Schritt 3: Hosting und Verschlüsselung konfigurieren

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Was Sie in diesem Schritt tun

In diesem Schritt geben Sie abhängig von Ihrem spezifischen Nutzerpfad Hostingstandorte für Ihre Apigee-Analyse- oder -Steuerungsebene, Laufzeit- und Datenebeneninstanzen sowie die API-Nutzerdatenregion an. Sie geben auch die Art der Verschlüsselungsschlüssel an.

Der Unterschied zwischen den einzelnen Nutzerpfaden besteht in der Auswahl oder Erstellung von Verschlüsselungsschlüsseln, unabhängig davon, ob sie von Google verwaltet oder vom Kunden verwaltet sind und ob der Datenstandort aktiviert ist oder nicht.

Einige Funktionen werden nicht unterstützt, wenn der Datenstandort aktiviert ist. Weitere Informationen finden Sie unter Kompatibilität mit Datenspeicherorten.

Wenn für Ihr Google Cloud-Projekt eine Einschränkung der CMEK-Organisationsrichtlinie gilt, ist der Datenstandort standardmäßig aktiviert und CMEK ist erforderlich.

Die folgenden Schlüssel werden beim Erstellen einer Organisation verwendet:

Verschlüsselungsschlüssel Beschreibung
Schlüssel der Steuerungsebene

Verschlüsselt Analytics-Daten, die in BigQuery im Apigee-Mandantenprojekt gespeichert sind.

Verschlüsselt API-Proxys, Zielserver, Truststores und Schlüsselspeicher sowie alles andere, das über verschiedene Laufzeiten hinweg gemeinsam genutzt wird.

API-Nutzerdatenschlüssel Verschlüsselt Daten der Dienstinfrastruktur. Dies muss eine Region innerhalb des Speicherorts der Steuerungsebene sein.
Laufzeitdatenbankschlüssel Verschlüsselt Anwendungsdaten wie KVMs, Cache und Clientschlüssel, die dann in der Datenbank gespeichert werden.

Der folgende Schlüssel wird bei jeder Instanzerstellung verwendet:

Verschlüsselungsschlüssel Beschreibung
Laufzeitlaufwerksschlüssel Verschlüsselt KVMs; Umgebungscache; Kontingent-Buckets und -Zähler.

Verschlüsselt KMS-Daten wie API-Produkte, Entwickler, Entwickler-Apps, OAuth-Tokens (einschließlich Zugriffstokens, Aktualisierungstokens und Autorisierungscodes) sowie API-Schlüssel.

Schritt ausführen

Wählen Sie einen der folgenden Nutzerpfade aus, um die Schritte für Ihren spezifischen Nutzerpfad aufzurufen. Sie sind nach Komplexität geordnet, wobei der einfachste Weg Nutzerpfad A ist.

Flussdiagramm eines Nutzerpfads ansehen


Das folgende Diagramm zeigt die möglichen Nutzerpfade, um Hosting und Verschlüsselung für eine „Pay as you go“-Organisation mithilfe der Cloud Console zu konfigurieren.

Die Nutzerpfade sind von einfach bis komplex mit A bis F gekennzeichnet. Dabei ist A der einfachste und F der komplexeste Nutzerpfad.

Kostenpflichtiger Bereitstellungsablauf
Nutzerpfad Beschreibung
Symbol A Nutzerpfad A: Von Google verwaltete Verschlüsselung, kein Datenstandort

Wählen Sie diese Option aus, wenn:

Symbol B Nutzerpfad B: Von Google verwaltete Verschlüsselung mit Datenstandort

Wählen Sie diese Option aus, wenn:

Symbol C Nutzerpfad C: Vom Kunden verwaltete Verschlüsselung, kein Datenstandort

Wählen Sie diese Option aus, wenn:

Symbol D Nutzerpfad D: Vom Kunden verwaltete Verschlüsselung, mit Datenstandort

Wählen Sie diese Option aus, wenn:

Nutzerpfad A: Von Google verwaltete Verschlüsselung, kein Datenstandort

In Schritt 3 zeigt die Konsole eine Liste von Konfigurationsoptionen für Hosting und Verschlüsselung sowie deren Standardwerte an. Sie können die Standardkonfiguration übernehmen oder auf  Bearbeiten klicken, um den Bereich Hosting- und Verschlüsselungsschlüssel zu öffnen.

  1. Wählen Sie im Abschnitt Verschlüsselungstyp die Option Von Google verwalteter Verschlüsselungsschlüssel aus. Dies ist ein vom Nutzer verwalteter, serverseitiger Verschlüsselungsschlüssel, der zum Verschlüsseln Ihrer Apigee-Instanzen und -Daten verwendet wird, bevor sie auf das Laufwerk geschrieben werden.
  2. Klicken Sie auf Weiter.
  3. Im Abschnitt Steuerungsebene:
    1. Entfernen Sie das Häkchen bei Datenstandort aktivieren.
    2. Wählen Sie in der Drop-down-Liste Analytics-Region den physischen Speicherort aus, an dem Ihre Analysedaten gespeichert werden sollen. Eine Liste der verfügbaren Apigee API Analytics-Regionen finden Sie unter Apigee-Standorte.

    3. Klicken Sie auf Bestätigen.
  4. Im Bereich Laufzeit:
    1. Wählen Sie in der Drop-down-Liste Laufzeit-Hosting-Region die Region aus, in der die Instanz gehostet werden soll.
    2. Unter Verschlüsselungsschlüssel der Laufzeitdatenbank wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
    3. Unter Verschlüsselungsschlüssel des Laufzeitlaufwerks wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
    4. Klicken Sie auf Bestätigen.
    5. Klicken Sie auf Fertig.
  5. Klicken Sie auf Weiter.

Fahren Sie mit dem nächsten Schritt fort: Schritt 4: Zugriffsrouting anpassen.

Nutzerpfad B: Von Google verwaltete Verschlüsselung, mit Datenstandort

In Schritt 3 zeigt die Konsole eine Liste von Konfigurationsoptionen für Hosting und Verschlüsselung sowie deren Standardwerte an. Sie können die Standardkonfiguration übernehmen oder auf  Bearbeiten klicken, um den Bereich Hosting- und Verschlüsselungsschlüssel zu öffnen.

  1. Wählen Sie im Abschnitt Verschlüsselungstyp die Option Von Google verwalteter Verschlüsselungsschlüssel aus. Dies ist ein vom Nutzer verwalteter, serverseitiger Verschlüsselungsschlüssel, der zum Verschlüsseln Ihrer Apigee-Instanzen und -Daten verwendet wird, bevor sie auf das Laufwerk geschrieben werden.
  2. Klicken Sie auf Weiter.
  3. Im Abschnitt Steuerungsebene:
    1. Klicken Sie das Kästchen Datenstandort aktivieren an.
    2. Wählen Sie in der Drop-down-Liste Gerichtsbarkeit für das Hosting der Steuerebene den physischen Speicherort aus, an dem Ihre Daten gespeichert werden sollen.

    3. Unter Verschlüsselungsschlüssel der Steuerungsebene wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
  4. Im Abschnitt Region für API-Nutzerdaten:
    1. Wählen Sie in der Drop-down-Liste API-Nutzerdatenregion den physischen Speicherort aus, an dem Ihre Daten gespeichert werden sollen. Eine Liste der verfügbaren Regionen für Nutzerdaten finden Sie unter Apigee-Standorte.
    2. Unter Verschlüsselungsschlüssel für API-Nutzerdaten wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
    3. Klicken Sie auf Bestätigen.
  5. Im Bereich Laufzeit:
    1. Wählen Sie in der Drop-down-Liste Laufzeit-Hosting-Region die Region aus, in der die Instanz gehostet werden soll. Eine Liste der verfügbaren Laufzeitregionen finden Sie unter Apigee-Standorte. Bei Verwendung des Datenstandorts muss sich der Laufzeitstandort innerhalb der Region der Steuerungsebene befinden.
    2. Unter Verschlüsselungsschlüssel der Laufzeitdatenbank wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
    3. Unter Verschlüsselungsschlüssel des Laufzeitlaufwerks wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
    4. Klicken Sie auf Bestätigen.
    5. Klicken Sie auf Fertig.
  6. Klicken Sie auf Weiter.

Fahren Sie mit dem nächsten Schritt fort: Schritt 4: Zugriffsrouting anpassen.

Nutzerpfad C: Vom Kunden verwaltete Verschlüsselung, kein Datenstandort

In Schritt 3 zeigt die Konsole eine Liste von Konfigurationsoptionen für Hosting und Verschlüsselung sowie deren Standardwerte an. Sie können die Standardkonfiguration übernehmen oder auf Bearbeiten klicken, um den Bereich Hosting- und Verschlüsselungsschlüssel zu öffnen.

  1. Wählen Sie im Abschnitt Verschlüsselungstyp die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus. Dies ist ein vom Nutzer verwalteter, serverseitiger Verschlüsselungsschlüssel, der zum Verschlüsseln Ihrer Apigee-Instanzen und -Daten verwendet wird, bevor sie auf das Laufwerk geschrieben werden.
  2. Klicken Sie auf Weiter.
  3. Im Abschnitt Steuerungsebene:
    1. Entfernen Sie das Häkchen bei Datenstandort aktivieren.
    2. Wählen Sie in der Drop-down-Liste Analytics-Region den physischen Speicherort aus, an dem Ihre Analysedaten gespeichert werden sollen. Eine Liste der verfügbaren Apigee API Analytics-Regionen finden Sie unter Apigee-Standorte.

    3. Klicken Sie auf Bestätigen.
  4. Im Bereich Laufzeit:
    1. Wählen Sie in der Drop-down-Liste Laufzeit-Hosting-Region die Region aus, in der die Instanz gehostet werden soll.
    2. In der Drop-down-Liste Verschlüsselungsschlüssel der Laufzeitdatenbank wählen oder erstellen Sie einen Schlüssel für die Daten, die an Laufzeitstandorten gespeichert und repliziert werden.
    3. Klicken Sie auf Gewähren, wenn Sie dazu aufgefordert werden.
    4. In der Drop-down-Liste Verschlüsselungsschlüssel des Laufzeitlaufwerks wählen oder erstellen Sie einen Schlüssel für Laufzeitinstanzdaten, bevor diese auf das Laufwerk geschrieben werden. Jede Instanz hat einen eigenen Laufwerkverschlüsselungsschlüssel.
    5. Klicken Sie auf Gewähren, wenn Sie dazu aufgefordert werden.
    6. Klicken Sie auf Bestätigen.
    7. Klicken Sie auf Fertig.
  5. Klicken Sie auf Weiter.

Fahren Sie mit dem nächsten Schritt fort: Schritt 4: Zugriffsrouting anpassen.

Nutzerpfad D: Vom Kunden verwaltete Verschlüsselung, mit Datenstandort

In Schritt 3 zeigt die Konsole eine Liste von Konfigurationsoptionen für Hosting und Verschlüsselung sowie deren Standardwerte an. Sie können die Standardkonfiguration übernehmen oder auf Bearbeiten klicken, um den Bereich Hosting- und Verschlüsselungsschlüssel zu öffnen.

  1. Wählen Sie im Abschnitt Verschlüsselungstyp die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus. Dies ist ein vom Nutzer verwalteter, serverseitiger Verschlüsselungsschlüssel, der zum Verschlüsseln Ihrer Apigee-Instanzen und -Daten verwendet wird, bevor sie auf das Laufwerk geschrieben werden.
  2. Klicken Sie auf Weiter.
  3. Im Abschnitt Steuerungsebene:
    1. Klicken Sie das Kästchen Datenstandort aktivieren an.
    2. Wählen Sie in der Drop-down-Liste Gerichtsbarkeit für das Hosting der Steuerebene den physischen Speicherort aus, an dem Ihre Daten gespeichert werden sollen.

    3. In der Drop-down-Liste Verschlüsselungsschlüssel der Steuerungsebene wählen oder erstellen Sie einen Schlüssel für die Daten, die an Laufzeitstandorten gespeichert und repliziert werden.
    4. Klicken Sie auf Gewähren, wenn Sie dazu aufgefordert werden.
  4. Im Abschnitt Region für API-Nutzerdaten:
    1. Wählen Sie in der Drop-down-Liste API-Nutzerdatenregion den physischen Speicherort aus, an dem Ihre Daten gespeichert werden sollen. Eine Liste der verfügbaren Regionen für Nutzerdaten finden Sie unter Apigee-Standorte.
    2. In der Drop-down-Liste Verschlüsselungsschlüssel für API-Nutzerdaten wählen oder erstellen Sie einen Schlüssel für Daten, die für die Steuerungsebene gespeichert sind.
    3. Klicken Sie auf Gewähren, wenn Sie dazu aufgefordert werden.
    4. Klicken Sie auf Bestätigen.
  5. Im Bereich Laufzeit:
    1. Wählen Sie in der Drop-down-Liste Laufzeit-Hosting-Region die Region aus, in der die Instanz gehostet werden soll. Bei Verwendung des Datenstandorts muss sich der Laufzeitstandort innerhalb der Region der Steuerungsebene befinden.
    2. In der Drop-down-Liste Verschlüsselungsschlüssel der Laufzeitdatenbank wählen oder erstellen Sie einen Schlüssel für die Daten, die an Laufzeitstandorten gespeichert und repliziert werden.
    3. Klicken Sie auf Gewähren, wenn Sie dazu aufgefordert werden.
    4. In der Drop-down-Liste Verschlüsselungsschlüssel des Laufzeitlaufwerks wählen oder erstellen Sie einen Schlüssel für Laufzeitinstanzdaten, bevor diese auf das Laufwerk geschrieben werden. Jede Instanz hat einen eigenen Laufwerkverschlüsselungsschlüssel.
    5. Klicken Sie auf Gewähren, wenn Sie dazu aufgefordert werden.
    6. Klicken Sie auf Bestätigen.
    7. Klicken Sie auf Fertig.
  6. Klicken Sie auf Weiter.

Fahren Sie mit dem nächsten Schritt fort: Schritt 4: Zugriffsrouting anpassen.

Schlüssel erstellen

So erstellen Sie einen Schlüssel:

  1. Klicken Sie auf Schlüssel erstellen.
  2. Wählen Sie einen Schlüsselbund aus. Wenn kein Schlüsselbund vorhanden ist, aktivieren Sie Schlüsselbund erstellen. Geben Sie dann einen Schlüsselbundnamen ein und wählen Sie einen Standort für den Schlüsselbund aus. Schlüsselbundnamen können Buchstaben, Ziffern, Unterstriche (_) und Bindestriche (-) enthalten. Schlüsselbunde können weder umbenannt noch gelöscht werden.
  3. Klicken Sie auf Weiter.
  4. Erstellen Sie einen Schlüssel. Geben Sie einen Namen und ein Schutzniveau ein. Beachten Sie, dass Schlüsselnamen Buchstaben, Ziffern, Unterstriche (_) und Bindestriche (-) enthalten können. Schlüssel können nicht umbenannt oder gelöscht werden. Als Schutzniveau ist Software eine gute Wahl. Dies ist die Standardeinstellung, die auch von Cloud KMS verwendet wird. Sie können sie aber bei Bedarf ändern.
  5. Klicken Sie auf Weiter und prüfen Sie Ihre Auswahl.
  6. Klicken Sie auf Erstellen.