第 3 步:配置托管和加密

本页面适用于 Apigee,但不适用于 Apigee Hybrid

查看 Apigee Edge 文档。

您在此步骤中执行的操作

在此步骤中,根据具体的用户体验历程,您需要指定 Apigee 分析或控制平面、运行时和数据平面实例的托管位置以及 API 使用方数据区域。 您还需要指定加密密钥选择。

每个用户体验历程的区别在于加密密钥的选择或创建,无论这些密钥是由 Google 管理还是由客户管理,以及无论数据驻留是否启用。

启用数据驻留后,某些功能将不受支持。如需了解详情,请参阅数据驻留兼容性

如果您的 Google Cloud 项目有 CMEK 组织政策限制条件,则系统会默认启用数据驻留,并且需要使用 CMEK。

在创建组织期间,系统会使用以下密钥:

加密密钥 说明
控制平面密钥

加密在 Apigee 租户项目的 BigQuery 中存储的 Analytics 数据。

加密 API 代理、目标服务器、truststore 和密钥库,以及跨运行时共享的任何其他内容。

API 使用方数据密钥 加密服务基础架构数据。这必须是控制平面位置内的一个区域。
运行时数据库密钥 加密应用数据(如 KVM、缓存和客户端密钥),然后将其存储在数据库中。

在创建每个实例期间,系统会使用以下密钥:

加密密钥 说明
运行时磁盘密钥 加密 KVM;环境缓存;配额存储桶和计数器。

加密 KMS 数据 API 产品、开发者、开发者应用、OAuth 令牌(包括访问令牌、刷新令牌和授权代码)和 API 密钥。

执行步骤

如需查看特定用户体验历程的步骤,请选择以下用户体验历程之一。它们按复杂程度的顺序列出,最简单的是用户体验历程 A。

查看用户体验历程流程图


下图显示了使用 Cloud 控制台为随用随付组织配置托管和加密的可能用户体验历程。

用户体验历程标注了 A 到 F,并且按从易到难的顺序排列,其中 A 是最简单的,F 是最复杂的。

付费预配流程
用户体验历程 说明
图标 A 用户体验历程 A:由 Google 管理的加密(无数据驻留)

如果您符合以下情况,请选择此选项:

图标 B 用户体验历程 B:由 Google 管理的加密(有数据驻留)

如果您符合以下情况,请选择此选项:

图标 C 用户体验历程 C:由客户管理的加密(无数据驻留)

如果您符合以下情况,请选择此选项:

  • 希望自行管理加密密钥
  • 无需在同一地理区域内存储核心内容和处理
  • 您的 Google Cloud 项目没有 CMEK 组织政策限制条件
图标 D 用户体验历程 D:由客户管理的加密(有数据驻留)

如果您符合以下情况,请选择此选项:

  • 希望自行管理加密密钥
  • 希望在同一地理区域存储核心内容和处理
  • 您的 Google Cloud 项目有 CMEK 组织政策限制条件

用户体验历程 A:由 Google 管理的加密(无数据驻留)

在第 3 步中,控制台会显示托管和加密配置选项及其默认值的列表。您可以接受默认配置,或点击 修改以打开托管和加密密钥面板。

  1. 加密类型部分中,选择由 Google 管理的加密密钥。这是由 Google 管理的服务器端加密密钥,用于加密 Apigee 实例和数据,然后再将其写入磁盘。
  2. 点击下一步
  3. 控制平面部分:
    1. 取消选中启用数据驻留复选框。
    2. 分析区域下拉列表中,选择要存储分析数据的物理位置。如需查看可用的 Apigee API Analytics 区域列表,请参阅 Apigee 位置

    3. 点击确认
  4. 运行时部分中:
    1. 运行时托管区域下拉列表中,选择要托管实例的区域。
    2. 运行时数据库加密密钥下,列出由 Google 管理作为加密类型。
    3. 运行时磁盘加密密钥下,列出由 Google 管理作为加密类型。
    4. 点击确认
    5. 点击完成
  5. 点击下一步

转到下一步:第 4 步:自定义访问权限路由

用户体验历程 B:由 Google 管理的加密(有数据驻留)

在第 3 步中,控制台会显示托管和加密配置选项及其默认值的列表。您可以接受默认配置,或点击 修改以打开托管和加密密钥面板。

  1. 加密类型部分中,选择由 Google 管理的加密密钥。这是由 Google 管理的服务器端加密密钥,用于加密 Apigee 实例和数据,然后再将其写入磁盘。
  2. 点击下一步
  3. 控制平面部分:
    1. 选中启用数据驻留复选框。
    2. 控制平面托管管辖区下拉列表中,选择要用于存储数据的物理位置。

    3. 控制平面加密密钥下,列出由 Google 管理作为加密类型。
  4. API 使用方数据区域部分中:
    1. API 使用方数据区域下拉列表中,选择要存储数据的物理位置。如需查看可用的使用方数据区域的列表,请参阅 Apigee 位置
    2. API 使用方数据加密密钥下,列出由 Google 管理作为加密类型。
    3. 点击确认
  5. 运行时部分中:
    1. 运行时托管区域下拉列表中,选择要托管实例的区域。如需查看可用运行时区域的列表,请参阅 Apigee 位置。使用数据驻留时,运行时位置必须位于控制平面区域内。
    2. 运行时数据库加密密钥下,列出由 Google 管理作为加密类型。
    3. 运行时磁盘加密密钥下,列出由 Google 管理作为加密类型。
    4. 点击确认
    5. 点击完成
  6. 点击下一步

转到下一步:第 4 步:自定义访问权限路由

用户体验历程 C:由客户管理的加密(无数据驻留)

在第 3 步中,控制台会显示托管和加密配置选项及其默认值的列表。 您可以接受默认配置,或点击 修改以打开托管和加密密钥面板。

  1. 加密类型部分中,选择由客户管理的加密密钥 (CMEK)。这是由用户管理的服务器端加密密钥,用于加密 Apigee 实例和数据,然后再将其写入磁盘。
  2. 点击下一步
  3. 控制平面部分:
    1. 取消选中启用数据驻留复选框。
    2. 分析地区下拉列表中,选择要存储分析数据的物理位置。如需查看可用的 Apigee API Analytics 区域列表,请参阅 Apigee 位置

    3. 点击确认
  4. 运行时部分中:
    1. 运行时托管区域下拉列表中,选择要托管实例的区域。
    2. 运行时数据库加密密钥下拉列表中,为各运行时位置存储和复制的数据选择或创建密钥
    3. 在系统提示时点击授权
    4. 运行时磁盘加密密钥下拉列表中,为运行时实例数据选择或创建密钥,然后再将数据写入磁盘。每个实例都有自己的磁盘加密密钥。
    5. 在系统提示时点击授权
    6. 点击确认
    7. 点击完成
  5. 点击下一步

转到下一步:第 4 步:自定义访问权限路由

用户体验历程 D:由客户管理的加密(有数据驻留)

在第 3 步中,控制台会显示托管和加密配置选项及其默认值的列表。 您可以接受默认配置,或点击 修改以打开托管和加密密钥面板。

  1. 加密类型部分中,选择由客户管理的加密密钥 (CMEK)。这是由用户管理的服务器端加密密钥,用于加密 Apigee 实例和数据,然后再将其写入磁盘。
  2. 点击下一步
  3. 控制平面部分:
    1. 选中启用数据驻留复选框。
    2. 控制平面托管管辖区下拉列表中,选择要用于存储数据的物理位置。

    3. 控制平面加密密钥下拉列表中,为各运行时位置存储和复制的数据选择或创建密钥
    4. 在系统提示时点击授权
  4. API 使用方数据区域部分中:
    1. API 使用方数据区域下拉列表中,选择要存储数据的物理位置。如需查看可用的使用方数据区域的列表,请参阅 Apigee 位置
    2. API 使用方数据加密密钥下拉列表中,为存储的控制平面数据选择或创建密钥
    3. 在系统提示时点击授权
    4. 点击确认
  5. 运行时部分中:
    1. 运行时托管区域下拉列表中,选择要托管实例的区域。 使用数据驻留时,运行时位置必须位于控制平面区域内。
    2. 运行时数据库加密密钥下拉列表中,为各运行时位置存储和复制的数据选择或创建密钥
    3. 在系统提示时点击授权
    4. 运行时磁盘加密密钥下拉列表中,为运行时实例数据选择或创建密钥,然后再将数据写入磁盘。每个实例都有自己的磁盘加密密钥。
    5. 在系统提示时点击授权
    6. 点击确认
    7. 点击完成
  6. 点击下一步

转到下一步:第 4 步:自定义访问权限路由

如何创建密钥

如要创建项,请执行以下操作:

  1. 点击创建密钥
  2. 选择密钥环;如果密钥环不存在,请启用创建密钥环,然后输入密钥环名称并选择密钥环位置。密钥环名称可以包含字母、数字、下划线 (_) 和连字符 (-)。不能重命名或删除密钥环。
  3. 点击继续
  4. 创建密钥。输入名称和保护级别。 请注意,密钥名称可以包含字母、数字、下划线 (_) 和连字符 (-)。不能重命名或删除密钥。对于保护级别而言,软件是一个好的选择。这是 Cloud KMS 使用的同一默认值;不过,您可以根据需要进行更改。
  5. 点击继续,然后检查您的选择。
  6. 点击创建