Cette page décrit les principales différences entre le service global et régional de Secret Manager.
Le service global est la configuration par défaut de Secret Manager. Vous pouvez commencer à utiliser le service avec les paramètres par défaut et le point de terminaison de l'API standard. Les données secrètes sont répliquées dans plusieurs régions, et les secrets sont accessibles depuis n'importe quelle région où la plate-forme Google Cloud opère.
Pour les organisations qui ont des exigences strictes en matière de souveraineté et de conformité des données, Secret Manager propose un service régional qui vous permet de stocker vos données uniquement dans des zones géographiques ou des zones de résidence des données (DRZ) spécifiques. Les secrets ne sont accessibles que depuis cette région spécifique. Pour accéder au service régional, vous avez besoin d'un point de terminaison régional associé à la zone de résidence des données.
Le tableau suivant explique les principales différences entre le service global et le service régional.
| Caractéristique | Service mondial | Service régional |
|---|---|---|
| Résidence des données | Réplication gérée par l'utilisateur dans des régions spécifiques ou réplication automatique sans restriction. | Les données sont stockées dans un seul emplacement. Conformité complète avec la zone de résidence des données (DRZ) pour les données au repos, en cours d'utilisation et en transit. |
| Points de terminaison | Point de terminaison mondial unique | Points de terminaison régionaux |
| Accès interrégional | Possible avec la réplication gérée par l'utilisateur et la réplication automatique. | Impossible. Les données secrètes sont strictement limitées à la région de votre choix et ne sortent pas de ses limites. |
| Cas d'utilisation |
Gestion générale des secrets
|
Exigences strictes en matière de résidence des données
|
Toutes les organisations ne sont pas soumises à des réglementations strictes sur l'emplacement où les données sont stockées ou auxquelles elles ont accès. De plus, toutes les données ne peuvent pas être classées dans la catégorie des données sensibles et ne sont donc pas soumises aux réglementations sur les zones de données sensibles. Par conséquent, en fonction de la sensibilité des données traitées, vous pouvez choisir entre le service régional ou mondial.
Si votre organisation doit respecter des réglementations spécifiques sur la résidence des données, choisissez le service régional, car il garantit que vos données secrètes ne quittent pas la région désignée. Si votre application nécessite une haute disponibilité et la possibilité d'accéder aux secrets depuis n'importe quel endroit, le service mondial peut être plus adapté en raison de sa réplication multirégionale.
Pour en savoir plus sur le service Secret Manager global, consultez la documentation du service global.
Étape suivante
- Activer l'API Secret Manager
- Créer un secret régional
- Ajouter le chiffrement CMEK aux secrets régionaux