Auf dieser Seite werden die wichtigsten Unterschiede zwischen dem globalen und dem regionalen Secret Manager-Dienst erläutert.
Der globale Dienst ist die Standardkonfiguration für Secret Manager. Sie können den Dienst mit den Standardeinstellungen und dem Standard-API-Endpunkt verwenden. Die geheimen Daten werden über mehrere Regionen hinweg repliziert und auf Secrets kann von jeder Region aus zugegriffen werden, in der die Google Cloud-Plattform verfügbar ist.
Für Organisationen mit strengen Anforderungen an die Datenhoheit und Compliance bietet Secret Manager einen regionalen Dienst, mit dem Sie Ihre Daten ausschließlich an bestimmten geografischen Standorten oder in bestimmten Datenstandortzonen (Data Residency Zones, DRZs) speichern können. Der Zugriff auf Secrets ist nur innerhalb dieser Region möglich. Für den Zugriff auf den regionalen Dienst benötigen Sie einen regionalen Endpunkt, der mit der Zone für den Datenspeicherort verknüpft ist.
In der folgenden Tabelle werden die wichtigsten Unterschiede zwischen dem globalen und dem regionalen Dienst erläutert.
| Funktion | Globaler Dienst | Regionaler Dienst |
|---|---|---|
| Datenstandort | Vom Nutzer verwaltete Replikation in bestimmte Regionen oder automatische Replikation ohne Einschränkungen. | Die Daten werden an einem einzigen Ort gespeichert. Vollständige Einhaltung der Anforderungen an die Datenstandortzone (Data Residency Zone, DRZ) für ruhende, aktiv genutzte und übertragene Daten. |
| Endpunkte | Ein einzelner globaler Endpunkt | Regionale Endpunkte |
| Regionenübergreifender Zugriff | Möglich sowohl mit vom Nutzer verwalteter Replikation als auch mit automatischer Replikation. | Das ist nicht möglich. Geheime Daten sind auf die von Ihnen ausgewählte Region beschränkt und werden nicht außerhalb dieser Region übertragen. |
| Anwendungsfälle |
Allgemeine Secret-Verwaltung
|
Strenge Anforderungen an den Datenstandort
|
Nicht alle Organisationen unterliegen strengen DRZ-Bestimmungen dazu, wo Daten gespeichert oder darauf zugegriffen wird. Außerdem fallen nicht alle Daten in die Kategorie „Sensible Daten“, die den DRZ-Bestimmungen unterliegen. Je nach Sensibilität der verarbeiteten Daten können Sie also zwischen dem regionalen und dem globalen Dienst wählen.
Wenn Ihre Organisation bestimmte Vorschriften zum Datenstandort einhalten muss, wählen Sie den regionalen Dienst aus. So wird sichergestellt, dass Ihre geheimen Daten die angegebene Region nicht verlassen. Wenn Ihre Anwendung eine hohe Verfügbarkeit und die Möglichkeit erfordert, von überall auf Secrets zuzugreifen, ist der globale Dienst aufgrund der Replikation in mehreren Regionen möglicherweise besser geeignet.
Weitere Informationen zum regionalen Dienst finden Sie in der Dokumentation zum regionalen Dienst.