本文說明 Sensitive Data Protection 提供的各類 API 端點。本文也提供相關考量點,協助您決定要在 Sensitive Data Protection 要求中使用哪種端點類型。如要瞭解不同類型的 API 端點,請參閱 Assured Workloads 文件中的「API 端點類型」。
API 端點 (或服務端點) 是指定 API 服務 (例如 Sensitive Data Protection) 網路位址的基準網址。 Google Cloud Sensitive Data Protection 具有全域和區域端點。
全域 API 端點
Sensitive Data Protection 的全域端點為 dlp.googleapis.com。
全域範圍端點提供高可用性服務端點,可盡可能在靠近用戶端的位置終止 TLS 會期,從而盡量減少透過網際網路為分散式用戶端群組提供 API 呼叫服務時的延遲時間。
向全域端點傳送要求時,您可以指定要處理要求的位置。
未指定位置的全球端點要求
如果未在要求中指定位置,或指定 global 區域,系統就會在 global 區域處理要求。舉例來說,如果您將 POST 要求傳送至下列網址,要求會傳送至全域端點,並在 global 區域中處理。
https://dlp.googleapis.com/v2/projects/example-project/content:inspect
向指定位置的全域端點發出要求
如果您在傳送至全球端點的要求中指定位置,系統會將要求傳送至全球端點,並在您指定的地區或多地區處理要求。舉例來說,如果您向下列網址傳送 POST 要求,該要求會傳送至全域端點,並在 us-west1 地區處理。
https://dlp.googleapis.com/v2/projects/example-project/locations/us-west1/content:inspect
我們無法保證傳輸中的資料會留在您指定的處理區域。如果您不需要將傳輸中的資料保留在特定區域,這樣呼叫全域端點就已足夠。
區域 API 端點
區域端點 (REP) 可讓您將傳輸中資料保留在特定區域。區域端點會將位置指定為子網域,例如 dlp.us-west1.rep.googleapis.com。
Sensitive Data Protection 的區域端點格式如下:
dlp.REP_REGION.rep.googleapis.com
將 REP_REGION 替換為 Sensitive Data Protection 適用的區域端點。
區域端點會終止 TLS 工作階段,位置由端點指定,適用於從公開網際網路或私人連線收到的要求。
區域端點可確保靜態、使用中及傳輸中的資料不會移出端點指定的地區,從而保證資料落地。這項保證不包括服務資料。詳情請參閱「客戶資料和服務資料注意事項」。
選擇全球或區域端點
選擇全球或地區端點時,請考量下列事項:
如果貴機構必須將靜態、使用中和傳輸中的資料保留在特定區域,就必須使用區域端點。如果不需要將傳輸中資料保留在特定區域,可以使用全域端點。
區域端點僅支援部分位置。如需 Sensitive Data Protection 支援的地區和多地區完整清單,請參閱「Sensitive Data Protection 支援的地區」。
Sensitive Data Protection 的配額分為下列幾種:
- 未指定位置資訊的全球端點要求 (在
global區域中處理) - 向指定處理位置的全域端點發出要求 (在指定區域中處理)
- 對區域端點提出要求
區域端點的配額低於其他兩個端點。
- 未指定位置資訊的全球端點要求 (在
如果您的用戶端應用程式已設定為使用全域端點,且您想開始使用區域端點,則必須設定用戶端應用程式,在要求中使用的每個主機名稱的子網域和路徑中,指定 REP 支援的區域或多區域。詳情請參閱「在對區域端點的要求中指定區域」。
限制全球 API 端點用量
如要強制使用區域端點,請使用constraints/gcp.restrictEndpointUsage機構政策限制,封鎖對全域 API 端點的要求。詳情請參閱 Assured Workloads 說明文件中的「限制端點用量」。