Bagi banyak vertikal industri dan perusahaan, penggunaan penawaran cloud akan meningkatkan pengawasan dari tim keamanan dan kepatuhan. Pertanyaan berikut sering diajukan:
- Di mana data disimpan?
- Data apa yang disimpan di cloud?
- Siapa yang memiliki akses ke data?
- Bagaimana data ditangani selama pemrosesan atau transmisi?
Selain itu, banyak negara telah mengesahkan hukum privasi data yang melarang data Informasi Identitas Pribadi (PII) disimpan di luar negara atau wilayah tersebut.
Dokumen ini menjelaskan residensi data untuk Apigee dan cara membantu Anda memenuhi persyaratan kepatuhan dan peraturan.
Ringkasan
Residensi data untuk Apigee memenuhi persyaratan kepatuhan dan peraturan dengan memungkinkan Anda menentukan lokasi geografis (region) tempat data Apigee:
- Disimpan (saat istirahat)
- Diproses (sedang digunakan)
- Ditransmisikan (dalam transit)
Anda mengaktifkan residensi data saat menyediakan organisasi Apigee. Selama penyediaan, Anda memilih region tempat semua konten pelanggan disimpan. Lihat Menyediakan residensi data untuk organisasi Anda.
Setelah organisasi Apigee disediakan dengan residensi data, admin organisasi Apigee harus melakukan hal berikut:
- Memberi tahu pengguna Apigee, termasuk developer API dan admin lainnya, tentang konfigurasi dan persyaratan residensi data. Pengguna Apigee harus mengikuti panduan di Menggunakan Apigee dengan residensi data.
- Tetapkan kebijakan organisasi lokasi seperti yang dijelaskan dalam Membatasi lokasi resource.
Perhatikan hal berikut:
- Anda tidak dapat mengaktifkan aset data untuk organisasi Apigee yang sudah disediakan.
- Secara default, bidang kontrol adalah entitas global kecuali jika Anda memilih residensi data (regionalisasi) pada saat organisasi Apigee dibuat.
- Setelah Anda memilih residensi data dan lokasi panel kontrol, keduanya tidak dapat diubah. Jika Anda memerlukan lokasi yang berbeda di kemudian hari, Anda harus membuat project Google Cloud baru.
Lihat juga Google Cloud Layanan dengan Residensi Data.
Tentang residensi data lanjutan
Residensi data tingkat lanjut mengacu pada persyaratan kepatuhan dan peraturan untuk data yang sedang diproses (dalam penggunaan) atau dikirimkan (dalam pengiriman) selain disimpan (dalam penyimpanan).
Untuk mematuhi residensi data lanjutan, tindakan berikut diperlukan saat menyiapkan dan menggunakan Apigee.
| Membuat Assured Workloads | Menyediakan organisasi Anda | Menggunakan Apigee |
|---|---|---|
| Admin Google Cloud membuat folder Assured Workloads di organisasi Google Cloud dan menerapkan paket kontrol. Paket kontrol otomatis menetapkan lokasi bidang kontrol dan batasan kebijakan organisasi yang menerapkan batas data regional. | Admin organisasi Apigee menyediakan organisasi berbayar Anda dengan residensi data lanjutan
menggunakan konsol yurisdiksi berbasis lokasi
untuk mengakses UI Apigee atau endpoint regional
untuk mengakses Apigee API.
Lihat Menyediakan residensi data lanjutan untuk organisasi Anda. |
Pengguna Apigee menggunakan konsol yurisdiksi untuk mengakses UI Apigee atau endpoint regional untuk mengakses API. |
Dukungan untuk residensi data
Tabel berikut merangkum fitur yang didukung dan tidak didukung untuk Apigee dengan residensi data.
| Didukung | Tidak didukung |
|---|---|
|
|
Kepatuhan terhadap FedRAMP dan residensi data
Apigee diizinkan sebagai layanan FedRAMP High untuk organisasi yang mengaktifkan residensi data. Jika Anda memilih untuk mengaktifkan residensi data saat menyediakan organisasi Berlangganan atau Bayar sesuai penggunaan Apigee, layanan berikut termasuk dalam cakupan Otorisasi untuk Beroperasi (ATO) FedRAMP Apigee:
- Bidang kontrol, bidang runtime, dan analisis organisasi Apigee yang diregionalisasi.
- Bidang kontrol dan analisis organisasi hybrid Apigee yang diregionalisasi.
Penawaran Apigee berikut tidak termasuk dalam cakupan ATO FedRAMP Apigee:
- Analisis API
- Advanced API Security
- Portal terintegrasi
- Organisasi evaluasi Apigee
- Pengumpul data Apigee
Residensi data Apigee Hybrid
Anda dapat mengonfigurasi penginstalan Apigee hybrid baru untuk menggunakan residensi data, mulai dari versi hybrid 1.12. Lihat Menggunakan residensi data dengan Apigee Hybrid.
Apigee hybrid versi 1.14.0 dan yang lebih baru dengan pengaktifan residensi data mendukung Advanced API Security, Analytics API Apigee, dan alat Debug.
Memilih region untuk residensi data
Anda memilih region (lokasi fisik) untuk data control plane berdasarkan persyaratan residensi data Anda sebagai berikut:
| Persyaratan residensi data | Cara memilih wilayah |
| Residensi data dalam penyimpanan saja | Saat menyediakan organisasi Apigee, admin Apigee Anda akan menetapkan
lokasi bidang kontrol ke region yang diperlukan (misalnya, us).
Lihat Menyediakan
organisasi Anda dengan residensi data dalam penyimpanan saja.
|
| Residensi data tingkat lanjut (dalam penggunaan dan dalam pengiriman) | Saat membuat folder Assured Workloads untuk Google Cloud organisasi, admin Google Cloud Anda memilih paket kontrol untuk menentukan batas data regional. Selama penyediaan, lokasi panel kontrol ditetapkan secara otomatis dan lokasi lain difilter berdasarkan paket kontrol yang dipilih. Lihat Menyediakan residensi data lanjutan untuk organisasi Anda. |
Selama penyediaan, Anda juga harus menentukan satu region
(misalnya, us-west1) untuk layanan konsumen lainnya
yang hanya dapat berjalan di satu region, seperti laporan Analytics.
Semua resource harus berada dalam region yang ditentukan. Misalnya, jika Anda
memilih us untuk lokasi bidang kontrol, resource Apigee lainnya,
seperti instance runtime, yang mereferensikan CMEK, lampiran endpoint, dan sebagainya,
juga harus berada dalam region us.
Menggunakan konsol wilayah hukum
Saat menyediakan atau menggunakan Apigee dengan residensi data lanjutan, Anda harus menggunakan salah satu konsol yurisdiksi untuk mengakses UI Apigee berdasarkan lokasi Anda. Google Cloud
Misalnya, URL konsol yurisdiksi untuk wilayah Amerika Serikat adalah:
console.us.cloud.google.com
Saat menyediakan atau menggunakan Apigee dengan lokasi data hanya saat disimpan, Anda dapat menggunakan konsol global atau konsol yurisdiksi. Untuk menggunakan konsol yurisdiksi, organisasi Apigee harus telah disediakan di salah satu lokasi yang didukung.
Berikut manfaat menggunakan konsol Google Cloud wilayah hukum:
- Menyederhanakan UI penyediaan dengan otomatis menyetel lokasi bidang kontrol dan memfilter pemilih region yang sesuai.
- Mengubah interaksi UI dengan layanan Google Cloud berdasarkan persyaratan residensi data, seperti memfilter pemilih region dan opsi yang tersedia untuk lampiran endpoint layanan untuk mencegah Apigee terhubung ke target pribadi menggunakan Private Service Connect (PSC) jika target berada di luar region yang diizinkan.
Untuk mengetahui informasi tentang cara mengakses konsol yurisdiksi, lihat Konsol Google Cloud yurisdiksi.
Menggunakan endpoint regional untuk residensi data
Endpoint layanan, atau nama host,
adalah URL dasar yang menentukan alamat jaringan layanan API. Endpoint layanan
Apigee API adalah
apigee.googleapis.com. Endpoint ini adalah endpoint global yang digunakan saat residensi data tidak didukung.
Untuk mendukung residensi data, Anda harus menggunakan endpoint regional. Bagian berikut menjelaskan cara menggunakan endpoint regional untuk retensi data dalam penyimpanan saja dan retensi data lanjutan.
Gunakan endpoint regional hanya untuk residensi data dalam penyimpanan
Untuk mengakses Apigee API dengan data yang disimpan dalam keadaan tidak aktif saja, gunakan endpoint regional berikut:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Dengan CONTROL_PLANE_LOCATION adalah lokasi fisik tempat data bidang kontrol Apigee akan disimpan. Untuk mengetahui daftar lokasi panel kontrol yang tersedia, lihat Lokasi Apigee.
Misalnya, berikut menunjukkan panggilan curl yang digunakan untuk membuat organisasi menggunakan endpoint regional untuk Amerika Serikat:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Menggunakan endpoint regional untuk residensi data lanjutan
Untuk mengakses Apigee API dengan residensi data lanjutan, gunakan endpoint regional berikut:
apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
Dengan CONTROL_PLANE_LOCATION adalah lokasi fisik tempat data bidang kontrol Apigee disimpan.
Berikut adalah daftar lokasi bidang kontrol yang didukung dan endpoint regional yang sesuai:
| Location | Regional endpoint |
| Amerika Serikat (AS) | apigee.us.rep.googleapis.com
|
| Uni Eropa (UE) | apigee.eu.rep.googleapis.com
|
| India (IN) | apigee.in.rep.googleapis.com
|
Misalnya, berikut menunjukkan panggilan curl yang digunakan untuk membuat organisasi menggunakan endpoint regional untuk Amerika Serikat:
curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Enkripsi dan residensi data
Secara default, Google Cloud secara otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dimiliki dan dikelola oleh Google. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Lihat Pengantar CMEK.
Menggunakan batasan kebijakan organisasi dengan residensi data
Batasan kebijakan organisasiGoogle Cloud's memungkinkan Anda menentukan serangkaian lokasi tempat resource berbasis lokasi Google Cloud dapat dibuat untuk organisasi Google Cloud Anda. Jika Anda memiliki Google Cloud
kebijakan organisasi yang menggunakan
batasan lokasi resource
(constraints/gcp.resourceLocations),
batasan tersebut akan berlaku untuk resource Apigee berikut yang dibuat saat Apigee disediakan:
Jika Anda menyediakan organisasi Apigee baru dalam project Google Cloud dengan batasan lokasi resource yang diterapkan, Anda harus memastikan bahwa batasan lokasi tersebut kompatibel dengan lokasi bidang kontrol yang ditentukan untuk organisasi Apigee Anda:
- Jika Anda menyediakan organisasi Apigee tanpa residensi data, batasan lokasi resource di kebijakan organisasi Google Cloud harus ditetapkan ke
global. Karena bidang kontrol Apigee adalah entitas global secara default, penyediaan akan gagal jika batasan selainglobalditerapkan. - Jika Anda menyediakan organisasi Apigee dengan residensi data, pastikan bahwa batasan lokasi resource yang mungkin ditetapkan dalam kebijakan Google Cloud organisasi Anda tidak mengecualikan region yang Anda pilih untuk data bidang kontrol. Jika tidak, penyediaan akan gagal.
Residensi data dan kepatuhan terhadap FedRAMP
Apigee diizinkan sebagai layanan FedRAMP High untuk organisasi yang mengaktifkan residensi data. Jika Anda memilih untuk mengaktifkan residensi data saat menyediakan organisasi Berlangganan atau Bayar sesuai penggunaan Apigee, layanan berikut termasuk dalam cakupan Otorisasi untuk Beroperasi (ATO) FedRAMP Apigee:
- Bidang kontrol, bidang runtime, dan analisis organisasi Apigee yang diregionalisasi.
- Bidang kontrol dan analisis organisasi hybrid Apigee yang diregionalisasi.
Penawaran Apigee berikut tidak termasuk dalam cakupan ATO FedRAMP Apigee:
- Analisis API
- Advanced API Security
- Portal terintegrasi
- Organisasi evaluasi Apigee
- Pengumpul data Apigee
Menggunakan Kontrol Layanan VPC dengan residensi data
Untuk menggunakan Kontrol Layanan VPC dengan residensi data saat tidak digunakan, Anda harus menggunakan endpoint regional berikut:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Saat ini, Anda tidak dapat menggunakan Kontrol Layanan VPC dengan
residency data lanjutan.
Untuk residensi data lanjutan, penggunaan endpoint apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
akan mengharuskan Anda membuat koneksi pribadi antara
Apigee dan layanan target backend
menggunakan Private Service Connect.