對許多產業和企業而言,使用雲端服務會導致安全和法規遵循團隊的審查更加嚴格。以下是常見問題:
- 資料儲存在哪裡?
- 哪些資料會儲存在雲端?
- 誰可以存取資料?
- 處理或傳輸資料時,系統會如何處理資料?
此外,許多國家/地區都通過了資料隱私權法,禁止在該國家/地區以外的地方儲存個人識別資訊 (PII) 資料。
本文說明 Apigee 的資料落地功能,以及這項功能如何協助您遵守法規和監管規定。
總覽
Apigee 的資料落地功能可讓您指定 Apigee 資料的地理位置 (區域),以符合法規遵循和法規要求:
- 儲存 (休息狀態)
- 已處理 (使用中)
- 已傳輸 (傳輸中)
佈建 Apigee 機構時,您可以啟用資料落地功能。在佈建期間,您會選取區域,所有客戶內容都會儲存在該區域。請參閱為貴機構佈建資料落地功能。
Apigee 組織佈建資料落地功能後,Apigee 組織管理員必須執行下列操作:
- 向 Apigee 使用者 (包括 API 開發人員和其他管理員) 說明資料落地設定和規定。Apigee 使用者必須遵守「搭配資料落地功能使用 Apigee」中的指南。
- 如限制資源位置一文所述,設定位置機構政策。
注意事項:
- 如果 Apigee 機構已佈建,就無法啟用資料落地功能。
- 根據預設,控制層是全域實體,除非您在建立 Apigee 機構時選取資料落地 (區域化)。
- 選取資料落地位置和控制層位置後,就無法變更。 如果之後需要其他位置,請建立新的 Google Cloud 專案。
另請參閱「Google Cloud 提供資料落地服務的項目」。
關於進階資料落地
進階資料落地機制是指除了儲存 (靜態) 資料外,還須遵守處理 (使用中) 或傳輸 (傳輸中) 資料的法規和監管規定。
如要遵守進階資料落地規定,設定及使用 Apigee 時必須採取下列行動。
| 建立 Assured Workloads | 佈建貴機構 | 使用 Apigee |
|---|---|---|
| Google Cloud 管理員在 Google Cloud 機構中建立 Assured Workloads 資料夾,並套用控制項套件。控制項套件會自動設定控制層位置和機構政策限制,強制執行區域資料界線。 請參閱「建立 Assured Workloads 資料夾」。 |
Apigee 機構管理員會使用位置資訊型管轄區控制台,為付費機構佈建進階資料落地功能,以便存取 Apigee UI,或使用區域端點存取 Apigee API。 請參閱為貴機構佈建進階資料存放位置。 |
Apigee 使用者可透過管轄區控制台存取 Apigee UI,或透過區域端點存取 API。 請參閱「搭配資料落地設定使用 Apigee」。 |
支援資料落地設定
下表列出 Apigee 支援和不支援的資料落地功能。
| 支援 | 不支援 |
|---|---|
|
|
FedRAMP 法規遵循與資料落地
如果機構啟用資料落地功能,Apigee 就能以 FedRAMP 高等風險服務的形式獲得授權。 如果您在佈建 Apigee 訂閱或即付即用機構時選擇啟用資料落地,則下列服務會納入 Apigee 的 FedRAMP 營運授權 (ATO) 範圍:
- 區域化 Apigee 機構的控制層、執行階段層和數據分析。
- 區域化 Apigee Hybrid 機構的控制層和數據分析。
下列 Apigee 產品不在 Apigee FedRAMP ATO 的範圍內:
如要進一步瞭解 FedRAMP ATO 的重要性,請參閱「FedRAMP 法規遵循」。Apigee Hybrid 資料駐留
從 Hybrid 1.12 版開始,您可以設定新的 Apigee Hybrid 安裝項目,以使用資料落地控管機制。請參閱「搭配 Apigee Hybrid 使用資料落地功能」。
啟用資料駐留功能的 Apigee Hybrid 1.14.0 版以上版本支援 Advanced API Security、Apigee API Analytics 和偵錯工具。
選擇資料落地區域
根據資料落地要求,為控制層資料選擇區域 (實際位置),如下所示:
| 資料落地規定 | 如何選擇地區 |
| 僅限靜態資料落地 | 佈建 Apigee 組織時,Apigee 管理員會將控制層位置設為所需區域 (例如 us)。請參閱僅在靜態時佈建組織資料落地功能。 |
| 進階資料落地機制 (使用中和傳輸中的資料) | 為 Google Cloud 機構建立 Assured Workloads 資料夾時, Google Cloud 管理員會選取控管機制套件,定義區域資料邊界。在佈建期間,系統會自動設定控制層位置,並根據所選控制套件篩選其他位置。請參閱為貴機構佈建進階資料落地功能。 |
在佈建期間,您也必須為只能在單一區域執行的其他消費者服務 (例如 Analytics 報表) 指定單一區域 (例如 us-west1)。
所有資源都必須位於指定的區域。舉例來說,如果您為控制層位置選取 us,則其他參照 CMEK、端點附件等的 Apigee 資源 (例如執行階段執行個體),也必須位於 us 區域。
使用管轄區控制台
如要佈建或使用 Apigee 進階資料落地功能,您必須使用其中一個管轄區 Google Cloud 控制台,根據所在位置存取 Apigee UI。
舉例來說,美國區域的管轄區控制台網址為:
console.us.cloud.google.com
如要佈建或使用 Apigee,且僅限靜態資料落地,您可以使用全球或管轄區控制台。如要使用管轄區控制台,Apigee 機構必須已在支援地點中佈建。
使用管轄區 Google Cloud 控制台的優點如下:
- 自動設定控制層位置,並據此篩選區域選取器,簡化佈建 UI。
- 根據資料駐留規定變更與 Google Cloud 服務的 UI 互動,例如篩選區域選取器和服務端點連結的可用選項,防止 Apigee 使用 Private Service Connect (PSC) 連線至私人目標 (如果目標位於允許區域以外)。
如要瞭解如何存取管轄區控制台,請參閱「管轄區控制台 Google Cloud 」。
使用地區端點確保資料落地
服務端點或主機名稱是基本網址,可指定 API 服務的網路位址。Apigee API 服務端點為 apigee.googleapis.com。如果系統不支援資料落地,就會使用這個全球端點。
如要支援資料落地,請使用地區端點。以下各節說明如何使用區域端點,僅確保靜態資料落地,以及如何進一步確保資料落地。
僅針對靜態資料落地機制使用區域端點
如要存取 Apigee API,且僅限靜態資料駐留,請使用下列區域端點:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
其中 CONTROL_PLANE_LOCATION 是 Apigee 控制層資料的實際儲存位置。 如需可用的控制層位置清單,請參閱 Apigee 位置。
舉例來說,以下顯示用於建立機構的 curl 呼叫,並使用美國的區域端點:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
使用區域端點進行進階資料落地
如要使用進階資料駐留功能存取 Apigee API,請使用下列區域端點:
apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
其中 CONTROL_PLANE_LOCATION 是儲存 Apigee 控制層資料的實際位置。
下表列出支援的控制層位置和對應的區域端點:
| 位置 | 區域端點 |
| 美國 (US) | apigee.us.rep.googleapis.com
|
| 歐盟 (EU) | apigee.eu.rep.googleapis.com
|
| 印度 (IN) | apigee.in.rep.googleapis.com
|
舉例來說,以下顯示用於建立機構的 curl 呼叫,並使用美國的區域端點:
curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
加密和資料落地
根據預設, Google Cloud 會自動加密靜態資料,使用的加密金鑰由 Google 擁有及管理。如果您在保護資料的金鑰方面有特定的法規遵循或監管要求,可以使用客戶自行管理的加密金鑰 (CMEK)。請參閱「 CMEK 簡介」。
搭配資料落地設定使用機構政策限制
Google Cloud的
機構政策限制,可讓您定義一組位置,在這些位置中為 Google Cloud 機構建立位置型 Google Cloud 資源。如果您有使用資源位置限制 (constraints/gcp.resourceLocations) 的 Google Cloud機構政策,當您佈建 Apigee 時,系統會將限制套用至下列 Apigee 資源:
如果您要在套用資源位置限制的 Google Cloud 專案中,佈建新的 Apigee 機構,請務必確認位置限制與為 Apigee 機構指定的控制層位置相容:
- 如果您在沒有資料落地的情況下佈建 Apigee 機構, Google Cloud 組織政策中的資源位置限制必須設為
global。由於 Apigee 控制層預設為全域實體,因此如果套用global以外的限制,佈建作業就會失敗。 - 如果您使用資料落地功能佈建 Apigee 機構,請確認機構政策中設定的任何資源位置限制,不會排除您為控制層資料選取的區域。 Google Cloud 否則就無法佈建。
資料落地與 FedRAMP 法規遵循
如果機構啟用資料落地功能,Apigee 就能以 FedRAMP 高等風險服務的形式獲得授權。 如果您在佈建 Apigee 訂閱或即付即用機構時選擇啟用資料落地,則下列服務會納入 Apigee 的 FedRAMP 營運授權 (ATO) 範圍:
- 區域化 Apigee 機構的控制層、執行階段層和數據分析。
- 區域化 Apigee Hybrid 機構的控制層和數據分析。
下列 Apigee 產品不在 Apigee FedRAMP ATO 的範圍內:
如要進一步瞭解 FedRAMP ATO 的重要性,請參閱「FedRAMP 法規遵循」。搭配資料落地使用 VPC Service Controls
如要搭配使用 VPC Service Controls 和靜態資料存放位置,請務必使用下列區域端點:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
目前無法搭配進階資料落地功能使用 VPC Service Controls。
如要進一步控管資料存放位置,使用 apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com 端點時,您必須使用 Private Service Connect,在 Apigee 與後端目標服務之間建立私人連線。