Points de terminaison régionaux

Cette page explique comment utiliser des points de terminaison régionaux pour accéder aux ressources dans Cloud Storage. L'utilisation de points de terminaison régionaux vous permet d'exécuter vos charges de travail de manière conforme aux exigences de résidence des données et de souveraineté des données, où le trafic de votre requête est directement acheminé vers la région spécifiée dans le point de terminaison.

Présentation

Les points de terminaison régionaux sont des points de terminaison de requêtes qui ne permettent de traiter les requêtes que si la ressource concernée existe dans l'emplacement spécifié par le point de terminaison. Par exemple, lorsque vous utilisez le point de terminaison https://storage.me-central2.rep.googleapis.com pour une requête de suppression de bucket, la requête n'est exécutée que si le bucket se trouve dans ME-CENTRAL2.

Contrairement aux points de terminaison mondiaux, où les requêtes peuvent être traitées dans un emplacement différent de celui où se trouve la ressource, les points de terminaison régionaux garantissent que vos requêtes ne sont traitées que dans l'emplacement spécifié par le point de terminaison, où réside la ressource. Les points de terminaison régionaux interrompent les sessions TLS à l'emplacement spécifié par le point de terminaison pour les requêtes reçues d'Internet, d'autres ressources Google Cloud (telles que les machines virtuelles Compute Engine), de services sur site utilisant un VPN ou une interconnexion et des clouds privés virtuels (VPC, Virtual Private Cloud).

Les points de terminaison régionaux garantissent la résidence des données en s'assurant que les données de votre objet au repos et en transit ne sont pas déplacées de l'emplacement spécifié par le point de terminaison. Cette garantie exclut les métadonnées des ressources, telles que les noms d'objets et les stratégies IAM associées aux buckets. Pour en savoir plus, consultez la page Remarque sur les données de service.

Pays acceptés

Vous pouvez utiliser des points de terminaison régionaux pour conserver vos données dans les emplacements suivants :

  • Union européenne

    • Francfort, Allemagne (région EUROPE-WEST3) (bêta)

    • Milan, Italie (région EUROPE-WEST8) (bêta)

    • Paris, France (région EUROPE-WEST9) (bêta)

  • Royaume d'Arabie saoudite

    • Dammam, Arabie saoudite (région ME-CENTRAL2)
  • États-Unis

    • Iowa (région US-CENTRAL1)

    • Caroline du Sud (région US-EAST1)

    • Virginie du Nord (région US-EAST4)

    • Columbus (région US-EAST5)

    • Dallas (région US-SOUTH1)

    • Oregon (région US-WEST1)

    • Los Angeles (région US-WEST2)

    • Salt Lake City (région US-WEST3)

    • Las Vegas (région US-WEST4)

Opérations compatibles

Les points de terminaison régionaux ne peuvent être utilisés que pour effectuer des opérations qui accèdent à des ressources ou les modifient dans l'emplacement spécifié par le point de terminaison. Les points de terminaison régionaux ne peuvent pas être utilisés pour effectuer des opérations qui accèdent à des ressources ou les modifient en dehors de l'emplacement spécifié par le point de terminaison.

Par exemple, lorsque vous utilisez le point de terminaison régional https://storage.me-central2.rep.googleapis.com, vous ne pouvez lire des objets que dans des buckets situés dans ME-CENTRAL2, et copier un objet d'un bucket source vers un bucket de destination uniquement lorsque les deux buckets se trouvent dans ME-CENTRAL2. Si vous tentez de lire ou de copier un objet en dehors de ME-CENTRAL2, vous obtenez un message d'erreur.

Les points de terminaison régionaux peuvent être utilisés pour effectuer des opérations de bucket, d'objet et d'inventaire compatibles, à condition qu'elles soient effectuées sur des ressources stockées dans l'emplacement spécifié par le point de terminaison.

Pour obtenir la liste complète des opérations compatibles avec Cloud Storage, développez la section Opérations disponibles :

Opérations compatibles

  • Opérations sur les objets
    • Créer des objets
    • Composer des objets
    • Copier des objets1
    • Supprimer des objets
    • Obtenir les métadonnées d'objet2
    • Répertorier les objets
    • Appliquer des correctifs aux objets
    • Réécrire des objets1
    • Mise à jour des objets
  • Opérations sur les buckets
    • Créer des buckets
    • Supprimer des buckets
    • Obtenir les métadonnées des buckets2
    • Répertorier les buckets
    • Verrouiller les règles de conservation des buckets
    • Appliquer des correctifs aux buckets
    • Mettre à jour des buckets
  • Opérations sur les stratégies IAM
    • Obtenir les stratégies IAM associées aux buckets2
    • Mettre à jour les stratégies IAM associées aux buckets2
    • Tester les stratégies IAM associées aux buckets2
  • Opérations sur les LCA
    • Créer des LCA d'objet2
    • Créer des LCA d'objet par défaut pour un bucket2
    • Supprimer des LCA d'objet2
    • Supprimer des LCA d'objet par défaut pour un bucket2
    • Obtenir les LCA d'objet2
    • Obtenir les LCA d'objet par défaut pour un bucket2
    • Répertorier les LCA d'objet2
    • Répertorier les LCA d'objet par défaut pour un bucket2
    • Appliquer des correctifs aux LCA d'objet2
    • Appliquer des correctifs aux LCA d'objet par défaut pour un bucket2
    • Mettre à jour des LCA d'objet2
    • Mettre à jour des LCA d'objet par défaut pour un bucket2
  • Opérations Storage Insights
    • Créer des configurations de rapport d'inventaire
    • Supprimer des configurations de rapport d'inventaire
    • Obtenir des rapports d'inventaire
    • Obtenir des configurations de rapport d'inventaire
    • Répertorier les rapports d'inventaire
    • Répertorier les configurations de rapport d'inventaire
    • Corriger les configurations de rapport d'inventaire

1Cette opération n'aboutit que si les buckets source et de destination se trouvent à l'emplacement spécifié par le point de terminaison.

2Cette opération accède aux métadonnées ou les modifie. Le respect des exigences de résidence et de souveraineté des données n'est pas garanti pour cette opération.

Limites et restrictions

Les points de terminaison régionaux ne peuvent pas être utilisés pour effectuer les opérations suivantes :

  • Opérations qui accèdent à des ressources en dehors de l'emplacement spécifié par le point de terminaison ou les modifient

  • Copier ou réécrire des ressources d'un emplacement à un autre

  • Opérations de clé HMAC

  • Opérations de compte de service

  • Opérations de notification Pub/Sub

Gardez à l'esprit les restrictions suivantes lorsque vous utilisez des points de terminaison régionaux :

  • Les points de terminaison régionaux ne sont pas compatibles avec l'authentification TLS mutuelle (mTLS).

  • Les points de terminaison régionaux ne sont compatibles qu'avec HTTPS. Le protocole HTTP n'est pas compatible.

  • Les points de terminaison régionaux ne sont pas compatibles avec les sous-domaines de bucket dans l'API XML.

Outils pour l'utilisation des points de terminaison régionaux

Console

Pour accéder aux ressources Cloud Storage de manière conforme aux exigences de résidence ou de souveraineté des données, utilisez les URL de la console Google Cloud juridictionnelles :

Ressource URL
Liste des buckets pour un projet https://console.JURISDICTION.cloud.google.com/storage/browser?project=PROJECT_ID
Liste des objets pour un bucket https://console.JURISDICTION.cloud.google.com/storage/browser/BUCKET_NAME
Détails d'un objet https://console.JURISDICTION.cloud.google.com/storage/browser/_details/BUCKET_NAME/OBJECT_NAME

Remplacez JURISDICTION par l'une des valeurs suivantes :

  • eu si la ressource est située dans l'Union européenne

  • sa si la ressource est située au Royaume d'Arabie saoudite

  • us si la ressource est située aux États-Unis

Ligne de commande

Pour configurer la Google Cloud CLI afin de l'utiliser avec des points de terminaison régionaux, procédez comme suit :

  1. Assurez-vous d'utiliser la version 402.0.0 ou ultérieure de Google Cloud CLI.

  2. Définissez la propriété api_endpoint_overrides/storage sur le point de terminaison régional que vous souhaitez utiliser :

    gcloud config set api_endpoint_overrides/storage https://storage.LOCATION.rep.googleapis.com/

    Vous pouvez également définir la variable d'environnement CLOUDSDK_API_ENDPOINT_OVERRIDES_STORAGE sur le point de terminaison :

    CLOUDSDK_API_ENDPOINT_OVERRIDES_STORAGE=https://storage.LOCATION.rep.googleapis.com/ gcloud ls gs://my-bucket

API REST

API JSON

Lorsque vous envoyez des requêtes à des points de terminaison régionaux, utilisez les URI suivants :

  • Pour les requêtes d'API JSON générales, à l'exclusion des importations d'objets, utilisez le point de terminaison suivant, en remplaçant LOCATION par un emplacement de bucket compatible :

    https://storage.LOCATION.rep.googleapis.com

    Par exemple, le point de terminaison suivant permet de créer un bucket dans la région ME-CENTRAL2 :

    https://storage.me-central2.rep.googleapis.com
  • Pour les importations d'objets via l'API JSON, utilisez le point de terminaison suivant :

    https://storage.LOCATION.rep.googleapis.com/upload/storage/v1/b/BUCKET_NAME/o

    Remplacez :

    • LOCATION par un emplacement de bucket compatible.

    • BUCKET_NAME par le nom du bucket dans lequel vous souhaitez importer un objet.

    Par exemple, le point de terminaison suivant permet d'importer un objet dans un bucket situé dans la région ME-CENTRAL2 :

    https://storage.me-central2.rep.googleapis.com/upload/storage/v1/b/my-example-bucket/o
  • Pour les téléchargements d'objets via l'API JSON, utilisez le point de terminaison suivant :

    https://storage.LOCATION.rep.googleapis.com/download/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media

    Remplacez :

    • LOCATION par un emplacement de bucket compatible.

    • BUCKET_NAME par le nom du bucket contenant l'objet que vous souhaitez télécharger.

    • OBJECT_NAME par le nom de l'objet que vous souhaitez télécharger.

API XML

Lorsque vous envoyez des requêtes à des points de terminaison régionaux, utilisez le point de terminaison de type de chemin suivant :

https://storage.LOCATION.rep.googleapis.com/BUCKET_NAME

Remplacez :

L'exemple suivant peut être utilisé pour importer un objet dans un bucket situé dans la région ME-CENTRAL2 :

https://storage.me-central2.rep.googleapis.com/my-example-bucket