Em muitos segmentos do setor e empresas, o uso de um produto de nuvem resulta em maior análise por parte das equipes de segurança e conformidade. As perguntas a seguir são frequentes:
- Onde os dados são armazenados?
- Quais dados são armazenados na nuvem?
- Quem tem acesso aos dados?
- Como os dados são tratados durante o processamento ou a transmissão?
Além disso, muitos países aprovaram leis de privacidade de dados que proíbem o armazenamento de informações de identificação pessoal (PII) fora do país ou da região.
Este documento descreve a residência de dados da Apigee e como ela ajuda você a atender aos requisitos regulatórios e de conformidade.
Visão geral
A residência de dados da Apigee atende aos requisitos regulatórios e de conformidade ao permitir que você especifique as localizações geográficas (regiões) onde os dados da Apigee estão sendo:
- Armazenados (em repouso)
- Processados (em uso)
- Transmitidos (em trânsito)
Você ativa a residência de dados ao provisionar uma organização da Apigee. Durante o provisionamento, selecione a região em que todo o conteúdo do cliente é armazenado. Consulte Provisionar sua organização com residência de dados.
Depois que a organização da Apigee é provisionada com residência de dados, os administradores da organização da Apigee precisam fazer o seguinte:
- Informar os usuários da Apigee, incluindo desenvolvedores de API e outros administradores, sobre a configuração e os requisitos de residência de dados. Os usuários da Apigee precisam seguir as diretrizes em Usar a Apigee com residência de dados.
- Definir a política da organização do local, conforme descrito em Como restringir locais de recursos.
Observe o seguinte:
- Não é possível ativar a residência de dados para uma organização da Apigee que já foi provisionada.
- Por padrão, o plano de controle é uma entidade global, a menos que você selecione a residência de dados (regionalização) no momento da criação da organização da Apigee.
- Depois de selecionar a residência de dados e o local do plano de controle, não será possível alterá-la. Se você precisar de um local diferente mais tarde, será necessário criar um novo Google Cloud projeto.
Consulte também Google Cloud Serviços com residência de dados.
Sobre a residência de dados avançada
A residência de dados avançada se refere aos requisitos regulatórios e de conformidade para dados que estão sendo processados (em uso) ou transmitidos (em trânsito), além de serem armazenados (em repouso).
Para obedecer à residência de dados avançada, as ações a seguir são necessárias ao configurar e usar a Apigee.
| Criar Assured Workloads | Provisionar sua organização | Usar a Apigee |
|---|---|---|
| O administrador do Google Cloud cria uma pasta do Assured Workloads
na organização do Google Cloud e aplica um pacote de controle.
O pacote de controle define automaticamente o local do plano de controle e
as restrições da política da organização que aplicam os limites de dados regionais.
Consulte Criar uma pasta do Assured Workloads. |
O administrador da organização da Apigee provisiona sua organização paga com residência de dados avançada
usando o console jurisdicional baseado em local
para acessar a interface da Apigee ou o endpoint regional
para acessar as APIs da Apigee.
Consulte Provision sua organização com residência de dados avançada. |
Os usuários da Apigee usam o console jurisdicional para acessar
a interface da Apigee ou o endpoint regional para acessar as APIs.
Consulte Usar a Apigee com residência de dados. |
Suporte à residência de dados
A tabela a seguir resume os recursos com suporte e indisponíveis para a Apigee com residência de dados.
| Com suporte | Indisponível |
|---|---|
|
|
Conformidade com o FedRAMP e residência de dados
A Apigee é autorizada como um serviço FedRAMP de alto nível para organizações em que a residência de dados está ativada. Se você ativar a residência de dados ao provisionar uma organização de assinatura ou pagamento por uso da Apigee, os seguintes serviços estarão no escopo da autoridade para operar (ATO, na sigla em inglês) da Apigee no FedRAMP:
- O plano de controle, o plano de execução e as análises da organização regionalizada da Apigee.
- O plano de controle e a análise da organização regionalizada da Apigee híbrida.
As seguintes ofertas da Apigee não estão no escopo do FedRAMP ATO da Apigee:
- Análise de APIs
- Advanced API Security
- Portais integrados
- Organizações de avaliação da Apigee
- Coletores de dados da Apigee
Residência de dados da Apigee híbrida
É possível configurar novas instalações da Apigee híbrida para usar a residência de dados, a partir da versão híbrida 1.12. Consulte Como usar a residência de dados com a Apigee híbrida.
A versão 1.14.0 e mais recentes da Apigee híbrida com residência de dados ativada têm suporte para o Advanced API Security, o Apigee API Analytics, e a ferramenta de depuração.
Escolher regiões para residência de dados
Você escolhe as regiões (local físico) para os dados do plano de controle com base nos requisitos de residência de dados da seguinte maneira:
| Requisitos de residência de dados | Como escolher a região |
| Residência de dados somente em repouso | Ao provisionar sua organização da Apigee, o administrador da Apigee define o
local do plano de controle para a região necessária (por exemplo, us).
Consulte Provisionar
sua organização com residência de dados somente em repouso.
|
| Residência de dados avançada (em uso e em trânsito) | Ao criar uma pasta do Assured Workloads para a Google Cloud organização, o Google Cloud administrador seleciona um pacote de controle para definir os limites de dados regionais. Durante o provisionamento, o local do plano de controle é definido automaticamente e outros locais são filtrados com base no pacote de controle selecionado. Consulte Provisionar sua organização com residência de dados avançada. |
Durante o provisionamento, você também precisa especificar uma única região (por exemplo, us-west1) para outros serviços de consumidor que podem ser executados apenas em uma única região, como relatórios do Analytics.
Todos os recursos precisam estar dentro da região especificada. Por exemplo, se você
selecionar us para o local do plano de controle, os outros recursos da Apigee,
como a instância do ambiente de execução, com referência a CMEK, anexo de endpoint e assim por diante,
também precisarão estar na região us.
Usar o console jurisdicional
Ao provisionar ou usar a Apigee com residência de dados avançada, é necessário usar um dos consoles jurisdicionais Google Cloud para acessar a interface da Apigee com base na sua localização.
Por exemplo, o URL do console jurisdicional para a região dos Estados Unidos é:
console.us.cloud.google.com
Ao provisionar ou usar a Apigee com residência de dados somente em repouso, é possível usar o console global ou jurisdicional. Para usar o console jurisdicional, a organização da Apigee precisa ter sido provisionada em um dos locais com suporte.
Os benefícios de usar o console jurisdicional são os seguintes: Google Cloud
- Simplifica a UI de provisionamento definindo automaticamente o local do plano de controle e filtrando os seletores de região de acordo.
- Altera as interações da UI com os serviços do Google Cloud com base nos requisitos de residência de dados, como filtrar seletores de região e as opções disponíveis para anexos de endpoint de serviço para impedir que a Apigee se conecte a um destino particular usando o Private Service Connect (PSC) se o destino estiver fora da região permitida.
Para informações sobre como acessar o console jurisdicional, consulte Console Google Cloud jurisdicional.
Usar endpoints regionais para residência de dados
Um endpoint de serviço, ou nome do host,
é um URL de base que especifica o endereço de rede de um serviço de API. O endpoint do serviço de API Apigee é apigee.googleapis.com. Esse é o endpoint global usado quando a residência de dados não tem suporte.
Para oferecer suporte à residência de dados, é necessário usar endpoints regionais. As seções a seguir descrevem como usar endpoints regionais para residência de dados somente em repouso e residência de dados avançada.
Usar endpoints regionais para residência de dados somente em repouso
Para acessar a API Apigee com residência de dados somente em repouso, use o seguinte endpoint regional:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Em que CONTROL_PLANE_LOCATION é o local físico em que os dados do plano de controle da Apigee serão armazenados. Para ver uma lista de locais disponíveis do plano de controle, consulte Locais da Apigee.
Por exemplo, o seguinte mostra a chamada curl usada para criar uma organização usando o endpoint regional para os Estados Unidos:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Usar endpoints regionais para residência de dados avançada
Para acessar a API Apigee com residência de dados avançada, use o seguinte endpoint regional:
apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
Em que CONTROL_PLANE_LOCATION é o local físico em que os dados do plano de controle da Apigee são armazenados.
A lista a seguir mostra os locais do plano de controle com suporte e os endpoints regionais correspondentes:
| Local | Endpoint regional |
| Estados Unidos (EUA) | apigee.us.rep.googleapis.com
|
| União Europeia (UE) | apigee.eu.rep.googleapis.com
|
| Índia (IN) | apigee.in.rep.googleapis.com
|
Por exemplo, o seguinte mostra a chamada curl usada para criar uma organização usando o endpoint regional para os Estados Unidos:
curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Criptografia e residência de dados
Por padrão, Google Cloud automaticamente criptografa os dados quando estão em repouso usando chaves de criptografia que pertencem e são gerenciadas pelo Google. Se você tiver requisitos regulatórios ou de conformidade específicos relacionados às chaves que protegem seus dados, use chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Consulte Introdução à CMEK.
Usar restrições de política da organização com residência de dados
As restrições de política da organização doGoogle Cloud's permitem definir um conjunto de locais onde os recursos baseados em local
Google Cloud podem ser criados
para sua Google Cloud organização. Se você tiver uma Google Cloud
política da organização que use uma
restrição de local de recursos
(constraints/gcp.resourceLocations),
a restrição será aplicada aos seguintes recursos da Apigee criados quando a Apigee é provisionada:
Se você estiver provisionando uma nova organização da Apigee em um Google Cloud projeto com uma restrição de local de recurso aplicada, verifique se a restrição de local é compatível com o local do plano de controle especificado para sua organização da Apigee:
- Se você provisionar uma organização da Apigee sem residência de dados, a
restrição de local do recurso na sua
Google Cloud política da organização precisará ser definida como
global. Como o plano de controle da Apigee é uma entidade global por padrão, o provisionamento falhará se uma restrição diferente deglobalfor aplicada. - Se você provisionar uma organização da Apigee com residência de dados, confirme se qualquer restrição de local de recursos que pode ser definida na Google Cloud política da organização não exclui a região selecionada para seu plano de controle dados. Caso contrário, o provisionamento vai apresentar falha.
Residência de dados e conformidade com o FedRAMP
A Apigee é autorizada como um serviço FedRAMP de alto nível para organizações em que a residência de dados está ativada. Se você ativar a residência de dados ao provisionar uma organização de assinatura ou pagamento por uso da Apigee, os seguintes serviços estarão no escopo da autoridade para operar (ATO, na sigla em inglês) da Apigee no FedRAMP:
- O plano de controle, o plano de execução e as análises da organização regionalizada da Apigee.
- O plano de controle e a análise da organização regionalizada da Apigee híbrida.
As seguintes ofertas da Apigee não estão no escopo do FedRAMP ATO da Apigee:
- Análise de APIs
- Advanced API Security
- Portais integrados
- Organizações de avaliação da Apigee
- Coletores de dados da Apigee
Usar o VPC Service Controls com residência de dados
Para usar o VPC Service Controls com residência de dados em repouso, é necessário usar o seguinte
endpoint regional:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
No momento, não é possível usar o VPC Service Controls com
residência de dados avançada.
Para residência de dados avançada, o uso do apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
endpoint exige que você crie uma conexão particular entre
a Apigee e os serviços de destino de back-end
usando o Private Service Connect.