Questa pagina spiega le differenze principali tra il servizio globale e quello regionale di Secret Manager.
Il servizio globale è la configurazione predefinita per Secret Manager. Puoi iniziare a utilizzare il servizio con le impostazioni predefinite e l'endpoint API standard. I dati secret vengono replicati in più regioni e i secret sono accessibili da qualsiasi regione in cui opera la piattaforma Google Cloud .
Per le organizzazioni con requisiti rigorosi di sovranità e conformità dei dati, Secret Manager offre un servizio regionale in cui puoi scegliere di archiviare i dati esclusivamente all'interno di posizioni geografiche specifiche o zone di residenza dei dati (DRZ). È possibile accedere ai secret solo dall'interno di quella regione specifica. Per accedere al servizio regionale, devi disporre di un endpoint regionale associato alla zona di residenza dei dati.
La seguente tabella spiega le principali differenze tra il servizio globale e quello regionale.
| Funzionalità | Servizio globale | Servizio regionale |
|---|---|---|
| Residenza dei dati | Replica gestita dall'utente in regioni specifiche o replica automatica senza alcuna limitazione. | I dati vengono archiviati in un'unica posizione. Conformità completa alla zona di residenza dei dati (DRZ) con dati at-rest, in uso e in transito. |
| Endpoint | Unico endpoint globale | Endpoint regionali |
| Accesso tra regioni | Possibile sia con la replica gestita dall'utente sia con la replica automatica. | Non è possibile. I dati dei secret sono strettamente limitati alla regione che hai scelto e non vengono trasferiti al di fuori dei suoi confini. |
| Casi d'uso |
Gestione generale dei secret
|
Requisiti rigorosi di residenza dei dati
|
Non tutte le organizzazioni sono soggette a rigide normative DRZ in merito alla posizione in cui i dati vengono archiviati o a cui si accede e non tutti i dati potrebbero rientrare nella categoria sensibile per essere soggetti alle normative DRZ. A seconda della sensibilità dei dati gestiti, puoi scegliere tra il servizio regionale o globale.
Se la tua organizzazione deve rispettare normative specifiche sulla residenza dei dati, scegli il servizio regionale, in quanto garantisce che i dati dei secret non escano dalla regione designata. Se la tua applicazione richiede alta disponibilità e la possibilità di accedere ai secret da qualsiasi luogo, il servizio globale potrebbe essere più adatto grazie alla replica multiregionale.
Per informazioni sul servizio Secret Manager globale, consulta la documentazione del servizio globale.
Passaggi successivi
- Abilita l'API Secret Manager
- Crea un secret regionale
- Aggiungere la crittografia CMEK ai secret regionali