במסמך הזה מוסבר על סוגים שונים של נקודות קצה של API שזמינות ב-Sensitive Data Protection. במסמך הזה יש גם נקודות למחשבה שיעזרו לכם להחליט באיזה סוג של נקודת קצה להשתמש בבקשות שלכם ל-Sensitive Data Protection. מידע כללי על הסוגים השונים של נקודות קצה ל-API זמין במאמר Google Cloud סקירה כללית על נקודות קצה ל-API.
נקודת קצה ב-API (או נקודת קצה של שירות) היא כתובת URL בסיסית שמציינת את כתובת הרשת של שירות API של Google Cloud , כמו Sensitive Data Protection. ל-Sensitive Data Protection יש נקודות קצה גלובליות ואזוריות.
נקודת קצה גלובלית ל-API
נקודת הקצה הגלובלית של Sensitive Data Protection היא dlp.googleapis.com.
נקודות קצה בהיקף גלובלי מספקות נקודות קצה של שירותים עם זמינות גבוהה, שמסיימות את סשן ה-TLS קרוב ככל האפשר ללקוח, וכך מצמצמות את זמן האחזור כשמגישים קריאות API ממגוון רחב של לקוחות באינטרנט.
כששולחים בקשה לנקודת קצה גלובלית, אפשר לציין את המיקום שבו רוצים לעבד את הבקשה.
בקשות לנקודת קצה גלובלית ללא ציון מיקום
אם לא מציינים מיקום בבקשה, או אם מציינים את אזור global, הבקשה מעובדת באזור global. לדוגמה, אם שולחים בקשת POST לכתובת ה-URL הבאה, הבקשה נשלחת לנקודת הקצה הגלובלית ומעובדת באזור global.
https://dlp.googleapis.com/v2/projects/example-project/content:inspect
בקשות לנקודת קצה גלובלית עם מיקום שצוין
אם מציינים מיקום בבקשה לנקודת קצה גלובלית, הבקשה נשלחת לנקודת הקצה הגלובלית ומעובדת באזור או במספר אזורים שצוינו.
לדוגמה, אם שולחים בקשת POST לכתובת ה-URL הבאה, הבקשה נשלחת לנקודת הקצה הגלובלית ומעובדת באזור us-west1.
https://dlp.googleapis.com/v2/projects/example-project/locations/us-west1/content:inspect
אין ערובה לכך שהנתונים במעבר יישארו באזור העיבוד שציינתם. אם אתם לא נדרשים לשמור נתונים במעבר באזור ספציפי, מספיק שתתקשרו לנקודת הקצה הגלובלית באופן הזה.
נקודות קצה אזוריות של API
נקודות קצה אזוריות מאפשרות לשמור נתונים במעבר באזור ספציפי. נקודת קצה אזורית מציינת את המיקום כתת-דומיין – לדוגמה, dlp.us-west1.rep.googleapis.com.
נקודת קצה אזורית של Sensitive Data Protection היא בפורמט הבא:
dlp.REGION.rep.googleapis.com
מחליפים את REGION בנקודת קצה אזורית שזמינה ל-Sensitive Data Protection.
נקודות קצה אזוריות מסיימות סשנים של TLS במיקום שצוין על ידי נקודת הקצה עבור בקשות שהתקבלו מהאינטרנט הציבורי או מקישוריות פרטית.
נקודות קצה אזוריות מבטיחות מיקום של הנתונים בכך שהן מוודאות שהנתונים באחסון, בשימוש ובהעברה לא יוצאו מהמיקום שצוין בנקודת הקצה. האחריות הזו לא כוללת נתוני שירות. מידע נוסף זמין במאמר בנושא הערה על נתוני לקוחות ונתוני שירות.
בחירה בין נקודות קצה גלובליות ואזוריות
כשבוחרים בין נקודות קצה גלובליות לאזוריות, כדאי להביא בחשבון את הנקודות הבאות:
אם הארגון שלכם נדרש לשמור נתונים באחסון, בשימוש ובהעברה באזור מסוים, אתם צריכים להשתמש בנקודות קצה אזוריות. אם אתם לא נדרשים לשמור נתונים בהעברה באזור ספציפי, אתם יכולים להשתמש בנקודות קצה גלובליות.
נקודות קצה אזוריות נתמכות במספר מוגבל של מיקומים. רשימה מלאה של האזורים ומספר האזורים שבהם Sensitive Data Protection זמין מופיעה במאמר מיקומי Sensitive Data Protection.
ל-Sensitive Data Protection יש קבוצות נפרדות של מיכסות לכל אחד מהרכיבים הבאים:
- בקשות לנקודת הקצה הגלובלית ללא ציון מיקום (מעובדות באזור
global) - בקשות לנקודת הקצה הגלובלית שבה צוין מיקום עיבוד (העיבוד מתבצע באזור שצוין)
- בקשות לנקודות קצה אזוריות
המכסות של נקודות קצה אזוריות נמוכות יותר מהמכסות של שתי האפשרויות האחרות.
- בקשות לנקודת הקצה הגלובלית ללא ציון מיקום (מעובדות באזור
אם אפליקציית הלקוח שלכם מוגדרת לשימוש בנקודות קצה גלובליות ואתם רוצים להתחיל להשתמש בנקודות קצה אזוריות, אתם צריכים להגדיר את אפליקציית הלקוח כך שתציין את האזור או את האזור הגיאוגרפי שכולל מספר אזורים בדומיין המשנה ובנתיב של כל שם מארח שבו אתם משתמשים בבקשות. מידע נוסף זמין במאמר ציון אזור בבקשה לנקודת קצה אזורית.
הגבלת השימוש בנקודת קצה ל-API גלובלית
כדי לאכוף את השימוש בנקודות קצה אזוריות, אפשר להשתמש באילוץ constraints/gcp.restrictEndpointUsage של מדיניות הארגון כדי לחסום בקשות לנקודת קצה ל-API גלובלית. מידע נוסף זמין במאמר הגבלת השימוש בנקודות קצה במסמכי העזרה של Assured Workloads.
המאמרים הבאים
- כאן מופיעה רשימה של המיקומים שבהם אפשר להשתמש ב-Sensitive Data Protection.
- איך מציינים מיקום בבקשה