Pengantar residensi data

Dokumen ini menjelaskan residensi data untuk Apigee.

Ringkasan

Bagi banyak vertikal industri dan perusahaan, penggunaan penawaran cloud akan meningkatkan pengawasan dari tim keamanan dan kepatuhan (data apa yang disimpan di cloud, di mana data tersebut disimpan, siapa yang memiliki akses ke data tersebut, siapa yang dapat melihat data tersebut, dll.). Selain itu, banyak negara telah mengesahkan hukum privasi data yang melarang data Informasi Identitas Pribadi (PII) disimpan di luar negara atau wilayah tersebut.

Residensi data untuk Apigee memenuhi persyaratan kepatuhan dan peraturan dengan memungkinkan Anda menentukan lokasi geografis (region) tempat data Apigee disimpan. Sebelumnya, Apigee memungkinkan Anda memilih region instance dan region analisis; namun, Apigee juga memiliki infrastruktur global, seperti paket proxy API atau data pelanggan lainnya. Dengan residensi data, memilih lokasi bidang kontrol memastikan bahwa semua konten pelanggan disimpan dalam region yang ditentukan.

Apigee telah memperoleh otorisasi FedRAMP High, dan berhasil memenuhi standar yang diperlukan untuk residensi data. Untuk mengetahui informasi selengkapnya, lihat Residensi data dan kepatuhan terhadap FedRAMP.

Kompatibilitas residensi data

Residensi data dapat digunakan dengan hal berikut:

Residensi data saat ini tidak didukung untuk digunakan dengan:

Poin-poin utama

Jika residensi data diaktifkan untuk penginstalan Apigee Anda, perhatikan poin-poin penting berikut:

  • Residensi data harus diaktifkan pada saat Apigee disediakan. Anda tidak dapat mengaktifkan residensi data untuk organisasi yang sudah disediakan.
  • Secara default, bidang kontrol adalah entitas global kecuali jika Anda memilih ketersediaan data (regionalisasi) pada saat pembuatan organisasi Apigee; opsi ini tidak dapat diubah nanti. Setelah Anda memilih lokasi residensi data dan panel kontrol, lokasi tersebut tidak dapat diubah. Jika nanti Anda memerlukan lokasi yang berbeda, Anda harus membuat project Google Cloud baru.
  • Saat menyediakan organisasi:
    • Tanpa residensi data: Tentukan region dengan ANALYTICS_REGION.
    • Dengan residensi data: Tentukan region dengan CONTROL_PLANE_LOCATION dan sub-region dengan CONSUMER_DATA_REGION. Lihat Region residensi data.
  • Admin yang menyediakan Apigee harus:
    • Memberi tahu pengguna Apigee, seperti developer API dan admin lainnya, tentang konfigurasi residensi data
    • Tetapkan kebijakan org lokasi seperti yang dijelaskan dalam Membatasi Lokasi Resource
  • Developer, admin, atau pengguna API pengelolaan Apigee lainnya harus menggunakan endpoint layanan API baru untuk residensi data.

Region residensi data

Residensi data memungkinkan Anda memilih region (lokasi fisik) selama penyediaan tempat data disimpan.

Saat menentukan region (misalnya, us), Anda juga harus menentukan satu region (misalnya, us-west1) untuk layanan lain yang hanya dapat berjalan di satu region, seperti laporan Analytics.

Semua resource harus berada dalam region yang ditentukan. Misalnya, jika Anda memilih us untuk CONTROL_PLANE_LOCATION, resource Apigee lainnya, seperti instance runtime, yang mereferensikan CMEK, lampiran endpoint, dll., juga harus berada dalam region us.

Jenis data yang disimpan saat Anda memilih residensi data disebut sebagai data bidang kontrol dan data konsumen.

Data bidang kontrol adalah data analisis, proxy API, server target, truststore dan keystore, serta hal lain yang dibagikan di seluruh runtime. Data konsumen adalah data analisis yang diproses oleh layanan yang berjalan di satu region.

Lihat Lokasi Apigee, untuk region control plane yang saat ini didukung.

Endpoint layanan residensi data

Endpoint layanan adalah URL dasar yang menentukan alamat jaringan layanan API.

Endpoint layanan API Apigee, atau nama host, adalah apigee.googleapis.com.

  • Tidak ada residensi data:

    Gunakan endpoint layanan sebagai berikut:

    apigee.googleapis.com

    Contoh:

    curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  • Residensi data:

    Tambahkan awalan region bidang kontrol ke endpoint layanan:

    CONTROL_PLANE_LOCATION-apigee.googleapis.com

    Contoh:

    curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

    Dengan CONTROL_PLANE_LOCATION adalah lokasi fisik, yang ditentukan selama penyediaan, tempat data bidang kontrol Apigee akan disimpan.

    Contoh:

    curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Cara melihat wilayah

Jika sudah menyediakan organisasi (PROJECT_ID) untuk digunakan dengan residensi data, Anda dapat menggunakan getProjectMapping API untuk menampilkan region yang terkait dengan project:

  1. Beri otorisasi gcloud untuk mengakses Cloud Platform dengan kredensial pengguna Google Anda: 
    gcloud auth login
  2. Panggil API: 
    curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"

    Dengan PROJECT_ID sebagai nama organisasi Apigee atau project ID Google Cloud .

    Sesuatu yang mirip dengan berikut akan ditampilkan:

    {
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}

Enkripsi residensi data

Lihat Pengantar CMEK.

Residensi data dan batasan kebijakan organisasi

Batasan kebijakan organisasiGoogle Cloud's memungkinkan Anda menentukan serangkaian lokasi tempat resource berbasis lokasi Google Cloud dapat dibuat untuk Google Cloud organisasi Anda. Jika Anda memiliki Google Cloud kebijakan organisasi yang menggunakan batasan lokasi resource (constraints/gcp.resourceLocations), batasan tersebut akan berlaku untuk resource Apigee berikut yang dibuat saat Apigee disediakan:

Jika Anda menyediakan organisasi Apigee baru dalam project Google Cloud dengan batasan lokasi resource yang diterapkan, Anda harus memastikan bahwa batasan lokasi tersebut kompatibel dengan lokasi bidang kontrol yang ditentukan untuk organisasi Apigee Anda:

  • Jika Anda menyediakan organisasi Apigee tanpa residensi data, batasan lokasi resource dalam kebijakan organisasi Google Cloud harus ditetapkan ke global. Karena bidang kontrol Apigee adalah entitas global secara default, penyediaan akan gagal jika batasan selain global diterapkan.
  • Jika Anda menyediakan organisasi Apigee dengan residensi data, pastikan batasan lokasi resource yang mungkin ditetapkan dalam kebijakan organisasi Google Cloud tidak mengecualikan region yang Anda pilih untuk data bidang kontrol. Jika tidak, penyediaan akan gagal.

Residensi data dan kepatuhan terhadap FedRAMP

Apigee diizinkan sebagai layanan FedRAMP High untuk organisasi yang mengaktifkan residensi data. Jika Anda memilih untuk mengaktifkan residensi data saat menyediakan organisasi Berlangganan atau Bayar sesuai penggunaan Apigee, layanan berikut berada dalam cakupan Otorisasi untuk Beroperasi (ATO) FedRAMP Apigee:

Penawaran Apigee berikut tidak termasuk dalam cakupan ATO FedRAMP Apigee:

Untuk mengetahui informasi selengkapnya tentang pentingnya ATO FedRAMP, lihat Kepatuhan terhadap FedRAMP.

Residensi data dan Apigee Hybrid

Anda dapat mengonfigurasi penginstalan Apigee hybrid baru untuk menggunakan residensi data, mulai dari versi hybrid 1.12. Lihat Menggunakan residensi data dengan Apigee Hybrid.

Apigee hybrid versi 1.14.0 dan yang lebih baru dengan pengaktifan residensi data mendukung Advanced API Security, Analytics API Apigee, dan alat Debug.

Apigee Hybrid dengan residensi data yang diaktifkan tidak mendukung rekaman aktivitas terdistribusi. Lihat Masalah Umum.