本文档介绍了 Sensitive Data Protection 提供的不同类型的 API 端点。本文档还提供了在决定在 Sensitive Data Protection 请求中使用哪种端点类型时需要考虑的事项。如需了解不同类型的 API 端点的一般 信息,请参阅 Google Cloud API 端点概览。
API 端点(或 服务端点)是一个基础网址,用于指定 Sensitive Data Protection 等 API 服务的网络 地址。 Google Cloud Sensitive Data Protection 具有全球端点和区域端点。
全球 API 端点
Sensitive Data Protection 的全球端点为 dlp.googleapis.com。
全球范围的端点提供高可用性服务端点,这些端点会尽可能靠近客户端终止 TLS 会话,从而最大限度地减少通过互联网为分散的客户端群体提供 API 调用服务时的延迟。
向全球端点发送请求时,您可以指定要处理请求的位置。
向未指定位置的全球端点发送请求
如果您未在请求中指定位置,或者指定了 global 区域,则请求会在 global 区域中处理。例如,如果您向以下网址发送
POST 请求,则该请求会发送到全球端点,并在 global 区域中处理。
https://dlp.googleapis.com/v2/projects/example-project/content:inspect
向指定了位置的全球端点发送请求
如果您在向全球端点发送的请求中指定了位置,则该请求会发送到全球端点,并在您指定的区域或多区域中处理。
例如,如果您向以下网址发送
POST 请求,则该请求会发送到全球端点,并在 us-west1 区域中处理。
https://dlp.googleapis.com/v2/projects/example-project/locations/us-west1/content:inspect
我们无法保证传输中的数据会保留在您指定的处理区域中。如果您不需要将传输中的数据保留在特定区域内,则以这种方式调用全球端点就足够了。
区域 API 端点
借助区域端点,您可以将传输中的数据保留在特定区域内。区域端点会将位置指定为子网域,例如
dlp.us-west1.rep.googleapis.com。
Sensitive Data Protection 的区域端点采用以下格式:
dlp.REGION.rep.googleapis.com
将 REGION 替换为 Sensitive Data Protection 可用的
区域端点。
对于从公共互联网或专用连接收到的请求,区域端点会在端点指定的位置终止 TLS 会话。
区域端点通过确保静态数据、使用中的数据和传输中的数据不会移出端点指定的位置,保证数据 驻留。此保证不包括服务数据。如需了解详情,请参阅 有关客户数据和服务 数据的说明。
选择全球端点还是区域端点
在选择全球端点还是区域端点时,请考虑以下事项:
如果您的组织需要将静态数据、使用中的数据和传输中的数据保留在特定区域内,则必须使用区域端点。如果您不需要将传输中的数据保留在特定区域内,则可以使用全球端点。
区域端点仅在有限数量的位置受支持。如需查看 Sensitive Data Protection 可用的区域和多区域的完整 列表,请参阅 Sensitive Data Protection 位置。
Sensitive Data Protection 为以下各项设置了单独的 配额:
- 向未指定位置的全球端点发送请求(在
global区域中处理) - 向指定了处理位置的全球端点发送请求(在指定区域中处理)
- 向区域端点发送请求
区域端点的配额低于其他两个端点的配额。
- 向未指定位置的全球端点发送请求(在
如果您的客户端应用配置为使用全球端点,并且您想要开始使用区域端点,则需要配置客户端应用,以在请求中使用的每个主机名的子网域和路径中指定区域或多区域。如需了解详情,请参阅在向区域端点发送的请求中指定区域 。
限制全球 API 端点用量
为了帮助强制使用区域端点,请使用 constraints/gcp.restrictEndpointUsage 组织政策限制条件来阻止对全球 API 端点的请求。如需了解详情,请参阅
Assured Workloads 文档中的
限制端点用量。