Einführung in den Datenstandort

Für viele Branchen und Unternehmen führt die Verwendung eines Cloud-Angebots zu einer genaueren Kontrolle durch Sicherheits- und Compliance-Teams. Die folgenden Fragen werden häufig gestellt:

  • Wo werden Daten gespeichert?
  • Welche Daten werden in der Cloud gespeichert?
  • Wer hat Zugriff auf die Daten?
  • Wie werden Daten während der Verarbeitung oder Übertragung behandelt?

Darüber hinaus haben viele Länder Datenschutzgesetze erlassen, die die Speicherung personenidentifizierbarer Informationen außerhalb des Landes oder der Region verbieten.

In diesem Dokument wird der Datenstandort für Apigee beschrieben und erläutert, wie er Ihnen hilft, Compliance- und regulatorische Anforderungen zu erfüllen.

Übersicht

Der Datenstandort für Apigee erfüllt Compliance- und regulatorische Vorgaben, indem Sie die geografischen Standorte (Regionen) angeben können, an denen Apigee-Daten:

  • Gespeichert (im Ruhezustand)
  • Verarbeitet (in Verwendung)
  • Übertragen (während der Übertragung)
Tipp:In dieser Dokumentation verwenden wir den Begriff erweiterter Datenstandort, um uns auf Compliance- und behördliche Anforderungen für Daten zu beziehen, die zusätzlich zur Speicherung (im Ruhezustand) auch verarbeitet (in Verwendung) oder übertragen (in Transit) werden. Weitere Informationen

Sie aktivieren den Datenstandort, wenn Sie eine Apigee-Organisation bereitstellen. Bei der Bereitstellung wählen Sie die Region aus, in der alle Kundeninhalte gespeichert werden. Weitere Informationen finden Sie unter Datenstandort für Ihre Organisation bereitstellen.

Nachdem die Apigee-Organisation mit Datenstandort bereitgestellt wurde, müssen Apigee-Organisationsadministratoren Folgendes tun:

  • Informieren Sie Apigee-Nutzer, einschließlich API-Entwickler und anderer Administratoren, über die Konfiguration und Anforderungen für den Datenspeicherort. Apigee-Nutzer müssen die Richtlinien unter Apigee mit Datenstandort verwenden einhalten.
  • Legen Sie die Organisationsrichtlinie für den Standort wie unter Ressourcenstandorte beschränken beschrieben fest.

Wichtige Hinweise:

  • Sie können den Datenstandort nicht für eine Apigee-Organisation aktivieren, die bereits bereitgestellt wurde.
  • Standardmäßig ist die Steuerungsebene eine globale Entität, es sei denn, Sie wählen den Datenstandort (Regionalisierung) zum Zeitpunkt der Erstellung der Apigee-Organisation aus.
  • Nachdem Sie den Datenstandort und den Standort der Steuerungsebene ausgewählt haben, können diese nicht mehr geändert werden. Wenn Sie später einen anderen Standort benötigen, müssen Sie ein neues Google Cloud -Projekt erstellen.

Weitere Informationen finden Sie unter Google Cloud Dienste mit Datenstandort.

Erweiterter Datenstandort

Der erweiterte Datenstandort bezieht sich auf Compliance- und behördliche Anforderungen für Daten, die zusätzlich zur Speicherung (im Ruhezustand) verarbeitet (in Verwendung) oder übertragen (in Übertragung) werden.

Zur Einhaltung der erweiterten Anforderungen an den Datenstandort sind bei der Einrichtung und Verwendung von Apigee die folgenden Aktionen erforderlich.

Assured Workloads erstellen Organisation bereitstellen Apigee verwenden
Der Google Cloud-Administrator erstellt einen Assured Workloads-Ordner in der Google Cloud-Organisation und wendet ein Kontrollpaket an. Mit dem Kontrollpaket werden automatisch der Standort der Steuerungsebene und Einschränkungen für Organisationsrichtlinien festgelegt, mit denen die regionalen Datengrenzen erzwungen werden.

Weitere Informationen finden Sie unter Assured Workloads-Ordner erstellen.

Der Administrator der Apigee-Organisation stellt Ihre kostenpflichtige Organisation mit erweitertem Datenstandort über die standortbasierte Gerichtsbarkeitskonsole bereit, um auf die Apigee-Benutzeroberfläche zuzugreifen, oder über den regionalen Endpunkt, um auf die Apigee APIs zuzugreifen.

Weitere Informationen finden Sie unter Erweiterte Datenstandorte für Ihre Organisation bereitstellen.

Apigee-Nutzer verwenden die Jurisdictional Console, um auf die Apigee-Benutzeroberfläche zuzugreifen, oder den regionalen Endpunkt, um auf die APIs zuzugreifen.

Weitere Informationen finden Sie unter Apigee mit Datenstandort verwenden.

Unterstützung für den Datenstandort

In der folgenden Tabelle sind die Funktionen zusammengefasst, die für Apigee mit Datenstandort unterstützt werden und nicht unterstützt werden.

Unterstützt Nicht unterstützt
  • Data Studio-Integration
  • Vorschau- oder Betarelease-Features wie Shadow API Discovery
  • Eval-Organisationen
  • Integrierte Portale
  • Apigee Adapter for Envoy
  • Endnutzer-Analysefunktionen wie das Geräte-Dashboard und das Geokarten-Dashboard werden bei der erweiterten Datenlokalisierung nicht unterstützt.
  • Analysefunktionen für Entwickler wie das Dashboard zur Entwicklerinteraktion und das Dashboard zur Traffic-Zusammensetzung werden mit dem erweiterten Datenstandort nicht unterstützt.
  • Apigee Hybrid wird für den erweiterten Datenstandort nicht unterstützt.
    •

    FedRAMP-Compliance und Datenstandort

    Apigee ist als FedRAMP High-Dienst für Organisationen autorisiert, für die der Speicherort der Daten aktiviert ist. Wenn Sie den Datenstandort beim Bereitstellen einer Apigee-Abo- oder Pay-as-you-go-Organisation aktivieren, fallen die folgenden Dienste unter die FedRAMP-Betriebsgenehmigung (Authority To Operate, ATO) von Apigee:

    Die folgenden Apigee-Angebote fallen nicht unter die FedRAMP-ATO von Apigee:

    Weitere Informationen zur Bedeutung einer FedRAMP-ATO finden Sie unter FedRAMP-Compliance.

    Apigee Hybrid-Datenstandort

    Ab Hybrid-Version 1.12 können Sie neue Apigee Hybrid-Installationen für die Verwendung des Datenstandorts konfigurieren. Weitere Informationen finden Sie unter Datenstandort mit Apigee Hybrid verwenden.

    Apigee Hybrid Version 1.14.0 und höher mit aktiviertem Datenstandort unterstützt Erweiterte API-Sicherheit, Apigee API Analytics und das Debug-Tool.

    Regionen für Datenresidenz auswählen

    Sie wählen die Regionen (physischen Standorte) für die Daten der Steuerungsebene anhand Ihrer Anforderungen an den Datenstandort aus:

    Anforderungen an den Datenstandort Region auswählen
    Nur Datenstandort im Ruhezustand Bei der Bereitstellung Ihrer Apigee-Organisation legt Ihr Apigee-Administrator den Standort der Steuerungsebene auf die erforderliche Region fest (z. B. us). Weitere Informationen finden Sie unter Organisation nur mit Datenstandort für ruhende Daten bereitstellen.
    Erweiterter Datenstandort (in Verwendung und bei der Übertragung) Wenn ein Assured Workloads-Ordner für die Google Cloud Organisation erstellt wird, wählt der Google Cloud Administrator ein Kontrollpaket aus, um die regionalen Datengrenzen festzulegen. Beim Bereitstellen wird der Standort der Steuerungsebene automatisch festgelegt und andere Standorte werden basierend auf dem ausgewählten Kontrollpaket gefiltert. Weitere Informationen finden Sie unter Erweiterte Datenstandorte für Ihre Organisation bereitstellen.

    Bei der Bereitstellung müssen Sie auch eine einzelne Region (z. B. us-west1) für andere Consumer-Dienste angeben, die nur in einer einzelnen Region ausgeführt werden können, z. B. Analytics-Berichte.

    Alle Ressourcen müssen sich in der angegebenen Region befinden. Wenn Sie beispielsweise für den Standort der Steuerungsebene us auswählen, müssen sich die anderen Apigee-Ressourcen wie die Laufzeitinstanz, die auf CMEK, den Endpunktanhang usw. verweist, ebenfalls in der Region us befinden.

    Konsole für die Gerichtsbarkeit verwenden

    Wenn Sie Apigee mit dem erweiterten Datenstandort bereitstellen oder verwenden, müssen Sie eine der Google Cloud Konsolen verwenden, um auf die Apigee-Benutzeroberfläche zuzugreifen. Das hängt von Ihrem Standort ab.

    Die Konsolen-URL für die Gerichtsbarkeit für die Region USA lautet beispielsweise: console.us.cloud.google.com

    Wenn Sie Apigee mit dem Datenstandort im Ruhezustand bereitstellen oder verwenden, können Sie entweder die globale oder die Gerichtsbarkeitskonsole verwenden. Damit Sie die Gerichtsbarkeitskonsole verwenden können, muss die Apigee-Organisation an einem der unterstützten Standorte bereitgestellt worden sein.

    Die Verwendung der Google Cloud Console bietet folgende Vorteile:

    • Die Bereitstellungs-UI wird vereinfacht, indem der Speicherort der Steuerungsebene automatisch festgelegt und die Regionsauswahlen entsprechend gefiltert werden.
    • Ändert die UI-Interaktionen mit Google Cloud-Diensten basierend auf den Anforderungen an den Datenspeicherort, z. B. durch Filtern von Regionsauswahlen und der für Dienstendpunktanhänge verfügbaren Optionen, um zu verhindern, dass Apigee über Private Service Connect (PSC) eine Verbindung zu einem privaten Ziel herstellt, wenn sich das Ziel außerhalb der zulässigen Region befindet.

    Informationen zum Zugriff auf die Konsole für die Gerichtsbarkeit finden Sie unter Konsole für die Gerichtsbarkeit. Google Cloud

    Regionale Endpunkte für Datenresidenz verwenden

    Ein Dienstendpunkt oder Hostname ist eine Basis-URL, die die Netzwerkadresse eines API-Dienstes angibt. Der Apigee API-Dienstendpunkt ist apigee.googleapis.com. Dies ist der globale Endpunkt, der verwendet wird, wenn der Datenstandort nicht unterstützt wird.

    Um den Datenstandort zu unterstützen, müssen Sie regionale Endpunkte verwenden. In den folgenden Abschnitten wird beschrieben, wie Sie regionale Endpunkte für Datenstandort nur für ruhende Daten und erweiterten Datenstandort verwenden.

    Regionale Endpunkte nur für den Datenstandort ruhender Daten verwenden

    Wenn Sie nur mit Datenstandort im Ruhezustand auf die Apigee API zugreifen möchten, verwenden Sie den folgenden regionalen Endpunkt: CONTROL_PLANE_LOCATION-apigee.googleapis.com

    Dabei ist CONTROL_PLANE_LOCATION der physische Standort, an dem die Daten der Apigee-Steuerungsebene gespeichert werden. Eine Liste der verfügbaren Standorte der Steuerungsebene finden Sie unter Apigee-Standorte.

    Das folgende Beispiel zeigt den curl-Aufruf, mit dem eine Organisation über den regionalen Endpunkt für die USA erstellt wird: 

    curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...

    Regionale Endpunkte für erweiterte Datenresidenz verwenden

    Verwenden Sie den folgenden regionalen Endpunkt, um mit erweitertem Datenstandort auf die Apigee API zuzugreifen:

    apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com

    Dabei ist CONTROL_PLANE_LOCATION der physische Speicherort, an dem die Daten der Apigee-Steuerungsebene gespeichert werden.

    In der folgenden Liste sind die unterstützten Standorte der Steuerungsebene und die entsprechenden regionalen Endpunkte aufgeführt:

    Standort Regionaler Endpunkt
    USA (US) apigee.us.rep.googleapis.com
    Europäische Union (EU) apigee.eu.rep.googleapis.com
    Indien (IN) apigee.in.rep.googleapis.com

    Das folgende Beispiel zeigt den curl-Aufruf, mit dem eine Organisation über den regionalen Endpunkt für die USA erstellt wird: 

    curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...

    Verschlüsselung und Datenstandort

    Standardmäßig verschlüsselt Google Cloud Daten im Ruhezustand automatisch mit Verschlüsselungsschlüsseln,die Google gehören und von Google verwaltet werden. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Weitere Informationen finden Sie unter Einführung in CMEK.

    Einschränkungen für Organisationsrichtlinien mit dem Datenstandort verwenden

    Mit den Einschränkungen für Organisationsrichtlinien vonGoogle Cloudkönnen Sie eine Reihe von Standorten definieren, an denen standortbezogene Google Cloud Ressourcen für Ihre Google Cloud Organisation erstellt werden können. Wenn Sie eine Google Cloud- Organisationsrichtlinie haben, die eine Einschränkung des Ressourcenstandorts (constraints/gcp.resourceLocations) verwendet, gilt die Einschränkung für die folgenden Apigee-Ressourcen, die bei der Bereitstellung von Apigee erstellt werden:

    Wenn Sie eine neue Apigee-Organisation in einem Google Cloud -Projekt mit einer angewendeten Einschränkung des Ressourcenstandorts bereitstellen, müssen Sie dafür sorgen, dass die Einschränkung des Standorts mit dem für Ihre Apigee-Organisation angegebenen Standort der Steuerungsebene kompatibel ist:

    • Wenn Sie eine Apigee-Organisation ohne Datenstandort bereitstellen, muss die Einschränkung des Ressourcenstandorts in Ihrer Google Cloud Organisationsrichtlinie auf global festgelegt sein. Da die Apigee-Steuerungsebene standardmäßig eine globale Entität ist, schlägt die Bereitstellung fehl, wenn eine andere Einschränkung als global angewendet wird.
    • Wenn Sie eine Apigee-Organisation mit Datenstandort bereitstellen, stellen Sie sicher, dass jegliche in Ihrer Google Cloud Organisationsrichtlinie festgelegte Einschränkung des Ressourcenstandorts die Region nicht ausschließt, die Sie für die Daten Ihrer Steuerungsebene auswählen. Andernfalls schlägt die Bereitstellung fehl.

    Datenstandort und FedRAMP-Compliance

    Apigee ist als FedRAMP High-Dienst für Organisationen autorisiert, für die der Speicherort der Daten aktiviert ist. Wenn Sie den Datenstandort beim Bereitstellen einer Apigee-Abo- oder Pay-as-you-go-Organisation aktivieren, fallen die folgenden Dienste unter die FedRAMP-Betriebsgenehmigung (Authority To Operate, ATO) von Apigee:

    Die folgenden Apigee-Angebote fallen nicht unter die FedRAMP-ATO von Apigee:

    Weitere Informationen zur Bedeutung einer FedRAMP-ATO finden Sie unter FedRAMP-Compliance.

    VPC Service Controls mit Datenstandort verwenden

    Wenn Sie VPC Service Controls mit Datenlokalisierung im Ruhezustand verwenden möchten, müssen Sie den folgenden regionalen Endpunkt verwenden: CONTROL_PLANE_LOCATION-apigee.googleapis.com

    Derzeit können Sie VPC Service Controls nicht mit erweitertem Datenstandort verwenden. Für die erweiterte Datenresidenz müssen Sie bei Verwendung des apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com-Endpunkts eine private Verbindung zwischen Apigee und Backend-Zieldiensten über Private Service Connect herstellen.