Pour de nombreux secteurs et entreprises, l'utilisation d'une offre cloud permet de renforcer la surveillance des équipes de sécurité et de conformité. Voici quelques questions fréquemment posées :
- Où les données sont-elles stockées ?
- Quelles données sont stockées dans le cloud ?
- Qui a accès aux données ?
- Comment les données sont-elles traitées lors du traitement ou de la transmission ?
En outre, de nombreux pays ont adopté des lois sur la confidentialité des données qui interdisent le stockage des informations permettant d'identifier personnellement l'utilisateur (PII) en dehors du pays ou de la région.
Ce document décrit la résidence des données pour Apigee et explique comment elle vous aide à répondre aux exigences de conformité et réglementaires.
Présentation
La résidence des données pour Apigee répond aux exigences de conformité et réglementaires en vous permettant de spécifier les emplacements géographiques (régions) où les données Apigee sont :
- Stockées (au repos)
- Traité (en cours d'utilisation)
- Transmises (en transit)
Vous activez la résidence des données lorsque vous provisionnez une organisation Apigee. Lors du provisionnement, vous sélectionnez la région dans laquelle tout le contenu client est stocké. Consultez Configurer la résidence des données pour votre organisation.
Une fois l'organisation Apigee provisionnée avec la résidence des données, les administrateurs de l'organisation Apigee doivent effectuer les opérations suivantes :
- Informer les utilisateurs Apigee, y compris les développeurs d'API et d'autres administrateurs, de la configuration et des exigences concernant la résidence des données. Les utilisateurs d'Apigee doivent suivre les consignes de la section Utiliser Apigee avec la résidence des données.
- Définissez la règle d'administration de l'emplacement comme décrit dans la section Limiter les emplacements des ressources.
Veuillez noter les points suivants :
- Vous ne pouvez pas activer la résidence des données pour une organisation Apigee déjà provisionnée.
- Par défaut, le plan de contrôle est une entité globale, sauf si vous sélectionnez la résidence des données (régionalisation) au moment de la création de l'organisation Apigee.
- Une fois que vous avez sélectionné la résidence des données et l'emplacement du plan de contrôle, vous ne pouvez plus les modifier. Si vous avez besoin d'un autre emplacement ultérieurement, vous devrez créer un autre projet Google Cloud .
Consultez également Google Cloud Services avec résidence des données.
À propos de la résidence des données avancée
La résidence avancée des données fait référence aux exigences de conformité et réglementaires pour les données en cours de traitement (en cours d'utilisation) ou de transmission (en transit), en plus de celles stockées (au repos).
Pour respecter la résidence avancée des données, vous devez effectuer les actions suivantes lorsque vous configurez et utilisez Apigee.
| Créer une charge de travail Assured Workloads | Provisionner votre organisation | Utiliser Apigee |
|---|---|---|
| Un administrateur Google Cloud crée un dossier Assured Workloads dans l'organisation Google Cloud et applique un package de contrôles.
Le package de contrôles définit automatiquement l'emplacement du plan de contrôle et les contraintes des règles d'administration qui appliquent les limites régionales des données.
Consultez Créer un dossier Assured Workloads. |
L'administrateur de l'organisation Apigee provisionne votre organisation payante avec une résidence des données avancée à l'aide de la console juridictionnelle basée sur la localisation pour accéder à l'interface utilisateur Apigee ou du point de terminaison régional pour accéder aux API Apigee.
Consultez Configurer la résidence avancée des données pour votre organisation. |
Les utilisateurs Apigee utilisent la console juridictionnelle pour accéder à l'interface utilisateur Apigee ou le point de terminaison régional pour accéder aux API. |
Compatibilité avec la résidence des données
Le tableau suivant récapitule les fonctionnalités compatibles et non compatibles avec Apigee et la résidence des données.
| Compatible | Non compatible |
|---|---|
|
|
Conformité FedRAMP et résidence des données
Apigee est autorisé en tant que service FedRAMP (niveau d'impact élevé) pour les organisations où la résidence des données est activée. Si vous choisissez d'activer la résidence des données lors du provisionnement d'une organisation Apigee avec abonnement ou paiement à l'usage, les services suivants sont concernés par l'autorisation d'exploitation (ATO) FedRAMP d'Apigee :
- Plan de contrôle, plan d'exécution et analyses de l'organisation Apigee régionalisée.
- Le plan de contrôle et les analyses de l'organisation hybride Apigee régionalisée.
Les offres Apigee suivantes ne sont pas concernées par l'ATO FedRAMP d'Apigee :
- Analyse des API
- Advanced API Security
- Portails intégrés
- Organisations d'évaluation Apigee
- Collecteurs de données Apigee
Résidence des données Apigee hybrid
À partir de la version 1.12 d'Apigee hybrid, vous pouvez configurer de nouvelles installations Apigee hybrid pour utiliser la résidence des données. Consultez la section Utiliser la résidence des données avec Apigee hybrid.
Apigee hybrid version 1.14.0 et ultérieures avec la résidence des données activée sont compatibles avec Advanced API Security, Apigee API Analytics et l'outil de débogage.
Choisir des régions pour la résidence des données
Vous choisissez les régions (emplacement physique) pour les données du plan de contrôle en fonction de vos exigences de résidence des données, comme suit :
| Exigences concernant la résidence des données | Choisir une région |
| Résidence des données au repos uniquement | Lors du provisionnement de votre organisation Apigee, votre administrateur Apigee définit l'emplacement du plan de contrôle sur la région requise (par exemple, us). Consultez Provisionner votre organisation avec la résidence des données au repos uniquement.
|
| Résidence avancée des données (en cours d'utilisation et en transit) | Lorsque vous créez un dossier Assured Workloads pour l'organisation Google Cloud , votre administrateur Google Cloud sélectionne un package de contrôles pour définir les limites régionales des données. Lors du provisionnement, l'emplacement du plan de contrôle est défini automatiquement et les autres emplacements sont filtrés en fonction du package de contrôle sélectionné. Consultez Configurer la résidence avancée des données pour votre organisation. |
Lors du provisionnement, vous devez également spécifier une seule région (par exemple, us-west1) pour les autres services destinés aux consommateurs qui ne peuvent s'exécuter que dans une seule région, comme les rapports Analytics.
Toutes les ressources doivent se trouver dans la région spécifiée. Par exemple, si vous sélectionnez us pour l'emplacement du plan de contrôle, les autres ressources Apigee, telles que l'instance d'exécution, qui font référence à CMEK, au rattachement de point de terminaison, etc., doivent aussi se trouver dans la région us.
Utiliser la console juridictionnelle
Lorsque vous provisionnez ou utilisez Apigee avec la résidence des données avancée, vous devez utiliser l'une des consoles Google Cloud juridictionnelles pour accéder à l'interface utilisateur Apigee en fonction de votre emplacement.
Par exemple, l'URL de la console juridictionnelle pour la région des États-Unis est la suivante :
console.us.cloud.google.com
Lorsque vous provisionnez ou utilisez Apigee avec la résidence des données au repos uniquement, vous pouvez utiliser la console globale ou celle de la juridiction. Pour utiliser la console juridictionnelle, l'organisation Apigee doit avoir été provisionnée dans l'un des emplacements acceptés.
Voici les avantages de l'utilisation de la console Google Cloud juridictionnelle :
- Simplifie l'interface utilisateur de provisionnement en définissant automatiquement l'emplacement du plan de contrôle et en filtrant les sélecteurs de région en conséquence.
- Modifie les interactions de l'UI avec les services Google Cloud en fonction des exigences de résidence des données, par exemple en filtrant les sélecteurs de région et les options disponibles pour les rattachements de points de terminaison de service afin d'empêcher Apigee de se connecter à une cible privée à l'aide de Private Service Connect (PSC) si la cible se trouve en dehors de la région autorisée.
Pour savoir comment accéder à la console juridictionnelle, consultez Console Google Cloud juridictionnelle.
Utiliser des points de terminaison régionaux pour la résidence des données
Un point de terminaison de service, ou nom d'hôte, est une URL de base qui spécifie l'adresse réseau d'un service d'API. Le point de terminaison du service d'API Apigee est apigee.googleapis.com. Il s'agit du point de terminaison global utilisé lorsque la résidence des données n'est pas prise en charge.
Pour prendre en charge la résidence des données, vous devez utiliser des points de terminaison régionaux. Les sections suivantes décrivent comment utiliser les points de terminaison régionaux pour la résidence des données au repos uniquement et la résidence avancée des données.
Utiliser des points de terminaison régionaux pour la résidence des données au repos uniquement
Pour accéder à l'API Apigee avec la résidence des données au repos uniquement, utilisez le point de terminaison régional suivant :
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Où CONTROL_PLANE_LOCATION est l'emplacement physique dans lequel les données du plan de contrôle Apigee seront stockées. Pour obtenir la liste des emplacements du plan de contrôle disponibles, consultez la section Emplacements Apigee.
Par exemple, la commande curl suivante permet de créer une organisation à l'aide du point de terminaison régional pour les États-Unis :
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Utiliser des points de terminaison régionaux pour une résidence des données avancée
Pour accéder à l'API Apigee avec la résidence avancée des données, utilisez le point de terminaison régional suivant :
apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
Où CONTROL_PLANE_LOCATION est l'emplacement physique où sont stockées les données du plan de contrôle Apigee.
Vous trouverez ci-dessous la liste des emplacements du plan de contrôle compatibles et des points de terminaison régionaux correspondants :
| Emplacement | Point de terminaison régional |
| États-Unis (US) | apigee.us.rep.googleapis.com
|
| Union européenne (UE) | apigee.eu.rep.googleapis.com
|
| Inde (IN) | apigee.in.rep.googleapis.com
|
Par exemple, la commande curl suivante permet de créer une organisation à l'aide du point de terminaison régional pour les États-Unis :
curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Chiffrement et résidence des données
Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés de chiffrement détenues et gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK). Consultez la page Présentation de CMEK.
Utiliser des contraintes de règles d'administration avec la résidence des données
Les
contraintes liées aux règles d'administration deGoogle Cloudpermettent de définir un ensemble d'emplacements pour lesquels des ressources Google Cloud basées sur l'emplacement peuvent être créées pour votre organisation Google Cloud . Si vous disposez d'une
règle d'administration Google Cloudqui utilise une contrainte d'emplacement de ressource (constraints/gcp.resourceLocations), cette contrainte s'applique aux ressources Apigee qui ont été créées lors du provisionnement d'Apigee :
- Plan de contrôle
- Données client
- Environnement d'exécution
- Rattachement de points de terminaison
- Analytics
Si vous provisionnez une nouvelle organisation Apigee dans un projet Google Cloud en appliquant une contrainte d'emplacement de ressource, vous devez vous assurer que cette contrainte d'emplacement est compatible avec l'emplacement du plan de contrôle spécifié pour votre organisation Apigee :
- Si vous provisionnez une organisation Apigee sans résidence des données, la contrainte d'emplacement de ressource dans votre règle d'administration Google Cloud doit être définie sur
global. Étant donné que le plan de contrôle Apigee est par défaut une entité globale, le provisionnement échouera si une contrainte autre queglobalest appliquée. - Si vous provisionnez une organisation Apigee avec résidence des données, vérifiez que toute contrainte d'emplacement de ressource potentiellement définie dans votre règle d'administration Google Cloud n'exclut pas la région que vous allez sélectionner pour vos données du plan de contrôle. Sinon, le provisionnement va échouer.
Résidence des données et conformité FedRAMP
Apigee est autorisé en tant que service FedRAMP (niveau d'impact élevé) pour les organisations où la résidence des données est activée. Si vous choisissez d'activer la résidence des données lors du provisionnement d'une organisation Apigee avec abonnement ou paiement à l'usage, les services suivants sont concernés par l'autorisation d'exploitation (ATO) FedRAMP d'Apigee :
- Plan de contrôle, plan d'exécution et analyses de l'organisation Apigee régionalisée.
- Le plan de contrôle et les analyses de l'organisation hybride Apigee régionalisée.
Les offres Apigee suivantes ne sont pas concernées par l'ATO FedRAMP d'Apigee :
- Analyse des API
- Advanced API Security
- Portails intégrés
- Organisations d'évaluation Apigee
- Collecteurs de données Apigee
Utiliser VPC Service Controls avec la résidence des données
Pour utiliser VPC Service Controls avec la résidence des données au repos, vous devez utiliser le point de terminaison régional suivant :
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Pour le moment, vous ne pouvez pas utiliser VPC Service Controls avec la résidence avancée des données.
Pour la résidence des données avancée, l'utilisation du point de terminaison apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com vous obligera à créer une connexion privée entre Apigee et les services cibles de backend à l'aide de Private Service Connect.