Para muchas empresas y verticales del sector, el uso de una oferta en la nube da como resultado un mayor análisis de los equipos de seguridad y cumplimiento. A menudo, se hacen las siguientes preguntas:
- ¿Dónde se almacenan los datos?
- ¿Qué datos se almacenan en la nube?
- ¿Quién tiene acceso a los datos?
- ¿Cómo se manejan los datos durante el procesamiento o la transmisión?
Además, muchos países aprobaron leyes de privacidad de los datos que prohíben el almacenamiento de los datos de información de identificación personal (PII) fuera del país o la región.
En este documento, se describe la residencia de los datos de Apigee y cómo te ayuda a cumplir con los requisitos normativos y de cumplimiento.
Descripción general
La residencia de datos para Apigee cumple con los requisitos normativos y de cumplimiento , ya que te permite especificar las ubicaciones geográficas (regiones) en las que se almacenan los datos de Apigee:
- Almacenados (en reposo)
- Procesados (en uso)
- Transmitidos (en tránsito)
Habilitas la residencia de datos cuando aprovisionas una organización de Apigee. Durante el aprovisionamiento, seleccionas la región en la que se almacena todo el contenido del cliente. Consulta Aprovisiona tu organización con residencia de datos.
Una vez que se aprovisiona la organización de Apigee con residencia de datos, los administradores de la organización de Apigee deben hacer lo siguiente:
- Informa a los usuarios de Apigee, incluidos los desarrolladores de API y otros administradores, sobre la configuración y los requisitos de residencia de datos. Los usuarios de Apigee deben seguir los lineamientos en Usa Apigee con residencia de datos.
- Configura la política de la organización de la ubicación como se describe en Restringe las ubicaciones de recursos.
Ten en cuenta lo siguiente:
- No puedes habilitar la residencia de datos para una organización de Apigee que ya se aprovisionó.
- De forma predeterminada, el plano de control es una entidad global, a menos que selecciones la residencia de datos (regionalización) en el momento de la creación de la organización de Apigee.
- Una vez que seleccionas la residencia de los datos y la ubicación del plano de control, no se puede cambiar. Si más adelante necesitas una ubicación diferente, deberás crear un proyecto nuevo Google Cloud .
Consulta también Google Cloud Servicios con residencia de datos.
Acerca de la residencia de datos avanzada
La residencia de datos avanzada hace referencia a los requisitos normativos y de cumplimiento de los datos que se procesan (en uso) o se transmiten (en tránsito), además de almacenarse (en reposo).
Para cumplir con la residencia de datos avanzada, se requieren las siguientes acciones cuando se configura y usa Apigee.
| Crear Assured Workloads | Aprovisiona tu organización | Usa Apigee |
|---|---|---|
| El administrador de Google Cloud crea una carpeta de Assured Workloads
en la organización de Google Cloud y aplica un paquete de control.
El paquete de control establece automáticamente la ubicación del plano de control y
las restricciones de la política de la organización que aplican los límites de datos regionales.
Consulta Crea una carpeta de Assured Workloads. |
El administrador de la organización de Apigee aprovisiona tu organización pagada con residencia de datos avanzada
mediante la consola jurisdiccional basada en la ubicación
para acceder a la IU de Apigee o al extremo regional
para acceder a las APIs de Apigee.
Consulta Aprovisiona tu organización con residencia de datos avanzada. |
Los usuarios de Apigee usan la consola jurisdiccional para acceder
a la IU de Apigee o al extremo regional para acceder a las APIs.
Consulta Usa Apigee con residencia de datos. |
Compatibilidad con la residencia de datos
En la siguiente tabla, se resumen las funciones compatibles y no compatibles con Apigee con residencia de datos.
| Admitido | No compatible |
|---|---|
|
|
Cumplimiento de FedRAMP y residencia de datos
Apigee está autorizado como servicio de FedRAMP High para las organizaciones en las que está habilitada la residencia de datos. Si decides habilitar la residencia de datos cuando aprovisiones una suscripción de Apigee o una organización de pago por uso, los siguientes servicios están dentro del alcance de la autorización para operar (ATO) de FedRAMP de Apigee:
- El plano de control, el plano de ejecución y las estadísticas de la organización de Apigee regionalizada
- El plano de control y los análisis de la organización de Apigee Hybrid regionalizada .
Las siguientes ofertas de Apigee no están dentro del alcance de la ATO de FedRAMP de Apigee:
- Estadísticas de API
- Advanced API Security
- Portales integrados
- Organizaciones de evaluación de Apigee
- Recopiladores de datos de Apigee
Residencia de datos de Apigee Hybrid
Puedes configurar nuevas instalaciones de Apigee Hybrid para usar la residencia de datos, a partir de la versión 1.12 de Hybrid. Consulta Usa la residencia de datos con Apigee Hybrid.
Apigee Hybrid versión 1.14.0 y posteriores con la residencia de datos habilitada admiten Advanced API Security, las estadísticas de la API de Apigee, y la herramienta de depuración.
Elige regiones para la residencia de datos
Elige las regiones (ubicación física) para los datos del plano de control según tus requisitos de residencia de datos de la siguiente manera:
| Requisitos de residencia de datos | Cómo elegir la región |
| Residencia de datos en reposo únicamente | Cuando aprovisiones tu organización de Apigee, el administrador de Apigee establece la
ubicación del plano de control en la región requerida (por ejemplo, us).
Consulta Aprovisiona
tu organización con residencia de datos en reposo únicamente.
|
| Residencia de datos avanzada (en uso y en tránsito) | Cuando creas una carpeta de Assured Workloads para la Google Cloud organización, tu Google Cloud administrador selecciona un paquete de control para definir los límites de datos regionales. Durante el aprovisionamiento, la ubicación del plano de control se establece automáticamente y se filtran otras ubicaciones según el paquete de control seleccionado. Consulta Aprovisiona tu organización con residencia de datos avanzada. |
Durante el aprovisionamiento, también debes especificar una sola región (por ejemplo, us-west1) para otros servicios de consumidor que pueden ejecutarse solo en una región, como los Informes de estadísticas.
Todos los recursos deben estar dentro de la región especificada. Por ejemplo, si
seleccionas us para la ubicación del plano de control, los otros recursos de Apigee,
como la instancia del entorno de ejecución, hacen referencia a CMEK, al adjunto de extremo, etc.,
también deben estar dentro de la región us.
Usa la consola jurisdiccional
Cuando aprovisiones o uses Apigee con residencia de datos avanzada, debes usar una de las consolas jurisdiccionales Google Cloud para acceder a la IU de Apigee según tu ubicación.
Por ejemplo, la URL de la consola jurisdiccional para la región de Estados Unidos es:
console.us.cloud.google.com
Cuando aprovisiones o uses Apigee con residencia de datos en reposo únicamente, puedes usar la consola global o jurisdiccional. Para usar la consola jurisdiccional, la organización de Apigee debe haberse aprovisionado en una de las ubicaciones admitidas.
Los beneficios de usar la consola jurisdiccional Google Cloud son los siguientes:
- Simplifica la IU de aprovisionamiento, ya que establece automáticamente la ubicación del plano de control y filtra los selectores de región en consecuencia.
- Modifica las interacciones de la IU con los servicios de Google Cloud según los requisitos de residencia de datos, como el filtrado de selectores de región y las opciones disponibles para los adjuntos de extremos de servicio para evitar que Apigee se conecte a un destino privado con Private Service Connect (PSC) si el destino está fuera de la región permitida.
Para obtener información sobre cómo acceder a la consola jurisdiccional, consulta Consola Google Cloud jurisdiccional.
Usa extremos regionales para la residencia de datos
Un extremo de servicio, o nombre de host,
es una URL base que especifica la dirección de red de un servicio de API. El extremo del servicio de la API de Apigee es apigee.googleapis.com. Este es el extremo global que se usa cuando no se admite la residencia de datos.
Para admitir la residencia de datos, deberás usar extremos regionales. En las siguientes secciones, se describe cómo usar extremos regionales para la residencia de datos en reposo únicamente y la residencia de datos avanzada.
Usa extremos regionales para la residencia de datos en reposo únicamente
Para acceder a la API de Apigee con residencia de datos en reposo únicamente, usa el siguiente extremo regional:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
En el ejemplo anterior, CONTROL_PLANE_LOCATION es la ubicación física en la que se almacenarán los datos del plano de control de Apigee. Para obtener una lista de las ubicaciones disponibles del plano de control, consulta Ubicaciones de Apigee.
Por ejemplo, a continuación, se muestra la llamada curl que se usa para crear una organización con el extremo regional para Estados Unidos:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Usa extremos regionales para la residencia de datos avanzada
Para acceder a la API de Apigee con residencia de datos avanzada, usa el siguiente extremo regional:
apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
En el ejemplo anterior, CONTROL_PLANE_LOCATION es la ubicación física en la que se almacenan los datos del plano de control de Apigee.
En la siguiente lista, se indican las ubicaciones del plano de control admitidas y sus extremos regionales correspondientes:
| Ubicación | Extremo regional |
| Estados Unidos (EE.UU.) | apigee.us.rep.googleapis.com
|
| Unión Europea (UE) | apigee.eu.rep.googleapis.com
|
| India (IN) | apigee.in.rep.googleapis.com
|
Por ejemplo, a continuación, se muestra la llamada curl que se usa para crear una organización con el extremo regional para Estados Unidos:
curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/PROJECT_ID" ...
Encriptación y residencia de datos
De forma predeterminada, Google Cloud automáticamente encripta los datos cuando están en reposo a través de claves de encriptación que son propiedad de Google y las administra. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes usar las claves de encriptación administradas por el cliente (CMEK). Consulta Introducción a CMEK.
Usa restricciones de la política de la organización con residencia de datos
Las restricciones de la política de la organización deGoogle Cloud's
hacen posible definir un conjunto de ubicaciones en las que se pueden crear recursos basados en la ubicación Google Cloud para tu organización Google Cloud . Si tienes una Google Cloud
política de la organización que usa una
restricción de ubicación de recursos
(constraints/gcp.resourceLocations),
la restricción se aplicará a los siguientes recursos de Apigee que se crean cuando se aprovisiona Apigee:
Si aprovisionas una nueva organización de Apigee dentro de un Google Cloud proyecto con una restricción de ubicación de recursos aplicada, debes asegurarte de que la restricción de ubicación sea compatible con la ubicación del plano de control especificada para tu organización de Apigee:
- Si aprovisionas una organización de Apigee sin residencia de datos, la
restricción de ubicación de recursos en la
Google Cloud política de la organización debe establecerse en
global. Debido a que el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción distinta deglobal - Si aprovisionas una organización de Apigee con residencia de datos, confirma que cualquier restricción de ubicación de recursos que se pueda establecer en la política de la organización Google Cloud no excluya la región que seleccionaste para tus datos del plano de control. De lo contrario, el aprovisionamiento fallará.
Residencia de los datos y cumplimiento del FedRAMP
Apigee está autorizado como servicio de FedRAMP High para las organizaciones en las que está habilitada la residencia de datos. Si decides habilitar la residencia de datos cuando aprovisiones una suscripción de Apigee o una organización de pago por uso, los siguientes servicios están dentro del alcance de la autorización para operar (ATO) de FedRAMP de Apigee:
- El plano de control, el plano de ejecución y las estadísticas de la organización de Apigee regionalizada
- El plano de control y los análisis de la organización de Apigee Hybrid regionalizada .
Las siguientes ofertas de Apigee no están dentro del alcance de la ATO de FedRAMP de Apigee:
- Estadísticas de API
- Advanced API Security
- Portales integrados
- Organizaciones de evaluación de Apigee
- Recopiladores de datos de Apigee
Usa los Controles del servicio de VPC con residencia de datos
Para usar los Controles del servicio de VPC con residencia de datos en reposo, debes usar el siguiente
extremo regional:
CONTROL_PLANE_LOCATION-apigee.googleapis.com
Por el momento, no puedes usar los Controles del servicio de VPC con
residencia de datos avanzada.
Para la residencia de datos avanzada, usar el apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
extremo requerirá que crees una conexión privada entre
Apigee y los servicios de destino de backend
con Private Service Connect.