מבוא למיקום הנתונים

במסמך הזה מתואר מיקום הנתונים ב-Apigee.

סקירה כללית

במגזרים עסקיים רבים ובארגונים גדולים, השימוש בשירותי ענן מוביל לבדיקה מדוקדקת יותר מצד צוותי האבטחה והתאימות (אילו נתונים מאוחסנים בענן, איפה הם מאוחסנים, למי יש גישה אליהם, מי יכול לראות את הנתונים וכו'). בנוסף, במדינות רבות נחקקו חוקים להגנה על פרטיות הנתונים שאוסרים על אחסון של פרטים אישיים מזהים (PII) מחוץ למדינה או לאזור.

התכונה 'מיקום הנתונים' ב-Apigee מאפשרת לכם לציין את המיקומים הגיאוגרפיים (האזורים) שבהם מאוחסנים נתוני Apigee, וכך לעמוד בדרישות התאימות והרגולציה. בעבר, Apigee אפשר לכם לבחור את האזור של המופע ואת האזור של הניתוח. עם זאת, ל-Apigee יש גם תשתית גלובלית, כמו חבילת proxy ל-API או נתוני לקוחות אחרים. כשמשתמשים בפתרון 'שמירת נתונים במדינה מסוימת', בחירת מיקום מישור הבקרה מבטיחה שכל תוכן הלקוחות יישמר באזור שצוין.

‫Apigee קיבל אישור FedRAMP High, ועמד בהצלחה בדרישות של תקני אחסון נתונים. מידע נוסף זמין במאמר מיקום נתונים ותאימות ל-FedRAMP.

תאימות של המיקום של נתונים

אפשר להשתמש במיקום הנתונים עם:

• ארגונים ב-Apigee (מינוי או תשלום לפי שימוש)
• ‫Apigee Hybrid. מידע נוסף זמין במאמר שליטה על המיקום של הנתונים ב-Apigee Hybrid.
• חריגות בפעולות בארגונים עם מינוי לא היברידי
• מונטיזציה
• ניתוח נתונים של API
• Advanced API Security
• ‫Apigee API hub.
• איסוף נתונים. יש תמיכה באיסוף נתונים בארגונים עם מינוי, בארגונים עם תשלום לפי שימוש ובגרסאות היברידיות 1.14.0 ואילך.

בשלב הזה, אין תמיכה במיקום נתונים לשימוש עם:

• תכונות בגרסת טרום השקה או בגרסת בטא, כמו גרסאות טרום ההשקה של שילוב עם Looker Studio ושל Shadow API Discovery
• ארגונים לצורך הערכה
• פורטלים משולבים
• ‫Apigee Adapter ל-Envoy
• ‫Google Cloud CLI. כדי להקצות או לנהל ארגון שמופעלת בו תכונת שמירת הנתונים באזור מסוים, אפשר להשתמש ב- Apigee ב Google Cloud מסוף או ב-Apigee APIs.

נקודות עיקריות

אם הפעלתם את התכונה 'שמירת נתונים במדינה מסוימת' בהתקנת Apigee, חשוב לשים לב לנקודות הבאות:

• צריך להפעיל את התכונה 'מיקום הנתונים' בזמן הקצאת Apigee. אי אפשר להפעיל את התכונה 'מיקום הנתונים' בארגון שכבר הוקצה לו נפח אחסון.
• כברירת מחדל, מישור הבקרה הוא ישות גלובלית, אלא אם בוחרים במיקום הנתונים (אזורי) בזמן יצירת הארגון ב-Apigee. אי אפשר לשנות את הבחירה הזו בהמשך. אחרי שבוחרים את מיקום אחסון הנתונים ואת מיקום מישור הבקרה, אי אפשר לשנות אותם. אם תצטרכו בהמשך מיקום אחר, תצטרכו ליצור פרויקט חדש. Google Cloud
• כשמנהלים הקצאת משאבים לארגון:
  • ללא מיקום נתונים: מציינים את האזור עם ANALYTICS_REGION.
  • עם מיקום נתונים: מציינים את האזור עם CONTROL_PLANE_LOCATION ואת אזור המשנה עם CONSUMER_DATA_REGION. אפשר לעיין באזורים שבהם הנתונים מאוחסנים.
• האדמין שמקצה את Apigee צריך:
  • לעדכן את משתמשי Apigee, כמו מפתחי API ואדמינים אחרים, לגבי הגדרת שמירת הנתונים באזור מסוים
  • מגדירים את מדיניות הארגון לגבי מיקום כמו שמתואר במאמר בנושא הגבלת מיקומי משאבים.
• מפתחי API, אדמינים או משתמשים אחרים ב ממשקי הניהול של Apigee צריכים להשתמש ב נקודת הקצה החדשה של שירות ה-API בנושא מיקום נתונים.

אזורים גיאוגרפיים לאחסון נתונים

תושבות נתונים מאפשרת לכם לבחור את האזור (המיקום הפיזי) שבו הנתונים מאוחסנים במהלך הקצאת המשאבים.

כשמציינים את האזור (לדוגמה, us), צריך גם לציין אזור יחיד (לדוגמה, us-west1) לשירותים אחרים שיכולים לפעול רק באזור יחיד, כמו דוחות Analytics.

כל המשאבים צריכים להיות באזור שצוין. לדוגמה, אם בוחרים באזור us בשביל CONTROL_PLANE_LOCATION, גם שאר משאבי Apigee, כמו מכונת זמן הריצה, הפניה ל-CMEK, קובץ מצורף של נקודת קצה וכו', צריכים להיות באזור us.

סוג הנתונים שמאוחסנים כשבוחרים במיקום אחסון נתונים נקרא נתוני מישור בקרה ונתוני צרכנים.

נתוני מישור הבקרה הם נתוני ניתוח, שרתי proxy של API, שרתי יעד, מאגרי אישורים ומאגרי מפתחות וכל דבר אחר שמשותף בין סביבות זמן ריצה. נתוני צרכנים הם נתונים אנליטיים שעוברים עיבוד על ידי שירותים שפועלים באזור יחיד.

במאמר מיקומי Apigee מפורטים האזורים במישור הבקרה שנתמכים כרגע.

נקודת קצה של שירות למיקום נתונים

נקודת קצה של שירות היא כתובת URL בסיסית שמציינת את כתובת הרשת של שירות API.

נקודת הקצה של שירות ה-API של Apigee, או שם המארח, היא apigee.googleapis.com.

• אין מיקום של נתונים:

  משתמשים בנקודת הקצה של השירות באופן הבא:

  apigee.googleapis.com

  לדוגמה:

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• המיקום של נתונים:

  מוסיפים את האזור של מישור הבקרה לפני נקודת הקצה של השירות:

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  לדוגמה:

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  כאשר CONTROL_PLANE_LOCATION הוא המיקום הפיזי, שצוין במהלך ההקצאה, שבו יאוחסנו נתוני מישור הבקרה של Apigee.

  לדוגמה:

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

איך רואים את האזור

אם כבר הקציתם לארגון שלכם (PROJECT_ID) משאבים לשימוש במיקום הנתונים, תוכלו להשתמש ב- getProjectMapping API כדי להציג את האזורים שמשויכים לפרויקט:

1. נותנים ל-gcloud הרשאה לגשת ל-Cloud Platform באמצעות פרטי הכניסה של המשתמש ב-Google:

   gcloud auth login

2. שליחת קריאה ל-API:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   כאשר PROJECT_ID הוא שם הארגון שלכם ב-Apigee או מזהה הפרויקט. Google Cloud

   מוחזרת תשובה שדומה לדוגמה הבאה:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

הצפנה של נתונים שמועברים בין אזורים

מידע נוסף על CMEK

המיקום של נתונים ומגבלות שקשורות למדיניות הארגון

Google Cloud המגבלות של מדיניות הארגון מאפשרות להגדיר קבוצה של מיקומים שבהם אפשר ליצור משאבים מבוססי-מיקום Google Cloud עבור הארגון Google Cloud . אם יש לכם Google Cloud מדיניות ארגון שמשתמשת במגבלה על מיקומי משאבים (constraints/gcp.resourceLocations), המגבלה תחול על המשאבים הבאים של Apigee שנוצרים כשמקצים את Apigee:

• מישור הבקרה
• נתונים של צרכנים
• זמן ריצה
• Endpoints attachment
• Analytics

אם אתם מקצים ארגון חדש ב-Apigee במסגרת Google Cloud פרויקט שחל עליו אילוץ של מיקום משאב, אתם צריכים לוודא שאילוץ המיקום תואם למיקום של מישור הבקרה שצוין לארגון שלכם ב-Apigee:

• אם אתם מקצים ארגון Apigee ללא תושבות נתונים, אילוץ מיקום המשאב במדיניות הארגון שלכם צריך להיות מוגדר לערך global. Google Cloud מישור הבקרה של Apigee הוא ישות גלובלית כברירת מחדל, ולכן הקצאת הרשאות תיכשל אם יוחל אילוץ שאינו global.
• אם אתם מקצים ארגון Apigee עם תושבות נתונים, אתם צריכים לוודא שאילוצי מיקום של משאבים שאולי מוגדרים במדיניות הארגון שלכם לא מונעים את השימוש באזור שבחרתם לנתוני מישור הבקרה. Google Cloud אחרת, הקצאת ההרשאות תיכשל.

המיקום של נתונים ועמידה בדרישות FedRAMP

‫Apigee מורשה כשירות FedRAMP High לארגונים שבהם מופעלת תכונת שמירת הנתונים. אם תבחרו להפעיל את התכונה 'מיקום הנתונים' כשאתם מקצים מינוי ל-Apigee או ארגון עם תשלום לפי שימוש, השירותים הבאים ייכללו בהיקף של אישור הפעולה (ATO) של Apigee במסגרת FedRAMP:

• מישור הבקרה, מישור זמן הריצה והניתוח של ארגון Apigee באזור מסוים.
• מישור הבקרה והניתוח של הארגון האזורי ב-Apigee Hybrid.

המוצרים הבאים של Apigee לא נכללים ב-ATO של Apigee FedRAMP:

• ניתוח נתונים של API
• Advanced API Security
• פורטלים משולבים
• ארגוני הערכה של Apigee
• כלי איסוף נתונים של Apigee

מידע נוסף על המשמעות של אישור ATO של FedRAMP זמין במאמר בנושא תאימות ל-FedRAMP.

המיקום של נתונים ו-Apigee Hybrid

אפשר להגדיר התקנות חדשות של Apigee Hybrid כך שישתמשו במיקום הנתונים, החל מגרסה 1.12 של Hybrid. מידע נוסף זמין במאמר בנושא שימוש במיקום הנתונים ב-Apigee Hybrid.

‫Apigee Hybrid גרסה 1.14.0 ואילך עם תמיכה בAdvanced API Security, בApigee API Analytics, בכלי הניפוי באגים ובמונטיזציה.

ב-Apigee hybrid עם תכונת שמירת הנתונים במדינה מסוימת מופעלת, אין תמיכה במעקב מבוזר. מידע נוסף אפשר לקרוא בקטע בעיות מוכרות.