Per molti settori verticali e imprese, l'utilizzo di un'offerta cloud comporta un maggiore controllo da parte dei team di sicurezza e conformità. Di seguito sono riportate alcune domande frequenti:
- Dove vengono archiviati i dati?
- Quali dati vengono archiviati nel cloud?
- Chi ha accesso ai dati?
- Come vengono gestiti i dati durante l'elaborazione o la trasmissione?
Inoltre, molti paesi hanno approvato leggi sulla privacy dei dati che vietano l'archiviazione di informazioni che consentono l'identificazione personale (PII) al di fuori del paese o della regione.
Questo documento descrive la residenza dei dati per Apigee e come ti aiuta a soddisfare i requisiti di conformità e normativi.
Panoramica
La residenza dei dati per Apigee soddisfa i requisiti di conformità e normativi consentendoti di specificare le posizioni geografiche (regioni) in cui i dati di Apigee vengono:
- Memorizzati (a riposo)
- Elaborato (in uso)
- Trasmessa (in transito)
Abiliti la residenza dei dati durante il provisioning di un'organizzazione Apigee. Durante il provisioning, seleziona la regione in cui vengono archiviati tutti i contenuti dei clienti. Vedi Eseguire il provisioning della tua organizzazione con la residenza dei dati.
Una volta eseguito il provisioning dell'organizzazione Apigee con la residenza dei dati, gli amministratori dell'organizzazione Apigee devono:
- Informa gli utenti di Apigee, inclusi gli sviluppatori di API e altri amministratori, in merito alla configurazione e ai requisiti di residenza dei dati. Gli utenti Apigee devono seguire le linee guida riportate in Utilizzare Apigee con la residenza dei dati.
- Imposta la policy dell'organizzazione relativa alla località come descritto in Limitazione delle località delle risorse.
Tieni presente quanto segue:
- Non puoi attivare la residenza dei dati per un'organizzazione Apigee di cui è già stato eseguito il provisioning.
- Per impostazione predefinita, il control plane è un'entità globale, a meno che tu non selezioni la residenza dei dati (regionalizzazione) al momento della creazione dell'organizzazione Apigee.
- Una volta selezionata la residenza dei dati e la posizione del control plane, non è possibile modificarle. Se in un secondo momento hai bisogno di una posizione diversa, dovrai creare un nuovo progetto Google Cloud .
Vedi anche Google Cloud Servizi con residenza dei dati.
Informazioni sulla residenza dei dati avanzata
La residenza dei dati avanzata si riferisce ai requisiti di conformità e normativi per i dati che vengono elaborati (in uso) o trasmessi (in transito) oltre a essere archiviati (a riposo).
Per rispettare la residenza dei dati avanzata, quando configuri e utilizzi Apigee sono necessarie le seguenti azioni.
| Creazione Assured Workloads | Esegui il provisioning della tua organizzazione | Utilizzare Apigee |
|---|---|---|
| L'amministratore Google Cloud crea una cartella Assured Workloads
nell'organizzazione Google Cloud e applica un pacchetto di controlli.
Il pacchetto di controlli imposta automaticamente la posizione del control plane e
i vincoli dei criteri dell'organizzazione che applicano i limiti regionali dei dati.
Consulta Creare una cartella Assured Workloads. |
L'amministratore dell'organizzazione Apigee esegue il provisioning della tua organizzazione a pagamento con la residenza dei dati avanzata
utilizzando la console giurisdizionale basata sulla località
per accedere alla UI di Apigee o all'endpoint regionale
per accedere alle API Apigee.
Vedi Eseguire il provisioning della tua organizzazione con la residenza dei dati avanzata. |
Gli utenti Apigee utilizzano la console giurisdizionale per accedere alla UI di Apigee o all'endpoint regionale per accedere alle API. |
Supporto per la residenza dei dati
La tabella seguente riepiloga le funzionalità supportate e non supportate per Apigee con residenza dei dati.
| Supportato | Non supportata |
|---|---|
|
|
Conformità FedRAMP e residenza dei dati
Apigee è autorizzato come servizio FedRAMP High per le organizzazioni in cui è abilitata la residenza dei dati. Se scegli di attivare la residenza dei dati durante il provisioning di un'organizzazione Apigee con abbonamento o con pagamento a consumo, i seguenti servizi rientrano nell'ambito dell'autorizzazione all'operatività (ATO) FedRAMP di Apigee:
- Control plane, runtime plane e analisi dell'organizzazione Apigee regionalizzata.
- Il control plane e l'analisi dell'organizzazione Apigee Hybrid regionalizzata.
Le seguenti offerte Apigee non rientrano nell'ambito dell'ATO FedRAMP di Apigee:
- Analisi delle API
- Advanced API Security
- Portali integrati
- Organizzazioni di valutazione Apigee
- Data collector Apigee
Residenza dei dati di Apigee hybrid
Puoi configurare le nuove installazioni di Apigee hybrid per utilizzare la residenza dei dati a partire dalla versione 1.12 di hybrid. Consulta Utilizzo della residenza dei dati con Apigee Hybrid.
Apigee Hybrid versione 1.14.0 e successive con la residenza dei dati abilitata supporta Advanced API Security, Apigee API Analytics e lo strumento di debug.
Scegliere le regioni per la residenza dei dati
Scegli le regioni (posizione fisica) per i dati del control plane in base ai tuoi requisiti di residenza dei dati come segue:
| Requisiti per la residenza dei dati | Come scegliere la regione |
| Residenza dei dati a riposo soltanto | Durante il provisioning della tua organizzazione Apigee, l'amministratore Apigee imposta la
posizione del control plane sulla regione richiesta (ad esempio, us).
Consulta Eseguire il provisioning
della tua organizzazione con la residenza dei dati solo a riposo.
|
| Residenza dei dati avanzata (in uso e in transito) | Quando crei una cartella Assured Workloads per l'organizzazione Google Cloud , il tuo Google Cloud amministratore seleziona un pacchetto di controlli per definire i limiti regionali dei dati. Durante il provisioning, la posizione del control plane viene impostata automaticamente e le altre posizioni vengono filtrate in base al pacchetto di controllo selezionato. Vedi Eseguire il provisioning della tua organizzazione con la residenza dei dati avanzata. |
Durante il provisioning, devi anche specificare una singola regione
(ad esempio us-west1) per altri servizi consumer
che possono essere eseguiti solo in una singola regione, come i report di Analytics.
Tutte le risorse devono trovarsi all'interno della regione specificata. Ad esempio, se selezioni us per la posizione del control plane, anche le altre risorse Apigee, come l'istanza di runtime, che fanno riferimento a CMEK, all'allegato dell'endpoint e così via, devono trovarsi nella regione us.
Utilizzare la console giurisdizionale
Quando esegui il provisioning o utilizzi Apigee con la residenza dei dati avanzata, devi utilizzare una delle console giurisdizionali Google Cloud per accedere all'interfaccia utente di Apigee in base alla tua posizione.
Ad esempio, l'URL della console giurisdizionale per la regione Stati Uniti è:
console.us.cloud.google.com
Quando esegui il provisioning o utilizzi Apigee con la residenza dei dati solo at-rest, puoi utilizzare la console globale o quella giurisdizionale. Per utilizzare la console giurisdizionale, l'organizzazione Apigee deve essere stata provisionata in una delle località supportate.
I vantaggi dell'utilizzo della console Google Cloud giurisdizionale sono i seguenti:
- Semplifica l'interfaccia utente di provisioning impostando automaticamente la posizione del control plane e filtrando di conseguenza i selettori di regione.
- Modifica le interazioni dell'interfaccia utente con i servizi Google Cloud in base ai requisiti di residenza dei dati, ad esempio filtrando i selettori di regione e le opzioni disponibili per i collegamenti degli endpoint di servizio per impedire ad Apigee di connettersi a una destinazione privata utilizzando Private Service Connect (PSC) se la destinazione si trova al di fuori della regione consentita.
Per informazioni su come accedere alla console giurisdizionale, vedi Console Google Cloud giurisdizionale.
Utilizzare endpoint regionali per la residenza dei dati
Un endpoint di servizio, o nome host,
è un URL di base che specifica l'indirizzo di rete di un servizio API. L'endpoint del servizio
API Apigee è
apigee.googleapis.com. Questo è l'endpoint globale utilizzato quando la residenza dei dati
non è supportata.
Per supportare la residenza dei dati, devi utilizzare endpoint regionali. Le sezioni seguenti descrivono come utilizzare gli endpoint regionali per la residenza dei dati a riposo e la residenza dei dati avanzata.
Utilizzare endpoint regionali solo per la residenza dei dati a riposo
Per accedere all'API Apigee con la residenza dei dati a riposo, utilizza il seguente endpoint regionale:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Dove CONTROL_PLANE_LOCATION è la posizione fisica in cui verranno archiviati i dati del control plane Apigee. Per un elenco delle località del control plane disponibili, consulta Località Apigee.
Ad esempio, di seguito è riportata la chiamata curl utilizzata per creare un'organizzazione utilizzando l'endpoint regionale per gli Stati Uniti:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Utilizzare endpoint regionali per la residenza dei dati avanzata
Per accedere all'API Apigee con residenza dei dati avanzata, utilizza il seguente endpoint regionale:
apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
Dove CONTROL_PLANE_LOCATION è la posizione fisica in cui sono archiviati i dati del control plane Apigee.
Di seguito sono elencate le località del control plane supportate e i relativi endpoint regionali:
| Località | Endpoint regionale |
| Stati Uniti (US) | apigee.us.rep.googleapis.com
|
| Unione Europea (UE) | apigee.eu.rep.googleapis.com
|
| India (IN) | apigee.in.rep.googleapis.com
|
Ad esempio, di seguito è riportata la chiamata curl utilizzata per creare un'organizzazione utilizzando l'endpoint regionale per gli Stati Uniti:
curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Crittografia e residenza dei dati
Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono a riposo utilizzando chiavi di crittografia di proprietà di Google e gestite da Google. Se hai requisiti specifici di conformità o normativi relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Consulta la sezione Introduzione a CMEK.
Utilizzare i vincoli dei criteri dell'organizzazione con la residenza dei dati
I
vincoli dei criteri dell'organizzazione diGoogle Cloudconsentono di definire un insieme di località in cui è possibile creare risorse Google Cloud basate sulla località per la tua organizzazione Google Cloud . Se hai una Google Cloud
policy dell'organizzazione che utilizza un
vincolo di località delle risorse
(constraints/gcp.resourceLocations),
il vincolo si applicherà alle seguenti risorse Apigee create durante il provisioning di Apigee:
Se stai eseguendo il provisioning di una nuova organizzazione Apigee all'interno di un progetto Google Cloud con un vincolo di località delle risorse applicato, devi assicurarti che il vincolo di località sia compatibile con la località del control plane specificata per la tua organizzazione Apigee:
- Se esegui il provisioning di un'organizzazione Apigee senza residenza dei dati, il
vincolo di località delle risorse nella
policy dell'organizzazione Google Cloud deve essere impostato su
global. Poiché il control plane Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicato un vincolo diverso daglobal. - Se esegui il provisioning di un'organizzazione Apigee con la residenza dei dati, verifica che qualsiasi vincolo di località delle risorse che potrebbe essere impostato nel criterio dell'organizzazione Google Cloud non escluda la regione selezionata per i dati del control plane. In caso contrario, il provisioning non riuscirà.
Residenza dei dati e conformità FedRAMP
Apigee è autorizzato come servizio FedRAMP High per le organizzazioni in cui è abilitata la residenza dei dati. Se scegli di attivare la residenza dei dati durante il provisioning di un'organizzazione Apigee con abbonamento o con pagamento a consumo, i seguenti servizi rientrano nell'ambito dell'autorizzazione all'operatività (ATO) FedRAMP di Apigee:
- Control plane, runtime plane e analisi dell'organizzazione Apigee regionalizzata.
- Il control plane e l'analisi dell'organizzazione Apigee Hybrid regionalizzata.
Le seguenti offerte Apigee non rientrano nell'ambito dell'ATO FedRAMP di Apigee:
- Analisi delle API
- Advanced API Security
- Portali integrati
- Organizzazioni di valutazione Apigee
- Data collector Apigee
Utilizzare i Controlli di servizio VPC con la residenza dei dati
Per utilizzare Controlli di servizio VPC con la residenza dei dati a riposo, devi utilizzare il seguente
endpoint regionale:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Al momento non puoi utilizzare i Controlli di servizio VPC con
la residenza dei dati avanzata.
Per la residenza dei dati avanzata, l'utilizzo dell'endpoint apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
richiederà la creazione di una connessione privata tra
Apigee e i servizi di destinazione di backend
utilizzando Private Service Connect.