Etapa 3: configurar a hospedagem e a criptografia

Esta página se aplica à Apigee, mas não à Apigee híbrida.

Confira a documentação da Apigee Edge.

O que você está fazendo nesta etapa

Nesta etapa, dependendo da sua jornada do usuário específica, você especifica os locais de hospedagem para seu plano de controle ou análise da Apigee, instâncias do ambiente de execução e plano de dados e região de dados do consumidor da API. Você também especifica seleções de chave de criptografia.

A diferença entre cada uma das jornadas do usuário é a seleção ou a criação de chaves de criptografia, se elas são gerenciadas pelo Google ou pelo cliente e se a residência de dados está ativada ou não.

Alguns recursos não são compatíveis quando a residência de dados está ativada. Consulte Compatibilidade da residência de dados para ver detalhes.

As chaves a seguir são usadas durante a criação da organização:

Chave de criptografia Descrição
Chave do plano de controle

Criptografa dados do Analytics armazenados no BigQuery no projeto de locatário da Apigee.

Criptografa proxies de API, servidores de destino, Truststores, Keystores e qualquer outra coisa compartilhada entre ambientes de execução.

Chave de dados do consumidor da API Criptografa dados da infraestrutura de serviços. É necessário que seja uma região no local do plano de controle.
Chave do banco de dados do ambiente de execução Criptografa dados de aplicativos como KVMs, cache e chaves secretas do cliente, que são armazenadas no banco de dados.

A chave a seguir é usada durante a criação de cada instância:

Chave de criptografia Descrição
Chave do disco do ambiente de execução Criptografa KVMs, cache do ambiente, buckets de cota e contadores.

Criptografa os produtos de APIs Data do KMS, desenvolvedores, apps de desenvolvedor, tokens OAuth (incluindo tokens de acesso, tokens de atualização e códigos de autorização) e chaves de API.

Realizar a etapa

Para ver as etapas da sua jornada do usuário específica, selecione uma das jornadas a seguir. Elas são listadas em ordem de complexidade, com a jornada do usuário A sendo a mais fácil.

Ver diagrama do fluxo da jornada do usuário


No diagrama a seguir, mostramos as possíveis jornadas do usuário para configurar hospedagem e criptografia para uma organização de pagamento por uso usando o console do Cloud.

As jornadas do usuário são marcadas de A a F e estão ordenadas de fácil a complexa, em que A é a mais fácil e F é a mais complexa.

Fluxo de provisionamento pago
Jornada do usuário Descrição
ícone A Jornada do usuário A: criptografia gerenciada pelo Google, sem residência de dados

Selecione essa opção se você:

Ícone B Jornada do usuário B: criptografia gerenciada pelo Google, com residência de dados

Selecione essa opção se você:

ícone C Jornada do usuário C: criptografia gerenciada pelo cliente, sem residência de dados

Selecione essa opção se você:

  • quiser gerenciar suas próprias chaves de criptografia
  • não precisar armazenar o conteúdo e processamento principal na mesma região geográfica
ícone D Jornada do usuário D: criptografia gerenciada pelo cliente, com residência de dados

Selecione essa opção se você:

  • quiser gerenciar suas próprias chaves de criptografia
  • quiser armazenar o conteúdo e processamento principal na mesma região geográfica

Jornada do usuário A: criptografia gerenciada pelo Google, sem residência de dados

Na etapa 3, o console mostra uma lista de opções de configuração de hospedagem e criptografia e os valores padrão delas. Aceite a configuração padrão ou clique em Editar para abrir o painel Hospedagem e chaves de criptografia.

  1. Na seção Tipo de criptografia, selecione Chave de criptografia gerenciada pelo Google. Essa é uma chave de criptografia do lado do servidor gerenciada pelo Google usada para criptografar seus dados e instâncias da Apigee antes de serem gravados no disco.
  2. Clique em Próxima.
  3. Na seção Plano de controle:
    1. Desmarque a caixa Ativar residência de dados.
    2. Na lista suspensa Região do Analytics, selecione o local físico onde você quer armazenar os dados de análise. Para ver uma lista de regiões disponíveis do Apigee API Analytics, consulte Locais da Apigee.

    3. Clique em Confirmar.
  4. Na seção Ambiente de execução:
    1. Na lista suspensa Região de hospedagem do ambiente de execução, selecione a região onde você quer hospedar sua instância.
    2. Em Chave de criptografia do banco de dados do ambiente de execução, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
    3. Em Chave de criptografia do disco do ambiente de execução, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
    4. Clique em Confirmar.
    5. Clique em Concluído.
  5. Clique em Próxima.

Avance para a próxima etapa, Etapa 4: personalizar o roteamento de acesso.

Jornada do usuário B: criptografia gerenciada pelo Google, com residência de dados

Na etapa 3, o console mostra uma lista de opções de configuração de hospedagem e criptografia e os valores padrão delas. Aceite a configuração padrão ou clique em Editar para abrir o painel Hospedagem e chaves de criptografia.

  1. Na seção Tipo de criptografia, selecione Chave de criptografia gerenciada pelo Google. Essa é uma chave de criptografia do lado do servidor gerenciada pelo Google usada para criptografar seus dados e instâncias da Apigee antes de serem gravados no disco.
  2. Clique em Próxima.
  3. Na seção Plano de controle:
    1. Marque a caixa Ativar residência de dados.
    2. Na lista suspensa Jurisdição de hospedagem do plano de controle, selecione o local físico onde você quer que seus dados sejam armazenados.

    3. Em Chave de criptografia do plano de controle, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
  4. Na seção Região de dados do consumidor da API:
    1. Na lista suspensa Região de dados do consumidor da API, selecione o local físico onde você quer armazenar os dados. Para conferir uma lista de regiões de dados do consumidor disponíveis, consulte Locais da Apigee.
    2. Em Chave de criptografia de dados do consumidor da API, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
    3. Clique em Confirmar.
  5. Na seção Ambiente de execução:
    1. Na lista suspensa Região de hospedagem em ambiente de execução, selecione a região em que você quer que sua instância fique hospedada. Para ver uma lista de regiões de ambiente de execução disponíveis, consulte Locais da Apigee. Ao usar a residência de dados, o local do ambiente de execução precisa estar dentro da região do plano de controle.
    2. Em Chave de criptografia do banco de dados do ambiente de execução, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
    3. Em Chave de criptografia do disco do ambiente de execução, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
    4. Clique em Confirmar.
    5. Clique em Concluído.
  6. Clique em Próxima.

Avance para a próxima etapa, Etapa 4: personalizar o roteamento de acesso.

Jornada do usuário C: criptografia gerenciada pelo cliente, sem residência de dados

Na etapa 3, o console mostra uma lista de opções de configuração de hospedagem e criptografia e os valores padrão delas. Aceite a configuração padrão ou clique em Editar para abrir o painel Hospedagem e chaves de criptografia.

  1. Na seção Tipo de criptografia, selecione Chave de criptografia gerenciada pelo cliente (CMEK). Essa é uma chave de criptografia do lado do servidor gerenciada pelo usuário usada para criptografar seus dados e instâncias da Apigee antes de serem gravados no disco.
  2. Clique em Próxima.
  3. Na seção Plano de controle:
    1. Desmarque a caixa Ativar residência de dados.
    2. Na lista suspensa Região do Analytics, selecione o local físico onde você quer armazenar os dados de análise. Para ver uma lista de regiões disponíveis do Apigee API Analytics, consulte Locais da Apigee.

    3. Clique em Confirmar.
  4. Na seção Ambiente de execução:
    1. Na lista suspensa Região de hospedagem do ambiente de execução, selecione a região onde você quer hospedar sua instância.
    2. Na lista suspensa Chave de criptografia do banco de dados do ambiente de execução, selecione ou crie uma chave para os dados armazenados e replicados nos locais do ambiente de execução.
    3. Clique em Conceder, se solicitado.
    4. Na lista suspensa Chave de criptografia do disco do ambiente de execução, selecione ou crie uma chave para os dados da instância do ambiente de execução antes que eles sejam gravados no disco. Cada instância tem a própria chave de criptografia do disco.
    5. Clique em Conceder, se solicitado.
    6. Clique em Confirmar.
    7. Clique em Concluído.
  5. Clique em Próxima.

Avance para a próxima etapa, Etapa 4: personalizar o roteamento de acesso.

Jornada do usuário D: criptografia gerenciada pelo cliente, com residência de dados

Na etapa 3, o console mostra uma lista de opções de configuração de hospedagem e criptografia e os valores padrão delas. Aceite a configuração padrão ou clique em Editar para abrir o painel Hospedagem e chaves de criptografia.

  1. Na seção Tipo de criptografia, selecione Chave de criptografia gerenciada pelo cliente (CMEK). Essa é uma chave de criptografia do lado do servidor gerenciada pelo usuário usada para criptografar seus dados e instâncias da Apigee antes de serem gravados no disco.
  2. Clique em Próxima.
  3. Na seção Plano de controle:
    1. Marque a caixa Ativar residência de dados.
    2. Na lista suspensa Jurisdição de hospedagem do plano de controle, selecione o local físico onde você quer que seus dados sejam armazenados.

    3. Na lista suspensa Chave de criptografia do plano de controle, selecione ou crie uma chave para os dados armazenados e replicados nos locais do ambiente de execução.
    4. Clique em Conceder, se solicitado.
  4. Na seção Região de dados do consumidor da API:
    1. Na lista suspensa Região de dados do consumidor da API, selecione o local físico onde você quer armazenar os dados. Para conferir uma lista de regiões de dados do consumidor disponíveis, consulte Locais da Apigee.
    2. Na lista suspensa Chave de criptografia de dados do consumidor da API, selecione ou crie uma chave para os dados armazenados no plano de controle.
    3. Clique em Conceder, se solicitado.
    4. Clique em Confirmar.
  5. Na seção Ambiente de execução:
    1. Na lista suspensa Região de hospedagem do ambiente de execução, selecione a região onde você quer hospedar sua instância. Ao usar a residência de dados, o local do ambiente de execução precisa estar dentro da região do plano de controle.
    2. Na lista suspensa Chave de criptografia do banco de dados do ambiente de execução, selecione ou crie uma chave para os dados armazenados e replicados nos locais do ambiente de execução.
    3. Clique em Conceder, se solicitado.
    4. Na lista suspensa Chave de criptografia do disco do ambiente de execução, selecione ou crie uma chave para os dados da instância do ambiente de execução antes que eles sejam gravados no disco. Cada instância tem a própria chave de criptografia do disco.
    5. Clique em Conceder, se solicitado.
    6. Clique em Confirmar.
    7. Clique em Concluído.
  6. Clique em Próxima.

Avance para a próxima etapa, Etapa 4: personalizar o roteamento de acesso.

Como criar uma chave

Para criar uma chave:

  1. Clique em Criar chave.
  2. Selecione um keyring ou, se não existir um, ative Criar keyring e insira um nome de keyring e escolha um local para ele. Os nomes de keyrings podem conter letras, números, sublinhados (_) e hifens (-). Os keyrings não podem ser renomeados ou excluídos.
  3. Clique em Continuar.
  4. Criar uma chave. Digite um nome e um nível de proteção. Os nomes das chaves podem conter letras, números, sublinhados (_) e hifens (-). As chaves não podem ser renomeadas ou excluídas. Para o nível de proteção, Software é uma boa escolha. Esse é o mesmo padrão usado pelo Cloud KMS. No entanto, é possível alterá-lo se quiser.
  5. Clique em Continuar e revise suas seleções.
  6. Clique em Criar.