 | 全球服务 | 地区性服务 |
|---|---|---|
| 数据驻留 | 向特定区域用户管理的复制或自动复制,不受任何限制。 | 数据存储在单个位置。完整的数据驻留区域 (DRZ) 合规性: 存储中的数据、使用中和传输中的数据。 |
| 端点 | 单一全球端点 | 区域端点 |
| 跨区域访问 | 通过用户管理的复制和自动复制均可实现。 | 不可能。Secret 数据严格限制在您选择的区域 不会超出其边界 |
| 使用场景 |
常规 Secret 管理
|
严格的数据驻留要求
|
并非所有组织都受严格的 DRZ 法规约束,这些法规会规定数据的存储或访问地点,并且并非所有数据都属于敏感类别,需要遵守 DRZ 法规。因此,您可以根据所处理数据的敏感性,选择区域性服务或全球性服务。
如果贵组织必须遵守特定的数据驻留法规,请选择区域性服务,因为该服务可确保您的 Secret 数据不会离开指定区域。如果您的应用需要高可用性,并且能够从任何位置访问 Secret,则全球服务可能更适合,因为它支持多区域复制。
如需了解全球 Secret Manager 服务,请参阅全球服务文档。