本页介绍了 Secret Manager 的全球服务与区域服务之间的主要区别。
全局服务是 Secret Manager 的默认配置。您可以开始使用该服务,并采用默认设置和标准 API 端点。 密文数据会复制到多个区域,并且可以从 Google Cloud 平台运行的任何区域访问密文。
对于具有严格数据主权和合规性要求的组织,Secret Manager 提供区域服务,您可以选择仅在特定地理位置或数据驻留区域 (DRZ) 内存储数据。只有位于该特定区域内的资源才能访问相应 Secret。如需访问区域服务,您需要与数据驻留区域相关联的区域端点。
下表说明了全球服务与区域服务之间的主要区别。
| 功能 | 全球服务 | 区域性服务 |
|---|---|---|
| 数据驻留 | 用户管理的复制到特定区域或自动复制(不受任何限制)。 | 数据存储在单个位置。完全符合数据驻留区 (DRZ) 要求,可确保静态数据、使用中的数据和传输中的数据安全无虞。 |
| 端点 | 单一全球端点 | 区域端点 |
| 跨区域访问 | 用户管理的复制政策和自动复制政策均支持此功能。 | 不可能。机密数据严格限制在您选择的区域内,不会流出该区域。 |
| 使用场景 |
常规 Secret 管理
|
严格的数据驻留要求
|
并非所有组织都必须遵守有关数据存储或访问位置的严格 DRZ 法规,也并非所有数据都属于敏感类别,因此必须遵守 DRZ 法规。因此,您可以根据所处理数据的敏感程度,选择区域级服务或全球服务。
如果您的组织必须遵守特定的数据驻留法规,请选择区域级服务,因为这样可以确保您的 Secret 数据不会离开指定区域。如果您的应用需要高可用性,并且能够从任何位置访问 Secret,那么全球服务可能更适合,因为它支持多区域复制。
如需了解全球 Secret Manager 服务,请参阅全球服务文档。