Einführung in den Datenstandort

In diesem Dokument wird der Datenstandort für Apigee beschrieben.

Übersicht

Für viele Branchen und Unternehmen führt die Verwendung eines Cloud-Angebots zu einer genaueren Kontrolle durch Sicherheits- und Compliance-Teams (die Daten, die in der Cloud gespeichert sind, wo sie gespeichert werden, wer Zugriff darauf hat und wer die Daten sieht). Darüber hinaus haben viele Länder Datenschutzgesetze erlassen, die die Speicherung personenidentifizierbarer Informationen außerhalb des Landes oder der Region verbieten.

Der Datenstandort für Apigee erfüllt Compliance- und regulatorische Vorgaben, indem Sie die geografischen Standorte (Regionen) angeben können, an denen Apigee-Daten gespeichert werden. Bisher konnten Sie in Apigee die Instanzregion und die Analytics-Region auswählen. Apigee verfügt jedoch auch über eine globale Infrastruktur, z. B. ein API-Proxy-Bundle oder andere Kundendaten. Wenn Sie bei Verwendung des Datenstandorts den Standort der Steuerungsebene auswählen, werden alle Kundeninhalte in der angegebenen Region gespeichert.

Apigee hat die FedRAMP High-Autorisierung erhalten und erfüllt damit die für den Datenstandort erforderlichen Standards. Weitere Informationen finden Sie unter Datenstandort und FedRAMP-Compliance.

Kompatibilität mit dem Datenstandort

Der Speicherort der Daten kann für Folgendes verwendet werden:

• Apigee-Organisationen (Abo oder „Pay as you go“)
• Apigee Hybrid. Weitere Informationen finden Sie unter Datenstandort und Apigee Hybrid.
• Anomalien im Betrieb für Nicht-Hybrid-Abo-Organisationen
• Monetarisierung in Abo-Organisationen für Nicht-Hybrid-Organisationen aktiviert
• API-Analyse
• Erweiterte API-Sicherheit
• Apigee API-Hub.
• Datenerhebung: Datenerfassung wird für Organisationen mit Abo und mit nutzungsbasierter Abrechnung sowie für Hybridversionen 1.14.0 und höher unterstützt.

Der Datenstandort wird derzeit nicht unterstützt für die Verwendung mit:

• Vorschau- oder Betarelease-Features wie die Vorschaureleases für die Looker Studio-Integration und Shadow API Discovery
• Eval-Organisationen
• Integrierte Portale
• Apigee Adapter for Envoy
• Google Cloud CLI. Wenn Sie eine Organisation mit aktiviertem Datenstandort bereitstellen oder verwalten möchten, können Sie Apigee in der Google Cloud Console oder die Apigee APIs verwenden.

Wichtige Fakten

Wenn der Datenstandort für Ihre Apigee-Installation aktiviert ist, beachten Sie die folgenden wichtigen Punkte:

• Der Datenstandort muss zu dem Zeitpunkt aktiviert sein, an dem Apigee bereitgestellt wird. Sie können den Datenstandort nicht für eine bereits bereitgestellte Organisation aktivieren.
• Standardmäßig ist die Steuerungsebene eine globale Entität, es sei denn, Sie wählen den Datenstandort (Regionalisierung) zum Zeitpunkt der Erstellung der Apigee-Organisation aus. Kann später nicht mehr geändert werden. Nachdem Sie den Datenstandort und den Standort der Steuerungsebene ausgewählt haben, können diese nicht mehr geändert werden. Wenn Sie später einen anderen Standort benötigen, müssen Sie ein neues Google Cloud -Projekt erstellen.
• Beim Bereitstellen einer Organisation gilt Folgendes:
  • Ohne Datenstandort: Geben Sie die Region mit ANALYTICS_REGION an.
  • Mit Datenansässigkeit: Geben Sie die Region mit CONTROL_PLANE_LOCATION und die Unterregion mit CONSUMER_DATA_REGION an. Weitere Informationen finden Sie unter Datenstandortregionen.
• Der Administrator, der Apigee bereitstellt, muss:
  • Apigee-Nutzer wie API-Entwickler und andere Administratoren über die Konfiguration des Datenstandorts informieren
  • Legen Sie die Organisationsrichtlinie für Standorte wie unter Ressourcenstandorte einschränken beschrieben fest.
• API-Entwickler, Administratoren oder andere Nutzer der Apigee Management APIs müssen den neuen API-Dienstendpunkt für den Datenspeicherort verwenden.

Regionen für den Datenstandort

Mit dem Datenstandort können Sie bei der Bereitstellung die Region (physischer Standort) auswählen, in der Daten gespeichert werden.

Wenn Sie die Region angeben (z. B. us), müssen Sie auch eine einzelne Region (z. B. us-west1) für andere Dienste angeben, die nur in einer einzelnen Region ausgeführt werden können, z. B. Analytics-Berichte.

Alle Ressourcen müssen sich in der angegebenen Region befinden. Wenn Sie beispielsweise für die CONTROL_PLANE_LOCATION us auswählen, müssen sich die anderen Apigee-Ressourcen wie die Laufzeitinstanz, die auf CMEK, den Endpunktanhang usw. verweist, ebenfalls in der Region us befinden.

Die Art der Daten, die bei Auswahl des Datenstandorts gespeichert werden, wird als Daten der Steuerungsebene und als Verbraucherdaten bezeichnet.

Daten der Steuerungsebene sind Analysedaten, API-Proxys, Zielserver, Truststores und Schlüsselspeicher und alles andere, das von den Laufzeiten gemeinsam genutzt wird. Verbraucherdaten sind Analysedaten, die von Diensten verarbeitet werden, die in einer einzelnen Region ausgeführt werden.

Eine Liste der derzeit unterstützten Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.

Dienstendpunkt des Datenstandorts

Ein Dienstendpunkt ist eine Basis-URL, die die Netzwerkadresse eines API-Dienstes angibt.

Der Apigee API-Dienstendpunkt oder ‑Hostname ist apigee.googleapis.com.

• Kein Datenstandort:

  So verwenden Sie den Dienstendpunkt:

  apigee.googleapis.com

  Beispiel:

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• Datenstandort:

  Stellen Sie dem Dienstendpunkt die Region der Steuerungsebene voran:

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  Beispiel:

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  Dabei ist CONTROL_PLANE_LOCATION der physische Standort, der bei der Bereitstellung angegeben wurde und an dem die Daten der Apigee-Steuerungsebene gespeichert werden.

  Beispiel:

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Region ansehen

Wenn Sie Ihre Organisation (PROJECT_ID) bereits für die Verwendung mit dem Datenstandort bereitgestellt haben, können Sie mit der getProjectMapping API die einem Projekt zugeordneten Regionen anzeigen lassen:

1. So autorisieren Sie gcloud mit Ihren Google-Nutzeranmeldedaten, um auf die Cloud Platform zuzugreifen:

   gcloud auth login

2. API aufrufen:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   Dabei ist PROJECT_ID der Name Ihrer Apigee-Organisation oder die Google Cloud Projekt-ID.

   Es wird in etwa Folgendes zurückgegeben:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

Verschlüsselung des Datenstandorts

Siehe Einführung in CMEK

Einschränkungen für Datenspeicherorte und Organisationsrichtlinien

Mit den Einschränkungen für Organisationsrichtlinien vonGoogle Cloudkönnen Sie eine Reihe von Standorten definieren, an denen standortbezogene Google Cloud Ressourcen für Ihre Google Cloud Organisation erstellt werden können. Wenn Sie eine Google Cloud Organisationsrichtlinie haben, die eine Einschränkung des Ressourcenstandorts (constraints/gcp.resourceLocations) verwendet, gilt die Einschränkung für die folgenden Apigee-Ressourcen, die bei der Bereitstellung von Apigee erstellt werden:

• Steuerungsebene
• Nutzerdaten
• Laufzeit
• Endpunktanhang
• Analytics

Wenn Sie eine neue Apigee-Organisation in einem Google Cloud -Projekt mit einer angewendeten Einschränkung des Ressourcenstandorts bereitstellen, müssen Sie dafür sorgen, dass die Einschränkung des Standorts mit dem für Ihre Apigee-Organisation angegebenen Standort der Steuerungsebene kompatibel ist:

• Wenn Sie eine Apigee-Organisation ohne Datenstandort bereitstellen, muss die Einschränkung des Ressourcenstandorts in Ihrer Google Cloud Organisationsrichtlinie auf global festgelegt sein. Da die Apigee-Steuerungsebene standardmäßig eine globale Entität ist, schlägt die Bereitstellung fehl, wenn eine andere Einschränkung als global angewendet wird.
• Wenn Sie eine Apigee-Organisation mit Datenstandort bereitstellen, stellen Sie sicher, dass jegliche in Ihrer Google Cloud Organisationsrichtlinie festgelegte Einschränkung des Ressourcenstandorts die Region nicht ausschließt, die Sie für die Daten Ihrer Steuerungsebene auswählen. Andernfalls schlägt die Bereitstellung fehl.

Datenstandort und FedRAMP-Compliance

Apigee ist als FedRAMP High-Dienst für Organisationen autorisiert, für die der Speicherort der Daten aktiviert ist. Wenn Sie den Datenstandort beim Bereitstellen einer Apigee-Abo- oder Pay-as-you-go-Organisation aktivieren, fallen die folgenden Dienste unter die FedRAMP-Betriebsgenehmigung (Authority To Operate, ATO) von Apigee:

• Die Steuerungsebene, Laufzeitebene und Analysen der regionalisierten Apigee-Organisation.
• Die Steuerungsebene und Analysen der regionalisierten Apigee Hybrid-Organisation.

Die folgenden Apigee-Angebote fallen nicht unter die FedRAMP-ATO von Apigee:

• API-Analyse
• Erweiterte API-Sicherheit
• Integrierte Portale
• Apigee-Evaluierungsorganisationen
• Apigee-Data Collectors

Weitere Informationen zur Bedeutung einer FedRAMP-ATO finden Sie unter FedRAMP-Compliance.

Datenstandort und Apigee Hybrid

Ab Hybrid-Version 1.12 können Sie neue Apigee Hybrid-Installationen für die Verwendung des Datenstandorts konfigurieren. Weitere Informationen finden Sie unter Datenstandort mit Apigee Hybrid verwenden.

Apigee Hybrid Version 1.14.0 und höher mit aktiviertem Datenstandort unterstützt Erweiterte API-Sicherheit, Apigee API Analytics und das Debug-Tool.

Apigee Hybrid mit aktiviertem Datenstandort unterstützt kein verteiltes Tracing. Siehe Bekannte Probleme.