Introduzione alla residenza dei dati

Questo documento descrive la residenza dei dati per Apigee.

Panoramica

Per molti settori verticali e aziende, l'utilizzo di un'offerta cloud comporta un maggiore controllo da parte dei team di sicurezza e conformità (quali dati vengono archiviati nel cloud, dove vengono archiviati, chi ha accesso, chi può visualizzare i dati e così via). Inoltre, molti paesi hanno approvato leggi sulla privacy dei dati che vietano l'archiviazione dei dati delle informazioni che consentono l'identificazione personale (PII) al di fuori del paese o della regione.

La residenza dei dati per Apigee soddisfa i requisiti di conformità e normativi consentendoti di specificare le località geografiche (regioni) in cui vengono archiviati i dati di Apigee. Storicamente, Apigee ti consentiva di selezionare la regione dell'istanza e la regione di analisi; tuttavia, Apigee dispone anche di un'infrastruttura globale, come un bundle di proxy API o altri dati dei clienti. Con la residenza dei dati, la selezione della località del piano di controllo garantisce che tutti i contenuti dei clienti vengano archiviati nella regione specificata.

Apigee ha ottenuto l'autorizzazione FedRAMP High, soddisfacendo con successo gli standard richiesti per la residenza dei dati. Per ulteriori informazioni, vedi Residenza dei dati e conformità a FedRAMP.

Compatibilità della residenza dei dati

La residenza dei dati può essere utilizzata con quanto segue:

• Organizzazioni Apigee (abbonamento o pagamento a consumo)
• Apigee hybrid. Vedi Residenza dei dati e Apigee hybrid.
• Anomalie delle operazioni per le organizzazioni con abbonamento non hybrid
• Monetizzazione
• Analisi delle API
• Advanced API Security
• hub delle API Apigee.
• Agente di raccolta dati. I collettori di dati sono supportati per le organizzazioni con abbonamento e pagamento a consumo e per le versioni hybrid 1.14.0 e successive.

La residenza dei dati non è attualmente supportata per l'utilizzo con:

• Integrazione di Looker Studio
• Funzionalità di anteprima o beta, come Rilevamento delle API Shadow
• Organizzazioni di valutazione
• Portali integrati
• Apigee Adapter for Envoy
• Google Cloud CLI. Per eseguire il provisioning o gestire un'organizzazione con residenza dei dati abilitata puoi utilizzare Apigee nella Google Cloud console o le API Apigee.

Punti chiave

Se la residenza dei dati è abilitata per l'installazione di Apigee, tieni presente i seguenti punti chiave:

• La residenza dei dati deve essere abilitata al momento del provisioning di Apigee . Non puoi abilitare la residenza dei dati per un' organizzazione di cui è già stato eseguito il provisioning.
• Per impostazione predefinita, il piano di controllo è un'entità globale, a meno che tu non selezioni la residenza dei dati (regionalizzazione) al momento della creazione dell'organizzazione Apigee; non può essere modificata in un secondo momento. Una volta selezionata la residenza dei dati e la località del piano di controllo, non è possibile modificarla. Se in un secondo momento hai bisogno di una località diversa, dovrai creare un nuovo Google Cloud progetto.
• Quando esegui il provisioning di un'organizzazione:
  • Senza residenza dei dati: specifica la regione con ANALYTICS_REGION.
  • Con la residenza dei dati: specifica la regione con CONTROL_PLANE_LOCATION e la sotto-regione con CONSUMER_DATA_REGION. Vedi Regioni di residenza dei dati.
• L'amministratore che esegue il provisioning di Apigee deve:
  • Informare gli utenti di Apigee, come gli sviluppatori di API e altri amministratori, della configurazione della residenza dei dati
  • Impostare la policy dell'organizzazione per la località come descritto in Limitare le località delle risorse
• Gli sviluppatori di API, gli amministratori o altri utenti delle API di gestione di Apigee devono utilizzare il nuovo endpoint del servizio API di residenza dei dati.

Regioni di residenza dei dati

La residenza dei dati ti consente di scegliere la regione (località fisica) durante il provisioning in cui vengono archiviati i dati.

Quando specifichi la regione (ad esempio, us), devi specificare anche una singola regione (ad esempio, us-west1) per altri servizi che possono essere eseguiti solo in una singola regione, come i report di Analytics.

Tutte le risorse devono trovarsi nella regione specificata. Ad esempio, se selezioni us per CONTROL_PLANE_LOCATION, anche le altre risorse Apigee, come l'istanza di runtime, che fa riferimento a CMEK, il collegamento dell'endpoint e così via, devono trovarsi nella regione us.

Il tipo di dati archiviati quando scegli la residenza dei dati è denominato dati del piano di controllo e dati dei consumatori.

I dati del control plane sono dati di analisi, proxy API, server di destinazione, archivio attendibilità e archivio chiavi e qualsiasi altro elemento condiviso tra i runtime. I dati dei consumatori sono dati di analisi trattati da servizi che vengono eseguiti in una singola regione.

Per le regioni del piano di controllo attualmente supportate, vedi Località Apigee.

Endpoint del servizio di residenza dei dati

Un endpoint di servizio è un URL di base che specifica l'indirizzo di rete di un servizio API.

L'endpoint del servizio API Apigee, o nome host, è apigee.googleapis.com.

• Nessuna residenza dei dati:

  Utilizza l'endpoint di servizio come segue:

  apigee.googleapis.com

  Ad esempio:

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• Residenza dei dati:

  Anteponi la regione del piano di controllo all'endpoint di servizio:

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  Ad esempio:

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  Dove CONTROL_PLANE_LOCATION è la località fisica specificata durante il provisioning, in cui verranno archiviati i dati del piano di controllo di Apigee .

  Ad esempio:

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Come visualizzare la regione

Se hai già eseguito il provisioning della tua organizzazione (PROJECT_ID) per l'utilizzo con la residenza dei dati, puoi utilizzare l' API getProjectMapping per visualizzare le regioni associate a un progetto:

1. Autorizza gcloud ad accedere a piattaforma Cloud con le tue credenziali utente Google:

   gcloud auth login

2. Chiama l'API:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   Dove PROJECT_ID è il nome dell'organizzazione Apigee o Google Cloud l'ID progetto.

   Viene restituito un valore simile al seguente:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

Crittografia della residenza dei dati

Vedi Introduzione a CMEK.

Residenza dei dati e vincoli delle policy dell'organizzazione

IGoogle Cloud's vincoli delle policy dell'organizzazione consentono di definire un insieme di località in cui è possibile creare risorse basate sulla località Google Cloud per la tua Google Cloud organizzazione. Se hai una policy dell'organizzazione che utilizza un vincolo di località delle risorse (constraints/gcp.resourceLocations), il vincolo verrà applicato alle seguenti risorse Apigee create durante il provisioning di Apigee: Google Cloud

• Control plane
• Dati dei consumatori
• Runtime
• Allegato degli endpoint
• Analytics

Se esegui il provisioning di una nuova organizzazione Apigee all'interno di un Google Cloud progetto con un vincolo di località delle risorse applicato, devi assicurarti che il vincolo di località sia compatibile con la località del piano di controllo specificata per la tua organizzazione Apigee:

• Se esegui il provisioning di un'organizzazione Apigee senza residenza dei dati, il vincolo di località delle risorse nella tua Google Cloud policy dell'organizzazione deve essere impostato su global. Poiché il piano di controllo di Apigee è un'entità globale per impostazione predefinita, il provisioning non riuscirà se viene applicato un vincolo diverso da global.
• Se esegui il provisioning di un'organizzazione Apigee con la residenza dei dati, verifica che eventuali vincoli di località delle risorse impostati nella policy dell'organizzazione non escludano la regione selezionata per i dati del piano di controllo. Google Cloud In caso contrario, il provisioning non riuscirà.

Residenza dei dati e conformità a FedRAMP

Apigee è autorizzato come servizio FedRAMP High per le organizzazioni in cui è abilitata la residenza dei dati. Se scegli di abilitare la residenza dei dati durante il provisioning di un'organizzazione Apigee con abbonamento o pagamento a consumo, i seguenti servizi sono inclusi nell'ambito dell'autorizzazione operativa (ATO) FedRAMP di Apigee:

• Il piano di controllo, il piano di runtime e l'analisidell'organizzazione Apigee regionalizzata.
• Il piano di controllo e i dati e analisi dell'organizzazione Apigee hybrid regionalizzata.

Le seguenti offerte Apigee non sono incluse nell'ambito dell'ATO FedRAMP di Apigee:

• Analisi delle API
• Advanced API Security
• Portali integrati
• Organizzazioni di valutazione di Apigee
• Collettori di dati Apigee

Per ulteriori informazioni sul significato di un ATO FedRAMP, vedi Conformità a FedRAMP.

Residenza dei dati e Apigee hybrid

Puoi configurare le nuove installazioni di Apigee hybrid per utilizzare la residenza dei dati, a partire dalla versione hybrid 1.12. Vedi Utilizzare la residenza dei dati con Apigee hybrid.

Apigee hybrid versione 1.14.0 e successive con la residenza dei dati abilitata supporta Advanced API Security, Apigee API Analytics, lo strumento di debug e la monetizzazione.

Apigee hybrid con la residenza dei dati abilitata non supporta la traccia distribuita. Vedi il problema noto.