資料落地權簡介

本文說明 Apigee 的資料落地功能。

總覽

對許多產業和企業而言，使用雲端服務會導致安全和法規遵循團隊的審查更加嚴格 (例如：哪些資料儲存在雲端、儲存在何處、誰有權存取資料、誰可以查看資料等)。此外，許多國家/地區都通過了資料隱私權法規，禁止在該國家/地區以外的地方儲存個人識別資訊 (PII) 資料。

Apigee 的資料落地功能可讓您指定 Apigee 資料的儲存地理位置 (區域)，以符合法規遵循規定。過去，Apigee 允許您選取執行個體區域和 Analytics 區域，但 Apigee 也有全球基礎架構，例如 API Proxy 套件或其他客戶資料。透過資料落地功能選取控制平面位置，即可確保所有客戶內容都儲存在指定區域。

Apigee 已取得 FedRAMP 高等風險授權，成功符合資料落地規定。詳情請參閱「資料落地和 FedRAMP 法規遵循」。

資料落地相容性

資料落地功能可搭配下列項目使用：

• Apigee 機構 (訂閱或即付即用)
• Apigee Hybrid。請參閱「資料落地和 Apigee Hybrid」。
• 非混合式訂閱機構的作業異常狀況
• 營利：為非混合型機構啟用訂閱機構的營利功能
• API 數據分析
• Advanced API Security
• Apigee API Hub。
• 資料收集者。資料收集器適用於訂閱和隨用隨付機構，以及 1.14.0 以上的混合版本。

目前資料落地功能不支援下列項目：

• 預先發布或 Beta 版功能，例如預先發布的 Looker Studio 整合和 Shadow API 探索
• 評估機構
• 整合式入口網站
• Apigee Adapter for Envoy
• Google Cloud CLI。如要佈建或管理啟用資料落地功能的機構，可以使用 Google Cloud 控制台中的 Apigee 或 Apigee API。

重點

如果 Apigee 安裝作業已啟用資料落地控管機制，請注意下列重點：

• 您必須在佈建 Apigee 時啟用資料落地設定。您無法為已佈建的機構啟用資料落地功能。
• 根據預設，控制層是全域實體，除非您在建立 Apigee 機構時選取資料落地 (區域化)，否則之後無法變更。選取資料落地設定和控制層位置後，就無法變更。如果之後需要其他位置，請 Google Cloud 建立新專案。
• 佈建機構時：
  • 不使用資料落地設定：使用 ANALYTICS_REGION 指定區域。
  • 使用資料落地機制：以 CONTROL_PLANE_LOCATION 指定區域，並以 CONSUMER_DATA_REGION 指定子區域。請參閱「資料落地區域」。
• 佈建 Apigee 的管理員必須：
  • 通知 Apigee 使用者 (例如 API 開發人員和其他管理員) 資料落地設定
  • 如「 限制資源位置」一文所述，設定位置機構政策。
• API 開發人員、管理員或 Apigee 管理 API 的其他使用者，必須使用 新的資料存放位置 API 服務端點。

資料落地區域

您可以在佈建期間選擇資料儲存的區域 (實際位置)。

指定區域 (例如 us) 時，您也必須為只能在單一區域執行的其他服務指定單一區域 (例如 us-west1)，例如 Analytics 報表。

所有資源都必須位於指定的區域。舉例來說，如果您為 CONTROL_PLANE_LOCATION 選取 us，則其他參照 CMEK 的 Apigee 資源 (例如執行階段例項、端點附件等) 也必須位於 us 區域。

選擇資料落地時儲存的資料類型稱為控制層資料和消費者資料。

控制平面資料包括 Analytics 資料、API 代理、目標伺服器、信任儲存區和金鑰儲存區，以及在執行階段之間共用的任何其他項目。消費者資料是分析資料，由在單一區域執行的服務處理。

如需目前支援的控制層區域，請參閱 Apigee 位置。

資料落地服務端點

服務端點是能指定 API 服務網路位址的基準網址。

Apigee API 服務端點或主機名稱為 apigee.googleapis.com。

• 沒有資料落地：

  請使用下列服務端點：

  apigee.googleapis.com

  例如：

  curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

• 資料落地：

  在服務端點前加上控制層區域：

  CONTROL_PLANE_LOCATION-apigee.googleapis.com

  例如：

  curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

  其中 CONTROL_PLANE_LOCATION 是在佈建期間指定的實體位置，Apigee 控制層資料會儲存在該位置。

  例如：

  curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

如何查看區域

如果您已為機構 (PROJECT_ID) 佈建資料存放位置，可以使用 getProjectMapping API 顯示與專案相關聯的區域：

1. 授權 gcloud 使用您的 Google 使用者憑證存取 Cloud Platform：

   gcloud auth login

2. 呼叫 API：

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   其中 PROJECT_ID 是您的 Apigee 機構名稱或 Google Cloud 專案 ID。

   系統會傳回類似以下的回應：

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

資料落地加密

請參閱 CMEK 簡介。

資料落地與機構政策限制

Google Cloud的 組織政策限制可讓您為 Google Cloud 機構定義一組位置，以便在這些位置建立位置型 Google Cloud 資源。如果您有使用資源位置限制 (constraints/gcp.resourceLocations) 的 Google Cloud 機構政策，當您佈建 Apigee 時，系統會對下列 Apigee 資源套用限制：

• 控制層
• 消費者資料
• 執行階段
• 端點附件
• 數據分析

如果您要在套用資源位置限制的 Google Cloud 專案中，佈建新的 Apigee 機構，請務必確認位置限制與為 Apigee 機構指定的控制平面位置相容：

• 如果您在沒有資料落地的情況下佈建 Apigee 機構，則 Google Cloud 組織政策中的資源位置限制必須設為 global。由於 Apigee 控制層預設為全域實體，因此如果套用 global 以外的限制，佈建作業就會失敗。
• 如果您佈建 Apigee 機構時指定資料落地，請確認機構政策中設定的任何資源位置限制，不會排除您為控制平面資料選取的區域。 Google Cloud 否則佈建作業就會失敗。

資料落地和 FedRAMP 法規遵循

如果機構啟用資料落地功能，Apigee 就能以 FedRAMP 高等風險服務的形式獲得授權。 如果您在佈建 Apigee 訂閱或隨用隨付機構時選擇啟用資料落地設定，則下列服務會納入 Apigee 的 FedRAMP 營運授權 (ATO) 範圍：

• 區域化 Apigee 機構的控制層、執行階段層和數據分析。
• 區域化 Apigee Hybrid 組織的控制層和數據分析。

下列 Apigee 產品不在 Apigee FedRAMP ATO 的範圍內：

• API 數據分析
• Advanced API Security
• 整合式入口網站
• Apigee 評估機構
• Apigee 資料收集器

如要進一步瞭解 FedRAMP ATO 的重要性，請參閱「FedRAMP 法規遵循」。

資料落地與 Apigee Hybrid

從 Hybrid 1.12 版開始，您可以設定新的 Apigee Hybrid 安裝作業，以使用資料落地功能。請參閱「使用 Apigee Hybrid 進行資料落地」。

Apigee Hybrid 1.14.0 版以上版本啟用資料駐留功能後，即可支援 Advanced API Security、Apigee API Analytics 和 Debug 工具。

啟用資料落地設定的 Apigee Hybrid 不支援分散式追蹤。請參閱已知問題。