本文說明 Apigee 的資料居住地。
總覽
對於許多產業和企業而言,使用雲端服務會導致安全性和法規遵循團隊加強審查 (例如,雲端儲存哪些資料、儲存位置、誰有存取權、誰可查看資料等)。此外,許多國家/地區已通過資料隱私權法,禁止將個人識別資訊 (PII) 資料儲存在該國家/地區以外。
Apigee 的資料落地功能可讓您指定 Apigee 資料的儲存地理位置 (區域),以符合法規遵循要求。過去,Apigee 允許您選取執行個體區域和分析區域;不過,Apigee 也提供全球基礎架構,例如 API 代理程式套件或其他客戶資料。透過資料落地功能,選取控制平面位置可確保所有客戶內容都儲存在指定區域內。
Apigee 已取得 FedRAMP 高等風險級別授權,成功符合資料落地所需的標準。詳情請參閱「資料落地和 FedRAMP 法規遵循」。
資料落地相容性
資料落地功能可搭配下列項目使用:
- Apigee 機構 (訂閱或即付即用)
- Apigee Hybrid。請參閱「資料居留權和 Apigee Hybrid」。
- 非混合式訂閱機構的作業異常狀況
- 在訂閱機構中啟用 營利功能 (適用於非混合型機構)
- Advanced API Security
- Apigee API Hub。請參閱「API 中心和資料所在地」。
- 資料收集器。資料收集器適用於訂閱和後付款機構,以及 1.14.0 以上版本的混合型版本。
- 預先發布版或 Beta 版功能,例如 Looker Studio 整合 和 Shadow API Discovery 的預先發布版
- 評估機構
- 整合式入口網站
- Apigee Adapter for Envoy
- 傳統版 Apigee UI。如要佈建或管理啟用資料居留權的機構,您可以使用 Google Cloud 主控台中的 Apigee 或 Apigee API。
- Apigee 在
apigee.google.com的瀏覽器視窗中執行,因為組織選取器中未顯示區域化的機構名稱。您必須使用 Google Cloud 控制台中的 Apigee。 - Google Cloud CLI。如要佈建或管理啟用資料居留權的機構,您可以使用 Google Cloud 主控台中的 Apigee 或 Apigee API。
重點
如果 Apigee 安裝環境已啟用資料落地功能,請注意下列重點:
- 您必須在 佈建 Apigee 時啟用資料落地設定。您無法為已佈建的機構啟用資料落地功能。
- 根據預設,控制層是全球實體,除非您在建立 Apigee 機構時選取資料居留權 (區域化),否則日後無法變更。選取資料落地和控制層位置後,就無法變更。如果日後需要其他位置,您必須建立新的 Google Cloud 專案。
-
佈建機構時:
- 不指定資料儲存地:使用 ANALYTICS_REGION 指定地區。
- 資料落地:使用 CONTROL_PLANE_LOCATION 指定區域,使用 CONSUMER_DATA_REGION 指定子區域。請參閱資料落地權地區。
-
負責 Apigee 用途的管理員必須:
- 通知 Apigee 使用者 (例如 API 開發人員和其他管理員) 資料落地設定
- 按照「 限制資源位置」一節所述,設定位置機構政策
- Apigee 管理 API 的 API 開發人員、管理員或其他使用者,必須使用 新的資料儲存地 API 服務端點。
資料落地權區域
資料落地可讓您在佈建資料儲存位置時選擇區域 (實體位置)。
指定地區 (例如 us) 時,您也必須為只能在單一地區執行的其他服務 (例如 Analytics 報表) 指定單一地區 (例如 us-west1)。
所有資源都必須位於指定的區域內。舉例來說,如果您為 CONTROL_PLANE_LOCATION 選取 us,其他 Apigee 資源 (例如執行階段執行個體、參照 CMEK、端點附件等) 也必須位於 us 區域內。
選擇資料落地時儲存的資料類型稱為控制平面資料和消費者資料。
控制平面資料是指 Analytics 資料、API Proxy、目標伺服器、信任存放區和金鑰存放區,以及在各個執行階段共用的任何其他資料。消費者資料是指由單一地區執行的服務所處理的分析資料。
如要瞭解目前支援的控制層區域,請參閱 Apigee 位置。
資料落地服務端點
服務端點是指定 API 服務網路位址的基準網址。
Apigee API 服務端點 (或主機名稱) 為 apigee.googleapis.com。
-
沒有資料落地:
請使用以下服務端點:
apigee.googleapis.com例如:
curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ... -
資料落地:
在服務端點前方加上控制層區域:
CONTROL_PLANE_LOCATION-apigee.googleapis.com例如:
curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...其中 CONTROL_PLANE_LOCATION 是佈建期間指定的實體位置,Apigee 會將控制平面資料儲存在該位置。
例如:
curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
如何查看區域
如果您已為組織 (PROJECT_ID) 佈建資料主權用途,可以使用 getProjectMapping API 顯示與專案相關聯的區域:
- 授權 gcloud 使用您的 Google 使用者憑證存取 Cloud Platform:
gcloud auth login
- 呼叫 API:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"其中 PROJECT_ID 是 Apigee 機構名稱或 Google Cloud 專案 ID。
系統會傳回類似以下的內容:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
資料落地加密
請參閱「 CMEK 簡介」。
資料落地權和機構政策限制
Google Cloud的
機構政策限制可讓您定義一組位置,以便為 Google Cloud 機構建立位置型 Google Cloud 資源。如果您有使用資源位置限制 (constraints/gcp.resourceLocations) 的 Google Cloud
機構政策,則該限制會套用至在 Apigee 佈建時建立的下列 Apigee 資源:
如果您要在已套用資源位置限制的 Google Cloud 專案中佈建新的 Apigee 機構,請務必確保位置限制與為 Apigee 機構指定的控制平面位置相容:
- 如果您為 Apigee 機構提供不具備資料落地功能, Google Cloud 組織政策中的資源位置限制必須設為
global。由於 Apigee 控制層預設為全域實體,因此如果套用global以外的限制條件,佈建作業就會失敗。 - 如果您為 Apigee 機構提供資料落地服務,請確認在 Google Cloud 組織政策中設定的任何資源位置限制,不會排除您為控制平面資料選取的區域。否則佈建作業就會失敗。
資料落地設定和 FedRAMP 法規遵循
Apigee 已獲授權,可為啟用資料落地功能的機構提供 FedRAMP 高等風險級別服務。如果您在佈建 Apigee 訂閱或付費即用組織時選擇啟用資料落地設定,則下列服務會納入 Apigee 的 FedRAMP 營運授權 (ATO) 範圍:
- 區域化 Apigee 機構的控制層、執行階段層和分析。
- 區域化的 Apigee Hybrid 組織控制層和分析資料。
下列 Apigee 產品不在 Apigee 的 FedRAMP ATO 範圍內:
如要進一步瞭解 FedRAMP ATO 的重要性,請參閱「FedRAMP 法規遵循」一文。資料落地權和 Apigee Hybrid
從 Hybrid 1.12 版開始,您可以設定新的 Apigee Hybrid 安裝作業,以便使用資料居住地。請參閱「使用 Apigee Hybrid 的資料駐留功能」。
啟用資料駐留功能的 Apigee 混合式 1.14.0 以上版本支援 Advanced API Security、Apigee API 分析和偵錯工具。
啟用資料落地設定的 Apigee Hybrid 不支援分散式追蹤。請參閱已知問題。