Sensitive Data Protection 的全球和区域端点

本文档介绍了 Sensitive Data Protection 提供的不同类型的 API 端点。本文档还提供了在决定在 Sensitive Data Protection 请求中使用哪种端点类型时需要考虑的事项。如需有关不同类型 API 端点的一般信息,请参阅 Assured Workloads 文档中的 API 端点类型

API 端点(或服务端点)是指定 Google Cloud API 服务(例如 Sensitive Data Protection)的网络地址的基本网址。Sensitive Data Protection 具有全球和区域性端点。

全球 API 端点

Sensitive Data Protection 的全球端点为 dlp.googleapis.com

全局范围的端点提供高可用性服务端点,这些端点尽可能靠近客户端终止 TLS 会话,从而最大限度地减少通过互联网为分散的客户端群体提供 API 调用服务时的延迟。

向全球端点发送请求时,您可以指定要处理请求的位置。

向未指定位置的全局端点发出的请求

如果您未在请求中指定位置,或者指定了 global 区域,则系统会在 global 区域中处理该请求。例如,如果您向以下网址发送 POST 请求,该请求会发送到全球端点,并在 global 区域中处理。

https://dlp.googleapis.com/v2/projects/example-project/content:inspect

向指定了位置信息的全球端点发出的请求

如果您在向全球端点发出的请求中指定了位置,则该请求会发送到全球端点,并在您指定的区域或多区域中进行处理。 例如,如果您向以下网址发送 POST 请求,则该请求会发送到全球端点并在 us-west1 区域中处理。

https://dlp.googleapis.com/v2/projects/example-project/locations/us-west1/content:inspect

我们无法保证传输中的数据始终位于您指定的处理区域内。如果您不需要将传输中的数据保留在特定区域内,那么以这种方式调用全球端点就足够了。

区域 API 端点

借助区域端点 (REP),您可以将传输中的数据保留在特定区域内。地区端点将位置指定为子网域,例如 dlp.us-west1.rep.googleapis.com

Sensitive Data Protection 的区域端点采用以下格式:

dlp.REP_REGION.rep.googleapis.com

REP_REGION 替换为可用于 Sensitive Data Protection 的区域端点

对于从公共互联网或专用连接收到的请求,区域端点在端点指定的位置终止 TLS 会话。

区域端点通过确保静态数据、使用中的数据和传输中的数据不会移出端点指定的位置,保证数据驻留。此保证不包括服务数据。如需了解详情,请参阅有关客户数据和服务数据的说明

选择全球端点或区域端点

在选择全球端点和区域端点时,请考虑以下事项:

  • 如果您的组织需要将静态数据、使用中的数据和传输中的数据保留在特定区域内,则必须使用区域端点。如果您不需要将传输中的数据保留在特定区域,则可以使用全球端点。

  • 区域端点仅在少数位置受支持。如需查看 Sensitive Data Protection 可用的区域和多区域的完整列表,请参阅 Sensitive Data Protection 位置

  • Sensitive Data Protection 针对以下各项设置了单独的配额

    • 向未指定位置的全球端点发出的请求(在 global 区域中处理)
    • 向指定了处理位置(在指定区域中处理)的全球端点发出的请求
    • 向区域端点发送请求

    区域端点的配额低于其他两个端点的配额。

  • 如果您的客户端应用配置为使用全局端点,并且您想开始使用区域性端点,则需要配置客户端应用,以在您在请求中使用的每个主机名的子网域和路径中指定支持 REP 的区域或多区域。如需了解详情,请参阅在向地区端点发出的请求中指定区域

限制全球 API 端点用量

为了帮助强制使用区域端点,请使用 constraints/gcp.restrictEndpointUsage 组织政策限制条件来阻止对全球 API 端点的请求。如需了解详情,请参阅 Assured Workloads 文档中的限制端点使用

后续步骤