En esta página se explican las principales diferencias entre el servicio global y el regional de Secret Manager.
El servicio global es la configuración predeterminada de Secret Manager. Puedes empezar a usar el servicio con la configuración predeterminada y el endpoint de la API estándar. Los datos de los secretos se replican en varias regiones y se puede acceder a los secretos desde cualquier región en la que opere la plataforma Google Cloud .
Para las organizaciones con requisitos estrictos de soberanía y cumplimiento de datos, Secret Manager ofrece un servicio regional en el que puede elegir almacenar sus datos únicamente en ubicaciones geográficas o zonas de residencia de datos (DRZs) específicas. Solo se puede acceder a los secretos desde esa región específica. Para acceder al servicio regional, necesitarás un endpoint regional asociado a la zona de residencia de datos.
En la siguiente tabla se explican las principales diferencias entre el servicio global y el regional.
| Función | Servicio global | Servicio regional |
|---|---|---|
| Residencia de datos | Replicación gestionada por el usuario en regiones específicas o replicación automática sin ninguna restricción. | Los datos se almacenan en una sola ubicación. Cumplimiento total de la zona de residencia de datos (DRZ) con los datos en reposo, en uso y en tránsito. |
| Endpoints | Un único endpoint global | Puntos de conexión regionales |
| Acceso entre regiones | Se puede hacer tanto con la replicación gestionada por el usuario como con la replicación automática. | No es posible. El acceso a los datos de secretos está estrictamente limitado a la región que elijas y no se transfieren fuera de sus límites. |
| Casos prácticos |
Gestión general de secretos
|
Requisitos estrictos de residencia de datos
|
No todas las organizaciones están sujetas a normativas estrictas de DRZ sobre dónde se almacenan o a dónde se accede a los datos, y no todos los datos pueden clasificarse como sensibles y, por lo tanto, estar sujetos a las normativas de DRZ. Por lo tanto, en función de la sensibilidad de los datos que se traten, puedes elegir entre el servicio regional o el global.
Si tu organización debe cumplir normativas de residencia de datos específicas, elige el servicio regional, ya que garantiza que tus datos secretos no salgan de la región designada. Si tu aplicación requiere alta disponibilidad y la capacidad de acceder a secretos desde cualquier lugar, el servicio global puede ser más adecuado debido a su replicación multirregión.
Para obtener información sobre el servicio global Secret Manager, consulta la documentación del servicio global.
Siguientes pasos
- Habilitar la API Secret Manager
- Crear un secreto regional
- Añadir cifrado con CMEK a secretos regionales