Diese Seite wurde von der Cloud Translation API übersetzt.

Einführung in den Datenstandort

In diesem Dokument wird der Datenstandort für Apigee beschrieben.

Übersicht

Für viele Branchen und Unternehmen führt die Verwendung eines Cloud-Angebots zu einer genaueren Kontrolle durch Sicherheits- und Compliance-Teams (die Daten, die in der Cloud gespeichert sind, wo sie gespeichert werden, wer Zugriff darauf hat und wer die Daten sieht). Darüber hinaus haben viele Länder Datenschutzgesetze verabschiedet, die das Speichern personenidentifizierbarer Informationen außerhalb des Landes oder der Region verbieten.

Der Datenstandort für Apigee erfüllt Compliance- und behördliche Anforderungen, indem Sie die geografischen Standorte (Regionen) angeben können, an denen Apigee-Daten gespeichert werden. Bisher konnten Sie in Apigee die Instanzregion und die Analyseregion auswählen. Apigee verfügt jedoch auch über eine globale Infrastruktur, z. B. ein API-Proxy-Bundle oder andere Kundendaten. Wenn Sie bei Verwendung des Datenstandorts den Standort der Steuerungsebene auswählen, werden alle Kundeninhalte in der angegebenen Region gespeichert.

Apigee hat die FedRAMP High-Autorisierung erhalten und damit die für den Datenstandort erforderlichen Standards erfüllt. Weitere Informationen finden Sie unter Datenstandort und FedRAMP-Compliance.

Kompatibilität mit Datenstandorten

Der Speicherort der Daten kann mit folgenden Elementen verwendet werden:

Apigee-Organisationen (Abo oder Pay-as-you-go)
Apigee Hybrid
Hinweis:Apigee Hybrid Version 1.13.1 und höher mit aktiviertem Datenstandort unterstützt Apigee API Analytics und das Debug-Tool. In Apigee Hybrid mit aktiviertem Datenstandort wird verteiltes Tracing nicht unterstützt. Siehe Bekannte Probleme.
Anomalien im Betrieb für nicht hybride Abo-Organisationen
Monetarisierung in Abo-Organisationen für nicht hybride Organisationen aktiviert
Erweiterte API-Sicherheit für nicht hybride Organisationen

Der Datenstandort wird derzeit nicht unterstützt für die Verwendung mit:

Vorschau- oder Betarelease-Features wie die Vorabversionen für die Integration von Looker Studio und Shadow API Discovery
Eval-Organisationen
Integrierte Portale
Erweiterte API-Sicherheit für hybride Organisationen
Datenerhebung
Apigee Adapter for Envoy
Klassische Apigee-UI. Sie können Apigee in der Google Cloud Console oder die Apigee APIs verwenden, um eine Organisation mit aktiviertem Datenspeicherort bereitzustellen oder zu verwalten.
Apigee wird in einem Browserfenster unter apigee.google.com ausgeführt, da die regionalisierten Organisationsnamen nicht in der Organisationsauswahl angezeigt werden. Sie müssen Apigee in der Google Cloud Console verwenden.
Google Cloud CLI. Sie können Apigee in der Google Cloud Console oder die Apigee APIs verwenden, um eine Organisation mit aktiviertem Datenspeicherort bereitzustellen oder zu verwalten.

Wichtige Fakten

Wenn der Datenstandort für Ihre Apigee-Installation aktiviert ist, beachten Sie die folgenden wichtigen Punkte:

Der Datenstandort muss zu dem Zeitpunkt aktiviert sein, an dem Apigee bereitgestellt wird. Sie können den Datenstandort nicht für eine bereits bereitgestellte Organisation aktivieren.
Standardmäßig ist die Steuerungsebene eine globale Entität, es sei denn, Sie wählen den Datenstandort (Regionalisierung) zum Zeitpunkt der Erstellung der Apigee-Organisation aus. Kann später nicht mehr geändert werden. Nachdem Sie den Datenstandort und den Standort der Steuerungsebene ausgewählt haben, können diese nicht mehr geändert werden. Wenn Sie später einen anderen Speicherort benötigen, müssen Sie ein neues Google Cloud-Projekt erstellen.
Beim Bereitstellen einer Organisation:
- Ohne Datenstandort: Geben Sie die Region mit ANALYTICS_REGION an.
- Mit Datenspeicherort: Geben Sie die Region mit CONTROL_PLANE_LOCATION und die Unterregion mit CONSUMER_DATA_REGION an. Weitere Informationen finden Sie unter Datenstandortregionen.
Der Administrator, der Apigee bereitstellt, muss:
- Apigee-Nutzer wie API-Entwickler und andere Administratoren über die Konfiguration des Datenspeicherorts informieren
- Legen Sie die Organisationsrichtlinie für Standorte wie unter Ressourcenstandorte einschränken beschrieben fest.
API-Entwickler, Administratoren oder andere Nutzer der Apigee Management APIs müssen den neuen API-Dienstendpunkt für den Speicherort von Daten verwenden.

Regionen für den Datenstandort

Mit der Datenspeicherung können Sie bei der Bereitstellung die Region (den physischen Speicherort) auswählen, an der die Daten gespeichert werden.

Wenn Sie die Region (z. B. us) angeben, müssen Sie auch eine einzelne Region (z. B. us-west1) für andere Dienste angeben, die nur in einer einzelnen Region ausgeführt werden können, z. B. Analytics-Berichte.

Alle Ressourcen müssen sich in der angegebenen Region befinden. Wenn Sie beispielsweise für die CONTROL_PLANE_LOCATION us auswählen, müssen sich die anderen Apigee-Ressourcen wie die Laufzeitinstanz, die auf CMEK, den Endpunktanhang usw. verweist, ebenfalls in der Region us befinden.

Die Daten, die bei Auswahl des Datenstandorts gespeichert werden, werden als Steuerungsebenendaten und Nutzerdaten bezeichnet.

Daten der Steuerungsebene sind Analysedaten, API-Proxys, Zielserver, Truststores und Schlüsselspeicher und alles andere, das von den Laufzeiten gemeinsam genutzt wird. Verbraucherdaten sind Analysedaten, die von Diensten verarbeitet werden, die in einer einzelnen Region ausgeführt werden.

Eine Liste der derzeit unterstützten Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.

Dienstendpunkt des Datenstandorts

Ein Dienstendpunkt ist eine Basis-URL, die die Netzwerkadresse eines API-Dienstes angibt.

Der Endpunkt oder Hostname des Apigee API-Dienstes lautet apigee.googleapis.com.

Kein Datenstandort:
So verwenden Sie den Dienstendpunkt:

apigee.googleapis.com

Beispiel:

curl "https://apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...
Datenstandort:
Fügen Sie die Region der Steuerungsebene dem Dienstendpunkt vor:

CONTROL_PLANE_LOCATION-apigee.googleapis.com
Beispiel:

curl "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Dabei ist CONTROL_PLANE_LOCATION der physische Speicherort, der bei der Bereitstellung angegeben wurde und an dem die Daten der Apigee-Steuerungsebene gespeichert werden.

Beispiel:

curl "https://us-apigee.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" ...

Region aufrufen

Wenn Sie Ihre Organisation (PROJECT_ID) bereits für die Verwendung mit dem Datenstandort bereitgestellt haben, können Sie mit der getProjectMapping API die einem Projekt zugeordneten Regionen anzeigen lassen:

So autorisieren Sie gcloud mit Ihren Google-Nutzeranmeldedaten, um auf die Cloud Platform zuzugreifen:
```
gcloud auth login
```

API aufrufen:

curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"

Dabei ist PROJECT_ID der Name Ihrer Apigee-Organisation oder die Google Cloud-Projekt-ID.

Es wird in etwa Folgendes zurückgegeben:

{
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}

Verschlüsselung von Daten am Speicherort

Siehe Einführung in CMEK

Einschränkungen für den Datenstandort und Organisationsrichtlinien

Mit den Einschränkungen für Organisationsrichtlinien von Google Cloud können Sie eine Reihe von Standorten definieren, an denen standortbasierte Google Cloud-Ressourcen für Ihre Google Cloud-Organisation erstellt werden können. Wenn Sie eine Google Cloud-Organisationsrichtlinie haben, die eine Einschränkung des Ressourcenstandorts (constraints/gcp.resourceLocations) verwendet, gilt die Einschränkung für die folgenden Apigee-Ressourcen, die bei der Bereitstellung von Apigee erstellt werden:

Wenn Sie eine neue Apigee-Organisation in einem Google Cloud-Projekt bereitstellen, für das eine Einschränkung des Ressourcenstandorts gilt, muss die Standorteinschränkung mit dem für Ihre Apigee-Organisation angegebenen Standort der Steuerungsebene kompatibel sein:

Wenn Sie eine Apigee-Organisation ohne Datenstandort bereitstellen, muss die Einschränkung des Ressourcenstandorts in Ihrer Google Cloud-Organisationsrichtlinie auf global festgelegt sein. Da die Apigee-Steuerungsebene standardmäßig eine globale Entität ist, schlägt die Bereitstellung fehl, wenn eine andere Einschränkung als global angewendet wird.
Wenn Sie eine Apigee-Organisation mit Datenstandort bereitstellen, stellen Sie sicher, dass jegliche in Ihrer Google Cloud-Organisationsrichtlinie festgelegte Einschränkung des Ressourcenstandorts die Region nicht ausschließt, die Sie für die Daten Ihrer Steuerungsebene auswählen. Andernfalls schlägt die Bereitstellung fehl.

Datenstandort und FedRAMP-Compliance

Apigee ist als FedRAMP High-Dienst für Organisationen autorisiert, bei denen der Speicherort der Daten aktiviert ist. Wenn Sie bei der Bereitstellung einer Apigee-Abo- oder Pay-as-you-go-Organisation den Datenstandort aktivieren, fallen die folgenden Dienste unter die FedRAMP Authority To Operate (ATO) von Apigee:

Die Steuerungsebene, Laufzeitebene und Analysen der regionalisierten Apigee-Organisation.
Die Steuerungsebene und Analysen der regionalisierten Apigee Hybrid-Organisation.

Die folgenden Apigee-Angebote fallen nicht unter die FedRAMP-ATO von Apigee:

Weitere Informationen zur Bedeutung einer FedRAMP-ATO finden Sie unter FedRAMP-Compliance.

Datenstandort und Apigee Hybrid

Ab Apigee Hybrid Version 1.12 können Sie neue Apigee Hybrid-Installationen so konfigurieren, dass der Datenstandort verwendet wird. Weitere Informationen finden Sie unter Datenstandort mit Apigee Hybrid verwenden.