このページでは、Secret Manager のグローバル サービスとリージョン サービスの主な違いについて説明します。
グローバル サービスは、Secret Manager のデフォルト構成です。デフォルトの設定と標準の API エンドポイントを使用して、サービスの使用を開始できます。シークレット データは複数のリージョンに複製され、Google Cloud Platform が動作している任意のリージョンからシークレットにアクセスできます。
データ主権とコンプライアンスの要件が厳しい組織の場合、Secret Manager はリージョン サービスを提供します。このサービスでは、特定の地理的ロケーションまたはデータ所在地ゾーン(DRZ)内にのみデータを保存できます。シークレットには、その特定のリージョン内からのみアクセスできます。リージョン サービスにアクセスするには、データ所在地ゾーンに関連付けられたリージョン エンドポイントが必要です。
次の表に、グローバル サービスとリージョン サービスの主な違いを示します。
| 特徴 | グローバル サービス | リージョン サービス |
|---|---|---|
| データ所在地 | 特定のリージョンへのユーザー管理レプリケーション、または制限のない自動レプリケーション。 | データは 1 か所に保存されます。保存中、使用中、転送中のデータに関する完全なデータ所在地ゾーン(DRZ)コンプライアンス。 |
| エンドポイント | 単一のグローバル エンドポイント | リージョン エンドポイント |
| リージョン間アクセス | ユーザー管理のレプリケーションと自動レプリケーションの両方で可能です。 | 実施できません。シークレット データは、選択したリージョンに厳密に制限され、その境界外に流出することはありません。 |
| ユースケース |
一般的なシークレット管理
|
厳格なデータ所在地の要件
|
すべての組織が、データの保存場所やアクセス方法に関する厳格な DRZ 規制の対象となるわけではありません。また、すべてのデータが DRZ 規制の対象となる機密データのカテゴリに該当するとは限りません。そのため、処理するデータの機密性に応じて、リージョン サービスまたはグローバル サービスのいずれかを選択できます。
組織が特定のデータ所在地に関する規制に準拠する必要がある場合は、リージョン サービスを使用します。これにより、シークレット データが指定されたリージョン外に送信されることがなくなります。アプリケーションで高可用性とどこからでもシークレットへのアクセスが必要な場合は、マルチリージョン レプリケーションが可能なグローバル サービスが適している場合があります。
リージョン サービスの詳細については、リージョン サービスのドキュメントをご覧ください。